Guida per le soluzioni per Symantec Endpoint Protection e Symantec Network Access Control

Transcript

1 Guida per le soluzioni per Symantec Endpoint Protection e Symantec Network Access Control

2 Guida alle soluzioni per Symantec Endpoint Protection e Symantec Network Access Control Il software descritto nel presente manuale viene fornito in conformità con un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Versione della documentazione Note legali Copyright 2008 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton e TruScan sono marchi o marchi registrati di Symantec Corporation o delle relative consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi commerciali dei rispettivi proprietari. Questo prodotto Symantec può contenere software di terze parti di cui Symantec ha l'obbligo di rendere nota l'appartenenza ("Programmi di terze parti"). Alcuni programmi di terze parti sono disponibili con licenza di tipo open source o freeware. Il contratto di licenza di questo software non altera i diritti o gli obblighi stabiliti dalle licenze dei software open source o freeware. Per ulteriori informazioni sui programmi di terze parti, consultare l'appendice sulle note legali relative a terze parti contenute nella presente documentazione o il file TPIP Readme contenuto nel prodotto Symantec. Il prodotto descritto nel presente documento è distribuito in base alle condizioni di una licenza che ne limita l'utilizzo, la copia, la distribuzione e la decompilazione/decodificazione. È vietato riprodurre qualsiasi parte di questo documento tramite qualsiasi mezzo senza previo consenso scritto di Symantec Corporation e dei suoi eventuali concessori di licenza. LA DOCUMENTAZIONE È FORNITA "TAL QUALE" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, ASSICURAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UN PARTICOLARE SCOPO E INVIOLABILITÀ, SONO ESCLUSE, SALVO PER LE CLAUSOLE VESSATORIE. SYMANTEC CORPORATION NON SARÀ RESPONSABILE PER ALCUN TIPO DI DANNO INCIDENTALE O CONSEQUENZIALE COLLEGATO ALLA CONSEGNA, ALLE PRESTAZIONI O ALL'UTILIZZO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NELLA PRESENTE DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO. Il software fornito in licenza e la documentazione sono da ritenersi un software commerciale per computer come definito in FAR e soggetti a diritti limitati, come definito nella sezione FAR "Commercial Computer Software - Restricted Rights" e DFARS , "Rights in Commercial Computer Software or Commercial Computer Software Documentation", ove applicabile, e ogni regolamentazione successiva. Ogni utilizzo, modifica, versione per la riproduzione, prestazione, visualizzazione o divulgazione del software fornito in licenza e della documentazione da parte del governo degli Stati Uniti dovranno essere conformi ai termini del presente accordo.

3 Symantec Corporation Stevens Creek Blvd. Cupertino, CA 95014, Stati Uniti d'america.

4 Soluzioni di servizio e supporto Registrazione e licenze Aggiornamenti della protezione Symantec desidera fornire un servizio di alto livello in tutto il mondo con l'obiettivo di fornire assistenza professionale nell'utilizzo del software e dei servizi ovunque si trovi l'utente. Le soluzioni di supporto tecnico e servizio clienti variano da paese a paese. In caso di domande sui servizi descritti qui di seguito, consultare Servizio e supporto nel mondo alla fine di questo capitolo. Se il prodotto da implementare richiede la registrazione e/o una chiave di licenza, il modo più semplice e veloce di procedere è di accedere al nostro sito di registrazione e gestione delle licenze all indirizzo In alternativa è possibile accedere all indirizzo selezionare il prodotto da registrare e dalla pagina iniziale dei prodotti selezionare il collegamento Licenze d'uso e registrazione. Se è stato acquistato un abbonamento al supporto, si ha diritto di ricevere assistenza tecnica da Symantec per telefono e via Internet. Quando si contatta il supporto per la prima volta tenere a disposizione il numero di licenza presente sul certificato di licenza o l ID di contatto generato attraverso la registrazione al supporto per consentire di verificare il diritto di richiedere assistenza. Se non è stato acquistato un abbonamento al supporto, contattare il proprio rivenditore o il servizio clienti di Symantec per ottenere dettagli sull acquisto di opzioni di supporto tecnico da Symantec. Per ottenere le informazioni più recenti sulle minacce virali e alla sicurezza, accedere al sito Web di Symantec Security Response (noto in passato come Antivirus Research Center) all indirizzo: Il sito contiene esaurienti informazioni on-line sulle minacce virali e alla sicurezza oltre alle più recenti definizioni dei virus. Le definizioni dei virus possono anche essere scaricate utilizzando la funzione LiveUpdate disponibile nel prodotto. Rinnovi dell abbonamento all aggiornamento antivirus L acquisto dell opzione di manutenzione con il prodotto dà diritto a scaricare gratuitamente le definizioni dei virus per tutta la durata del contratto. Se il contratto di manutenzione è scaduto, contattare il proprio rivenditore o il servizio clienti di Symantec per ottenere informazioni sul rinnovo.

5 Siti Web di Symantec: Pagina iniziale di Symantec (per lingua): Inglese: Francese: Italiano: Olandese: Portoghese: Spagnolo: Tedesco: Symantec Security Response: Pagina Servizio e supporto enterprise Symantec: Bollettini informativi su specifici prodotti: Inglese/Stati Uniti, Asia Pacifico: Inglese/Europa, Medio Oriente - Africa: Francese: Italiano: Tedesco: Inglese/America Latina:

6 Supporto tecnico In quanto parte del Symantec Security Response, il nostro gruppo di supporto tecnico globale gestisce centri di supporto sparsi in tutto il mondo. Il nostro ruolo principale è di rispondere a quesiti specifici relativi a caratteristiche/funzioni, installazione e configurazione dei prodotti, oltre a produrre materiale per la nostra sezione Knowledge Base accessibile sul Web. Per rispondere tempestivamente alle richieste degli utenti collaboriamo anche con altre aree funzionali all interno di Symantec. Ad esempio, lavoriamo con il settore dell ingegnerizzazione dei prodotti e con i nostri Security Research Center per fornire servizi di avviso e aggiornamenti delle definizioni dei virus volti a combattere epidemie virali e allarmi correlati alla sicurezza. I punti salienti della nostra offerta comprendono: Una gamma di opzioni di supporto che fornisce la flessibilità di scegliere il giusto livello di servizio per organizzazioni di qualsiasi dimensione Componenti di supporto telefonico e via Web che forniscono risposte rapide e informazioni aggiornate Gli aggiornamenti dei prodotti garantiscono l aggiornamento software automatico della protezione Gli aggiornamenti dei contenuti per le definizioni dei virus e i profili di sicurezza assicurano il più alto livello di protezione Il supporto globale degli esperti del Symantec Security Response è disponibile ininterrottamente in tutto il mondo e in numerose lingue Funzioni avanzate come il Symantec Alerting Service e il ruolo di responsabile account tecnico offrono una migliore risposta un supporto attivo sulla sicurezza Per ottenere informazioni aggiornate sui nostri programmi di supporto è possibile fare riferimento al nostro sito Web. Contatto del supporto I clienti che dispongono di un contratto di supporto possono contattare il team del supporto tecnico telefonicamente o sul Web accedendo al seguente indirizzo URL o utilizzando i siti di supporto regionali riportati nel presente documento. Quando si contatta il supporto è importante avere a disposizione le seguenti informazioni. Livello di release del prodotto Informazioni sull hardware Memoria disponibile, spazio su disco, informazioni sulla scheda di rete Sistema operativo

7 Versione e livello di patch Topologia della rete Informazioni su router, gateway e indirizzi IP Descrizione del problema Messaggi di errore/file di registro Diagnosi eseguita prima di contattare Symantec Modifiche recenti alla configurazione del software e/o della rete. Servizio clienti Il centro del servizio clienti di Symantec può fornire assistenza con domande non tecniche comprendenti: Informazioni generali sui prodotti (ad esempio, funzionalità, disponibilità di versioni nazionali, rivenditori in loco, ecc.) Informazioni di base sulla diagnosi dei problemi, quali il controllo del numero di versione del prodotto Informazioni aggiornate sugli aggiornamenti e gli upgrade dei prodotti Modalità di aggiornamento/upgrade dei prodotti Modalità di registrazione del prodotti e/o delle licenze Informazioni sui programmi di licenze d'uso di Symantec Informazioni sui contratti di assicurazione di aggiornamento e manutenzione Sostituzione di CD e manuali Aggiornamento della registrazione del prodotto in seguito al cambio di indirizzo o di nome Consigli sulle opzioni di supporto tecnico di Symantec Informazioni complete sul servizio clienti sono disponibili sul sito Web Servizio e supporto di Symantec e possono anche essere ottenute telefonando al servizio clienti di Symantec. Per informazioni su come contattare il servizio clienti e sugli indirizzi Web fare riferimento a Servizio e supporto nel mondo alla fine di questo capitolo. Informazioni di contatto del servizio e supporto nel mondo Europa, Medio Oriente, Africa e America Latina Siti Web Supporto tecnico di Symantec

8 Inglese: Francese: Italiano: Olandese: Portoghese: Spagnolo: Tedesco: FTP Symantec : ftp.symantec.com (Scaricamento di note tecniche e patch aggiornate) Visitare la sezione Servizio e supporto di Symantec sul Web per trovare informazioni tecniche e generali sui prodotti. Symantec Security Response : Bollettini informativi su specifici prodotti: Inglese/Stati Uniti: Inglese/Europa, Medio Oriente - Africa: Francese: Italiano: Tedesco: Inglese/America Latina:

9 Servizio clienti Symantec Fornisce informazioni non tecniche e consulenza telefonica nelle seguenti lingue: inglese, tedesco, francese e italiano. Austria + (43) Belgio + (32) Danimarca + (45) Spagna + (34) Finlandia + (358) Francia + (33) Germania + (49) Irlanda + (353) Italia + (39) Lussemburgo + (352) Olanda + (31) Norvegia + (47) Sud Africa + (27) Svezia + (46) Svizzera + (41) Regno Unito + (44)

10 Altri paesi + (353) (Solo in lingua inglese) Servizio clienti Symantec - Indirizzo per la corrispondenza ordinaria Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irlanda Per America Latina Symantec fornisce supporto tecnico e servizio clienti in tutto il mondo. I servizi variano a seconda del paese e comprendono partner internazionali che rappresentano Symantec nelle regioni in cui non è presente una filiale. Per informazioni generali, contattare l'ufficio del servizio e supporto Symantec relativo alla propria regione. ARGENTINA Pte. Roque Saenz Peña Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentina Numero principale: +54 (11) Sito Web: Supporto Gold: VENEZUELA Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Numero principale: +58 (212) Sito Web: Supporto Gold:

11 COLOMBIA Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Numero principale: +57 (1) Sito Web: Supporto Gold: BRASILE Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, andar São Paulo - SP CEP: Brasil, SA Numero principale: +55 (11) Fax: +55 (11) Sito Web: Supporto Gold: CHILE Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Numero principale: +56 (2) Sito Web: Supporto Gold: MESSICO Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexico Numero principale: +52 (55) Sito Web: Supporto Gold:

12 RESTO DELL AMERICA LATINA 9155 South Dadeland Blvd. Suite 1100, Miami, FL U.S.A Sito Web: Supporto Gold: Costa Rica: Panama: Puerto Rico: Per Asia Pacifico Symantec fornisce supporto tecnico e servizio clienti in tutto il mondo. I servizi variano a seconda del paese e comprendono partner internazionali che rappresentano Symantec nelle regioni in cui non è presente una filiale. Per informazioni generali, contattare l'ufficio del servizio e supporto Symantec relativo alla propria regione. Uffici di servizio e supporto AUSTRALIA CINA Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australia Numero principale: Fax: Sito Web: Supporto Gold: gold.au@symantec.com Amministratore contratti di supporto: contractsadmin@symantec.com Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing Cina P.R.C. Numero principale:

13 Supporto tecnico: Fax: Sito Web: HONG KONG Symantec Hong Kong Central Plaza Suite # th Floor, 18 Harbour Road Wanchai Hong Kong Numero principale: Supporto tecnico: Fax: Sito Web: INDIA Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai , India Numero principale: Supporto tecnico: Fax: Sito Web: COREA Symantec Korea 15,16th Floor Dukmyung B/D Samsung-Dong KangNam-Gu Seoul Corea del Sud Numero principale: Supporto tecnico: Fax: Sito Web:

14 MALESIA Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A Petaling Jaya Selangor Darul Ehsan Malesia Numero principale: Supporto tecnico: enterprise: Numero verde enterprise: Sito Web: NUOVA ZELANDA Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nuova Zelanda Numero principale: Fax: Sito Web de support: Supporto Gold: gold.nz@symantec.com Amministratore contratti di supporto: contractsadmin@symantec.com SINGAPORE Symantec Singapore 6 Battery Road #22-01/02/03 Singapore Numero principale: Fax: Supporto tecnico: Sito Web:

15 TAIWAN Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwan Numero principale: Corporate Support: Fax: Supporto Gold: gold.nz@symantec.com Sito Web: È stato fatto ogni sforzo possibile per garantire l'accuratezza di questo documento. Tuttavia, le informazioni qui contenute sono soggette a modifica senza preavviso. Symantec Corporation si riserva il diritto di apportare tali modifiche senza preavviso.

16

17 Sommario Soluzioni di servizio e supporto... 4 Capitolo 1 Introduzione alle soluzioni Informazioni sulle soluzioni Sezione 1 Capitolo 2 Procedure ottimali per l'amministrazione dei client Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sui problemi di comunicazione Informazioni sul controllo della comunicazione fra il server di gestione e il client Informazioni sul controllo della comunicazione fra il server di gestione e la console o il database Visualizzazione dello stato del client nella console di gestione Informazioni sull'icona di stato del client nel client Visualizzazione del numero di serie della politica Informazioni sull'esecuzione di un aggiornamento manuale della politica per la verifica del numero di serie della politica Utilizzo del comando ping per verificare la connettività al server di gestione Utilizzo di un browser per verificare la connettività al server di gestione Utilizzo di Telnet per verificare la connettività al server di gestione Controllo dei registri della casella di posta sul server di gestione Controllo dei registri IIS sul server di gestione Informazioni sul controllo del registro di debug sul computer client Verifica della connessione con il database Configurazione dei diritti per IIS... 38

18 18 Sommario Capitolo 3 Capitolo 4 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sulla risoluzione dei problemi relativi all'aggiornamento del contenuto sui client Informazioni sui tipi di contenuto per Symantec Endpoint Protection Informazioni sulla determinazione della configurazione di un client per la ricezione del contenuto Informazioni sulla connettività di rete e sui client Informazioni sul controllo dello stato di connessione del client Come assicurarsi che il client possa comunicare con il proprio fornitore di contenuti Informazioni su come determinare se un client sta ricevendo gli aggiornamenti del contenuto dal server di gestione Informazioni sul confronto del contenuto sul client rispetto al contenuto sul server di gestione Confronto della cache del contenuto Utilizzo della console di gestione per confrontare le versioni del contenuto Visualizzazione degli ultimi download di LiveUpdate sul server di gestione Controllo delle impostazioni di LiveUpdate sul server di gestione Controllo delle impostazioni delle politiche del contenuto di LiveUpdate Informazioni sul controllo della politica delle impostazioni di LiveUpdate Esecuzione di una sessione manuale di LiveUpdate dalla console di gestione Che cosa fare se si hanno ancora problemi dopo la verifica della connettività e delle impostazioni di LiveUpdate Visualizzazione del registro di LiveUpdate Informazioni sulla visualizzazione del registro di debug sul client Creazione di un registro sylink Informazioni sull'utilizzo dello strumento DebugView Configurazione e gestione dei client mobili e remoti Informazioni sui client mobili e sui client remoti Impostazione di gruppi e posizioni... 58

19 Sommario 19 Informazioni sugli scenari comuni di client mobili e client remoti Informazioni sui criteri di rilevamento della posizione Impostazione delle condizioni di rilevamento della posizione per il primo scenario Impostazione delle condizioni di rilevamento della posizione per il secondo scenario Rinforzo delle politiche di sicurezza per i client remoti Informazioni sulle impostazioni consigliate per una politica del firewall Informazioni sulle impostazioni consigliate per una politica antivirus e antispyware Informazioni sulle impostazioni consigliate per una politica di LiveUpdate Informazioni sulle impostazioni consigliate per una politica di controllo delle applicazioni Informazioni sulle notifiche del client Personalizzazione delle impostazioni di gestione dei registri dei client Gestione del bilanciamento del carico e del roaming Controllo dei client remoti Capitolo 5 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Informazioni sulla topologia della gestione di Symantec Endpoint Protection Fattori organizzativi da considerare Come decidere se creare uno o più siti Come aggiornare il contenuto Informazioni sull'alta disponibilità e sul failover Informazioni sul bilanciamento del carico e sul roaming... 79

20 20 Sommario Sezione 2 Capitolo 6 Procedure ottimali per la sicurezza generale Gestione delle scansioni proattive delle minacce TruScan Informazioni sulla gestione delle scansioni proattive delle minacce TruScan Informazioni sulla gestione delle eccezioni Monitoraggio degli eventi di scansione Creazione delle eccezioni per i processi rilevati Regolazione delle impostazioni di scansione Indice... 95

21 Capitolo 1 Introduzione alle soluzioni Il capitolo contiene i seguenti argomenti: Informazioni sulle soluzioni Informazioni sulle soluzioni Symantec Endpoint Protection e Symantec Network Access Control sono software completi che consentono di risolvere i problemi relativi alla sicurezza della rete. Garantiscono la protezione dalle minacce per le aziende di tutte le dimensioni, dalla più piccola alla più grande. Sono flessibili ed estremamente gestibili e offrono numerose opzioni di configurazione. Di conseguenza, vi sono molti fattori da considerare per configurare e utilizzare questi programmi al meglio. È possibile utilizzare le soluzioni per gestire un ambiente di rete sicuro per l'organizzazione. Ogni soluzione offre degli scenari o un'analisi delle procedure ottimali che è possibile utilizzare. La soluzione dipende da vari fattori, quali il tipo e il numero di endpoint, il personale del supporto tecnico disponibile e il numero di siti. Ad esempio, le soluzioni consentono di risolvere i problemi relativi alla comunicazione e alla sicurezza dei computer client. Per maggiori informazioni sulle soluzioni disponibili negli articoli della Knowledge Base e nelle domande frequenti, visitare il sito Web del supporto tecnico di Symantec al seguente URL: Prima di implementare una soluzione, è necessario leggere la Guida all'installazione di Symantec Endpoint Protection e Symantec Network Access Control e la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control e installare il software in un ambiente di prova. Le soluzioni sono state concepite per l'amministratore di sistema che installa e gestisce i prodotti.

22 22 Introduzione alle soluzioni Informazioni sulle soluzioni

23 Sezione 1 Procedure ottimali per l'amministrazione dei client Risoluzione dei problemi relativi alla comunicazione con il server di gestione Risoluzione dei problemi quando un client non aggiorna il contenuto Configurazione e gestione dei client mobili e remoti Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo

24 24

25 Capitolo 2 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Il capitolo contiene i seguenti argomenti: Informazioni sui problemi di comunicazione Visualizzazione dello stato del client nella console di gestione Informazioni sull'icona di stato del client nel client Visualizzazione del numero di serie della politica Informazioni sull'esecuzione di un aggiornamento manuale della politica per la verifica del numero di serie della politica Utilizzo del comando ping per verificare la connettività al server di gestione Utilizzo di un browser per verificare la connettività al server di gestione Utilizzo di Telnet per verificare la connettività al server di gestione Controllo dei registri della casella di posta sul server di gestione Controllo dei registri IIS sul server di gestione Informazioni sul controllo del registro di debug sul computer client Verifica della connessione con il database Configurazione dei diritti per IIS

26 26 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sui problemi di comunicazione Informazioni sui problemi di comunicazione È possibile che sia necessario controllare la comunicazione fra il server di gestione e altri componenti per parecchi motivi. Ad esempio, il client potrebbe non ricevere gli aggiornamenti della politica o gli aggiornamenti dei contenuti oppure i diritti appropriati possono non essere configurati per IIS. Questi componenti comprendono il client, la console e il database. Informazioni sul controllo della comunicazione fra il server di gestione e il client Se si hanno difficoltà di comunicazione fra server e client, è necessario innanzitutto assicurarsi che non vi siano problemi di rete. Prima di chiamare il supporto tecnico di Symantec, controllare anche la connettività della rete. È possibile verificare la comunicazione fra il client e il server di gestione in diversi modi. Nella Tabella 2-1 sono descritte le operazioni che è possibile eseguire per verificare la comunicazione fra il computer client e il server di gestione. Tabella 2-1 Controllo della comunicazione fra il server di gestione e il client Che cosa controllare Controllare l'icona di stato del client. Controllare il numero di serie della politica nel client e nella console di gestione. Descrizione È possibile controllare l'icona di stato nel client e nella console di gestione. Il numero di serie deve corrispondere se il client può comunicare con il server e riceve aggiornamenti della politica regolari. È possibile eseguire un aggiornamento manuale della politica e quindi confrontare i numeri di serie della politica. Verificare la connettività fra il client e il server di gestione. È possibile utilizzare diversi comandi sul client per verificare la connettività al server di gestione. È possibile effettuare le seguenti verifiche: Eseguire il ping del server di gestione dal computer client. Eseguire Telnet sul server di gestione dal computer client. Utilizzare un browser Web sul computer client per connettersi al server di gestione.

27 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sui problemi di comunicazione 27 Che cosa controllare Verificare se esistono eventuali problemi di rete. Descrizione È necessario verificare che non vi siano problemi di rete. A questo scopo eseguire le seguenti operazioni: Verificare innanzitutto la connettività fra il client e il server di gestione. Se il computer client non può eseguire il ping o Telnet sul server di gestione, è necessario verificare il servizio DNS per il client. Verificare il percorso di routing del client. Assicurarsi che sul server di gestione non vi sia un problema di rete. Controllare che il firewall di Symantec Endpoint Protection (o qualsiasi firewall di terzi) non causi problemi di rete. Controllare i registri IIS sul server di gestione. Controllare i registri di debug sul client. È possibile controllare i registri IIS sul server di gestione. I registri consentono di determinare se il client può comunicare con il server IIS sul computer del server di gestione. È possibile utilizzare il registro di debug sul client per determinare se il client ha problemi di comunicazione. Informazioni sul controllo della comunicazione fra il server di gestione e la console o il database Se vi è un problema di connessione con la console o il database, è possibile osservare uno dei seguenti sintomi: Il servizio del server di gestione (semsrv) si arresta. Il servizio del server di gestione non rimane nello stato avviato. Nelle pagine Home page, Controlli e Report viene visualizzato un errore HTTP. Le pagine Home page, Controlli e Report sono vuote. Nelle pagine Home page, Controlli e Report viene visualizzata una barra di avanzamento, senza che sia visualizzato alcun contenuto. Viene visualizzato un messaggio che indica che troppi utenti sono connessi. Tutti questi problemi visualizzano un errore Java -1 nel registro eventi di Windows. Per trovare la causa specifica dell'errore Java -1, consultare il registro scm-server. Solitamente il percorso del registro scm-server è il seguente: C:\Programmi\Symantec\Symantec Endpoint Protection Manager\tomcat\logs\scm-server-0.log

28 28 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sui problemi di comunicazione La Tabella 2-2 descrive le azioni che è possibile eseguire in risposta agli errori di comunicazione con la console o il database. Tabella 2-2 Controllo della comunicazione con la console o il database Che cosa controllare Provare la connettività fra il database e il server di gestione. Descrizione È possibile verificare che il server di gestione e il database comunichino correttamente. Vedere "Verifica della connessione con il database" a pagina 36. Controllare che la dimensione heap del server di gestione sia corretta. Può essere necessario regolare la dimensione heap appropriata per il sistema operativo del server di gestione. Se non è possibile accedere alla console remota del server di gestione o se viene visualizzato un messaggio di memoria esaurita nel registro smc-server, può essere necessario aumentare la dimensione heap. La dimensione heap predefinita per Symantec Endpoint Protection Manager è 256 MB. Per ulteriori informazioni sui requisiti di sistema, consultare la Guida all'installazione per Symantec Endpoint Protection e Symantec Network Access Control. Controllare che sul server di gestione non siano in esecuzione più versioni di PHP. È possibile controllare se sul server di gestione sono in esecuzione più pacchetti software che utilizzano versioni differenti di PHP. PHP cerca un file di configurazione globale (php.ini). Se vi sono più file di configurazione, è necessario forzare ogni prodotto a utilizzare il proprio interprete. Quando ogni prodotto utilizza la versione corretta di PHP ad esso associata, il server di gestione funziona correttamente.

29 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sui problemi di comunicazione 29 Che cosa controllare Controllare il numero di connessioni simultanee al client. Descrizione È possibile controllare che non vi siano più di dieci connessioni simultanee con il client. È possibile che vi siano troppe connessioni se il server di gestione visualizza i seguenti messaggi di errore: Sono connessi troppi utenti. Non è possibile stabilire altre connessioni a questo computer remoto. È stato raggiunto il numero massimo di connessioni possibili. Nel contratto di licenza con l'utente finale di Microsoft è elencato il numero di connessioni consentito. In Windows XP Professional Edition e Windows 2000 Professional Edition sono consentite dieci connessioni simultanee al massimo. È possibile aumentare il numero di connessioni eseguendo una delle seguenti azioni: Installare il server di gestione su una versione differente di Windows, come Windows Server Impostare la modalità pull per il client e aumentare l'intervallo utilizzato dal client per scaricare la politica di sicurezza. Nella modalità pull, il server di gestione mantiene la connessione con il client. Nella modalità pull, il server di gestione non mantiene la connessione. Più lungo è l'intervallo della modalità pull, più connessioni simultanee sono consentite sul server di gestione. Controllare i requisiti di sistema. È possibile controllare se sia il client che il server di gestione soddisfano i requisiti di sistema minimi o consigliati. Per ulteriori informazioni, consultare la Guida all'installazione per Symantec Endpoint Protection e Symantec Network Access Control. Controllare che per IIS siano configurati i diritti appropriati. È possibile controllare che Internet Information Services (IIS) sia configurato con i diritti appropriati. Se IIS è configurato in modo errato, il server di gestione visualizza un errore HTTP o pagine vuote nelle pagine Home page, Controlli o Report. Vedere "Configurazione dei diritti per IIS" a pagina 38.

30 30 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Visualizzazione dello stato del client nella console di gestione Visualizzazione dello stato del client nella console di gestione È possibile controllare l'icona di stato del client nella console di gestione e direttamente sul client per determinare lo stato del client. Nella Tabella 2-3 sono riportate le varie icone che potrebbero venire visualizzate nella console di gestione per lo stato del client. Tabella 2-3 Icona Icone di stato del client nella console di gestione Descrizione Questa icona indica il seguente stato: Il client può comunicare con Symantec Endpoint Protection Manager. Il client è nella modalità computer. Questa icona indica il seguente stato: Il client non può comunicare con Symantec Endpoint Protection Manager. Il client è nella modalità computer. Il client potrebbe essere stato aggiunto dalla console e potrebbe non disporre del software client Symantec. Questa icona indica il seguente stato: Il client può comunicare con Symantec Endpoint Protection Manager. Il client è nella modalità computer. Il client è un rilevatore non gestito. Questa icona indica il seguente stato: Il client non può comunicare con Symantec Endpoint Protection Manager. Il client è nella modalità computer. Il client è un rilevatore non gestito. Questa icona indica il seguente stato: Il client può comunicare con Symantec Endpoint Protection Manager. Il client è nella modalità utente.

31 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sull'icona di stato del client nel client 31 Icona Descrizione Questa icona indica il seguente stato: Il client non può comunicare con Symantec Endpoint Protection Manager. Il client è nella modalità utente. Il client potrebbe essere stato aggiunto dalla console e potrebbe non includere il software client Symantec. Questa icona indica il seguente stato: Il client può comunicare con Symantec Endpoint Protection Manager in un altro sito. Il client è nella modalità computer. Questa icona indica il seguente stato: Il client può comunicare con Symantec Endpoint Protection Manager in un altro sito. Il client è nella modalità computer. Il client è un rilevatore non gestito. Questa icona indica il seguente stato: Il client può comunicare con Symantec Endpoint Protection Manager in un altro sito. Il client è nella modalità computer. Per visualizzare lo stato del client nella console di gestione 1 Nella pagina Client della console di gestione, in Visualizza client, selezionare il gruppo a cui appartiene il client. 2 Esaminare la scheda Client. Il nome del client deve comparire nell'elenco accanto a un'icona che indica lo stato del client. Informazioni sull'icona di stato del client nel client È possibile trovare l'icona di stato del client nell'area di notifica sul computer client. Quando il client può comunicare con il server di gestione, l'icona ha l'aspetto di uno scudo giallo con un puntino verde. Per il client Symantec Network Access Control, l'icona ha l'aspetto di una chiave gialla. Per ulteriori informazioni sulle icone di stato del client, consultare la Guida del client per Symantec Endpoint Protection e Symantec Network Access Control.

32 32 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Visualizzazione del numero di serie della politica Visualizzazione del numero di serie della politica Controllare il numero di serie della politica sul client per determinare se corrisponde al numero di serie visualizzato nella console di gestione. Se il client comunica con il server di gestione e riceve aggiornamenti della politica regolari, i numeri di serie devono corrispondere. Se i numeri di serie della politica non corrispondono, è possibile cercare di aggiornare manualmente le politiche sul computer client e controllare i registri di risoluzione dei problemi. Per visualizzare il numero di serie della politica nella console di gestione 1 Nella console sul server di gestione, fare clic su Client. 2 In Visualizza client, selezionare il gruppo interessato, quindi fare clic su Dettagli. Il numero di serie e la data della politica sono visualizzati nella parte inferiore dell'elenco dei dettagli. Per visualizzare il numero di serie della politica sul client 1 Nel menu Guida e supporto del client, fare clic su Risoluzione dei problemi. 2 Nella scheda Gestione, esaminare il numero di serie della politica. Il numero di serie deve corrispondere al numero di serie della politica che il server di gestione distribuisce al client. Informazioni sull'esecuzione di un aggiornamento manuale della politica per la verifica del numero di serie della politica È possibile eseguire un aggiornamento manuale della politica per verificare se il client riceve o meno l'ultimo aggiornamento della politica. Se il client non riceve l'aggiornamento, potrebbe essersi verificato un problema relativo alla comunicazione tra il client e il server. È possibile cercare di eseguire un aggiornamento manuale della politica. A questo scopo effettuare una delle operazioni seguenti: Nel menu Guida e supporto del client, nella finestra di dialogo Risoluzione dei problemi, in Profilo politica, è possibile fare clic su Aggiorna. È possibile utilizzare questo metodo per eseguire un aggiornamento manuale su un client particolare.

33 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Utilizzo del comando ping per verificare la connettività al server di gestione 33 Per i client che sono configurati per la modalità pull, il server di gestione scarica le politiche sul client a intervalli regolari (heartbeat). È possibile modificare l'intervallo di heartbeat in modo che le politiche vengano scaricate più rapidamente sul gruppo di client. Dopo l'intervallo di heartbeat, è possibile determinare se i numeri di serie della politica corrispondono. I client che sono configurati per la modalità push ricevono immediatamente gli aggiornamenti della politica. Dopo avere eseguito un aggiornamento manuale della politica, assicurarsi che il numero di serie della politica visualizzato nel client corrisponda al numero di serie visualizzato nella console di gestione. Utilizzo del comando ping per verificare la connettività al server di gestione È possibile cercare di eseguire un comando ping verso il server di gestione dal computer client per testarne la connettività. Per utilizzare il comando ping per verificare la connettività verso il server di gestione 1 Sul client, aprire un prompt dei comandi. 2 Digitare il comando ping. Ad esempio: ping nome dove nome è il nome del computer del server di gestione. È possibile utilizzare l'indirizzo IP del server al posto del nome del computer. In entrambi i casi, il comando deve restituire l'indirizzo IP corretto del server. Se il comando ping non restituisce l'indirizzo corretto, verificare il servizio DNS per il client e controllare il relativo percorso di routing. Utilizzo di un browser per verificare la connettività al server di gestione È possibile utilizzare un browser Web per verificare la connettività al server di gestione.

34 34 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Utilizzo di Telnet per verificare la connettività al server di gestione Per utilizzare un browser per verificare la connettività al server di gestione 1 Sul computer client aprire un browser Web, quale Internet Explorer. 2 Nella riga di comando del browser, digitare un comando simile a uno dei due comandi seguenti: IP server di gestione/reporting/index.php Se viene visualizzata la pagina Web di accesso al reporting, il client può comunicare con il server di gestione. server di gestione:9090 Se viene visualizzata la pagina Console di Symantec Endpoint Protection Manager, il client può comunicare con il server di gestione. 3 Se non viene visualizzata una pagina Web, assicurarsi che non vi siano problemi di rete. Verificare il servizio DNS del client e controllare il percorso di routing. Utilizzo di Telnet per verificare la connettività al server di gestione È possibile utilizzare Telnet per verificare la connettività al server IIS sul server di gestione. Se il client esegue Telnet sulla porta HTTP o HTTPS del server di gestione, il client e il server possono comunicare. La porta HTTP predefinita è 80; la porta HTTPS predefinita è 443. Nota: È possibile che sia necessario mettere a punto le regole firewall in modo che il computer client possa eseguire Telnet sul server di gestione. Per maggiori informazioni sul firewall, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Per utilizzare Telnet per verificare la connettività al server di gestione 1 Sul computer client, assicurarsi che il servizio Telnet sia attivato e avviato. 2 Aprire un prompt dei comandi e immettere il comando Telnet. Esempio: telnet indirizzo IP:80 dove indirizzo IP è l'indirizzo IP del server di gestione. Se la connessione Telnet non riesce, verificare il servizio DNS del client e controllare il percorso di routing.

35 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Controllo dei registri della casella di posta sul server di gestione 35 Controllo dei registri della casella di posta sul server di gestione È possibile utilizzare una chiave di registro per creare i registri sull'attività nella casella di posta del server di gestione. Quando si modifica la chiave di registro, il server di gestione genera i registri (ersecreg.log ed exsecars.log). È possibile visualizzare questi registri per risolvere i problemi relativi alla comunicazione fra il client e il server. È possibile trovare i registri nella directory dei registri della casella di posta sul server di gestione. Per controllare i registri della casella di posta sul server di gestione Sul server di gestione, in HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM, impostare il valore DebugLevel su 3. Solitamente la casella di posta si trova nella seguente posizione sul computer del server di gestione: \Programmi\Symantec\Symantec Endpoint Protection Manager\data\ inbox\log È possibile aprire i registri con un'applicazione di testo quale Blocco note. Controllo dei registri IIS sul server di gestione È possibile controllare i registri IIS sul server di gestione. Nei registri vengono riportati i comandi GET e POST quando il client e il server comunicano. Per controllare i registri IIS sul server di gestione 1 Sul server di gestione, selezionare la directory dei file di registro IIS. Un percorso tipico della directory è: \WINDOWS\system32\LogFiles\W3SVC1 2 Aprire il file di registro più recente con un'applicazione di testo quale Blocco note. Ad esempio, il nome del file di registro potrebbe essere ex log. 3 Esaminare i messaggi di registro. Il file deve includere entrambi i messaggi GET e POST.

36 36 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Informazioni sul controllo del registro di debug sul computer client Informazioni sul controllo del registro di debug sul computer client È possibile controllare il registro di debug sul client. Se il client ha problemi di comunicazione con il server di gestione, nel registro vengono visualizzati i messaggi di stato relativi al problema di connessione. È possibile controllare il registro di debug utilizzando i seguenti metodi: Nel menu Guida e supporto del client, nella finestra di dialogo Risoluzione dei problemi, è possibile fare clic su Modifica impostazioni registro di debug e digitare un nome per il registro. È quindi possibile fare clic su Visualizza registro. È possibile utilizzare il registro per attivare il debug nel client. È possibile trovare la chiave di registro nella seguente posizione: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on Verifica della connessione con il database Il server di gestione e il database possono non comunicare correttamente. È necessario verificare che il database sia in esecuzione e quindi provare la connessione fra il server e il database. Se il server di gestione esegue il database Sybase incorporato, effettuare le seguenti operazioni: Verificare che il servizio Symantec Embedded Database sia in esecuzione e che il processo dbsrv9.exe ascolti la porta TCP Provare la connessione ODBC. Se il server di gestione esegue il database SQL remoto, eseguire le seguenti azioni: Verificare di avere specificato un'istanza con nome quando si è installato e configurato Symantec Endpoint Protection Manager. Verificare che il server SQL sia in esecuzione e sia configurato correttamente. Verificare che la connessione di rete fra Symantec Endpoint Protection Manager e il database SQL sia corretta. Provare la connessione ODBC.

37 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Verifica della connessione con il database 37 Per verificare la comunicazione con il database incorporato 1 Sul server di gestione, fare clic su Start > Pannello di controllo > Strumenti di amministrazione. 2 Nella finestra di dialogo Strumenti di amministrazione, fare doppio clic su Origine dati (ODBC). 3 Nella finestra di dialogo Amministratore origine dati ODBC, fare clic su DSN di sistema. 4 Nella scheda DSN di sistema, fare doppio clic su SymantecEndpointSecurityDSN. 5 Nella scheda ODBC, verificare che nella casella di riepilogo Nome origine dati sia selezionata l'opzione SymantecEndpointSecurityDSN e, se si desidera, digitare una descrizione. 6 Fare clic su Accedi. 7 Nella scheda Accesso, nella casella di testo ID utente, digitare dba. 8 Nella casella di testo Password, digitare la password per il database. Questa password è quella che si è fornita per il database quando si è installato il server di gestione. 9 Fare clic su Database. 10 Nella scheda Database, nella casella di testo Nome server, digitare <\nome server\nome istanza>. Se si utilizza la versione inglese di Symantec Endpoint Protection Manager, digitare il valore predefinito, sem5. Altrimenti, lasciare vuota la casella di testo Nome server. 11 Nella scheda ODBC, fare clic su Prova connessione e verificare che dia esito positivo. 12 Fare clic su OK. 13 Fare clic su OK. Per verificare la comunicazione con il database SQL 1 Sul server di gestione, fare clic su Start > Pannello di controllo > Strumenti di amministrazione. 2 Nella finestra di dialogo Strumenti di amministrazione, fare doppio clic su Origine dati (ODBC). 3 Nella finestra di dialogo Amministratore origine dati ODBC, fare clic su DSN di sistema.

38 38 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Configurazione dei diritti per IIS 4 Nella scheda DSN di sistema, fare doppio clic su SymantecEndpointSecurityDSN. 5 Nella casella di riepilogo Server, verificare che siano selezionati il server e l'istanza corretti. 6 Fare clic su Avanti. 7 Per l'id di accesso, digitare sa. 8 Nella casella di testo Password, digitare la password per il database. Questa password è quella che si è fornita per il database quando si è installato il server di gestione. 9 Fare clic su Avanti e assicurarsi che sem5 sia selezionato per il database predefinito. 10 Fare clic su Avanti. 11 Fare clic su Fine. 12 Fare clic su Prova origine dati e cercare il risultato che restituisce: PROVE COMPLETATE Configurazione dei diritti per IIS Solitamente i messaggi di errore HTTP indicano un problema con la configurazione di Internet Information Services (IIS). Per diagnosticare il problema, controllare i registri IIS per ottenere il codice di errore completo. Vedere "Controllo dei registri IIS sul server di gestione" a pagina 35. È possibile controllare quanto segue per determinare se IIS è configurato correttamente: Verificare che l'identità DefaultAppPool sia impostata su Servizio di rete. Verificare che i diritti dell'utente siano corretti. Verificare che le impostazioni di autenticazione e di controllo dell'accesso siano corrette. Verificare che l'impostazione di comunicazione protetta non sia selezionata. Verificare questa impostazione solo se non è implementato SSL. Se si apportano delle modifiche alle seguenti impostazioni, riavviare IIS dopo avere completato una qualsiasi delle attività seguenti.

39 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Configurazione dei diritti per IIS 39 Per verificare che l'identità DefaultAppPool sia impostata su Servizio di rete 1 Sul server di gestione, fare clic su Start > Programmi > Strumenti di amministrazione > Internet Information Services (IIS) Manager. 2 Espandere nome server e quindi Pool di applicazioni. 3 Fare clic con il pulsante destro del mouse su DefaultAppPool, quindi fare clic su Proprietà. 4 Nella scheda Identità, verificare che sia selezionata l'opzione Predefinisci e sia visualizzato Servizio di rete. 5 Fare clic su OK. Per verificare che i diritti dell'utente siano corretti 1 Sul server di gestione, aprire una riga di comando e digitare: gpedit.msc 2 Nell'Editor oggetti Criteri di gruppo, espandere Configurazione computer > Impostazioni di Windows > Impostazioni protezione > Criteri locali. 3 Fare clic su Assegnazione diritti utente. 4 Nel riquadro destro, fare doppio clic su Regola quote di memoria per un processo. 5 Nella scheda Impostazione protezione locale, verificare che sia elencato SERVIZIO DI RETE. Se il pulsante Aggiungi utente o gruppo è disattivato, un oggetto Criteri di gruppo del dominio può avere bloccato questa politica. Può essere necessario valutare gli oggetti Criteri di gruppo del dominio per sbloccarla. 6 Fare clic su OK. Per verificare che le impostazioni di autenticazione e di controllo dell'accesso siano corrette 1 Sul server di gestione, fare clic su Start > Programmi > Strumenti di amministrazione > Internet Information Services (IIS) Manager. 2 Espandere nome server e quindi Siti Web. 3 Fare clic con il pulsante destro del mouse su Sito Web predefinito, quindi fare clic su Proprietà. 4 Sulla scheda Protezione directory, in Autenticazione e controllo di accesso, fare clic su Modifica. 5 Verificare che sia selezionata l'opzione Attiva accesso anonimo. 6 Verificare che il nome utente e la password siano corretti.

40 40 Risoluzione dei problemi relativi alla comunicazione con il server di gestione Configurazione dei diritti per IIS 7 In Accesso autenticato, verificare che le impostazioni appropriate siano corrette. 8 Fare clic su OK. 9 Fare clic su OK. Per verificare che l'impostazione di comunicazione protetta non sia selezionata 1 Sul server di gestione, fare clic su Start > Programmi > Strumenti di amministrazione > Internet Information Services (IIS) Manager. 2 Fare clic con il pulsante destro del mouse su Sito Web predefinito, quindi fare clic su Proprietà. 3 Nella scheda Protezione directory, in Comunicazioni protette, fare clic su Modifica. 4 Verificare che l'opzione Richiedi canale protetto (SSL) sia deselezionata. 5 Fare clic su OK. 6 Fare clic su OK.

41 Capitolo 3 Risoluzione dei problemi quando un client non aggiorna il contenuto Il capitolo contiene i seguenti argomenti: Informazioni sulla risoluzione dei problemi relativi all'aggiornamento del contenuto sui client Informazioni sui tipi di contenuto per Symantec Endpoint Protection Informazioni sulla determinazione della configurazione di un client per la ricezione del contenuto Informazioni sulla connettività di rete e sui client Informazioni sul controllo dello stato di connessione del client Come assicurarsi che il client possa comunicare con il proprio fornitore di contenuti Informazioni su come determinare se un client sta ricevendo gli aggiornamenti del contenuto dal server di gestione Informazioni sul confronto del contenuto sul client rispetto al contenuto sul server di gestione Confronto della cache del contenuto Utilizzo della console di gestione per confrontare le versioni del contenuto Visualizzazione degli ultimi download di LiveUpdate sul server di gestione Controllo delle impostazioni di LiveUpdate sul server di gestione

42 42 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sulla risoluzione dei problemi relativi all'aggiornamento del contenuto sui client Controllo delle impostazioni delle politiche del contenuto di LiveUpdate Informazioni sul controllo della politica delle impostazioni di LiveUpdate Esecuzione di una sessione manuale di LiveUpdate dalla console di gestione Che cosa fare se si hanno ancora problemi dopo la verifica della connettività e delle impostazioni di LiveUpdate Informazioni sulla risoluzione dei problemi relativi all'aggiornamento del contenuto sui client LiveUpdate è il nome della tecnologia che cerca le definizioni e gli aggiornamenti del contenuto e li distribuisce ai computer client Symantec Endpoint Protection. Il client può ricevere gli aggiornamenti del contenuto da numerosi diversi fornitori di contenuto di LiveUpdate. Questi fornitori includono il server di gestione, un fornitore di aggiornamenti di gruppo, un server LiveUpdate interno, Symantec LiveUpdate o uno strumento di gestione di terzi. Se si sospetta che un client non riceva gli aggiornamenti del contenuto, è possibile eseguire diverse operazioni per risolvere il problema. Nella Tabella 3-1 sono descritte le operazioni per la risoluzione dei problemi ed è indicato dove è possibile trovare le informazioni su come eseguire tali operazioni. Tabella 3-1 Operazione Operazioni per la risoluzione dei problemi Dove trovare le informazioni Determinare la configurazione del client per la ricezione del contenuto. Controllare lo stato di connessione del client. Assicurarsi che il client possa eseguire il ping del fornitore di contenuto o che il client sia connesso a Internet. Determinare se un client sta ricevendo o meno gli aggiornamenti dal server di gestione. Vedere "Informazioni sulla determinazione della configurazione di un client per la ricezione del contenuto" a pagina 44. Vedere "Informazioni sul controllo dello stato di connessione del client" a pagina 46. Vedere "Come assicurarsi che il client possa comunicare con il proprio fornitore di contenuti" a pagina 47. Vedere "Informazioni su come determinare se un client sta ricevendo gli aggiornamenti del contenuto dal server di gestione" a pagina 48.

43 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sui tipi di contenuto per Symantec Endpoint Protection 43 Operazione Controllare le impostazioni di LiveUpdate configurate sul server di gestione. Controllare le impostazioni della politica di LiveUpdate del client. Dove trovare le informazioni Vedere "Controllo delle impostazioni di LiveUpdate sul server di gestione" a pagina 52. Vedere "Informazioni sul controllo della politica delle impostazioni di LiveUpdate" a pagina 53. Eseguire una sessione manuale di LiveUpdate dalla console di gestione per determinare se il client riceve il contenuto aggiornato. Se il problema persiste, assicurarsi che LiveUpdate acceda al client e al server di gestione. È inoltre possibile utilizzare uno strumento di debug. Vedere "Controllo delle impostazioni delle politiche del contenuto di LiveUpdate" a pagina 52. Vedere "Esecuzione di una sessione manuale di LiveUpdate dalla console di gestione" a pagina 54. Vedere "Che cosa fare se si hanno ancora problemi dopo la verifica della connettività e delle impostazioni di LiveUpdate" a pagina 55. Informazioni sui tipi di contenuto per Symantec Endpoint Protection Symantec Endpoint Protection utilizza vari tipi di contenuti. La Tabella 3-2 descrive i tipi di contenuto. Tabella 3-2 Tipi di contenuto Tipo di contenuto Definizioni antivirus e antispyware Firme Decomposer Firme euristiche di scansione proattiva delle minacce TruScan Descrizione Queste definizioni proteggono dagli attacchi di spyware e di virus. Queste firme supportano il motore di protezione antivirus e antispyware e sono utilizzate per decomporre e leggere i dati memorizzati in vari formati. Queste firme proteggono dalle minacce di attacchi di tipo zero-day.

44 44 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sulla determinazione della configurazione di un client per la ricezione del contenuto Tipo di contenuto Elenco delle applicazioni commerciali di scansione proattiva delle minacce TruScan Firme di prevenzione delle intrusioni Firme di controllo invio Descrizione Questi elenchi di applicazioni sono applicazioni commerciali legittime che hanno generato falsi positivi in passato. Queste firme proteggono dalle minacce di rete e supportano i motori di rilevazione e di prevenzione delle intrusioni. Queste firme controllano il flusso degli invii a Symantec Security Response. Informazioni sulla determinazione della configurazione di un client per la ricezione del contenuto I client possono ricevere il contenuto in diversi modi. È possibile determinare la configurazione di un client per la ricezione del contenuto nei seguenti modi: Visualizzare le impostazioni del server nella politica di LiveUpdate del client nella console di gestione. Esaminare le chiavi di registro di LiveUpdate sul client. Nota: Per maggiori informazioni su come è possibile visualizzare le impostazioni del server nella politica di LiveUpdate del client, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Sul client esaminare il registro in corrispondenza di HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\LiveUpdate. Controllare le impostazioni per le seguenti chiavi: UseLiveUpdateServer Se questa chiave è impostata su 1, il client utilizza un server LiveUpdate interno o direttamente Symantec LiveUpdate. UseManagementServer Se questa chiave è impostata su 1, il client utilizza il server di gestione.

45 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sulla connettività di rete e sui client 45 UseMasterClient Se questa chiave è impostata su 1, il client utilizza un fornitore di aggiornamenti di gruppo. Se non si sono ancora configurati i client per la ricezione del contenuto, è necessario considerare i requisiti della rete di sicurezza. Vedere "Come aggiornare il contenuto" a pagina 76. Informazioni sulla connettività di rete e sui client Se un client non riceve gli aggiornamenti del contenuto, è necessario in primo luogo verificare se vi è un problema di connettività. I client possono ricevere il contenuto in diversi modi. È necessario assicurarsi che il client non abbia problemi di connettività che impediscono gli aggiornamenti del contenuto. Vedere "Informazioni sul controllo della comunicazione fra il server di gestione e il client" a pagina 26. Tabella 3-3 Flusso di lavoro per la risoluzione dei problemi relativi alla connettività Modalità di ricezione del contenuto da parte del client Symantec Endpoint Protection Manager Che cosa controllare Controllare quanto segue: Connettività fra il client e il server di gestione Fornitore di aggiornamenti di gruppo Controllare quanto segue: Connettività fra il client e il fornitore di aggiornamenti di gruppo Connettività fra il fornitore di aggiornamenti di gruppo e il server di gestione Server LiveUpdate interno Controllare quanto segue: Connettività fra il client e il server LiveUpdate interno Connettività fra il server LiveUpdate interno e Symantec LiveUpdate

46 46 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sul controllo dello stato di connessione del client Modalità di ricezione del contenuto da parte del client Direttamente da Symantec LiveUpdate Che cosa controllare Controllare quanto segue: Assicurarsi che il client possa accedere a Internet. Controllare la pianificazione di LiveUpdate nella politica del client. Strumenti di gestione di terzi, ad esempio Microsoft SMS o IBM Tivoli Consultare la documentazione dell'utente del fornitore e la Guida all'installazione di Symantec Endpoint Protection e Symantec Network Access Control. L'utilizzo di uno strumento di gestione di terzi richiede strutture di directory specifiche. In caso di problemi contattare il supporto tecnico di Symantec. Informazioni sul controllo dello stato di connessione del client Per ricevere gli aggiornamenti, il client deve essere connesso al fornitore di contenuti. È necessario verificare che il client sia connesso al server di gestione. Nella pagina Client della console di gestione, in Visualizza client, selezionare il gruppo a cui appartiene il client. Esaminare la scheda Client. Entrambe le istruzioni seguenti devono essere vere: Il client compare nell'elenco. Nell'icona accanto al nome del client è visualizzato un puntino verde. In alcuni casi nell'icona del client può non essere visualizzato un puntino verde, ma il client è ancora connesso al server di gestione. Vedere "Informazioni sul controllo della comunicazione fra il server di gestione e il client" a pagina 26. Solitamente se il client perde la connessione con il server di gestione, non può ricevere gli aggiornamenti. In determinate configurazioni il client potrebbe essere in grado di ricevere gli aggiornamenti da Symantec LiveUpdate o dai server LiveUpdate interni. Sul computer client è inoltre possibile verificare la connettività e le date delle definizioni del contenuto correnti. È possibile controllare quanto segue sul computer client:

47 Risoluzione dei problemi quando un client non aggiorna il contenuto Come assicurarsi che il client possa comunicare con il proprio fornitore di contenuti 47 Nell'area di notifica sul computer client dovrebbe essere visualizzata un'icona a forma di scudo giallo con un puntino verde. Nella finestra principale del client sono elencate le date delle definizioni del contenuto correnti. Oltre ai problemi di connettività, esistono altre situazioni che potrebbero impedire al client di ricevere gli aggiornamenti. Tra queste situazioni figurano le seguenti: Il server o il computer client non contiene il certificato principale del gruppo di server. Le impostazioni del firewall di Windows interferiscono con la comunicazione. Le impostazioni del firewall del client interferiscono con la comunicazione. Per maggiori informazioni sul certificato principale del gruppo di server o sulle impostazioni del firewall, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Come assicurarsi che il client possa comunicare con il proprio fornitore di contenuti È necessario assicurarsi che il client possa comunicare con il proprio fornitore di contenuti. Se il client utilizza un fornitore di aggiornamenti di gruppo, è necessario assicurarsi che il fornitore possa comunicare con il server di gestione. Se il client ottiene il contenuto direttamente da Symantec LiveUpdate, assicurarsi che il client possa accedere a Internet. Se si utilizza un server LiveUpdate interno, assicurarsi che ciò che segue sia vero: Il server di gestione può connettersi al server LiveUpdate interno. Il server LiveUpdate interno può connettersi a Symantec LiveUpdate. Per maggiori informazioni sui server LiveUpdate interni, consultare la Guida dell'amministratore di LiveUpdate. Se il client non può eseguire il ping del server di gestione, determinare se vi sono dei problemi di rete. Verificare il servizio DNS per il client e controllare il percorso di routing. Vedere "Informazioni sul controllo della comunicazione fra il server di gestione e il client" a pagina 26.

48 48 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni su come determinare se un client sta ricevendo gli aggiornamenti del contenuto dal server di gestione Per assicurarsi che il client possa comunicare con un server di gestione o un fornitore di aggiornamenti di gruppo Sul client, aprire un prompt dei comandi ed eseguire il ping del server di gestione o del fornitore di aggiornamenti di gruppo. Ad esempio, digitare: ping nome dove nome è il nome del computer del server di gestione o del fornitore di aggiornamenti di gruppo. Il comando deve restituire l'indirizzo IP corretto del server o del fornitore di aggiornamenti di gruppo. Informazioni su come determinare se un client sta ricevendo gli aggiornamenti del contenuto dal server di gestione È possibile verificare quali computer attualmente potrebbero non ricevere gli aggiornamenti dal server di gestione. È possibile eseguire le seguenti operazioni: Per vedere lo stato on-line, eseguire il report rapido sullo stato del computer Computer non registrati nel server. È possibile configurare ed eseguire una versione personalizzata di questo report per esaminare i computer di un particolare gruppo o sito. I client non possono ricevere il contenuto se perdono la connettività al server di gestione (a meno che siano configurati per acquisire gli aggiornamenti da Symantec LiveUpdate). Visualizzare il registro Stato computer, in cui sono riportati l'indirizzo IP del computer client e l'ora dell'ultima registrazione. In questo registro è indicata inoltre la data delle ultime definizioni. L'unico modo per verificare se i client stanno ricevendo gli aggiornamenti consiste nel controllare la versione del contenuto sul server di gestione. È necessario quindi confrontarla con la versione sul client. Vedere "Informazioni sul confronto del contenuto sul client rispetto al contenuto sul server di gestione" a pagina 48. Informazioni sul confronto del contenuto sul client rispetto al contenuto sul server di gestione È possibile confrontare la versione del contenuto sul client rispetto alla versione sul server di gestione nei seguenti modi:

49 Risoluzione dei problemi quando un client non aggiorna il contenuto Confronto della cache del contenuto 49 Controllare la cache del contenuto sul computer client e confrontarla con la cache del contenuto sul server di gestione. È possibile utilizzare questo metodo se si desidera controllare il contenuto su alcuni client. Vedere "Confronto della cache del contenuto" a pagina 49. Nella console di gestione, eseguire i report per controllare le versioni del contenuto sui client. In Report, nella scheda Report rapidi, è possibile selezionare il tipo di report Stato computer. Quindi eseguire i report Distribuzione definizioni virus e Versioni contenuto di protezione. Quindi controllare lo stato di download di LiveUpdate sul server di gestione. Utilizzare questo metodo se si desidera controllare il contenuto su più client. Vedere "Utilizzo della console di gestione per confrontare le versioni del contenuto" a pagina 50. Se il contenuto sul client non corrisponde al contenuto sul server di gestione, è necessario controllare la connettività in rete del client. È necessario anche controllare la comunicazione del client con il server di gestione. Confronto della cache del contenuto È possibile controllare la cache del contenuto sul computer client e confrontarla con il contenuto sul server di gestione. Se il client riceve gli aggiornamenti del contenuto dal server di gestione, nella cartella del prodotto sul client vengono create delle sottocartelle. Le sottocartelle hanno date come I nomi delle sottocartelle devono essere gli stessi sul client e sul server se il client riceve gli aggiornamenti dal server di gestione. Nota: Se il client riceve il contenuto direttamente da LiveUpdate, il contenuto non viene memorizzato nella cache nella cartella del prodotto.

50 50 Risoluzione dei problemi quando un client non aggiorna il contenuto Utilizzo della console di gestione per confrontare le versioni del contenuto Per confrontare la cache del contenuto 1 Sul computer client, selezionare la seguente cartella: \Programmi\Symantec\Symantec Endpoint Protection\ContentCache 2 Sul server di gestione, selezionare la cartella del contenuto. Solitamente la cartella si trova nella seguente posizione: \Programmi\Symantec\Symantec Endpoint Protection Manager\Inetpub\content 3 Confrontare le cartelle nella cache del contenuto del client con le cartelle sul server di gestione. Quindi confrontare le sottocartelle. Le cartelle devono corrispondere se il client riceve il contenuto dal server di gestione. Nella directory del contenuto del server di gestione, è possibile visualizzare il file ContentInfo.txt, che elenca i nomi dei tipi di contenuto e le cartelle. Utilizzo della console di gestione per confrontare le versioni del contenuto È possibile visualizzare informazioni sul contenuto più recente del client eseguendo report nella console di gestione. Per verificare le versioni delle definizioni dei virus disponibili sui client è possibile eseguire il report di Stato computer Distribuzione definizioni virus. Per altri contenuti è possibile eseguire il report di Stato computer Versioni contenuto di protezione Questi report mostrano le ultime versioni dei contenuti in esecuzione sui client. Per maggiori informazioni sui report, consultare la Guida all'amministrazione di Symantec Endpoint Protection Manager e Symantec Network Access Control. Nella console di gestione, è possibile consultare l'ultimo contenuto controllando gli ultimi download di LiveUpdate. È possibile confrontare la revisione elencata nella finestra di dialogo Mostra scaricamenti di LiveUpdate in corrispondenza con le versioni del contenuto visualizzate nel report. Vedere "Visualizzazione degli ultimi download di LiveUpdate sul server di gestione" a pagina 51. Per utilizzare la console di gestione per confrontare le versioni del contenuto 1 Nella console di gestione, nella pagina Report, fare clic su Report rapidi. 2 Nella casella di riepilogo Tipo di report della scheda Report rapidi, fare clic su Stato computer. 3 Nella casella di riepilogo Seleziona un report, fare clic su Distribuzione definizioni virus.

51 Risoluzione dei problemi quando un client non aggiorna il contenuto Visualizzazione degli ultimi download di LiveUpdate sul server di gestione 51 4 Selezionare eventuali impostazioni del filtro desiderate e quindi fare clic su Crea report. Mantenere il report aperto. 5 Nella console di gestione, passare alla pagina di amministrazione e selezionare il sito. 6 In Attività, fare clic su Mostra scaricamenti di LiveUpdate. 7 Confrontare la revisione delle definizioni antispyware e antivirus con la revisione elencata nel report. Se il client riceve gli aggiornamenti, le revisioni dovrebbero corrispondere. Visualizzazione degli ultimi download di LiveUpdate sul server di gestione I client potrebbero non ricevere il contenuto di LiveUpdate se il server di gestione non riceve gli aggiornamenti. Il server di gestione riceve gli aggiornamenti direttamente da Symantec LiveUpdate (il metodo predefinito) o da un server LiveUpdate interno che acquisisce il contenuto da Symantec LiveUpdate. Nella console di gestione, è possibile visualizzare i download di LiveUpdate più recenti sul server di gestione. Il server riceve gli aggiornamenti da Symantec LiveUpdate a determinati intervalli. L'intervallo predefinito è di quattro ore. È possibile configurare la pianificazione di download nella finestra di dialogo Proprietà del sito nella scheda Amministratore della console di gestione. Se il contenuto visualizzato nell'elenco sul server è più vecchio del previsto, controllare il registro di LiveUpdate. Vedere "Visualizzazione del registro di LiveUpdate" a pagina 55. È inoltre necessario controllare la connessione a Symantec LiveUpdate o al server LiveUpdate interno. Dopo avere visualizzato gli ultimi download di LiveUpdate, è possibile confrontare il contenuto con il contenuto sui client. Vedere "Utilizzo della console di gestione per confrontare le versioni del contenuto" a pagina 50. Per visualizzare gli ultimi download di LiveUpdate sul server di gestione 1 Nella console di gestione, nella pagina Amministratore, fare clic su Server. 2 In Visualizza server, selezionare il sito a cui appartiene il client. 3 In Attività, fare clic su Mostra scaricamenti di LiveUpdate.

52 52 Risoluzione dei problemi quando un client non aggiorna il contenuto Controllo delle impostazioni di LiveUpdate sul server di gestione Controllo delle impostazioni di LiveUpdate sul server di gestione Le impostazioni di LiveUpdate per il sito a cui appartiene il client devono corrispondere alle impostazioni nella politica del contenuto di LiveUpdate del client. Per controllare le impostazioni di LiveUpdate sul server di gestione 1 Nella console di gestione, nella pagina Amministratore, fare clic su Server. 2 In Visualizza server, selezionare il sito a cui appartiene il client. 3 In Attività, fare clic su Modifica proprietà sito. 4 Nella scheda LiveUpdate, in Tipi di contenuto da scaricare, assicurarsi che l'elenco dei contenuti corrisponda all'elenco nella politica del contenuto di LiveUpdate. Controllo delle impostazioni delle politiche del contenuto di LiveUpdate Assicurarsi che siano definite le seguenti impostazioni: I tipi di contenuto specificati nella finestra di dialogo Proprietà del sito nella console di gestione. I tipi di contenuto specificati nella politica di LiveUpdate che il client utilizza. Un client non riceve un aggiornamento del contenuto se le seguenti istruzioni sono vere: Il tipo di contenuto non è selezionato nella finestra di dialogo Proprietà del sito. Il tipo di contenuto è selezionato nella politica di LiveUpdate. Solitamente, la politica del contenuto di LiveUpdate deve essere impostata per l'utilizzo dell'ultimo contenuto disponibile. Se la politica è configurata per l'utilizzo di una revisione specifica, il contenuto non viene aggiornato in base ad alcuna altra revisione. Per controllare le impostazioni delle politiche del contenuto di LiveUpdate 1 Nella console di gestione, fare clic su Politiche. 2 In Visualizza politiche, fare clic su LiveUpdate 3 Nella scheda Contenuto LiveUpdate, selezionare la politica che il client utilizza.

53 Risoluzione dei problemi quando un client non aggiorna il contenuto Informazioni sul controllo della politica delle impostazioni di LiveUpdate 53 4 In Attività, fare clic su Modifica la politica. 5 Nella pagina Definizioni di sicurezza, verificare quanto segue: I tipi di contenuto selezionati devono corrispondere ai tipi di contenuto specificati nella finestra di dialogo Proprietà del sito. Solitamente, è necessario selezionare l'opzione Utilizza più recente per ogni tipo di contenuto. Se invece è selezionata una revisione, il client riceve solo quella versione del contenuto. Informazioni sul controllo della politica delle impostazioni di LiveUpdate È necessario controllare le impostazioni nella politica delle impostazioni di LiveUpdate per assicurarsi che le impostazioni della politica non causino un problema con gli aggiornamenti. Nella Tabella 3-4 sono descritte le impostazioni della politica delle impostazioni di LiveUpdate. Tabella 3-4 Impostazioni della politica delle impostazioni di LiveUpdate Impostazione della politica Utilizza il server di gestione predefinito Utilizza un server LiveUpdate Che cosa considerare Questa impostazione deve essere verificata in modo che i client possano utilizzare il server di gestione per ricevere gli aggiornamenti del contenuto. Se si deseleziona questa impostazione, i client non possono ottenere gli aggiornamenti da Symantec Endpoint Protection Manager. Se si attiva questa opzione, è necessario utilizzare la politica delle impostazioni di LiveUpdate per configurare una pianificazione. Se non si configura una pianificazione, il client può ottenere il contenuto solo da una sessione manuale di LiveUpdate.

54 54 Risoluzione dei problemi quando un client non aggiorna il contenuto Esecuzione di una sessione manuale di LiveUpdate dalla console di gestione Esecuzione di una sessione manuale di LiveUpdate dalla console di gestione È possibile eseguire una sessione manuale di LiveUpdate dal server di gestione. È possibile utilizzare il comando Aggiorna contenuto dalla scheda Client o è possibile utilizzare i registri nella pagina Monitor. Per maggiori informazioni su come eseguire una sessione manuale di LiveUpdate, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Quando si esegue una sessione manuale di LiveUpdate, il client riceve il contenuto da Symantec LiveUpdate. Non riceve il contenuto dal server di gestione. Nota: Dopo avere eseguito una sessione manuale di LiveUpdate, aspettare un paio di minuti. Il client Symantec Endpoint Protection esegue i controlli di convalida del contenuto. Dopo due minuti, è possibile controllare se il comando ha aggiornato il client. Si tenga presente che la console di gestione si aggiorna automaticamente. È inoltre possibile eseguire una sessione manuale di LiveUpdate direttamente dal client se la politica di LiveUpdate consente al client di eseguire una sessione manuale. Per maggiori informazioni, consultare la Guida del client per Symantec Endpoint Protection e Symantec Network Access Control. Per eseguire una sessione manuale di LiveUpdate dalla console di gestione 1 Nella pagina Client della console di gestione, in Visualizza client, fare clic con il pulsante destro del mouse sul client o sul gruppo. 2 Eseguire una delle seguenti azioni: Fare clic su Esegui comando nei client > Aggiorna contenuto. Fare clic su Esegui comando su gruppo > Aggiorna contenuto. 3 Nella finestra di messaggio Aggiorna contenuto, fare clic su Sì. 4 Nella finestra di messaggio, fare clic su OK.

55 Risoluzione dei problemi quando un client non aggiorna il contenuto Che cosa fare se si hanno ancora problemi dopo la verifica della connettività e delle impostazioni di LiveUpdate 55 Che cosa fare se si hanno ancora problemi dopo la verifica della connettività e delle impostazioni di LiveUpdate È necessario esaminare il registro di LiveUpdate sul server di gestione e sul client. È inoltre possibile creare un registro delle comunicazioni sylink fra il client e il server di gestione. È possibile utilizzare un'applicazione di testo, quale Blocco note, per aprire i file di registro. È inoltre possibile utilizzare uno strumento shareware, quale DebugView, per esaminare i messaggi di output di debug. Visualizzazione del registro di LiveUpdate È possibile visualizzare il registro di LiveUpdate sul client e sul server di gestione. Per visualizzare il registro di LiveUpdate 1 Sul computer client o sul server di gestione, individuare il registro nella directory di LiveUpdate. Ad esempio, selezionare la seguente posizione: \Documents and Settings\All Users\Dati applicazioni\symantec\liveupdate\log.liveupdate 2 Cercare il messaggio seguente nel registro: Aggiornamento progresso: DOWNLOAD_FILE_START: URL: <url>/zip L'URL deve corrispondere all'indirizzo previsto del server LiveUpdate. Se il client o il server di gestione non riesce a connettersi al server LiveUpdate, viene visualizzato un errore simile al seguente: Aggiornamento progresso: HOST_SELECTION_ERROR: Vengono visualizzati anche i messaggi relativi alle cause possibili dell'errore. Informazioni sulla visualizzazione del registro di debug sul client Esaminare il registro di debug sul client. È possibile esaminare il registro di debug nei seguenti modi: Nel menu Guida e supporto del client, nella finestra di dialogo Risoluzione dei problemi, è possibile fare clic su Modifica impostazioni registro di debug e digitare un nome per il registro. È quindi possibile fare clic su Visualizza registro.

56 56 Risoluzione dei problemi quando un client non aggiorna il contenuto Che cosa fare se si hanno ancora problemi dopo la verifica della connettività e delle impostazioni di LiveUpdate È inoltre possibile utilizzare la seguente chiave di registro per attivare il debug sul client: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on Creazione di un registro sylink Il client e il server di gestione utilizzano Sylink.xml per comunicare. È possibile inserire tutti i messaggi di comunicazione sylink in un file di registro sul computer client. Per creare un registro sylink 1 Nel registro sul computer client, in HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SYLINK\SyLink, aggiungere il valore di stringa DumpSylink. 2 È necessario specificare la posizione per il file di dump (come c:\sylink.log). È quindi possibile visualizzare il file Sylink.log sul computer client. Informazioni sull'utilizzo dello strumento DebugView DebugView è uno strumento shareware che è possibile utilizzare per visualizzare le stringhe che sono scritte in un flusso di output di debug sul client. Il file binario di LiveUpdate, Sescu.exe, gestisce gli aggiornamenti del contenuto ma non scrive il proprio file di registro. È possibile visualizzare i messaggi di output di debug tramite lo strumento DebugView. Quando si esegue lo strumento, cercare i messaggi seguenti: QueryContentSeqData ApplyContent Se questi messaggi compaiono nell'output, il client riceve il contenuto da un server di gestione, da un fornitore di aggiornamenti di gruppo o da uno strumento di gestione di terzi. È possibile scaricare lo strumento dal seguente URL:

57 Capitolo 4 Configurazione e gestione dei client mobili e remoti Il capitolo contiene i seguenti argomenti: Informazioni sui client mobili e sui client remoti Impostazione di gruppi e posizioni Informazioni sugli scenari comuni di client mobili e client remoti Informazioni sui criteri di rilevamento della posizione Rinforzo delle politiche di sicurezza per i client remoti Informazioni sulle notifiche del client Personalizzazione delle impostazioni di gestione dei registri dei client Gestione del bilanciamento del carico e del roaming Controllo dei client remoti Informazioni sui client mobili e sui client remoti Oggi il lavoro non è più legato a un'unica sede perché i dipendenti lavorano sempre più a distanza o da più sedi. Questa situazione ha creato un tipo di client diverso dagli altri client nella rete. Un client mobile è un client che si sposta fisicamente da una posizione all'altra. Solitamente i dipendenti che viaggiano per lavoro utilizzano questi computer client. Questi computer si connettono alla rete in modo intermittente e il loro stato è spesso sconosciuto. Solitamente gli utenti di questi computer eseguono l'accesso tramite una rete VPN (Virtual Private Network). I client remoti sono client che si connettono sempre dalla stessa posizione, ma non sono ubicati fisicamente all'interno della rete aziendale. Esempi tipici di client

58 58 Configurazione e gestione dei client mobili e remoti Impostazione di gruppi e posizioni remoti sono i dipendenti che lavorano da casa ed eseguono l'accesso tramite una rete VPN. Entrambi i tipi di client sono soggetti a rischi simili e devono essere trattati allo stesso modo. I client mobili e i client remoti sono più a rischio dei client che risiedono sempre all'interno della rete aziendale. I client mobili e i client remoti non sono protetti dai sistemi di difesa aziendali. Gli amministratori devono gestire questi client garantendo la sicurezza della rete e dei relativi dati. I motivi per cui si dispone di client mobili e client remoti nella rete possono essere numerosi. E i criteri di utilizzo di questi client possono essere diversi. Ad esempio, è possibile che alcuni computer interni si spostino periodicamente al di fuori dell'ambiente aziendale. È possibile che alcuni membri del personale di vendita dispongano di computer che non sono mai all'interno della rete. È possibile che alcuni computer client debbano connettersi alla rete ma che siano completamente fuori dal controllo amministrativo. Ad esempio, è possibile consentire ai clienti, al personale a tempo determinato, ai fornitori o ai partner aziendali l'accesso limitato alla rete. È possibile che i dipendenti si connettano alla rete aziendale con i propri computer. Alcuni utenti mobili e utenti remoti potrebbero avere un atteggiamento verso la navigazione su Internet meno rigoroso del previsto e quindi potrebbero correre più rischi. Gli utenti mobili e gli utenti remoti che non lavorano direttamente per l'azienda potrebbero non conoscere le misure di sicurezza dei computer come i dipendenti. Ad esempio, è più probabile che aprano i messaggi o gli allegati di mittenti sconosciuti mentre sono sulla rete. È più probabile che utilizzino password non efficaci. Generalmente è più probabile che gli utenti mobili e gli utenti remoti apportino modifiche non autorizzate o personalizzino i loro computer. Ad esempio, è più probabile che scarichino e utilizzino un'applicazione che non è stata approvata per l'uso aziendale. Gli utenti mobili e gli utenti remoti potrebbero volere terminare il loro lavoro il più rapidamente possibile e non pensare alla sicurezza dei computer. Poiché si consiglia di trattare i client mobili e i client remoti allo stesso modo, entrambi i tipi di client vengono considerati client remoti. Impostazione di gruppi e posizioni Dopo avere determinato i tipi di client remoti di cui si dispone, è necessario considerare le limitazioni di sicurezza da applicare. Le stesse limitazioni vanno applicate a tutti i client remoti? La risposta a questa domanda determina quanti gruppi e quante posizioni è necessario creare in modo da poterli gestire più facilmente. Alcune impostazioni di sicurezza di Symantec Endpoint Protection vengono assegnate in base al gruppo, mentre altre sono specifiche della posizione. Si consiglia di attivare il rilevamento della posizione per gestire i client remoti.

59 Configurazione e gestione dei client mobili e remoti Impostazione di gruppi e posizioni 59 La struttura organizzativa gerarchica di Symantec Endpoint Protection è basata su gruppi, utenti e computer. Quando è necessario personalizzare le impostazioni specifiche di una posizione, si aggiungono posizioni all'interno di un gruppo. La condizione che si utilizza per definire una posizione può essere basata su numerosi criteri, tra cui: indirizzi IP indirizzi del server WINS indirizzi del server DHCP indirizzi del server DNS connessioni di rete Trusted Platform Module altri criteri Se si intende utilizzare il tipo di connessione di rete per identificare una posizione, è necessario conoscerne il tipo. Ad esempio, la connessione di rete può essere una connessione a Symantec Endpoint Protection Manager, una connessione remota o un tipo particolare di server VPN. Quando si crea una posizione, questa viene applicata al gruppo per il quale la posizione è stata creata e a qualsiasi sottogruppo che eredita da quel gruppo. Si consiglia di creare le posizioni che qualsiasi client può utilizzare a livello di gruppo Globale. Le posizioni specifiche di un gruppo particolare devono essere create a livello di sottogruppo. Un numero ridotto di gruppi e posizioni create renderà più semplice la gestione di politiche e impostazioni di sicurezza. Il numero delle diverse impostazioni di sicurezza, registro, comunicazione e delle politiche di cui si desidera disporre determina il numero di gruppi e posizioni necessari. Alcune delle opzioni di configurazione che si consiglia di personalizzare per i client remoti sono indipendenti dalla posizione. Queste opzioni vengono ereditate dal gruppo di appartenenza o vengono impostate indipendentemente per un gruppo. Se si crea un singolo gruppo che contiene tutti i client remoti, queste impostazioni indipendenti dalla posizione saranno le stesse per tutti i client. Le seguenti impostazioni sono indipendenti dalla posizione: firme di prevenzione delle intrusioni personalizzate impostazioni di blocco del sistema impostazioni di controllo delle applicazioni di rete impostazioni delle politiche del contenuto di LiveUpdate

60 60 Configurazione e gestione dei client mobili e remoti Impostazione di gruppi e posizioni impostazioni dei registri dei client impostazioni di comunicazione client-server impostazioni generali relative alla sicurezza, tra cui il rilevamento della posizione e la protezione contro le manomissioni Per personalizzare una di queste impostazioni indipendenti dalla posizione, ad esempio la gestione dei registri client, è necessario creare gruppi separati. Per informazioni sull'impostazione dei gruppi, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Per informazioni sulle opzioni, consultare la guida contestuale della console. Nota: Per personalizzare le impostazioni di qualsiasi gruppo diverso dal gruppo Globale, è necessario disattivare anche l'eredità. Alcune delle opzioni di configurazione che si consiglia di personalizzare per i client remoti sono specifiche della posizione. Le seguenti impostazioni sono specifiche delle posizioni: La modalità di controllo in cui vengono eseguiti i client. L'elenco dei server di gestione che i client utilizzano. La modalità di download in cui vengono eseguiti i client. Se si desidera raccogliere un elenco di tutte le applicazioni che sono eseguite sui client e inviarlo al server di gestione. L'intervallo di hartbeat che i client utilizzano per i download. Si consiglia di non consentire agli utenti di disattivare le seguenti protezioni: Auto-Protect scansioni proattive delle minacce TruScan protezione contro le manomissioni regole firewall create Per informazioni sull'impostazione delle posizioni, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Per informazioni sulle opzioni che è possibile utilizzare per impostare le posizioni, consultare la guida contestuale della console.

61 Configurazione e gestione dei client mobili e remoti Informazioni sugli scenari comuni di client mobili e client remoti 61 Informazioni sugli scenari comuni di client mobili e client remoti Se si dispone di client remoti, nel caso più semplice solitamente si utilizzano il gruppo Globale e tre posizioni. Questo è il primo scenario. Per gestire la sicurezza dei client in questo scenario, è possibile creare le seguenti posizioni nell'ambito del gruppo Globale da utilizzare: Client aziendali che eseguono l'accesso in sede. I client remoti che accedono alla rete aziendale a distanza su una rete VPN. I client remoti che accedono a Internet a distanza, ma non su una rete VPN. Poiché la posizione remota senza alcuna connessione VPN è la meno sicura, si consiglia di rendere questa posizione sempre la posizione predefinita. Nota: Se si disattiva l'eredità del gruppo Globale e si aggiungono dei gruppi, i gruppi aggiunti non ereditano le posizioni impostate per il gruppo Globale. Nel secondo scenario si utilizzano le due posizioni remote riportate sopra, ma si aggiungono due posizioni di ufficio per un totale di quattro posizioni. Nel secondo scenario si dispone delle posizioni di ufficio seguenti: I client in sede che eseguono l'accesso su una connessione Ethernet. I client in sede che eseguono l'accesso su una connessione wireless. Lasciare tutti i client nella modalità Controllo server predefinita semplifica la gestione. Se si desidera disporre di un controllo granulare su ciò che gli utenti possono e non possono fare, un amministratore esperto può utilizzare la modalità Controllo misto. Grazie al controllo misto, l'utente finale ha un certo controllo sulle impostazioni di sicurezza, ma, se necessario, è possibile sovrascriverne le modifiche. Nella modalità di controllo client gli utenti hanno più libertà di scegliere che cosa fare. Ciò, tuttavia, costituisce un rischio maggiore per la sicurezza di rete. Si consiglia di utilizzare il controllo client solo nelle seguenti situazioni: Se gli utenti hanno dimestichezza con la sicurezza del computer. Se si ha un'ottima ragione per utilizzarlo.

62 62 Configurazione e gestione dei client mobili e remoti Informazioni sui criteri di rilevamento della posizione Informazioni sui criteri di rilevamento della posizione Il rilevamento della posizione consente di proteggere la rete. Con il rilevamento della posizione, si impostano i criteri (condizioni) per attivare il passaggio a una nuova posizione con impostazioni di sicurezza diverse ogni volta che le condizioni vengono soddisfatte. Le politiche di sicurezza migliori da applicare solitamente dipendono da dove si trova il client quando si connette alla rete. Quando il rilevamento della posizione è attivato, la politica di sicurezza più rigorosa viene assegnata a un client in base alle necessità. Si consiglia di attivare il rilevamento della posizione quando si gestiscono client remoti. Sulla console è possibile aggiungere alla posizione di ogni gruppo un set di condizioni che selezioni automaticamente la politica di sicurezza corretta per l'ambiente dell'utente. Queste condizioni sono basate su informazioni, quali le impostazioni di rete del computer da cui è originata la richiesta di accesso alla rete. Anche un indirizzo IP, un indirizzo MAC o l'indirizzo di un server di directory possono funzionare come condizione. Per informazioni su come attivare e utilizzare il rilevamento della posizione, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Impostazione delle condizioni di rilevamento della posizione per il primo scenario I seguenti suggerimenti rappresentano le procedure ottimali per il primo scenario. Per impostare la posizione dell'ufficio per i client in sede 1 Nella pagina Client, selezionare il gruppo per cui si desidera aggiungere una posizione. 2 In Attività, fare clic su Aggiungi posizione. 3 Nella procedura Aggiunta guidata posizione, fare clic su Avanti. 4 Digitare un nome per la posizione e, se si desidera, aggiungere una descrizione, quindi fare clic su Avanti. 5 Nella casella di riepilogo, fare clic su Il client può connettersi al server di gestione, quindi fare clic su Avanti. 6 Fare clic su Fine. 7 In Attività, fare clic su Gestisci posizioni e quindi selezionare la posizione creata. 8 Fare clic su Aggiungi e quindi su Criteri con relazione AND.

63 Configurazione e gestione dei client mobili e remoti Informazioni sui criteri di rilevamento della posizione 63 9 Nell'elenco Tipo della finestra di dialogo Specifica criteri posizione, fare clic su Tipo di connessione di rete. 10 Fare clic su Se il computer client non usa il tipo di connessione di rete specificato di seguito. 11 Nella casella di riepilogo inferiore, selezionare il nome del client VPN utilizzato dall'organizzazione e quindi fare clic su OK. 12 Fare clic su OK per chiudere la finestra di dialogo Gestisci posizioni. Per impostare la posizione remota per i client che eseguono l'accesso su una rete VPN 1 Nella pagina Client, selezionare il gruppo per cui si desidera aggiungere una posizione. 2 In Attività, fare clic su Aggiungi posizione. 3 Nella procedura Aggiunta guidata posizione, fare clic su Avanti. 4 Digitare un nome per la posizione e, se si desidera, aggiungere una descrizione, quindi fare clic su Avanti. 5 Nella casella di riepilogo, fare clic su Tipo di connessione di rete. 6 Nella casella di riepilogo Tipo di connessione, selezionare il nome del client VPN utilizzato dall'organizzazione e quindi fare clic su Avanti. 7 Fare clic su Fine. 8 Fare clic su OK. Per impostare la posizione remota per i client che non eseguono l'accesso su una rete VPN 1 Nella pagina Client, selezionare il gruppo per cui si desidera aggiungere una posizione. 2 In Attività, fare clic su Aggiungi posizione. 3 Nella procedura Aggiunta guidata posizione, fare clic su Avanti. 4 Digitare un nome per la posizione e, se si desidera, aggiungere una descrizione, quindi fare clic su Avanti. 5 Nella casella di riepilogo, lasciare Nessuna condizione specifica e quindi fare clic su Avanti. In base a queste impostazioni, le politiche di questa posizione, che sono le più rigorose e le più sicure, vengono utilizzate come politiche di posizione predefinite. 6 Fare clic su Fine.

64 64 Configurazione e gestione dei client mobili e remoti Informazioni sui criteri di rilevamento della posizione Impostazione delle condizioni di rilevamento della posizione per il secondo scenario Nel secondo scenario, si utilizzano le stesse posizioni remote con le stesse condizioni utilizzate per il primo scenario. Invece di un'unica posizione in sede si utilizzano due posizioni, una per i client Ethernet e una per i client che utilizzano connessioni wireless. Vedere "Impostazione delle condizioni di rilevamento della posizione per il primo scenario" a pagina 62. Nota: È possibile che in sede alcuni client utilizzino connessioni Ethernet e che altri utilizzino connessioni wireless. Per questo motivo, è necessario impostare l'ultima condizione della procedura per i client wireless in sede. Questa condizione consente di creare una regola della politica del firewall per la posizione Ethernet in base alla quale, quando vengono utilizzati simultaneamente entrambi i tipi di connessione, tutto il traffico wireless viene bloccato. Per impostare la posizione per i client in sede connessi tramite Ethernet 1 Nella pagina Client, selezionare il gruppo per cui si desidera aggiungere una posizione. 2 In Attività, fare clic su Aggiungi posizione. 3 Nella procedura Aggiunta guidata posizione, fare clic su Avanti. 4 Digitare un nome per la posizione e, se si desidera, aggiungere una descrizione, quindi fare clic su Avanti. 5 Nella casella di riepilogo, selezionare Il client può connettersi al server di gestione e quindi fare clic su Avanti. 6 Fare clic su Fine. 7 Fare clic su OK. 8 In Attività, fare clic su Gestisci posizioni e quindi selezionare la posizione creata. 9 Fare clic su Aggiungi e quindi selezionare Criteri con relazione AND. 10 Nell'elenco Tipo della finestra di dialogo Specifica criteri posizione, fare clic su Tipo di connessione di rete. 11 Fare clic su Se il computer client non usa il tipo di connessione di rete specificato di seguito. 12 Nella casella di riepilogo inferiore, selezionare il nome del client VPN utilizzato dall'organizzazione e quindi fare clic su OK.

65 Configurazione e gestione dei client mobili e remoti Informazioni sui criteri di rilevamento della posizione Fare clic su Aggiungi e quindi su Criteri con relazione AND. 14 Nell'elenco Tipo della finestra di dialogo Specifica criteri posizione, fare clic su Tipo di connessione di rete. 15 Fare clic su Se il computer client utilizza il tipo della connessione di rete specificato sotto. 16 Nella casella di riepilogo inferiore, selezionare Ethernet e quindi fare clic su OK. 17 Fare clic su OK per chiudere la finestra di dialogo Gestisci posizioni. Per impostare la posizione per i client in sede connessi tramite una connessione wireless 1 Nella pagina Client, selezionare il gruppo per cui si desidera aggiungere una posizione. 2 In Attività, fare clic su Aggiungi posizione. 3 Nella procedura Aggiunta guidata posizione, fare clic su Avanti. 4 Digitare un nome per la posizione e, se si desidera, aggiungere una descrizione, quindi fare clic su Avanti. 5 Nella casella di riepilogo, fare clic su Il client può connettersi al server di gestione, quindi fare clic su Avanti. 6 Fare clic su Fine. 7 Fare clic su OK. 8 In Attività, fare clic su Gestisci posizioni e quindi selezionare la posizione creata. 9 Fare clic su Aggiungi e quindi su Criteri con relazione AND. 10 Nell'elenco Tipo della finestra di dialogo Specifica criteri posizione, fare clic su Tipo di connessione di rete. 11 Fare clic su Se il computer client non usa il tipo di connessione di rete specificato di seguito. 12 Nella casella di riepilogo inferiore, selezionare il nome del client VPN utilizzato dall'organizzazione e quindi fare clic su OK. 13 Fare clic su Aggiungi e quindi su Criteri con relazione AND. 14 Nell'elenco Tipo della finestra di dialogo Specifica criteri posizione, fare clic su Tipo di connessione di rete. 15 Fare clic su Se il computer client non usa il tipo di connessione di rete specificato di seguito.

66 66 Configurazione e gestione dei client mobili e remoti Rinforzo delle politiche di sicurezza per i client remoti 16 Nella casella di riepilogo inferiore, fare clic su Ethernet, quindi fare clic su OK. 17 Fare clic su Aggiungi e quindi su Criteri con relazione AND. 18 Nell'elenco Tipo della finestra di dialogo Specifica criteri posizione, fare clic su Tipo di connessione di rete. 19 Fare clic su Se il computer client utilizza il tipo della connessione di rete specificato sotto. 20 Nella casella di riepilogo inferiore, fare clic su Wireless, quindi fare clic su OK. 21 Fare clic su OK per chiudere la finestra di dialogo Gestisci posizioni. Rinforzo delle politiche di sicurezza per i client remoti Per gestire gli utenti remoti, è necessario eseguire una delle seguenti operazioni: Lasciare invariate le politiche predefinite in modo da non ostacolare gli utenti remoti nell'uso dei computer. Rinforzare le politiche di sicurezza predefinite per fornire maggiore protezione per la rete, anche se così facendo le operazioni che gli utenti remoti possono eseguire vengono limitate. Nella maggior parte delle situazioni si consiglia di rinforzare le politiche di sicurezza per i client remoti. Le politiche possono essere create come condivise o non condivise e venire assegnate a gruppi o posizioni. Una politica condivisa può essere applicata a qualsiasi gruppo e posizione e può essere ereditata. Una politica non condivisa può essere applicata solo a una posizione specifica in un gruppo. Solitamente si consiglia di creare politiche condivise perché è più facile modificare le politiche in più gruppi e posizioni. Ma, quando si ha bisogno di politiche specifiche della posizione esclusive, è necessario crearle come politiche non condivise o convertirle in politiche non condivise. Informazioni sulle impostazioni consigliate per una politica del firewall Una procedura ottimale per una politica del firewall consiste nell'assegnare le politiche di sicurezza più rigorose ai client che eseguono l'accesso a distanza senza utilizzare una rete VPN. Le seguenti impostazioni sono consigliate per la politica del firewall relativa alla posizione remota utilizzata dagli utenti che eseguono l'accesso senza una rete VPN: È possibile attivare la protezione NetBIOS in Impostazioni traffico della politica.

67 Configurazione e gestione dei client mobili e remoti Rinforzo delle politiche di sicurezza per i client remoti 67 Nota: Non attivare la protezione NetBIOS per la posizione relativa a un client remoto connesso alla rete aziendale tramite una rete VPN. Questa regola è adatta solo quando i client remoti sono connessi a Internet, non alla rete aziendale. Per aumentare la sicurezza, è inoltre possibile bloccare tutto il traffico TCP locale sulle porte NetBIOS 135, 139 e 445. Le seguenti impostazioni sono consigliate per la politica del firewall per la posizione remota relativa alla posizione remota utilizzata dagli utenti che eseguono l'accesso tramite una rete VPN: Lasciare così come sono tutte le regole che bloccano il traffico su tutte le schede. Non cambiare queste regole. Lasciare così com'è la regola che consente il traffico VPN su tutte le schede. Non cambiare questa regola. Per tutte le regole che utilizzano l'azione Consenti, sostituire Tutte le schede nella colonna Scheda con il nome della scheda VPN in uso. Attivare la regola che blocca tutto il traffico rimanente. Nota: È necessario apportare le ultime tre modifiche se si desidera evitare il tunneling diviso tramite la rete VPN. Per le posizioni relative agli utenti in sede che eseguono l'accesso tramite Ethernet o connessioni wireless, si consiglia di utilizzare la politica del firewall predefinita. Per la connessione wireless, assicurarsi che la regola che consente il protocollo EAPOL wireless sia attivata x utilizza questo protocollo per l'autenticazione della connessione. Informazioni sulle impostazioni consigliate per una politica antivirus e antispyware Le seguenti impostazioni di scansione proattiva delle minacce TruScan sono consigliate per la politica antivirus e antispyware relativa alla posizione remota utilizzata dagli utenti che eseguono l'accesso senza una rete VPN: Impostare la sensibilità della scansione proattiva delle minacce TruScan per Trojan horse e worm su un livello alto. Impostare l'operazione da eseguire quando Trojan horse o worm vengono rilevati su Quarantena o Termina. Impostare il livello di sensibilità per i keylogger su Alto.

68 68 Configurazione e gestione dei client mobili e remoti Rinforzo delle politiche di sicurezza per i client remoti Impostare l'operazione da eseguire quando i keylogger vengono rilevati su Quarantena o Termina. Se si impostano le operazioni su Termina, modificare l'impostazione delle notifiche in modo che l'utente venga avvisato prima dell'interruzione di processi e servizi. Se solitamente non si esegue una scansione proattiva delle minacce quando si avvia una nuova applicazione, effettuare una scansione per entrambe le posizioni remote. Vedere "Informazioni sulla gestione delle scansioni proattive delle minacce TruScan" a pagina 83. Informazioni sulle impostazioni consigliate per una politica di LiveUpdate Se si mantiene un controllo rigoroso degli aggiornamenti del contenuto e dei prodotti Symantec per i client, è necessario considerare la possibilità di modificare la politica di LiveUpdate per i client remoti. Per la posizione remota utilizzata dagli utenti che eseguono l'accesso senza una rete VPN, si consigliano le seguenti procedure ottimali: Modificare le impostazioni della politica di LiveUpdate in modo da utilizzare il server di Symantec LiveUpdate predefinito. Questa impostazione consente ai client remoti di eseguire l'aggiornamento ogni volta che si connettono a Internet. Impostare la frequenza di pianificazione di LiveUpdate su un'ora per aumentare le probabilità che i client aggiornino la protezione quando si connettono a Internet. Per tutte le altre posizioni, si consiglia di utilizzare Symantec Endpoint Protection Manager per distribuire gli aggiornamenti dei prodotti e del contenuto. Un pacchetto di aggiornamento che viene distribuito tramite la console di gestione è incrementale piuttosto che un pacchetto completo. I pacchetti di aggiornamento sono più piccoli dei pacchetti che vengono scaricati direttamente dal server di Symantec LiveUpdate. Informazioni sulle impostazioni consigliate per una politica di controllo delle applicazioni Si consiglia inoltre di creare una politica di controllo delle applicazioni per bloccare determinate applicazioni o crearne una che permetta solo alcune applicazioni. Se si assegna una politica di controllo delle applicazioni che le bloccano o ne

69 Configurazione e gestione dei client mobili e remoti Informazioni sulle notifiche del client 69 consentono l'esecuzione, è possibile esercitare un controllo più rigoroso nei confronti dei client mobili. Informazioni sulle notifiche del client Per i client remoti non connessi tramite una rete VPN, si consiglia di attivare le notifiche del client per le seguenti situazioni: Rilevazioni delle intrusioni Per attivare queste notifiche, selezionare l'opzione Controllo server o Controllo misto specifica della posizione in Impostazioni di controllo interfaccia utente client. Rischi antispyware e antivirus È possibile attivare queste notifiche nella politica antivirus e antispyware. L'attivazione delle notifiche consente di avvisare gli utenti remoti quando si verifica un problema di sicurezza. Personalizzazione delle impostazioni di gestione dei registri dei client È possibile personalizzare alcune delle impostazioni di gestione dei registri per i client remoti, specialmente se i client non sono in linea per molti giorni. È possibile apportare una o più delle seguenti modifiche per ridurre l'utilizzo della larghezza di banda e il carico sui server di gestione: Modificare le impostazioni dei registri dei client in modo che i client non carichino i rispettivi registri sul server di gestione. Modificare le impostazioni dei registri dei client in modo da caricare solo i registri di sicurezza dei client. Modificare le impostazioni dei registri dei client per conservare i registri per un periodo più lungo. Nella politica antivirus e antispyware specifica della posizione filtrare gli eventi dei registri per caricare solo alcuni eventi importanti. Ad esempio, è possibile caricare solo le informazioni sull'aggiornamento delle definizioni o solo le mancate riparazioni degli effetti secondari. Se si desidera consultare i dati di eventi antispyware e antivirus nei registri di questi client, impostare un periodo di conservazione del registro più lungo.

70 70 Configurazione e gestione dei client mobili e remoti Gestione del bilanciamento del carico e del roaming Nota: Alcune impostazioni dei registri dei client sono specifiche del gruppo e altre sono impostate nella politica antivirus e antispyware, che può essere applicata a una posizione. Se si desidera che tutte le impostazioni dei registri dei client remoti e dei registri dei client in sede differiscano, è necessario utilizzare i gruppi anziché le posizioni per gestire i client remoti. Gestione del bilanciamento del carico e del roaming Se sono disponibili diversi siti, è possibile utilizzare DNS con un elenco di server di gestione personalizzato per i client remoti. È possibile eseguire le seguenti azioni per configurare la rete per i client di roaming e per bilanciare il carico sui server: Configurare i server DNS in base ai siti nell'organizzazione. Assicurarsi di utilizzare lo stesso nome di dominio su tutti i server DNS. Ogni server DNS deve essere configurato con l'indirizzo IP del server di gestione più vicino. Utilizzare Symantec Endpoint Protection Manager per creare un elenco di server di gestione personalizzato per i client remoti. Questo elenco deve contenere il nome di dominio completo dei server DNS come unica voce. Assegnare questo elenco al gruppo che contiene le posizioni. Per informazioni su come creare e assegnare un elenco di server di gestione, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Controllo dei client remoti Le notifiche e i registri sono essenziali per mantenere un ambiente sicuro. Generalmente è necessario controllare i client remoti come si controllano gli altri client. È necessario verificare sempre che le protezioni siano aggiornate e che la rete non stia subendo un attacco. In questo caso, sarà necessario scoprire chi è l'autore dell'attacco e le modalità utilizzate. Anche se si limitano alcuni dei dati dei registri dei client che i client mobili possono caricare, è possibile controllare le seguenti viste: Sulla home page vedere Distribuzione definizioni virus e Firme di prevenzione delle intrusioni per verificare che il contenuto sia aggiornato. Sulla home page vedere Riepilogo stato per determinare se le protezioni sono disattivate sui computer. Sulla home page vedere Rischi per ora, Attacchi per ora e Infezioni per ora per determinare se la rete sta subendo un attacco.

71 Configurazione e gestione dei client mobili e remoti Controllo dei client remoti 71 In caso affermativo, nella scheda Riepilogo monitor, vedere il riepilogo della protezione della rete dalle minacce, che mostra le destinazioni principali e l'origine degli attacchi. I dati sulla home page nelle seguenti viste rappresentano solo i client che si sono connessi nelle ultime 12 o 24 ore: Distribuzione definizioni virus Firme di prevenzione delle intrusioni Riepilogo stato Le impostazioni delle preferenze della home page determinano il periodo di tempo per cui Symantec Endpoint Protection Manager visualizza i dati. Se molti client spesso non sono in linea, si consiglia di consultare i registri e i report. Nei registri e nei report filtrare i dati per includere i client non in linea.

72 72 Configurazione e gestione dei client mobili e remoti Controllo dei client remoti

73 Capitolo 5 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Il capitolo contiene i seguenti argomenti: Informazioni sulla topologia della gestione di Symantec Endpoint Protection Fattori organizzativi da considerare Come decidere se creare uno o più siti Come aggiornare il contenuto Informazioni sull'alta disponibilità e sul failover Informazioni sul bilanciamento del carico e sul roaming Informazioni sulla topologia della gestione di Symantec Endpoint Protection Un sito è l'unità primaria dell'organizzazione nella topologia della gestione di Symantec Endpoint Protection. Un sito consiste di un database, uno o più server di gestione e client. Le informazioni di un sito possono essere replicate su diversi siti tramite i server di gestione. Un server di gestione esegue il software Symantec Endpoint Protection per amministrare i client, gestire le politiche, controllare la sicurezza degli endpoint

74 74 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Fattori organizzativi da considerare e generare i relativi report. L'interfaccia con il server di gestione è la console di Symantec Endpoint Protection Manager. La console viene installata con il server di gestione. Può inoltre essere installata e utilizzata a distanza su qualsiasi computer con una connessione di rete al server di gestione. È possibile installare il database Sybase incorporato di Symantec Endpoint Protection, che supporta fino a client, o utilizzare un database MS-SQL esterno. Un database MS-SQL esterno può supportare dati per molti più client. È possibile disporre i server di gestione e i server di database in posizioni differenti. Si tenga presente, tuttavia, che in alcuni casi questa situazione può causare dei problemi di prestazioni. È necessario assicurarsi di disporre di una larghezza di banda sufficiente per supportare questo scenario. Inoltre il server di gestione e il database devono essere connessi su una rete LAN e non una rete WAN. Utilizzare le seguenti linee guida sulle dimensioni come procedure ottimali: Installare 20 siti al massimo. Connettere a un database 10 server di gestione al massimo. Connettere a un server di gestione client al massimo. In circostanze normali si consiglia di non superare queste linee guida. Se si dispone di un server di gestione e oltre client, ma non si desidera o non è possibile installare un altro server, attenersi alla seguente strategia. Aggiungere dei server LiveUpdate interni e dei fornitori di aggiornamenti di gruppo per gestire gli aggiornamenti del contenuto. Questa strategia consente di aumentare il numero di client che un server di gestione può gestire. Vedere "Come aggiornare il contenuto" a pagina 76. Nota: Tutti i suggerimenti vengono forniti esclusivamente a titolo indicativo. Modificarli in base alle esigenze dell'organizzazione. Fattori organizzativi da considerare L'architettura di rete è il fattore più importante da tenere in considerazione quando si progetta la struttura della gestione di Symantec Endpoint Protection. I seguenti fattori specifici riguardano il numero di siti, i server di gestione e i server di aggiornamento del contenuto o i computer che è necessario utilizzare: Il numero di client nell'organizzazione. Il numero di posizioni geografiche nell'organizzazione e il tipo di collegamenti di comunicazione fra loro. Il numero di divisioni funzionali o di gruppi amministrativi nell'organizzazione.

75 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Come decidere se creare uno o più siti 75 Il numero di datacenter nell'organizzazione. La frequenza di aggiornamento del contenuto di sicurezza. La quantità di dati dei registri dei client da conservare, per quanto tempo è necessario conservarli e dove vanno memorizzati. Considerazioni varie, specifiche dell'organizzazione, sulla gestione aziendale e sulla gestione della sicurezza IT Come decidere se creare uno o più siti Per azienda di piccole dimensioni qui si intende un'azienda con meno di 100 client. Un'azienda media ha meno di client e una grande azienda è un'organizzazione che include più di client. La maggior parte delle aziende di piccole e medie dimensioni ha bisogno di un unico sito per la gestione centrale della sicurezza della rete. Poiché vi è solo un database, tutti i dati sono situati centralmente e sono disponibili. Anche una grande azienda con un'unica sede geografica e meno di client solitamente ha bisogno di un solo sito. Se è necessaria la funzionalità di failover per il server di gestione, è possibile installare due o più server di gestione. Per gestire client aggiuntivi, è sufficiente aggiungere altri server di gestione. Se il failover o l'alta disponibilità sono necessari anche per il database, è necessario raggruppare i database. Le aziende troppo complesse da gestire centralmente possono utilizzare un'architettura di gestione distribuita con più siti. È possibile che sia necessario aggiungere un secondo sito per numerosi motivi. Un motivo comune è che si dispone di un collegamento WAN lento tra due posizioni fisiche e si desidera minimizzare il traffico sul collegamento. Se si configura un secondo sito con un proprio server di gestione, sul collegamento lento si evita tutto il traffico client-server di Symantec Endpoint Protection. Un altro motivo per cui può essere necessario aggiungere un secondo sito è che nell'organizzazione si dispone di più posizioni per i datacenter. Si consiglia di configurare un sito di Symantec Endpoint Protection per ogni centro di dati. Un'altra ragione per aggiungere più siti è l'esigenza di una reale alta disponibilità per la rete di sicurezza e i dati relativi alla sicurezza. Si consiglia di non installare più di 20 siti Symantec Endpoint Protection. Le seguenti soluzioni sono comuni negli ambienti con più siti: Soluzione distribuita Nel caso di due siti o alcuni siti, ogni sito replica i gruppi e le politiche, ma i registri e il contenuto non vengono replicati. In questo modello, gli amministratori utilizzano la console per connettersi a un manager nel sito

76 76 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Come aggiornare il contenuto remoto per consultare i relativi report. Si consiglia di adottare questa soluzione quando non è indispensabile accedere ai dati remoti. Soluzione per la registrazione centralizzata Questa soluzione prevede che tutti i registri vengano trasmessi dagli altri siti a un sito centrale. Il sito centrale funge da archivio dei registri di tutti gli altri siti. Si consiglia di adottare questa soluzione quando si ha bisogno di generare report centralizzati. Un client tipico memorizza approssimativamente un massimo di 800 KB di voci al giorno nel database se tutti i registri vengono caricati sul server di gestione. Questo numero di voci equivale a 288 MB per client all'anno. Per ridurre questo numero, si consiglia di trasmettere ai server di gestione solo alcuni registri, che riguardino gli incidenti di sicurezza. I registri dei client completi rimangono disponibili sul client per quando se ne ha bisogno per eseguire il debug di problemi o per gli esami forensi. Nelle grandi organizzazioni, si consiglia di considerare la quantità di spazio di archiviazione prima di trasmettere grandi quantità di dati del traffico dai firewall del client. Soluzione per l'alta disponibilità Se per la rete di sicurezza sono richiesti il failover o l'alta disponibilità, è necessario installare più siti e raggruppare anche i database. Come aggiornare il contenuto Il metodo predefinito per gli aggiornamenti dei prodotti e del contenuto consiste nel fare sì che il server di gestione ottenga gli aggiornamenti dal server Symantec LiveUpdate. Dopo che il server di gestione ottiene gli aggiornamenti, li fornisce ai client gestiti. Questo metodo è utilizzato frequentemente nelle organizzazioni di piccole o medie dimensioni. In alternativa, alcune grandi aziende utilizzano uno o più server LiveUpdate interni come punti di distribuzione locali degli aggiornamenti per aumentare le prestazioni. Nota: le dimensioni quotidiane medie degli aggiornamenti delle definizioni antispyware e antivirus sono comprese fra 70 KB e 150 KB. Se i client di un sito possono scaricare un aggiornamento medio in un'ora con la larghezza di banda disponibile, probabilmente non è necessario un server LiveUpdate interno. L'uso di un server LiveUpdate interno presenta i seguenti vantaggi: Se si dispone di più prodotti Symantec, è possibile utilizzare un server LiveUpdate interno per aggiornare centralmente tutti i prodotti Symantec.

77 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Come aggiornare il contenuto 77 Consente di aumentare le prestazioni riducendo il traffico sui collegamenti WAN. Soltanto un server deve connettersi al server Symantec LiveUpdate. Garantisce un controllo rigoroso delle versioni delle definizioni e del contenuto distribuiti. Consente di ridurre il numero di siti che è necessario installare e configurare. Consente di conservare molte versioni differenti delle definizioni e del contenuto. Questo metodo richiede l'installazione di un'istanza di LiveUpdate Administrator su un server locale. Tenere presente che LiveUpdate Administrator non deve essere installato sullo stesso computer del server di gestione o sul server del database centrale. È possibile configurare un server LiveUpdate Administrator per cercare continuamente nuove definizioni e nuovo contenuto sul server Symantec LiveUpdate. È possibile configurare i server di gestione nella rete per controllare i server LiveUpdate interni a un intervallo specifico. Quando si utilizza un server LiveUpdate interno, più spesso viene aggiornato, più piccolo è il payload dell'aggiornamento. Per informazioni sulla configurazione di un server LiveUpdate interno, consultare la Guida dell'amministratore di LiveUpdate. Oltre all'uso di un server LiveUpdate interno o di un server di gestione, le aziende dovrebbero considerare l'uso dei fornitori di aggiornamenti di gruppo. Un fornitore di aggiornamenti di gruppo è un client che recupera gli aggiornamenti del contenuto dal server di gestione, li memorizza nella cache localmente e li distribuisce a un gruppo di altri client. Un fornitore di aggiornamenti di gruppo può distribuire le definizioni antispyware e antivirus, le firme IPS e gli aggiornamenti del motore di scansione. Non memorizza nella cache i pacchetti di aggiornamento software. Qualsiasi client può fungere da fornitore di aggiornamenti di gruppo, ma un fornitore non deve servire più di 100 client. Se un fornitore di aggiornamenti di gruppo non è più disponibile, i client possono scaricare il contenuto automaticamente dal server di gestione. Qualsiasi computer desktop o portatile può fungere da fornitore di aggiornamenti di gruppo. Tuttavia, si consiglia di utilizzare un computer sempre disponibile con un indirizzo IP fisso, quale un file server locale. Un fornitore di aggiornamenti di gruppo riduce la quantità di traffico che deve attraversare il collegamento di comunicazione dal server di gestione al client. Il server scarica gli aggiornamenti solo sui fornitori di aggiornamenti di gruppo, quindi li trasmette agli altri client nel gruppo. Si consiglia di utilizzare i fornitori di aggiornamenti di gruppo per distribuire gli aggiornamenti del contenuto per i seguenti motivi:

78 78 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Informazioni sull'alta disponibilità e sul failover Esistono delle posizioni con troppi pochi client per giustificare la configurazione di un sito separato con un proprio database e un proprio server di gestione. L'architettura di rete è così complessa che si potrebbe avere bisogno di più di 20 siti. In questa situazione, è possibile utilizzare i fornitori di aggiornamenti di gruppo per ridurre il numero di siti necessari per la gestione. Tenere presente che un fornitore di aggiornamenti di gruppo presenta le seguenti limitazioni: Solitamente un fornitore di aggiornamenti di gruppo non deve aggiornare più di 100 client. Tuttavia, è possibile monitorare le prestazioni per determinare se l'ambiente è sufficiente per consentire a un fornitore di aggiornamenti di gruppo di supportare più di 100 client. Un fornitore di aggiornamenti di gruppo aggiorna solo le definizioni e il contenuto. Non scarica gli aggiornamenti dei prodotti. Un fornitore di aggiornamenti di gruppo mantiene una cache con 100 file al massimo. I file che i client non hanno richiesto negli ultimi sette giorni possono essere eliminati. Il fornitore di aggiornamenti di gruppo cerca ed elimina questi file ogni minuto. Se la cache contiene 100 voci, un fornitore di aggiornamenti di gruppo non cerca di scaricare altri file fino a quando non viene eliminato uno dei file. Quando si verifica questa situazione, un fornitore di aggiornamenti di gruppo non fornisce i file di aggiornamento e i client devono recuperare il contenuto direttamente dal server di gestione. Per informazioni sull'uso dei fornitori di aggiornamenti di gruppo, consultare la Guida all'amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Informazioni sull'alta disponibilità e sul failover Per raggiungere l'alta disponibilità per Symantec Endpoint Protection, sia il database che il server di gestione devono essere costantemente accessibili. Se si utilizza un database esterno, si consiglia di utilizzare il clustering ad alta disponibilità per i database. Se si utilizza un database incorporato, non c'è modo di garantire l'alta disponibilità per il database. Symantec Endpoint Protection, tuttavia, supporta la configurazione della replica sia per i database incorporati che i database di Microsoft SQL Server. Le configurazioni della replica nei siti sono utilizzate per ridondanza. Tutti i dati di un database vengono replicati periodicamente in un altro database. Se si verifica un problema con un database, è comunque possibile gestire e controllare tutti i client perché il secondo database contiene le stesse informazioni dei client.

79 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Informazioni sul bilanciamento del carico e sul roaming 79 Quando si selezionano gli elementi per la replica, è possibile scegliere i registri e i pacchetti. I pacchetti comprendono gli aggiornamenti alle definizioni dei virus, ai componenti del client e al software del client. La dimensione dei pacchetti e degli aggiornamenti può raggiungere parecchi gigabyte se si scaricano aggiornamenti in più lingue. Quando si selezionano queste opzioni, considerare la quantità di dati da replicare e l'utilizzo della larghezza di banda. Le dimensioni di un pacchetto client compresso sono generalmente comprese tra 55 MB e 65 MB. Per fornire il failover del server di gestione, è necessario configurare almeno due server di gestione per ogni sito e utilizzare gli elenchi dei server di gestione. Un elenco dei server di gestione è un elenco prioritarizzato dei server di gestione che è assegnato a un gruppo di client. È possibile installare più server di gestione di quelli richiesti per gestire i client per proteggersi contro l'errore di un server di gestione specifico. Si consiglia inoltre di considerare il failover per gli aggiornamenti del contenuto, se si intende utilizzare i server locali. Tutti i componenti che eseguono LiveUpdate possono inoltre utilizzare un elenco prioritarizzato delle fonti degli aggiornamenti. I server di gestione possono utilizzare un server LiveUpdate locale ed eseguire il failover su server LiveUpdate in altre posizioni fisiche. Nota: L'uso di server LiveUpdate interni, di fornitori di aggiornamenti di gruppo e della replica dei siti non garantisce l'alta disponibilità, il failover, il ripristino di emergenza o la funzionalità di bilanciamento del carico. Informazioni sul bilanciamento del carico e sul roaming Non è necessario configurare più siti per cercare di bilanciare il carico del client Symantec Endpoint Protection. Si consiglia di aggiungere i server di gestione a un sito e utilizzare l'elenco dei server di gestione per distribuire automaticamente il carico tra i server. In un elenco di server di gestione personalizzato, ogni server è assegnato a un livello di priorità. Un client che entra nella rete seleziona a caso un server con priorità uno a cui connettersi. Se il primo server che prova non è disponibile e vi sono altri server con priorità uno nell'elenco, prova a connettersi a un altro a caso. Se non sono disponibili server con priorità uno, il client cerca di connettersi a uno dei server con priorità due nell'elenco. Secondo questo metodo di distribuzione delle connessioni del client il carico del client viene distribuito a caso tra i server di gestione. Le seguenti opzioni sono disponibili per il bilanciamento del carico e il roaming:

80 80 Organizzazione di Symantec Endpoint Protection: server, siti e fornitori di aggiornamenti di gruppo Informazioni sul bilanciamento del carico e sul roaming Per fornire sia il bilanciamento del carico che il roaming, attivare DNS e inserire un nome di dominio come unica voce in un elenco di server di gestione personalizzato. Per fornire sia il bilanciamento del carico che il roaming, attivare la funzione di rilevamento della posizione di Symantec Endpoint Protection e utilizzare un elenco di server di gestione personalizzato per ogni posizione. Creare almeno una posizione per ciascuno dei siti. Utilizzare un dispositivo hardware che fornisca il failover o il bilanciamento del carico. Molti di questi dispositivi consentono inoltre la configurazione del roaming.

81 Sezione 2 Procedure ottimali per la sicurezza generale Gestione delle scansioni proattive delle minacce TruScan

82 82

83 Capitolo 6 Gestione delle scansioni proattive delle minacce TruScan Il capitolo contiene i seguenti argomenti: Informazioni sulla gestione delle scansioni proattive delle minacce TruScan Monitoraggio degli eventi di scansione Creazione delle eccezioni per i processi rilevati Regolazione delle impostazioni di scansione Informazioni sulla gestione delle scansioni proattive delle minacce TruScan È possibile gestire le scansioni proattive delle minacce di TruScan utilizzando due differenti metodi di implementazione. Ogni metodo offre vantaggi relativi alla dimensione della rete, alle funzioni di sicurezza e al carico di lavoro del personale del supporto tecnico. I due metodi di implementazione includono: L'utilizzo delle impostazioni predefinite di Symantec. Le impostazioni predefinite di Symantec forniscono un alto livello di protezione e richiedono un basso livello di gestione. Quando si installa Symantec Endpoint Protection Manager per la prima volta, utilizzare le impostazioni predefinite. La regolazione delle impostazioni predefinite.

84 84 Gestione delle scansioni proattive delle minacce TruScan Informazioni sulla gestione delle scansioni proattive delle minacce TruScan Utilizzare le impostazioni predefinite di Symantec per le prime due o quattro settimane dopo avere installato il server di gestione. Dopo il periodo di rodaggio iniziale durante il quale si acquisisce familiarità con la tecnologia, è possibile che si desideri un controllo maggiore. Se si utilizza questo metodo, è possibile regolare l'azione di rilevazione e il livello di sensibilità. Con entrambi i metodi, può essere necessario gestire gli eventi per determinare quali processi devono essere eseguiti sui computer client. Informazioni sulla gestione delle eccezioni Sia che si utilizzino o meno le impostazioni predefinite di Symantec, può essere necessario gestire le eccezioni per le applicazioni nocive, le applicazioni legittime o entrambe. Anche quando utilizza le impostazioni predefinite, il motore di scansione può talvolta registrare processi legittimi invece di ignorarli. È necessario creare eccezioni per i processi legittimi in modo che vengano ignorati dalle scansioni. Se si regolano le impostazioni predefinite, è necessario creare eccezioni in modo che il motore di scansione metta in quarantena o termini le applicazioni nocive e ignori le applicazioni legittime. Se si utilizzano le impostazioni predefinite di Symantec, procedere come segue: Monitorare gli eventi di scansione. Utilizzare il registro di scansione proattiva delle minacce TruScan per determinare quali processi sono legittimi. Vedere "Monitoraggio degli eventi di scansione" a pagina 85. Creare le eccezioni per i processi legittimi rilevati in una politica delle eccezioni centralizzata. Dopo avere determinato quali sono i processi legittimi, aggiungerli a una politica delle eccezioni centralizzata e impostare l'azione di rilevamento su Ignora. Alla successiva esecuzione del motore di scansione, questi processi verranno ignorati. Vedere "Creazione delle eccezioni per i processi rilevati" a pagina 87. Se non si utilizzano le impostazioni predefinite di Symantec, procedere come segue: Regolare l'azione e il livello di sensibilità per Trojan horse, worm e keylogger. Vedere "Regolazione delle impostazioni di scansione" a pagina 89. Monitorare gli eventi di scansione. Utilizzare il registro di scansione proattiva delle minacce TruScan per determinare quali processi rilevati sono legittimi e quali rappresentano rischi per la sicurezza. Dopo avere modificato un'impostazione di scansione, è necessario visualizzare il registro di scansione proattiva delle minacce TruScan.

85 Gestione delle scansioni proattive delle minacce TruScan Monitoraggio degli eventi di scansione 85 Il registro mostra come la modifica ha influito sul numero dei processi legittimi e dei rischi per la sicurezza. Vedere "Monitoraggio degli eventi di scansione" a pagina 85. Creare eccezioni per i processi legittimi e i rischi per la sicurezza rilevati in una politica delle eccezioni centralizzata. Dopo avere identificato i processi legittimi e i rischi per la sicurezza, aggiungerli a una politica delle eccezioni centralizzata. Quando si crea una politica delle eccezioni centralizzata con un elenco dei processi legittimi, diminuisce la frequenza con la quale il motore di scansione registra i processi legittimi come rischi potenziali. Vedere "Creazione delle eccezioni per i processi rilevati" a pagina 87. Monitoraggio degli eventi di scansione Il client raccoglie e carica i risultati del rilevamento della scansione sul server di gestione. I risultati vengono salvati nel registro di scansione proattiva delle minacce TruScan. Per determinare quali processi sono legittimi e quali sono rischi per la sicurezza, esaminare le seguenti colonne nel registro: Evento Il tipo di evento e le azioni messe in atto sul processo, ad esempio l'eliminazione o la scrittura nel registro. Controllare i seguenti tipi di evento: Un possibile processo legittimo viene elencato come evento Rischio potenziale rilevato. Un probabile rischio per la sicurezza viene elencato come evento Trovato rischio per la sicurezza. Applicazione Tipo applicazione File/Percorso Il nome del processo. Il tipo di malware, quali Trojan horse, worm, keylogger o applicazioni commerciali. Il nome del percorso dal quale è stato avviato il processo. La colonna Evento informa immediatamente se un processo rilevato è un rischio per la sicurezza o un possibile processo legittimo. Tuttavia, un rischio potenziale rilevato può essere o meno un processo legittimo e un rischio per la sicurezza rilevato può essere o meno un processo nocivo. Di conseguenza, è necessario esaminare le colonne Tipo applicazione e File/Percorso per maggiori informazioni. Ad esempio, è possibile riconoscere il nome di un'applicazione legittima sviluppata da una terza parte. Vedere "Creazione delle eccezioni per i processi rilevati" a pagina 87.

86 86 Gestione delle scansioni proattive delle minacce TruScan Monitoraggio degli eventi di scansione Per monitorare gli eventi di scansione 1 Nella console, fare clic su Controlli> Registri. 2 Nella scheda Registri, nell'elenco a discesa Tiporegistro, fare clic su Scansione proattiva delle minacce TruScan. 3 Selezionare un'ora nella casella di riepilogo Intervallo di tempo più prossima all'ultima variazione di un'impostazione della scansione. 4 Fare clic su Impostazioni avanzate. 5 Nell'elenco a discesa Tipo di evento, selezionare uno dei seguenti eventi del registro: Per visualizzare tutti i processi rilevati, accertarsi che sia selezionato Tutti. Per visualizzare i processi che sono stati valutati come rischi per la sicurezza, fare clic su Trovato rischio per la sicurezza. Per visualizzare i processi che sono stati valutati e registrati come rischi potenziali, fare clic su Rischio potenziale rilevato. 6 Fare clic su Visualizza registro.

87 Gestione delle scansioni proattive delle minacce TruScan Creazione delle eccezioni per i processi rilevati 87 7 Dopo avere identificato le applicazioni legittime e i rischi per la sicurezza, è possibile creare un'eccezione in una politica delle eccezioni centralizzata. L'eccezione può essere creata direttamente nel riquadro Registro delle scansioni proattive delle minacce TruScan. Creazione delle eccezioni per i processi rilevati Le eccezioni della scansione proattiva delle minacce TruScan specificano una risposta diversa da quella generata normalmente quando viene rilevato un processo. Se una scansione rileva un processo che corrisponde a un'eccezione, il motore esegue l'azione definita dall'eccezione. Ad esempio, se la scansione identifica un'applicazione legittima chiamata validprocess.exe, è possibile creare un'eccezione in modo che la scansione ignori validprocess.exe. Quando si aggiungono le eccezioni per i processi rilevati, le eccezioni vengono aggiunte a una politica delle eccezioni centralizzata per un gruppo specifico o per una posizione all'interno di un gruppo. È possibile prima creare un gruppo che utilizza una politica delle eccezioni centralizzata specifica. Ad esempio, per i computer client in un Gruppo A che eseguono un'applicazione personalizzata che la scansione potrebbe mettere altrimenti in quarantena, è possibile creare un'eccezione per ignorare l'applicazione. Quindi è possibile assegnare la politica delle eccezioni centralizzata contenente questa eccezione al gruppo A. Ogni volta che gli utenti del gruppo A eseguono l'applicazione, il motore di scansione ignora l'applicazione. Se non si utilizzano le impostazioni predefinite, è possibile impostare l'azione per registrare Trojan horse, worm e keylogger nella politica antivirus e antispyware. Quindi è possibile utilizzare le seguenti linee guida per creare le eccezioni: Per i rischi per la sicurezza, impostare l'azione su Quarantena o su Termina. Si consiglia inoltre di mettere in quarantena un processo che potrebbe non essere nocivo ma che non si desidera che gli utenti eseguano. Per i processi legittimi, impostare l'azione su Ignora. È anche possibile consentire l'esecuzione di un particolare keylogger commerciale. Per i rischi sconosciuti, non creare un'eccezione, in modo che il motore di scansione continui a registrare l'evento. Se non è possibile determinare se un rischio sconosciuto è nocivo o legittimo, è possibile continuare a registrarlo e osservare il processo. È possibile tenere traccia della frequenza di rilevamento di questo processo da parte del client. Se alla fine si scopre che il processo è legittimo, sarà possibile creare un'eccezione e impostare l'azione su Ignora.

88 88 Gestione delle scansioni proattive delle minacce TruScan Creazione delle eccezioni per i processi rilevati Nota: È possibile creare eccezioni soltanto per i processi non inclusi nell'elenco di processi e applicazioni noti definito da Symantec. Per ulteriori informazioni su come aggiungere processi a una politica delle eccezioni centralizzata, consultare la Guida all amministrazione di Symantec Endpoint Protection e Symantec Network Access Control. Per creare le eccezioni per i processi rilevati 1 Nel riquadro Registro delle scansioni proattive delle minacce TruScan, selezionare uno o più eventi per i quali si desidera creare un'eccezione centralizzata. Vedere "Monitoraggio degli eventi di scansione" a pagina Nell'elenco a discesa Azione, accertarsi che Aggiungi processo a politica delle eccezioni centralizzata sia selezionato. 3 Fare clic su Avvia. 4 Nella finestra di dialogo Aggiungi processo a politica delle eccezioni centralizzata, nell'elenco a discesa Risposta, selezionare una delle seguenti azioni per il processo. Per un processo legittimo, fare clic su Ignora. Per un rischio per la sicurezza, selezionare Quarantena o Termina.

89 Gestione delle scansioni proattive delle minacce TruScan Regolazione delle impostazioni di scansione 89 5 Selezionare le politiche delle eccezioni centralizzate che contengono questa eccezione. 6 Fare clic su OK. Regolazione delle impostazioni di scansione Se si utilizzano le impostazioni predefinite di Symantec per gestire le rilevazioni, il software client determina l'azione e il livello di sensibilità. Il motore di scansione che viene eseguito automaticamente sul computer client mette in quarantena i rischi per la sicurezza e registra i rischi potenziali e i rischi sconosciuti. Se non si utilizzano le impostazioni predefinite di Symantec, è possibile impostare solo una singola azione di risposta per le rilevazioni, sia che si tratti o meno di rischi. Ad esempio, una scansione può mettere in quarantena tutti i processi rilevati o registrare tutti i processi rilevati, ma non esegue entrambe le operazioni. Regolare le impostazioni di scansione nella politica antivirus e antispyware. La Tabella 6-1 descrive le linee guida da utilizzare per regolare l'azione di rilevazione, la sensibilità e facoltativamente la frequenza di scansione.

90 90 Gestione delle scansioni proattive delle minacce TruScan Regolazione delle impostazioni di scansione Tabella 6-1 Impostazione Azione Impostazioni di scansione Descrizione Come procedura consigliata, quando si gestiscono per la prima volta le scansioni, impostare l'azione su Registra. Ciò significa che né i rischi per la sicurezza né i processi legittimi utilizzano l'azione che in definitiva si desidera. Si desidera infatti che le scansioni mettano in quarantena o terminino i rischi per la sicurezza e ignorino i processi legittimi. Di conseguenza, è necessario creare eccezioni per tutte queste rilevazioni. Le eccezioni definiscono il processo e l'azione da eseguire quando una scansione rileva uno specifico processo. Vedere "Creazione delle eccezioni per i processi rilevati" a pagina 87. Nota: Quando si installa per la prima volta Symantec Endpoint Protection Manager, le applicazioni commerciali utilizzano l'azione di risposta Registra. Con questa azione, verrà visualizzato un numero talmente elevato di rilevazioni di applicazioni commerciali nel registro di scansione proattiva delle minacce TruScan da allarmare gli utenti. Di conseguenza, è consigliabile disattivare la funzione Visualizza un messaggio quando viene individuato un rischio nella scheda Notifiche. Vedere "Monitoraggio degli eventi di scansione" a pagina 85.

91 Gestione delle scansioni proattive delle minacce TruScan Regolazione delle impostazioni di scansione 91 Impostazione Descrizione Sensibilità

92 92 Gestione delle scansioni proattive delle minacce TruScan Regolazione delle impostazioni di scansione Impostazione Descrizione Quando si regola per la prima volta il livello di sensibilità per i Trojan horse e i worm, impostare il livello di sensibilità a 10. Quando il livello di sensibilità è basso, le scansioni rilevano meno processi di quando il livello di sensibilità è alto. Il numero di processi legittimi che vengono registrati come rischi potenziali è basso. Dopo avere utilizzato un livello di sensibilità di 10 per alcuni giorni e avere monitorato il registro per verificare la presenza di applicazioni legittime, è possibile aumentare il livello di sensibilità a 20. In un periodo di giorni, è possibile aumentare gradualmente il livello di sensibilità in incrementi di 10 fino a 100. Per la massima protezione, lasciare il livello di sensibilità a 100. Usando questo approccio graduale, gli utenti dei computer client non vengono sommersi da notifiche di rilevazione non appena viene distribuito il client. Al contrario, è possibile avere il tempo per monitorare l'aumento nelle notifiche a ogni livello. È anche possibile disattivare le notifiche di rilevazione. Per i keylogger, impostare il livello di sensibilità iniziale su Basso. All'aumentare del livello di sensibilità, vengono rilevati più processi, sia nocivi sia legittimi. Il livello di sensibilità non influisce sensibilmente sul tasso di processi legittimi registrati. Un livello di sensibilità più alto significa che una scansione identifica una maggiore quantità di processi che sono rischi per la sicurezza così come processi legittimi. Ma il rapporto dei processi legittimi rispetto a quelli nocivi rimane quasi costante, nonostante il livello di sensibilità. Inoltre, il livello di sensibilità non indica il livello di certezza associato a una rilevazione. Ad esempio, una scansione può rilevare un processo al livello di sensibilità 10 e rilevare un altro processo al livello di sensibilità 90. Ma il livello di sensibilità non significa che un processo è una minaccia più grave dell'altra. Una volta modificato il livello di sensibilità delle scansioni, utilizzare il registro di scansione proattiva delle minacce TruScan per determinare se il livello di sensibilità è troppo basso o troppo alto. Se il client identifica troppi processi legittimi come rischi per la sicurezza, è possibile diminuire il livello di sensibilità fino a quando non si ha il tempo di creare eccezioni centralizzate per i processi legittimi. Vedere "Monitoraggio degli eventi di scansione" a pagina 85. Una volta impostato il livello di sensibilità corretto, cercare i processi legittimi e aggiungerli a una politica delle eccezioni centralizzata. Quindi aumentare la sensibilità. Vedere "Creazione delle eccezioni per i processi rilevati" a pagina 87. Nota: Una volta che si sono aggiunte tutte le eccezioni a una politica delle eccezioni centralizzata, è probabile che tutte le nuove rilevazioni siano rischi per la sicurezza. Per maggiore sicurezza, è possibile impostare di

93 Gestione delle scansioni proattive delle minacce TruScan Regolazione delle impostazioni di scansione 93 Impostazione Descrizione nuovo l'azione di risposta per tutti i processi su Quarantena o Termina. Continuare a monitorare il registro di scansione proattiva delle minacce TruScan per verificare che la scansione non rilevi e metta in quarantena nuove applicazioni legittime. Frequenza scansione La frequenza predefinita per le scansioni è di un'ora. Se si verifica un deterioramento delle prestazioni dei computer client, ridurre la frequenza di scansione. Per regolare le impostazioni della scansione 1 Nella console, fare clic su Politiche > Antivirus e antispyware e quindi aprire una politica antivirus e antispyware esistente. 2 Nella pagina Politica antivirus e antispyware, fare clic su Scansioni proattive delle minacce TruScan. 3 Nella scheda Dettagli scansione, in Scansione, assicurarsi che le opzioni Ricerca Trojan e worm e Ricerca keylogger siano selezionate. 4 Per entrambi i tipi di rischi, deselezionare Usa impostazioni predefinite di Symantec. 5 Per entrambi i tipi di rischi, impostare l'azione su Registra.