Manuale del client di Symantec Client Security

Transcript

1 Manuale del client di Symantec Client Security

2 Manuale del client di Symantec Client Security Il software descritto nel presente manuale viene fornito in conformità a un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Documentazione versione 3,0 Copyright Copyright 2005 Symantec Corporation. Tutti i diritti riservati. La documentazione tecnica messa a disposizione da Symantec Corporation è di proprietà esclusiva di Symantec Corporation. ESCLUSIONE DELLA GARANZIA. La documentazione tecnica viene consegnata all'utente COME TALE e Symantec Corporation non fornisce alcuna garanzia sulla sua accuratezza o utilizzo. L'uso della documentazione tecnica o delle informazioni in essa contenute è a rischio e pericolo dell'utente. La documentazione può includere inesattezze tecniche o di altro tipo o errori tipografici. Symantec si riserva il diritto di effettuare modifiche senza preavviso. Nessuna parte di questa pubblicazione può essere copiata senza l'esplicito consenso scritto di Symantec Corporation, Stevens Creek Blvd., Cupertino, CA 95014, USA. Marchi di fabbrica Symantec, il logo Symantec, LiveUpdate, Norton AntiVirus e Norton SystemWorks sono marchi registrati negli Stati Uniti di Symantec Corporation. Norton Internet Security, Norton Personal Firewall, Symantec AntiVirus, Symantec Client Firewall, Symantec Client Security, Symantec Desktop Firewall, Symantec Enterprise Security Architecture, Symantec Packager, Symantec Security Response e Symantec System Center sono marchi di Symantec Corporation. Altre marche e nomi di prodotti citati nel presente manuale possono essere marchi commerciali o marchi registrati dei rispettivi proprietari.

3 Sommario Sezione 1 Capitolo 1 Capitolo 2 Symantec AntiVirus Guida rapida di Symantec AntiVirus Informazioni su Symantec AntiVirus Informazioni sull'aggiornamento dei computer standalone Informazioni sui computer remoti che si connettono a una rete aziendale Informazioni sui virus Come si diffondono i virus Tipi di virus Informazioni sul record di avvio principale Informazioni sui rischi per la sicurezza Come Symantec AntiVirus risponde a virus e rischi per la sicurezza Protezione del computer con Symantec AntiVirus Aggiornamento costante della protezione di Symantec AntiVirus Informazioni sul ruolo di Symantec Security Response Aggiornamento della protezione contro virus e rischi per la sicurezza Informazioni di base su Symantec AntiVirus Informazioni sulle licenze di contenuto Installazione di una licenza di contenuto in un client non gestito Apertura di Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus Visualizzazione delle categorie di Symantec AntiVirus Attivazione e disattivazione di Auto-Protect Pausa e posticipo delle scansioni Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza Pianificazione degli aggiornamenti con LiveUpdate Aggiornamento immediato della protezione tramite LiveUpdate Aggiornamento senza LiveUpdate... 41

4 4 Sommario Utilizzo di Symantec AntiVirus con Centro sicurezza PC Windows Per ulteriori informazioni Accesso alla Guida in linea Accesso al sito Web di Symantec Security Response Capitolo 3 Protezione del computer da virus e rischi per la sicurezza Informazioni sulle politiche relative ai rischi per la sicurezza e antivirus Elementi da sottoporre a scansione Operazioni da eseguire se viene rilevato un virus o un rischio per la sicurezza Utilizzo di Auto-Protect Informazioni su Auto-Protect e i rischi per la sicurezza Informazioni su Auto-Protect e la scansione Disattivazione della scansione con le connessioni SSL Visualizzazione delle statistiche di scansione Auto-Protect Modifica di Auto-Protect e uso di SmartScan Disattivazione e attivazione della scansione dei rischi per la sicurezza in Auto-Protect Utilizzo di Protezione contro le manomissioni Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Creazione di messaggi di Protezione contro le manomissioni...55 Scansione alla ricerca di virus e rischi per la sicurezza Come Symantec AntiVirus rileva virus e rischi per la sicurezza Fasi della scansione Informazioni sui file delle definizioni Informazioni sulla scansione di file compressi e codificati Avvio di scansioni manuali Configurazione della scansione Creazione di scansioni pianificate Creazione delle scansioni all'avvio Creazione di scansioni definite dall'utente Modifica ed eliminazione delle scansioni all'avvio, definite dall'utente e pianificate... 68

5 Sommario 5 Configurazione delle azioni relative a virus e rischi per la sicurezza Configurazione delle notifiche relative a virus e rischi per la sicurezza Interpretazione dei risultati della scansione Esclusione di file dalle scansioni Capitolo 4 Sezione 2 Capitolo 5 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Interventi sui file infetti Informazioni sui danni causati dai virus Informazioni sulla quarantena Spostare i file infetti da virus in Quarantena Lasciare in quarantena i file infetti da rischi per la sicurezza Eliminare i file infetti da virus in Quarantena Eliminare i file infetti da rischi per la sicurezza in Quarantena Gestione della quarantena Visualizzazione dei file e dei relativi dettagli nella Quarantena Ripetizione della scansione sui file in quarantena Quando un file riparato non può essere ripristinato nella posizione originale Cancellazione degli elementi di backup Eliminazione di file dalla quarantena Eliminazione automatica dei file dalla quarantena da Elementi di backup e da Elementi riparati Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi Visualizzazione del Registro eventi Filtro degli elementi nel Registro eventi Informazioni sull'eliminazione di elementi dal registro eventi...95 Esportazione dei dati in un file csv Symantec Client Firewall Guida rapida di Symantec Client Firewall Novità di Symantec Client Firewall Informazioni su Symantec Client Firewall Symantec Client Firewall e Symantec Client Security Funzioni di Symantec Client Firewall...102

6 6 Sommario Capitolo 6 Concetti di base su Symantec Client Firewall Accesso a Symantec Client Firewall Visualizzazione del menu di Symantec Client Firewall sulla barra delle applicazioni Utilizzo di Symantec Client Firewall Informazioni sulle autorizzazioni di Symantec Client Firewall Modifica delle impostazioni per le funzionalità di protezione di Symantec Client Firewall Risposta agli avvisi di Symantec Client Firewall Interruzione delle comunicazioni Internet con Blocca traffico Personalizzazione di Symantec Client Firewall Informazioni sulle opzioni generali Informazioni sulle opzioni relative al firewall Informazioni sulle opzioni di Secure Port Informazioni sulle opzioni relative a Filtri per protocolli Informazioni su Gestione impostazioni Esportazione e importazione dei file delle politiche Disattivazione temporanea di Symantec Client Firewall Aggiornamenti con LiveUpdate Informazioni sugli aggiornamenti del programma Informazioni sugli aggiornamenti della protezione Quando eseguire l'aggiornamento Informazioni sull'esecuzione di LiveUpdate su una rete interna Come ottenere gli aggiornamenti dal sito Web di Symantec Come ricevere gli aggiornamenti mediante LiveUpdate Dove ottenere maggiori informazioni su Symantec Client Firewall Accesso alla Guida in linea Accesso al Manuale del client in formato PDF Accesso al sito Web di Symantec dalla finestra principale di Symantec Client Firewall...120

7 Sommario 7 Capitolo 7 Capitolo 8 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione Attivazione e disattivazione di Rilevamento posizione Selezione delle posizioni da implementare Cancellazione delle informazioni sulla connessione di rete Aggiunta di posizioni Informazioni sulla personalizzazione delle impostazioni per la posizione Eliminazione di posizioni Aggiunta di computer alle aree di sicurezza e con restrizioni Protezione dai tentativi di intrusione Informazioni sulla protezione dai tentativi di intrusione Modalità di protezione di Symantec Client Firewall dagli attacchi di rete Modalità di controllo delle comunicazioni da parte di Symantec Client Firewall Modalità di analisi del traffico da parte di Prevenzione delle intrusioni Personalizzazione della protezione firewall Modifica del livello di sicurezza tramite il dispositivo di scorrimento Modifica delle singole impostazioni di sicurezza Ripristino dei valori predefiniti delle impostazioni di sicurezza Personalizzazione delle regole firewall Creazione di nuove regole firewall Informazioni sulla creazione manuale di regole firewall Informazioni sul processo stateful inspection Priorità per l'elaborazione delle regole firewall Aggiunta delle regole firewall Modifica delle regole firewall esistenti Utilizzo di Secure Port Attivazione e disattivazione di Secure Port Aggiunta o rimozione delle porte definite dall'utente Utilizzo di Filtri per protocolli Autorizzazione e blocco di protocolli estesi Personalizzazione di Prevenzione delle intrusioni Visualizzazione di avvisi di Prevenzione delle intrusioni Esclusione di avvisi di Prevenzione delle intrusioni Esclusione di attività di rete dal controllo...167

8 8 Sommario Inclusione delle firme di attacco Attivazione o disattivazione di Blocco automatico Sblocco dei computer attualmente bloccati da Blocco automatico Esclusione di computer da Blocco automatico Limitazione di un computer bloccato Capitolo 9 Capitolo 10 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy Informazioni sulla selezione delle porte per il controllo della riservatezza Identificazione delle informazioni riservate da proteggere Personalizzazione delle impostazioni di Controllo della riservatezza Blocco delle pubblicità Funzionamento di Blocco pubblicità Attivazione e disattivazione di Blocco pubblicità Attivazione e disattivazione di Blocco finestre a comparsa Utilizzo delle impostazioni avanzate di Contenuti Web Configurazione delle impostazioni globali Configurazione delle impostazioni utente Configurazione delle impostazioni di Blocco pubblicità Aggiunta ed eliminazione dei siti Controllo di Symantec Client Firewall Informazioni sul controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche Ripristino delle informazioni nella finestra Statistiche Visualizzazione della finestra Statistiche di Symantec Client Firewall Ripristino dei contatori di statistiche Visualizzazione selettiva delle statistiche Visualizzazione costante della finestra Statistiche di Symantec Client Firewall Utilizzo di Visualizzatore file di registro Informazioni sul livello di registrazione Configurazione del livello di registrazione Visualizzazione dei registri Aggiornamento dei registri...201

9 Sommario 9 Cancellazione dei registri Modifica della dimensione del Visualizzatore file di registro Regolazione della larghezza delle colonne nel Visualizzatore file di registro Disattivazione della registrazione Stampa e salvataggio dei registri e delle statistiche Indice Soluzioni di servizio e supporto

10

11 Sezione 1 Symantec AntiVirus Guida rapida di Symantec AntiVirus Informazioni di base su Symantec AntiVirus Protezione del computer da virus e rischi per la sicurezza Cosa fare se viene rilevato un virus o un rischio per la sicurezza

12

13 Capitolo 1 Guida rapida di Symantec AntiVirus Questo capitolo comprende i seguenti argomenti: Informazioni su Symantec AntiVirus Informazioni sui virus Informazioni sui rischi per la sicurezza Come Symantec AntiVirus risponde a virus e rischi per la sicurezza Protezione del computer con Symantec AntiVirus Aggiornamento costante della protezione di Symantec AntiVirus Informazioni su Symantec AntiVirus È possibile installare Symantec AntiVirus per la protezione contro virus e rischi per la sicurezza tramite un'installazione standalone o gestita dall'amministratore. In un'installazione standalone, Symantec AntiVirus non viene gestito da un amministratore di rete. Se è l'utente a gestire il computer, è necessario che questo sia di uno dei seguenti tipi: Un computer standalone non connesso alla rete, ad esempio un computer di casa o un portatile standalone, in cui l'installazione di Symantec AntiVirus utilizza le impostazioni delle opzioni predefinite oppure preimpostate dall'amministratore un computer remoto che si connette alla rete aziendale e che deve soddisfare i requisiti di sicurezza prima della connessione.

14 14 Guida rapida di Symantec AntiVirus Informazioni su Symantec AntiVirus Le impostazioni predefinite per Symantec AntiVirus proteggono il computer da virus e rischi per la sicurezza. Tuttavia, può essere necessario modificarle per adattarle alle esigenze della società, per ottimizzare le prestazioni di sistema o per disattivare opzioni non applicabili. Se l'installazione è gestita dall'amministratore, alcune opzioni potrebbero essere bloccate o non disponibili, o potrebbero non essere nemmeno visualizzate, in base alla politica di sicurezza adottata dall'amministratore. che esegue le scansioni sul computer e può impostare scansioni pianificate. L'amministratore può fornire suggerimenti relativi alle attività da eseguire per l'utilizzo di Symantec AntiVirus. Nota: le opzioni con l'icona raffigurante un lucchetto non sono disponibili in quanto bloccate dall'amministratore. Non è possibile modificarle a meno che l'amministratore le sblocchi. Informazioni sull'aggiornamento dei computer standalone I computer standalone possono essere connessi a Internet. Nella documentazione di Symantec AntiVirus, il termine standalone assume anche un altro significato: i computer standalone non sono connessi a un server, pertanto non ricevono dal server gli aggiornamenti dei file delle definizioni dei virus e rischi per la sicurezza non possono essere gestiti dal programma di amministrazione Symantec System Center. Se Symantec AntiVirus è stato installato su un computer standalone, l'utente è responsabile dell'aggiornamento dei file delle definizioni dei virus e dei rischi per la sicurezza. I nuovi file delle definizioni vengono messi a disposizione da Symantec varie volte al mese. L'utente riceve un avviso quando è necessario sostituire le definizioni dei virus. È possibile aggiornare le definizioni dei virus e dei rischi per la sicurezza tramite LiveUpdate, che recupera i nuovi file delle definizioni da un sito Symantec e quindi sostituisce i precedenti nella directory di Symantec AntiVirus. Per effettuare il collegamento al sito, è necessario disporre di un modem o di una connessione a Internet. Vedere "Aggiornamento immediato della protezione tramite LiveUpdate" apagina41.

15 Guida rapida di Symantec AntiVirus Informazioni sui virus 15 Informazioni sui computer remoti che si connettono a una rete aziendale I computer remoti che si connettono a una rete aziendale possono ricevere le definizioni dei virus e dei rischi per la sicurezza e possono essere gestiti dal programma di amministrazione Symantec System Center. Gli amministratori di sistema possono richiedere che i computer remoti che si connettono a una rete aziendale soddisfino determinati requisiti di sicurezza. Ad esempio, potrebbe essere necessario eseguire sul computer Symantec AntiVirus con le definizioni dei virus e dei rischi per la sicurezza più aggiornate prima di connettersi alla rete. È possibile che al computer venga negato l'accesso alla rete finché non vengono soddisfatti i requisiti di sicurezza. Informazioni sui virus Un virus è un programma che con la propria esecuzione si riproduce all'interno di un altro programma o un documento. Quando viene eseguito un programma infetto o si apre un documento contenente un virus delle macro, il programma contenente il virus si attiva e si propaga ad altri programmi e documenti. Generalmente, i virus recapitano un carico detto "payload", come la visualizzazione di un messaggio in una determinata data. Alcuni virus danneggiano in modo specifico i dati alterando programmi, eliminando file o riformattando dischi. Un worm è un tipo particolare di virus che si diffonde da un computer a un altro e può utilizzare la memoria. Questo tipo di virus in genere è presente all'interno di altri file, come i documenti di Microsoft Word o Microsoft Excel. Un worm può rilasciare un documento che contiene già la macro worm al suo interno. Minacce di tipo misto che combinano le caratteristiche di virus, worm, Trojan Horse e codice pericoloso con le vulnerabilità dei server e di Internet, per inizializzare, trasmettere e diffondere un attacco. Le minacce di tipo misto utilizzano più metodi e tecniche di diffusione e attacco e provocano danni molto estesi sulla rete. Nel contesto di Symantec AntiVirus, il termine virus indica tutte le minacce che agiscono come i virus. Symantec AntiVirus consente di rilevare, eliminare e mettere in quarantena i virus e ripararne gli effetti. Un rischio per la sicurezza è un programma conosciuto, ovvero appartenente a una categoria quale adware o spyware, che potrebbe rappresentare un rischio per la sicurezza del computer. È possibile rilevare, mettere in quarantena e riparare gli effetti dei rischi che appartengono a queste categorie di rischi per la sicurezza. Vedere "Informazioni sui rischi per la sicurezza" apagina18.

16 16 Guida rapida di Symantec AntiVirus Informazioni sui virus Come si diffondono i virus I virus possono diffondersi attraverso qualsiasi tipo di rete, modem o supporto magnetico. La maggior parte dei virus di avvio si diffonde esclusivamente tramite i dischi floppy. I virus multivalenti sono particolarmente difficili da individuare, in quanto possono spostarsi come virus di file, infettare i settori di avvio ed essere trasmessi tramite dischi floppy. Lo sviluppo della connettività tramite LAN, Internet e l' globale ha aumentato la velocità di diffusione dei virus. Un'epidemia di virus inizialmente limitata può diffondersi rapidamente a un'altra parte dell'azienda o a utenti in altre parti del mondo, se i file infetti vengono inviati tramite . La fonte primaria di un'infezione da virus sono i file che vengono condivisi e quindi aperti e utilizzati. Tipi di virus I virus vengono classificati in base a ciò che infettano e ai metodi che utilizzano per eludere il rilevamento. I tipi di virus di base sono definiti in base all'area del computer che infettano, come i virus di avvio, i virus di file e i virus delle macro. Altri tipi di codice distruttivo includono worm e Trojan Horse. Questi tipi di codice distruttivo sono diversi dai virus in quanto non si replicano. Virus del settore di avvio I virus del settore di avvio inseriscono istruzioni nei settori di avvio dei dischetti oppure nel settore di avvio o nel record di avvio principale (settore di partizione) di un disco rigido. I virus di avvio sono tra i più efficaci, Quando il computer viene avviato da un disco floppy infetto, il virus infetta a sua volta il disco rigido caricando il proprio codice in memoria. Non è necessario che il disco floppy sia un disco di avvio perché il virus si diffonda. Il virus rimane in memoria e infetta tutti i dischi floppy ai quali si accede. Un disco rigido o un disco floppy con un settore di avvio infetto non infetterà alcun file, a meno che non si tratti di un virus multivalente. Un vero virus di avvio non può diffondersi tramite un server o la rete. Vedere "Informazioni sul record di avvio principale" apagina17. Virus di file I virus di file si associano a file eseguibili, come quelli con estensioni.com,.exe e.dll, inserendo istruzioni nella sequenza di esecuzione. Al momento dell'esecuzione del file infetto, le istruzioni inserite eseguono il codice del virus. Una volta completata l'esecuzione del codice del virus, il file continua la normale sequenza di esecuzione. Il tutto avviene in modo così rapido che l'utente non si rende conto dell'esecuzione del virus.

17 Guida rapida di Symantec AntiVirus Informazioni sui virus 17 Esistono tre sottoclassi di virus di file: residente in memoria: rimane in memoria come programma TSR (Terminate-Stay-Resident) e in genere infetta tutti i file eseguiti ad azione diretta: viene eseguito, infetta altri file, poi viene scaricato ad azione associativa: si associa ai file eseguibili senza modificarli. Ad esempio, il virus crea un file word.com e lo associa al file word.exe. Quando si apre Word, viene eseguito il file word.com infetto, che svolge le attività del virus ed esegue il file word.exe. I danni causati dai virus di file possono variare da danni minori, quali la visualizzazione di messaggi, alla distruzione dei dati. Virus macro A differenza degli altri virus, i virus delle macro non infettano i file di programma, ma i documenti. In genere, i virus delle macro agiscono sugli elaboratori di testi, come Microsoft Word e Lotus AmiPro, e sui fogli di calcolo, come Microsoft Excel. Word utilizza le macro per eseguire operazioni quali la formattazione del testo e l'apertura o la chiusura dei documenti. I virus delle macro possono modificare le macro definite da Word eseguendo azioni dannose, come la sovrascrittura o la nuova definizione delle impostazioni standard in Word. I danni provocati dai virus delle macro vanno dall'inserimento di testo indesiderato nei documenti a una riduzione significativa della funzionalità del computer. In genere, i virus delle macro che infettano Word agiscono sulle macro associate al modello Normal.dot. Il modello è globale, quindi può infettare tutti i file di Word. Informazioni sul record di avvio principale Il record di avvio principale si trova nel primo settore di un'unità disco rigido. Una fase del processo di avvio del computer prevede l'assegnazione del controllo al disco rigido. Nel primo settore del disco rigido si trova inoltre un programma che consente il caricamento del sistema operativo nella RAM. I virus di avvio possono danneggiare il record di avvio principale spostandolo, sovrascrivendolo o eliminandolo. Ad esempio, il virus Monkey sposta il record di avvio principale nel terzo settore del disco rigido e inserisce il proprio codice nel primo settore. Lo spostamento del record di avvio principale rende impossibile l'avvio dal disco rigido. Vedere "Virus del settore di avvio" apagina16.

18 18 Guida rapida di Symantec AntiVirus Informazioni sui rischi per la sicurezza Informazioni sui rischi per la sicurezza I rischi per la sicurezza sono classificati in base al loro comportamento e alla loro finalità. Diversamente da virus e worm, i rischi per la sicurezza non replicano se stessi. È possibile rilevare, mettere in quarantena, eliminare e rimuovere o riparare gli effetti dei rischi che appartengono alle seguenti categorie: Spyware: programmi standalone che, a insaputa dell'utente, possono controllare l'attività del sistema, rilevare informazioni come password e altre informazioni riservate e rimandarle a un altro computer. Gli spyware possono essere scaricati inconsapevolmente da siti Web (generalmente all'interno di programmi shareware o freeware), messaggi di e applicazioni di messaggistica istantanea. È inoltre possibile scaricare inconsapevolmente spyware accettando il contratto di licenza per utente finale di un'applicazione software. Adware: programmi standalone o aggiunti in altri in grado di raccogliere di nascosto informazioni personali tramite Internet e di ritrasmetterle a un altro computer. Gli adware possono registrare le abitudini di navigazione degli utenti e inviare contenuti pubblicitari. Gli adware possono essere scaricati inconsapevolmente da siti Web (generalmente all'interno di programmi shareware o freeware), messaggi di e applicazioni di messaggistica istantanea; possono inoltre essere scaricati senza rendersene conto accettando il contratto di licenza per utente finale di un'applicazione software. Dialer: programmi che utilizzano il computer senza autorizzazione dell'utente o a sua insaputa per collegarsi, tramite Internet, a un numero a pagamento o a un sito FTP e addebitare le spese telefoniche. Strumenti di hacking: programmi utilizzati dagli hacker per accedere senza autorizzazione ad altri computer. Ad esempio, uno strumento di hacking è un programma che controlla la pressione dei tasti, tiene traccia delle singole battute e le registra per inviarle all'hacker, che può quindi eseguire scansioni sulle porte o ricercare i punti vulnerabili. Gli strumenti di hacking possono essere utilizzati anche per creare strumenti per la creazione dei virus. Programmi scherzo: programmi che possono alterare o interrompere il normale funzionamento di un computer in modo da suscitare divertimento o spavento. Ad esempio, un programma di questo tipo può essere scaricato da siti Web (in genere come shareware o freeware), da messaggi di o da un'applicazione di messaggistica immediata e può spostare il Cestino lontano dal mouse durante un'operazione di eliminazione oppure può invertire le funzionalità del clic del mouse. Altri: rischi per la sicurezza che non rientrano in alcuna categoria, ma che possono rappresentare un rischio per i computer e i relativi dati.

19 Guida rapida di Symantec AntiVirus Informazioni sui rischi per la sicurezza 19 Accesso remoto: programmi che consentono l'accesso tramite Internet da un altro computer per ottenere informazioni, attaccare o alterare il computer in uso. Ad esempio, questo tipo di programma può essere installato singolarmente o come parte di un altro processo a insaputa dell'utente Il programma può essere utilizzato per fini pericolosi con o senza la modifica del programma originale di accesso remoto. Trackware: applicazioni standalone o aggiunte che tengono traccia del percorso di navigazione di un utente in Internet e inviano informazioni a un sistema di destinazione. Ad esempio, è possibile che da siti Web, da messaggi di o da applicazioni di messaggistica immediata venga scaricata un'applicazione che raccoglie informazioni riservate sul comportamento dell'utente. Per impostazione predefinita, tutte le scansioni di Symantec AntiVirus, incluse le scansioni di Auto-Protect, ricercano virus, Trojan Horse, worm e tutte le categorie di rischi per la sicurezza. Vedere "Utilizzo di Auto-Protect" apagina49. Vedere "Avvio di scansioni manuali" apagina60. Sul sito Web di Symantec Security Response sono disponibili le informazioni aggiornate sulle minacce e i rischi per la sicurezza. Il sito contiene inoltre esaurienti informazioni di riferimento, ad esempio white paper e informazioni dettagliate sui virus e i rischi per la sicurezza.

20 20 Guida rapida di Symantec AntiVirus Informazioni sui rischi per la sicurezza La Figura 1-1 mostra informazioni relative a uno strumento di hacking e su come Symantec Security Response suggerisce di gestirlo. Figura 1-1 Descrizione dei rischi per la sicurezza di Symantec Security Response Vedere "Accesso al sito Web di Symantec Security Response" apagina44.

21 Guida rapida di Symantec AntiVirus Come Symantec AntiVirus risponde a virus e rischi per la sicurezza 21 Come Symantec AntiVirus risponde a virus e rischi per la sicurezza Symantec AntiVirus protegge il computer da virus e rischi per la sicurezza indipendentemente dalla loro origine. I computer vengono protetti dai virus i dai rischi per la sicurezza che si diffondono tramite i dischi rigidi, i dischi floppy e altri elementi che prevedono l'utilizzo delle reti. I computer sono protetti anche dai virus e dai rischi per la sicurezza che si diffondono tramite gli allegati dei messaggi di o in altri modi. Ad esempio, un rischio per la sicurezza può autoinstallarsi sul computer all'insaputa dell'utente quando questi accede a Internet. I file all'interno di altri file compressi vengono analizzati e ripuliti da virus e rischi per la sicurezza. Non sono necessari altri programmi o modifiche alle opzioni per i virus provenienti da Internet. Auto-Protect esegue automaticamente la scansione dei file di documento e di programma non compressi quando vengono scaricati. Gli eventuali file infetti da virus o da rischi per la sicurezza individuati subiscono due azioni. Quando viene individuato un virus durante una scansione, per impostazione predefinita viene eseguito il tentativo di ripulire il file infetto dal virus e di ripararne gli effetti. Se l'operazione riesce, il virus viene rimosso in modo completo e definitivo. Se per qualche motivo non è possibile pulire il file, viene eseguita la seconda azione che consiste nello spostare il file infetto nell'area di quarantena, in modo da impedire la diffusione del virus. Quando la protezione antivirus viene aggiornata, viene automaticamente verificato se nell'area di quarantena sono presenti dei file che è possibile analizzare con le nuove informazioni di protezione. Nota: è possibile che l'amministratore scelga di eseguire automaticamente la scansione dei file nell'area di quarantena.

22 22 Guida rapida di Symantec AntiVirus Protezione del computer con Symantec AntiVirus Per impostazione predefinita, i file infetti da rischi per la sicurezza vengono messi in quarantena e vengono quindi visualizzate le informazioni di sistema che indicano che il rischio per la sicurezza è stato ripristinato allo stato precedente. Alcuni rischi per la sicurezza non possono essere rimossi completamente senza causare il malfunzionamento di un altro programma presente sul computer, ad esempio un browser web. Se Symantec AntiVirus non è configurato per la gestione automatica dei rischi, verrà visualizzato un messaggio prima dell'interruzione di un processo o dell'avvio del computer. In alternativa, è possibile configurare Symantec AntiVirus per la registrazione solo delle azioni relative ai rischi per la sicurezza. Quando viene rilevato un rischio per la sicurezza, nella finestra di scansione è disponibile un collegamento a Symantec Security Response, utilizzabile per ottenere maggiori informazioni su tale rischio. L'amministratore di sistema può oltre optare per l'invio di un messaggio personalizzato. Protezione del computer con Symantec AntiVirus Le infezioni da virus possono essere evitate. I virus individuati e rimossi tempestivamente dal computer non possono diffondersi ad altri file provocando danni. Gli effetti dei rischi per la sicurezza e dei virus possono essere riparati. Quando viene rilevato un virus o un rischio per la sicurezza, per impostazione predefinita viene generato un avviso che indica all'utente che uno o più file sono infetti. Per non visualizzare l'avviso, l'utente o l'amministratore può configurare Symantec AntiVirus per la gestione automatica dei rischi. In Symantec AntiVirus sono disponibili i seguenti tipi di protezione: Auto-Protect: controlla costantemente l'attività del computer avviando la ricerca dei virus e dei rischi per la sicurezza a ogni esecuzione o apertura di un file oppure dopo modifiche quali la ridenominazione, il salvataggio, lo spostamento o la copia in altre cartelle. Scansione basata sulle firme: ricerca firme di virus residue in file infetti e firme di rischi per la sicurezza nei file infetti e nelle informazioni sul sistema. Questa ricerca viene chiamata scansione. A seconda della modalità di gestione del computer, l'utente e l'amministratore aziendale possono avviare scansioni basate sulle firme o sui profili per la verifica sistematica della presenza di virus e rischi per la sicurezza, quali adware e spyware, nei file del computer. Le scansioni possono essere eseguite su richiesta, pianificate per l'esecuzione automatica o eseguite automaticamente all'avvio del sistema.

23 Guida rapida di Symantec AntiVirus Aggiornamento costante della protezione di Symantec AntiVirus 23 Euristica avanzata: analizza la struttura di un programma, il suo comportamento ed altri attributi alla ricerca di caratteristiche tipiche dei virus. In molti casi può costituire una protezione contro minacce come worm a diffusione di massa e virus delle macro, qualora li si fronteggi prima di aver aggiornato le definizioni dei virus. L'euristica avanzata ricerca le minacce basate sugli script nei file HTML, VBScript e JavaScript. Aggiornamento costante della protezione di Symantec AntiVirus Gli ingegneri Symantec tengono traccia di ogni segnalazione di contagio dei virus informatici al fine di identificarne di nuovi. Viene tenuta traccia anche dei nuovi rischi per la sicurezza, come adware e spyware. Dopo aver identificato un virus o un rischio per la sicurezza, la relativa firma (informazioni sul virus o sul rischio) viene memorizzata in un file delle definizioni, che include le informazioni necessarie a rilevare, eliminare e riparare gli effetti del virus o del rischio per la sicurezza. Quando viene eseguita la scansione alla ricerca di virus e rischi per la sicurezza, vengono ricercati proprio questi tipi di firme. Symantec rende disponibili aggiornamenti periodici delle definizioni che vengono aggiornate quotidianamente nel sito Web di Symantec Security Response. Sono disponibili nuove definizioni da scaricare utilizzando LiveUpdate almeno una volta la settimana e ogni volta che si presenta la minaccia di un nuovo virus distruttivo. Quando i nuovi virus e rischi per la sicurezza sono così complessi che la diffusione di nuovi file delle definizioni non è sufficiente, i tecnici Symantec possono aggiornare il motore antivirus con i componenti di rilevazione e riparazione più recenti. Quando risulta necessario, gli aggiornamenti del motore antivirus vengono inclusi con i file delle definizioni. Informazioni sul ruolo di Symantec Security Response Uno dei punti di forza di Symantec AntiVirus è Symantec Security Response. Il crescente numero di virus e rischi per la sicurezza che infettano i computer richiede grandi sforzi per tenere traccia, identificare e analizzare queste minacce e per sviluppare nuove tecnologie a protezione dei computer. I ricercatori di Symantec Security Response analizzano la struttura di ogni campione di virus e rischio per la sicurezza per evidenziare le caratteristiche e il comportamento che consentono di identificarlo. Grazie a queste informazioni, vengono sviluppate definizioni utilizzate dai prodotti Symantec per rilevare, eliminare e riparare gli effetti di virus e rischi per la sicurezza nuovi durante le scansioni.

24 24 Guida rapida di Symantec AntiVirus Aggiornamento costante della protezione di Symantec AntiVirus Data la notevole velocità con cui si diffondono i nuovi virus, in particolare su Internet, Symantec Security Response ha sviluppato strumenti software di analisi automatizzata. Con la funzione di invio diretto dei file infetti da Quarantena centrale a Symantec Security Response tramite Internet, il tempo necessario per scoprire, analizzare e suggerire le soluzioni più adatte si è ridotto da giorni a ore e in un prossimo futuro è pensabile che si possa arrivare a pochi minuti. Inoltre, i ricercatori di Symantec Security Response ricercano e producono le tecnologie per proteggere i computer da rischi per la sicurezza, quali spyware, adware e strumenti di hacking. In Symantec Security Response viene mantenuta costantemente aggiornata un'enciclopedia che include informazioni dettagliate sui virus e sui rischi per la sicurezza. Se necessario, vengono fornite le informazioni sulla rimozione o la disinstallazione del rischio. L'enciclopedia si trova nel sito Web di Symantec Security Response. Vedere "Accesso al sito Web di Symantec Security Response" apagina44. Aggiornamento della protezione contro virus e rischi per la sicurezza L'amministratore determina la modalità di aggiornamento delle definizioni dei virus e dei rischi per la sicurezza. Potrebbe non essere necessario eseguire alcuna operazione per ricevere le nuove definizioni. La funzionalità LiveUpdate in Symantec AntiVirus può essere impostata dall'amministratore per garantire che la protezione contro virus e rischi per la sicurezza sia sempre aggiornata. Grazie a LiveUpdate, Symantec AntiVirus è in grado di connettersi automaticamente a uno speciale sito Web, di determinare se i file in possesso necessitano di aggiornamento, quindi di scaricare i file appropriati e di installarli sul computer nella posizione corretta. Vedere "Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza" apagina38.

25 Capitolo 2 Informazioni di base su Symantec AntiVirus Questo capitolo comprende i seguenti argomenti: Informazioni sulle licenze di contenuto Apertura di Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus Attivazione e disattivazione di Auto-Protect Pausa e posticipo delle scansioni Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza Utilizzo di Symantec AntiVirus con Centro sicurezza PC Windows Per ulteriori informazioni Informazioni sulle licenze di contenuto Una licenza di contenuto è una concessione fornita da Symantec Corporation per aggiornare i computer che utilizzano software Symantec. La licenza di contenuto garantisce che i prodotti Symantec ricevano gli aggiornamenti più recenti per un periodo di tempo specificato. Gli aggiornamenti dei contenuti includono definizioni di virus e di rischi per la sicurezza. Si consiglia di allocare o installare una licenza di contenuto su tutti i computer in cui viene eseguito Symantec AntiVirus. Nota: in alcune aziende, gli aggiornamenti dei contenuti di Symantec sono regolati da una licenza per sito. In tali casi, le licenze di contenuto non sono applicabili e non è necessario fare riferimento alla presente sezione.

26 26 Informazioni di base su Symantec AntiVirus Informazioni sulle licenze di contenuto I client Symantec possono ricevere un aggiornamento senza disporre della licenza di contenuto. per garantire che l'applicazione software installata di recente disponga della protezione più aggiornata mentre si richiede una licenza di contenuto a Symantec per gli aggiornamenti futuri. Pertanto, i computer senza licenze di contenuto valide non riceveranno gli aggiornamenti. Le licenze di contenuto vengono installate nei seguenti modi: Per i client gestiti con Symantec System Center, un client riceve automaticamente una postazione di licenza quando si connette al relativo server di appartenenza. Per installare una licenza di contenuto non è necessario eseguire alcuna operazione. Per i client gestiti con strumenti di distribuzione di terze parti, l'amministratore garantisce che i client ricevano automaticamente una licenza. Per installare una licenza di contenuto non è necessario eseguire alcuna operazione. Per i client non gestiti, in cui non viene utilizzato Symantec System Center, installare il file della licenza di contenuto. L'amministratore fornisce il file oppure ne notifica la posizione all'utente che può quindi provvedere all'installazione. Installazione di una licenza di contenuto in un client non gestito L'amministratore fornisce il file della licenza di contenuto in uno dei seguenti modi: inviando il file della licenza di contenuto per . collocando il file della licenza di contenuto su un'unità di rete e notificandone la posizione. Per installare una licenza di contenuto in un client non gestito 1 In Symantec AntiVirus, fare clic su Visualizza > Licenza. 2 Nel riquadro destro, fare clic su Installa licenza. 3 Nel passaggio 1 dell'installazione guidata licenza, fare clic su Sfoglia per individuare il file della licenza di contenuto, quindi fare clic su Avanti. 4 Nel passaggio 2 dell'installazione guidata licenza, confermare le informazioni sulla licenza, quindi fare clic su Avanti. 5 Per uscire dall'installazione guidata licenza, fare clic su Fine.

27 Informazioni di base su Symantec AntiVirus Apertura di Symantec AntiVirus 27 Apertura di Symantec AntiVirus È possibile aprire Symantec AntiVirus in vari modi. Per aprire Symantec AntiVirus Effettuare una delle seguenti operazioni. Nella barra delle applicazioni di Windows, fare doppio clic sull'icona di Symantec AntiVirus. L'amministratore determina se l'icona verrà visualizzata o meno sulla barra delle applicazioni. Nella barra delle applicazioni di Windows o Windows XP, fare clic su Start > Programmi > Symantec Client Security > Symantec AntiVirus o Start > Tutti i programmi > Symantec Client Security > Symantec AntiVirus.

28 28 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus La finestra principale di Symantec AntiVirus è suddivisa in due riquadri. Nel riquadro sinistro le attività che è possibile eseguire sono raggruppate per categoria. Ad esempio, Scansione disco floppy, Scansione personalizzata, Scansione rapida e Scansione completa appartengono alla categoria Scansione. Nel riquadro sinistro ciascuna categoria è rappresentata da una singola icona. Quando si selezionano le categorie e altri elementi del riquadro sinistro, nel riquadro destro vengono visualizzate le informazioni necessarie per l'esecuzione di un'operazione. Per esplorare la finestra principale di Symantec AntiVirus Nel riquadro sinistro effettuare una delle seguenti operazioni: Fare clic sul segno più per espandere una cartella. Fare clic sul segno meno per comprimere una cartella. Selezionare un elemento per visualizzare le relative informazioni nel riquadro destro.

29 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus 29 Visualizzazione delle categorie di Symantec AntiVirus Le attività che è possibile eseguire utilizzando Symantec AntiVirus sono suddivise in varie categorie principali. Per ciascuna categoria è disponibile un determinato numero di opzioni. Nelle tabelle seguenti non sono descritte le singole opzioni che è possibile modificare, ma viene fornita la descrizione generale della loro funzione con l'indicazione di dove trovarle. Per informazioni dettagliate su un'opzione, vedere la Guida in linea. Categoria Visualizza È possibile utilizzare la categoria Visualizza per tenere traccia delle attività dell'antivirus e dei rischi per la sicurezza. Tabella 2-1 Opzione Categoria Visualizza Descrizione Statistiche di scansione di Auto-Protect Scansioni pianificate Quarantena Consente di visualizzare le statistiche sullo stato delle scansioni di Auto-Protect, incluso il nome dell'ultimo file esaminato, anche se non infetto. Consente di visualizzare l'elenco di tutte le scansioni pianificate create per l'esecuzione sul computer, compresi il nome, la frequenza e l'autore della scansione. Una scansione pianificata può essere creata dall'utente o dall'amministratore dell'azienda. Consente di gestire il file infetti che sono stati isolati per impedire la diffusione dei virus o degli effetti dei rischi per la sicurezza. Vedere "Ripetizione della scansione sui file in quarantena" apagina88.

30 30 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus Tabella 2-1 Opzione Elementi di backup Categoria Visualizza (Continua) Descrizione Consente di eliminare le copie di backup dei file infetti. Come precauzione per la sicurezza dei dati, prima di tentare la pulizia di un file viene creata una copia di backup del file. Dopo aver verificato che in il virus sia stato eliminato da un elemento infetto, è necessario eliminare la copia presente in Elementi di backup. Dopo la messa in quarantena dei file infetti da rischi per la sicurezza, ne viene creata una copia di backup. Viene inoltre conservata una copia delle impostazioni del registro e dei punti di caricamento del sistema interessati dai rischi per la sicurezza, ad esempio spyware e adware. I punti di caricamento del sistema sono aree del software particolarmente vulnerabili ai rischi per la sicurezza. Nota: in alcuni casi, l'eliminazione di un rischio per la sicurezza può comportare problemi di funzionamento in alcune applicazioni. Pertanto, prima di eliminare l'elemento del rischio per la sicurezza al fine di liberare spazio sul disco, verificare che tale elemento non sia necessario per l'esecuzione di alcune applicazioni. Vedere "Cancellazione degli elementi di backup" apagina91. Elementi riparati Licenza Si applica solo alle licenze di contenuto; la voce non viene visualizzata nel menu se si utilizza una licenza per sito. Elementi ripuliti o riparati le cui posizioni originali non sono più disponibili, ad esempio un'unità di rete. Ad esempio, è possibile che un allegato infetto sia stato estratto da un messaggio di e inserito in quarantena. Dopo la pulizia in quarantena e lo spostamento in Elementi riparati, è possibile specificare la posizione in cui ripristinare il file pulito. Consente di visualizzare le informazioni sulla licenza corrente. Tali informazioni includono lo stato, il numero di serie e le date di inizio e scadenza della licenza. È possibile avviare la procedura di installazione guidata della licenza.

31 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus 31 Categoria Scansione La categoria Scansione consente di eseguire una scansione manuale del computer. Tabella 2-2 Opzione Categoria Scansione Descrizione Scansione disco floppy Scansione personalizzata Scansione rapida Scansione completa Consente di eseguire la scansione di dischi floppy e altri supporti rimovibili. Consente di eseguire una scansione manuale di un file, una cartella, un'unità o un intero computer in qualsiasi momento. Vedere "Avvio di scansioni manuali" apagina60. Consente di eseguire una scansione rapida della memoria di sistema e di tutte le posizioni più comuni all'interno del computer, alla ricerca di virus e rischi per la sicurezza. Consente di eseguire una scansione completa del sistema, inclusi il settore di avvio e la memoria di sistema. Per la scansione delle unità di rete è possibile che venga richiesta l'immissione di una password. Categoria Configura È possibile utilizzare la categoria Configura per impostare Auto-Protect in modo che i file e gli allegati di (per i client di supportati) vengano controllati e per impostare Protezione contro manomissioni in modo da impedire che le applicazioni Symantec vengano manomesse. Tabella 2-3 Opzione Categoria Configura Descrizione Auto-Protect per File System Ogniqualvolta si accede, si copia, si salva, si sposta o si apre un file, esso viene esaminato per accertare che non sia infettato da un virus o da un rischio per la sicurezza. Auto-Protect comprende la funzione SmartScan che, una volta attivata, può determinare il tipo di file anche se un virus ne cambia l'estensione. Vedere "Utilizzo di Auto-Protect" apagina49.

32 32 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus Tabella 2-3 Opzione Categoria Configura (Continua) Descrizione Auto-Protect per l' Internet Auto-Protect per Lotus Notes e per Microsoft Exchange Protezione contro manomissioni Per i client di groupware (client Lotus Notes e Microsoft Exchange/Microsoft Outlook ), è disponibile una protezione aggiuntiva per l' . Per i client di Internet, è supportata una funzione di protezione ai messaggi di in entrata e in uscita che utilizzano il protocollo di comunicazione POP3 o SMTP. Protezione contro le manomissioni protegge le applicazioni Symantec dalle manomissioni da parte di utenti non autorizzati. Categoria Cronologia È possibile utilizzare la categoria Cronologia per tenere traccia di informazioni relative alle scansioni eseguite sul computer e delle infezioni da virus e dei rischi per la sicurezza individuati. Tabella 2-4 Opzione Categoria Cronologia Descrizione Cronologia dei rischi Cronologia scansioni Visualizza un elenco degli argomenti seguenti: Virus che hanno infettato il computer, incluse importanti informazioni aggiuntive sull'infezione. Rischi per la sicurezza, ad esempio adware e spyware, rilevati e registrati, messi in quarantena e riparati oppure eliminati dal computer. La Cronologia dei rischi relativa ai rischi per la sicurezza include un collegamento alla pagina Web di Symantec Security Response in cui sono disponibili ulteriori informazioni. Consente di tenere traccia delle scansioni eseguite sul computer nel corso del tempo. Le scansioni vengono visualizzate insieme a importanti informazioni aggiuntive.

33 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus 33 Tabella 2-4 Opzione Registro eventi. Cronologia delle manomissioni Categoria Cronologia (Continua) Descrizione Consente di visualizzare un registro delle attività sul computer connesse a virus e rischi per la sicurezza, inclusi modifiche alla configurazione, errori e informazioni sui file delle definizioni. Consente di visualizzare un elenco dei tentativi di manomissione delle applicazioni Symantec sul computer che sono stati impediti da Protezione contro manomissioni. Categoria Scansioni all'avvio La categoria Scansioni all'avvio consente di creare e configurare le scansioni da eseguire all'avvio del computer. Tabella 2-5 Opzione Categoria Scansioni all'avvio Descrizione Nuova scansione all'avvio Scansione rapida a generazione automatica Oltre alla scansione pianificata, alcuni utenti preferiscono eseguire un'ulteriore scansione a ogni avvio del computer. Spesso, la scansione all'avvio viene impostata in modo da esaminare solo le cartelle critiche e a rischio di infezione elevato, ad esempio la cartella di Windows e le cartelle contenenti i modelli di Microsoft Word e Microsoft Excel. Vedere "Creazione delle scansioni all'avvio" apagina65. Con questo tipo di scansione, ogni volta che un utente si connette al computer vengono analizzati i file nella memoria e in altre posizioni ad alto rischio di infezioni alla ricerca di virus e rischi per la sicurezza. È possibile configurare questo tipo di scansione allo stesso modo di una scansione manuale, con l'eccezione che non è possibile interrompere il processo di scansione dei file nella memoria e in altre posizioni ad alto rischio di infezioni sul computer. Nota: questo tipo di scansione è disponibile solo per i client non gestiti.

34 34 Informazioni di base su Symantec AntiVirus Esplorazione della finestra principale di Symantec AntiVirus Categoria Scansioni definite dall'utente La categoria Scansioni definite dall'utente consente di creare scansioni preconfigurate che è possibile eseguire manualmente. Tabella 2-6 Opzione Categoria Scansioni definite dall'utente Descrizione Nuova scansione definita dall'utente Se si esegue regolarmente la scansione di uno stesso gruppo di file o cartelle, è possibile creare una scansione personalizzata limitata a tali elementi. In qualunque momento è possibile verificare rapidamente che i file e le cartelle specificate siano esenti di virus e di rischi per la sicurezza. Vedere "Creazione di scansioni definite dall'utente" apagina66. Categoria Scansioni pianificate La categoria Scansioni pianificate consente di creare scansioni preconfigurate che vengono eseguite automaticamente all'ora specificata. Tabella 2-7 Opzione Categoria Scansioni pianificate Descrizione Nuova scansione pianificata Consente di creare una scansione pianificata dei dischi rigidi da eseguire almeno una volta alla settimana. Una scansione pianificata garantisce che nel computer non siano presenti virus e rischi per la sicurezza. Vedere "Creazione di scansioni pianificate" apagina62.

35 Informazioni di base su Symantec AntiVirus Attivazione e disattivazione di Auto-Protect 35 Attivazione e disattivazione di Auto-Protect Se le impostazioni predefinite per l'opzione non sono state modificate, Auto- Protect viene caricato all'avvio del computer in modo da proteggerlo da virus e rischi per la sicurezza. Viene verificato che i programmi siano privi di virus e rischi per la sicurezza durante l'esecuzione e il computer viene monitorato in relazione a qualsiasi attività che possa indicare la presenza di un virus o di un rischio per la sicurezza. Quando viene rilevato un virus, un'attività simile a virus (un evento che potrebbe essere il risultato dell'attività di un virus) o un rischio per la sicurezza, l'utente riceve una notifica da Auto-Protect. In alcuni casi è possibile che venga segnalata un'attività simile a virus che l'utente riconosce come non pericolosa. Ad esempio, è possibile che ciò si verifichi durante l'installazione di nuovi programmi. In tal caso, per fare in modo che gli avvisi non vengano visualizzati, è possibile disattivare temporaneamente Auto-Protect. Assicurarsi di riattivarlo al termine dell'operazione in modo da garantire la protezione del computer. L'amministratore può bloccare Auto-Protect per impedire agli utenti di disattivarlo oppure può consentirne la disattivazione temporanea e fare in modo che venga riattivato automaticamente dopo un determinato periodo di tempo. Attivazione e disattivazione di Auto-Protect del file system L'icona di Symantec AntiVirus viene visualizzata sulla barra delle applicazioni, nell'angolo inferiore destro del desktop di Windows. In alcune configurazioni l'icona non viene visualizzata. L'icona di Symantec AntiVirus è caratterizzata da uno scudo. Fare clic con il pulsante destro del mouse sull'icona per visualizzare un segno di spunta accanto ad Attiva Auto-Protect quando Auto-Protect per File System è attivato. Quando Auto-Protect del file system è disattivato, l'icona corrispondente è coperta da un cerchio rosso con una barra trasversale. Per attivare e disattivare Auto-Protect per File System dalla barra delle applicazioni Nella barra delle applicazioni sul desktop di Windows, fare clic con il pulsante destro del mouse sull'icona di, quindi fare clic su Attiva Auto-Protect.

36 36 Informazioni di base su Symantec AntiVirus Pausa e posticipo delle scansioni Per attivare e disattivare Auto-Protect del file system da Symantec AntiVirus 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Configura. 2 Nel riquadro destro fare clic su Auto-Protect per il File System. 3 Selezionare o deselezionare Attiva Auto-Protect. 4 Fare clic su OK. Lo stato corrente di Auto-Protect per File System viene aggiornato in modo dinamico a destra della casella di controllo. Pausa e posticipo delle scansioni La funzione Pausa consente di sospendere in qualsiasi momento una scansione e di riprenderla in un altro momento. È possibile sospendere qualsiasi scansione avviata. L'amministratore di rete determina se è possibile per l'utente sospendere una scansione pianificata dall'amministratore stesso. Per le scansioni pianificate avviate dall'amministratore di rete, è possibile che l'utente sia autorizzato anche a posticipare la scansione. Se l'amministratore ha attivato la funzione di posticipo, è possibile ritardare una scansione pianificata dall'amministratore per un determinato intervallo di tempo. Quando viene ripresa l'esecuzione, la scansione viene riavviata dall'inizio. Sospendere la scansione se si prevede di riprenderne l'esecuzione dopo un breve periodo di tempo. Utilizzare la funzione di posticipo per posticipare la scansione per un lungo periodo di tempo durante il quale non si desidera essere interrotti, ad esempio durante una presentazione. Pausa e posticipo delle scansioni Utilizzare le procedure seguenti per sospendere una scansione avviata dall'utente o per posticipare una scansione pianificata dall'amministratore. Se il pulsante Scansione in pausa non è disponibile, l'amministratore di rete ha disattivato la funzione Pausa. Nota: se è in corso la scansione di un file compresso quando si sceglie di sospendere la scansione, è possibile che sia necessario attendere alcuni istanti.

37 Informazioni di base su Symantec AntiVirus Pausa e posticipo delle scansioni 37 Per sospendere una scansione 1 Durante l'esecuzione della scansione, nella finestra di dialogo della scansione fare clic sull'icona di pausa. Avvia la scansione Sospende la scansione Interrompe la scansione Nella finestra di dialogo di scansione vengono visualizzati gli stessi pulsanti per le scansioni avviate dall'utente e quelle avviate dall'amministratore Se è stata avviata dall'utente, la scansione viene interrotta e la finestra di dialogo di scansione rimane visualizzata finché non viene riavviata la scansione. Se la scansione è stata pianificata dall'amministratore, viene visualizzata la finestra di dialogo Pausa scansione pianificata. 2 Nella finestra di dialogo Pausa scansione pianificata, fare clic su Pausa. La scansione pianificata dall'amministratore viene interrotta e la finestra di dialogo di scansione rimane visualizzata finché non viene riavviata la scansione. 3 Nella finestra di dialogo di scansione, fare clic sull'icona di avvio per continuare la scansione.

38 38 Informazioni di base su Symantec AntiVirus Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza Per posticipare una scansione pianificata dall'amministratore 1 Nella finestra di dialogo della scansione in corso, fare clic su Scansione in pausa. 2 Nella finestra di dialogo Pausa scansione pianificata, fare clic su Posticipo di 1 ora oppure su Posticipo di 3 ore. Il periodo di posticipo della scansione viene specificato dall'amministratore. Una volta trascorso il periodo di tempo impostato, la scansione viene riavviata dall'inizio. L'amministratore specifica il numero di volte per le quali l'utente può posticipare la scansione pianificata prima che la funzione venga disattivata. Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza Symantec AntiVirus si basa su informazioni costantemente aggiornate per rilevare, eliminare e riparare gli effetti di virus e rischi per la sicurezza. Una delle principali ragioni all'origine dei virus o dei rischi per la sicurezza è il mancato aggiornamento dei file delle definizioni dopo l'installazione. I file delle definizioni includono le informazioni necessarie per il rilevamento e la riparazione di tutti i virus e i rischi per la sicurezza di recente individuazione. Symantec fornisce file delle definizioni aggiornati con frequenza settimanale tramite LiveUpdate e ogni giorno tramite i file di Intelligent Updater pubblicati sul sito Web di Symantec Security Response. Vengono inoltre forniti aggiornamenti ogni volta che viene rilevata una nuova minaccia virale. Si consiglia di procedere all'aggiornamento delle definizioni con frequenza almeno settimanale. La pianificazione dell'esecuzione automatica di LiveUpdate rappresenta il metodo più semplice ed efficace per non dimenticare questa importante operazione. È inoltre consigliabile procedere subito all'aggiornamento quando si viene a conoscenza di nuovi virus particolarmente distruttivi.

39 Informazioni di base su Symantec AntiVirus Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza 39 LiveUpdate consente la connessione automatica a uno specifico sito Web di Symantec per determinare se è necessario aggiornare le definizioni dei virus e dei rischi per la sicurezza. In caso affermativo, i file necessari vengono scaricati e installati nel percorso corretto. In genere, LiveUpdate non richiede alcuna configurazione da parte dell'utente; l'unico requisito è quello di avere una connessione a Internet. Nota: è possibile che l'amministratore abbia specificato un periodo massimo, in giorni, dopo il quale è necessario che le definizioni di virus e rischi per la sicurezza vengano aggiornate. Una volta superato il numero di giorni specificato, LiveUpdate viene eseguito automaticamente non appena viene rilevata una connessione a Internet. Pianificazione degli aggiornamenti con LiveUpdate Per impostazione predefinita, LiveUpdate è programmato per essere eseguito automaticamente ogni venerdì alle ore Per poter eseguire l'aggiornamento pianificato, è necessario che il computer sia acceso e abbia accesso a Internet. Pianificare gli aggiornamenti con LiveUpdate È possibile modificare l'ora e la frequenza di esecuzione di LiveUpdate a seconda delle proprie esigenze. Nota: in una rete gestita a livello centralizzato, è possibile che l'amministratore distribuisca alle workstation definizioni aggiornate dei virus e dei rischi per la sicurezza. In tal caso, l'utente non deve effettuare alcuna operazione. Per attivare l'esecuzione pianificata di LiveUpdate 1 Nel menu File di Symantec AntiVirus, fare clic su Pianifica aggiornamenti.

40 40 Informazioni di base su Symantec AntiVirus Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza 2 Nella finestra di dialogo Pianificazione aggiornamento definizioni dei virus, selezionare Attiva pianificazione aggiornamenti automatici. Nota: l'operazione consente di aggiornare le definizioni sia dei virus sia dei rischi per la sicurezza. 3 Fare clic su OK. Per impostare le opzioni di pianificazione di LiveUpdate 1 Nella finestra di dialogo Pianificazione aggiornamento definizioni dei virus, fare clic su Pianifica. 2 Nella finestra di dialogo Pianificazione aggiornamento definizioni dei virus, specificare la frequenza, il giorno e l'ora desiderati per l'esecuzione di LiveUpdate. 3 Fare clic su OK fino a quando non viene visualizzata di nuovo la finestra principale di Symantec AntiVirus. Per impostare le opzioni di pianificazione avanzate di LiveUpdate 1 Nel menu File fare clic su Pianifica aggiornamenti. 2 Nella finestra di dialogo Pianificazione aggiornamento definizioni dei virus, fare clic su Pianifica. 3 Nella finestra di dialogo Pianificazione aggiornamento definizioni dei virus, fare clic su Avanzate. 4 Nella finestra di dialogo Opzioni di pianificazione avanzate, effettuare una delle seguenti operazioni: Per configurare Symantec AntiVirus in modo che gli eventi di LiveUpdate pianificati non eseguiti vengano eseguiti in un secondo momento, selezionare Gestisci eventi non eseguiti entro e impostare il numero di giorni. Per configurare Symantec AntiVirus in modo che gli eventi di LiveUpdate pianificati vengano eseguiti entro un intervallo di tempo specificato anziché a un'ora specifica, selezionare il tipo di esecuzione casuale che si desidera utilizzare e impostare i minuti e i giorni della settimana o il numero di giorni del mese. 5 Fare clic su OK fino a quando non viene visualizzata di nuovo la finestra principale di Symantec AntiVirus.

41 Informazioni di base su Symantec AntiVirus Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza 41 Aggiornamento immediato della protezione tramite LiveUpdate Se viene segnalato un nuovo virus, non attendere il successivo aggiornamento pianificato ma procedere immediatamente all'aggiornamento protezione contro virus e rischi per la sicurezza. Per aggiornare immediatamente la protezione antivirus con LiveUpdate 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Symantec AntiVirus. 2 Nel riquadro di destra, fare clic su LiveUpdate. 3 Se necessario, nella finestra di dialogo di LiveUpdate fare clic su Opzioni > Configura per personalizzare la connessione Internet per LiveUpdate. È possibile modificare la connessione del provider di servizi Internet o la modalità di connessione del computer a Internet tramite un server proxy. Per ulteriori informazioni, vedere la Guida in linea di LiveUpdate. 4 Fare clic su Avanti per avviare l'aggiornamento automatico. Aggiornamento senza LiveUpdate In alternativa a LiveUpdate, Symantec fornisce uno speciale programma chiamato Intelligent Updater. È possibile scaricare gli aggiornamenti dal sito Web di Symantec Security Response. Vedere "Accesso al sito Web di Symantec Security Response" a pagina 44.

42 42 Informazioni di base su Symantec AntiVirus Utilizzo di Symantec AntiVirus con Centro sicurezza PC Windows Per eseguire l'aggiornamento senza LiveUpdate 1 Scaricare il programma Intelligent Updater in una cartella del proprio computer. 2 Nella finestra Risorse del computer o Esplora risorse, cercare il programma Intelligent Updater e fare doppio clic sul programma. 3 Seguire tutte le istruzioni visualizzate dal programma di aggiornamento. Tramite il programma Intelligent Updater viene ricercato Symantec AntiVirus sul computer e quindi installati automaticamente nella cartella corretta i nuovi file delle definizioni di virus e dei rischi per la sicurezza. 4 Eseguire la scansione del computer per assicurarsi che virus e rischi per la sicurezza di nuova rilevazione vengano individuati. Utilizzo di Symantec AntiVirus con Centro sicurezza PC Windows Se si utilizza Centro sicurezza PC Windows con Windows XP Service Pack 2 per monitorare lo stato della sicurezza, è possibile visualizzare lo stato di Symantec AntiVirus in Centro sicurezza PC Windows. Nella Tabella 2-8 è incluso un reporting sullo stato della protezione in Centro sicurezza PC Windows. Tabella 2-8 Reporting sulla stato della protezione in Centro sicurezza PC Windows Condizione del prodotto Symantec Stato della protezione Symantec AntiVirus non è installato Symantec AntiVirus è installato con protezione completa Symantec AntiVirus è installato ma le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec AntiVirus è installato ma Auto-Protect per File System non è attivato Symantec AntiVirus è installato, Auto-Protect del file system non è attivato e le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec AntiVirus è installato e Rtvscan è stato disattivato manualmente NON TROVATO (rosso) ATTIVATO (verde) NON AGGIORNATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso)

43 Informazioni di base su Symantec AntiVirus Per ulteriori informazioni 43 Tabella 2-9 è incluso il reporting dello stato di Symantec Client Firewall in Centro sicurezza PC Windows. Tabella 2-9 Notifica dello stato del firewall in Centro sicurezza PC Condizione del prodotto Symantec Stato del firewall Symantec Client Firewall non è installato Symantec Client Firewall è installato e attivato Symantec Client Firewall è installato ma non attivato Symantec Client Firewall non è installato o attivato, ma è installato e attivato un firewall di terzi NON TROVATO (rosso) ATTIVATO (verde) DISATTIVATO (rosso) ATTIVATO (verde) Nota: in Symantec Client Security Windows Firewall è disattivato per impostazione predefinita. Se esistono più firewall attivati, Centro sicurezza PC riferisce che sono installati e attivati più firewall. Per ulteriori informazioni Accesso alla Guida in linea Se sono necessarie ulteriori informazioni susymantec AntiVirus, è possibile accedere alla Guida in linea. È inoltre possibile reperire informazioni sui virus e sui rischi per la sicurezza sul Sito Web di Symantec. Il sistema della guida in linea di Symantec AntiVirus include informazioni generali e procedure passo-passo per supportare l'utente nella protezione del computer da virus e rischi per la sicurezza. Nota: è possibile che l'amministratore abbia preferito non installare i file della Guida in linea.

44 44 Informazioni di base su Symantec AntiVirus Per ulteriori informazioni Per aprire la Guida in linea mediante Symantec AntiVirus Eseguire una delle seguenti operazioni: Nel menu?, fare clic su Guida in linea. Nel riquadro destro, fare clic su?. La Guida sensibile al contesto è disponibile soltanto nelle schermate in cui è possibile eseguire operazioni. Accesso al sito Web di Symantec Security Response Se si è connessi a Internet, è possibile visitare il sito Web di Symantec Security Response per visualizzare i seguenti elementi: Enciclopedia dei virus, contenente informazioni su tutti i virus conosciuti informazioni sui virus fasulli white paper sui virus e sulle minacce virali in generale Informazioni generali e dettagliate sui rischi per la sicurezza Per accedere al sito Web di Symantec Security Response Nel browser Internet, digitare il seguente indirizzo Web:

45 Capitolo 3 Protezione del computer da virus e rischi per la sicurezza Questo capitolo comprende i seguenti argomenti: Informazioni sulle politiche relative ai rischi per la sicurezza e antivirus Utilizzo di Auto-Protect Utilizzo di Protezione contro le manomissioni Scansione alla ricerca di virus e rischi per la sicurezza Configurazione della scansione Interpretazione dei risultati della scansione Esclusione di file dalle scansioni Informazioni sulle politiche relative ai rischi per la sicurezza e antivirus In Symantec AntiVirus sono specificate per impostazione predefinita le politiche relative ai rischi per la sicurezza e antivirus più appropriate per la maggior parte degli utenti. Tuttavia, è possibile modificare queste impostazioni in base alle proprie esigenze e personalizzare separatamente le impostazioni delle politiche per le scansioni Auto-Protect, manuali, pianificate, all'avvio e definite dall'utente. Una politica relativa ai rischi per la sicurezza e antivirus determina quanto segue: Elementi da sottoporre a scansione Operazione da eseguire se viene rilevato un virus o un rischio per la sicurezza

46 46 Protezione del computer da virus e rischi per la sicurezza Informazioni sulle politiche relative ai rischi per la sicurezza e antivirus Elementi da sottoporre a scansione Per impostazione predefinita, Auto-Protect di Symantec AntiVirus esegue la scansione di tutti i tipi di file. Anche le scansioni manuali, pianificate, all'avvio e definite dall'utente esaminano tutti i tipi di file per impostazione predefinita. Auto-Protect comprende SmartScan, che esegue la scansione dei file le cui estensioni siano state incluse nell'elenco delle estensioni dei file di programma. SmartScan esegue inoltre la scansione di tutti i file eseguibili e dei documenti di Microsoft Office, anche quando le relative estensioni non sono presenti nell'elenco. Vedere "Modifica di Auto-Protect e uso di SmartScan" a pagina 52. È possibile scegliere di eseguire la scansione dei file in base all'estensione o al tipo di file (documenti e programmi), ma in questo caso il livello di protezione antivirus e contro i rischi per la sicurezza diminuisce. È inoltre possibile scegliere di escludere file specifici dalla scansione. Ad esempio, se un file sicuramente non infetto attiva un avviso di virus durante una scansione, è possibile impedire la visualizzazione di altri avvisi escludendo il file dalle scansioni successive. Scansione per tipo o estensione di file È possibile eseguire la scansione del computer in base ai tipi o alle estensioni di file. La scansione per tipo di file consente di determinare il tipo di file indipendentemente dall'estensione. Poiché i virus infettano soltanto determinati tipi di file, questo è un metodo di scansione utile che garantisce l'analisi di tutti i file soggetti all'attacco dei virus. La scansione per tipo di file consente di esaminare i file che potrebbero essere stati rinominati da un virus avanzato, tuttavia risulta più lenta rispetto alla scansione in base all'estensione. È possibile scegliere la scansione dei tipi di file riportati di seguito. File di documento: comprendono i documenti di Microsoft Word e Microsoft Excel e i file modello a essi associati. Nei file di documento vengono cercate infezioni da virus macro. File di programma: comprendono i file delle librerie di collegamento dinamico (dll), i file batch (bat), i file di comunicazione (com), i file eseguibili (exe) e altri file di programma. Nei file di programma vengono cercate infezioni da virus di file.

47 Protezione del computer da virus e rischi per la sicurezza Informazioni sulle politiche relative ai rischi per la sicurezza e antivirus 47 Scansione per tipi o estensioni di file È possibile eseguire la scansione del computer in base ai tipi o alle estensioni dei file. Per selezionare i tipi di file di cui eseguire la scansione 1 Nel riquadro sinistro di Symantec AntiVirus selezionare la scansione da modificare. Se è stata selezionata una scansione della categoria Scansione, fare clic su Opzioni. Se è stata selezionata una scansione all'avvio, definita dall'utente o pianificata, fare clic sulla specifica scansione desiderata, quindi su Modifica e infine su Opzioni. Le modifiche verranno applicate soltanto alla specifica scansione selezionata. 2 Fare clic su Tipi di file selezionati e quindi su Tipi. 3 Selezionare uno o entrambi i tipi di file riportati di seguito. File di documento: comprendono i documenti di Microsoft Word e Microsoft Excel e i file modello a essi associati. File di programma: comprendono i file delle librerie di collegamento dinamico (dll), i file batch (bat), i file di comunicazione (com), i file eseguibili (exe) e altri file di programma. 4 Se si desidera utilizzare queste azioni per tutte le scansioni successive, fare clic su Salva impostazioni. 5 Fare clic su OK. Per aggiungere estensioni di file all'elenco delle scansioni 1 Nel riquadro sinistro di Symantec AntiVirus selezionare la scansione da modificare. Se è stata selezionata una scansione della categoria Scansione, fare clic su Opzioni. Se è stata selezionata una scansione all'avvio, definita dall'utente o pianificata, fare clic sul nome della scansione da modificare, quindi su Modifica e infine su Opzioni. Le modifiche si applicano solo alla scansione specifica selezionata. Se è stato selezionato Auto-Protect, vedere il passaggio 2. 2 Fare clic su Estensioni di file selezionate, quindi su Estensioni. 3 Digitare l'estensione da aggiungere, quindi fare clic su Aggiungi. 4 Ripetere il passaggio 3 secondo le necessità. 5 Fare clic su OK.

48 48 Protezione del computer da virus e rischi per la sicurezza Informazioni sulle politiche relative ai rischi per la sicurezza e antivirus Informazioni sulla scansione di tutti i tipi di file È possibile eseguire la scansione di tutti i file presenti sul computer, indipendentemente dall'estensione o dal tipo di file. La scansione di tutti i tipi di file è la più completa, in quanto consente a Symantec AntiVirus di individuare virus e rischi per la sicurezza in file non sempre analizzati tramite gli altri metodi di ricerca. La scansione di tutti i file richiede più tempo della scansione per tipo o estensione di file, ma risulta più accurata. Se è importante eseguire una scansione rapida, impostare le scansioni Auto- Protect o durante inattività (se disponibili) in modo che venga eseguita l'analisi per estensione, quindi configurare una scansione pianificata con frequenza almeno settimanale in modo che il computer venga analizzato con accuratezza. Informazioni su come impedire le infezioni da virus macro Durante un'operazione di scansione vengono rilevati e rimossi automaticamente la maggior parte dei virus delle macro di Microsoft Word e Microsoft Excel. Eseguendo regolarmente scansioni pianificate, all'avvio o Auto-Protect, è possibile proteggere il computer dalle infezioni da virus macro. I virus macro vengono cercati periodicamente e quelli individuati vengono subito eliminati. Per prevenire in modo ottimale le infezioni da virus macro, effettuare le seguenti operazioni: Attivare Auto-Protect, che esegue costantemente la scansione dei file utilizzati, ad esempio per operazioni di esecuzione o apertura, oppure modificati, ad esempio con operazioni di ridenominazione, modifica, creazione, copia o spostamento. Attivare Auto-Protect per l' , se disponibile. Impostare tutte le opzioni per la scansione di tutti i tipi di file. Proteggere i file modello globali disattivando le macro automatiche. Operazioni da eseguire se viene rilevato un virus o un rischio per la sicurezza Gli eventuali file infetti da virus o da rischi per la sicurezza individuati subiscono due azioni. Per impostazione predefinita, quando viene rilevato un virus da Auto-Protect o durante una scansione, viene eseguito il tentativo di ripulire il file mediante la rimozione del virus che lo ha infettato. Se non è possibile ripulire il file, il tentativo di pulizia non riuscito viene registrato e il file infetto viene messo in quarantena con accesso negato per impedire la diffusione del virus.

49 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Auto-Protect 49 In base alla politica antivirus selezionata, è possibile modificare le impostazioni predefinite per eliminare il file infetto al momento del rilevamento oppure per non intervenire e lasciarlo invariato (solo registrazione). Con Auto-Protect è anche possibile scegliere di negare l'accesso. Per ogni tipo di scansione è inoltre possibile impostare separatamente azioni diverse da applicare in caso di virus macro o non macro. Per impostazione predefinita, quando viene rilevato un rischio per la sicurezza da Auto-Protect o durante una scansione, i file infetti vengono messi in quarantena e le modifiche apportate al computer dal rischio per la sicurezza vengono, se possibile, eliminate o riparate. La messa in quarantena di una minaccia la rende inattiva sul computer e garantisce l'annullamento delle eventuali modifiche apportate. Se non è possibile eseguire queste operazioni, il rischio per la sicurezza viene registrato e lasciato invariato. Per ogni tipo di scansione è possibile modificare queste impostazioni e specificare azioni diverse per ciascuna categoria di rischio per la sicurezza, nonché per i singoli rischi. Nota: in alcuni casi, può capitare di installare inavvertitamente un'applicazione che include un rischio per la sicurezza come adware o spyware. Per evitare di lasciare il computer in una situazione di instabilità, la minaccia viene messa in quarantena al termine dell'installazione dell'applicazione. Quindi gli effetti del rischio vengono eliminati o riparati. Utilizzo di Auto-Protect Auto-Protect rappresenta la miglior difesa contro gli attacchi dei virus. Ogni volta che si accede, si copia, si salva, si sposta o si apre un file, Auto-Protect lo esamina per controllare che non sia infetto da un virus. Auto-Protect comprende SmartScan, che esegue la scansione di un gruppo di estensioni di file contenenti codice eseguibile e di tutti i file.exe e.doc. SmartScan può determinare il tipo di file anche se un virus ne cambia l'estensione. Ad esempio, esegue la scansione dei file.doc anche quando un virus ne cambia l'estensione in un formato non incluso in SmartScan.

50 50 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Auto-Protect Informazioni su Auto-Protect e i rischi per la sicurezza Per impostazione predefinita, Auto-Protect esegue la scansione dei rischi per la sicurezza come adware e spyware, mette in quarantena i file infetti e tenta di eliminare o riparare gli effetti del rischio. È possibile disattivare la scansione dei rischi per la sicurezza in Auto-Protect. Vedere "Disattivazione e attivazione della scansione dei rischi per la sicurezza in Auto-Protect" a pagina 53. Informazioni su Auto-Protect e la scansione Come supporto ad Auto-Protect, Symantec Client Security rileva in fase di installazione l'eventuale uso di un client di groupware supportato e lo aggiunge ad Auto-Protect per l' . Tale protezione viene fornita per i seguenti client di Lotus Notes 4.5x, 4.6, 5.0 e 6.x Microsoft Outlook 98/2000/2002/2003 (MAPI e Internet) Client di Microsoft Exchange 5.0 e 5.5 Nota: Auto-Protect per l' funziona soltanto sul client di supportato, non sui server di . Auto-Protect esegue anche la scansione di ulteriori programmi di Internet attraverso il controllo di tutto il traffico che utilizza i protocolli di comunicazione POP3 o SMTP. È possibile configurare Symantec AntiVirus in modo che venga eseguita la scansione dei messaggi in arrivo alla ricerca di minacce e rischi per la sicurezza, nonché dei messaggi in uscita alla ricerca di euristiche note, utilizzando la tecnologia di rilevazione dei virus Bloodhound. La scansione dei messaggi in uscita consente di impedire la diffusione di minacce quali worm, che possono utilizzare i client di per moltiplicarsi e trasmettersi su una rete. Nota: la scansione dell' Internet non è supportata per i computer con sistemi a 64-bit. Nei messaggi di Lotus Notes e Microsoft Exchange viene eseguita solo la scansione degli allegati. Nei messaggi di Internet che utilizzano i protocolli POP3 o SMTP viene eseguita, invece, la scansione sia del corpo del messaggio sia degli eventuali allegati inclusi.

51 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Auto-Protect 51 Quando Auto-Protect è attivato per un client di supportato e si apre un messaggio con un allegato, questo viene immediatamente scaricato sul computer e analizzato. In caso di connessioni lente, lo scaricamento di messaggi con allegati di grandi dimensioni può influire sulle prestazioni del sistema di posta. Gli utenti che ricevono regolarmente allegati di grandi dimensioni possono disattivare questa funzione. È possibile che in alcune circostanze, ad esempio durante l'installazione di nuove applicazioni software, sia necessario disattivare temporaneamente Auto-Protect. Vedere "Attivazione e disattivazione di Auto-Protect" a pagina 35. Nota: se viene rilevato un virus all'apertura del messaggio, quest'ultimo verrà aperto solo al termine della scansione. È necessario quindi attendere alcuni istanti. La scansione dell' non supporta i seguenti client di client IMAP client AOL POP3 che utilizzano Secure Sockets Layer (SSL) sistemi basati sul Web come Hotmail e Yahoo! Mail Disattivazione della scansione con le connessioni SSL Se il provider di servizi Internet utilizza il protocollo SSL, potrebbero verificarsi problemi durante l'invio di messaggi di quando è attivata la scansione . In questo caso può essere opportuno disattivare la scansione . La funzionalità Auto-Protect del file system continua a garantire la protezione del computer da virus e rischi per la sicurezza presenti negli allegati anche se viene disattivata la scansione dei client di Internet, eseguendo la scansione degli allegati di salvati sul disco rigido. Dopo la disattivazione della scansione dell' , è necessario verificare che Auto-Protect sia attivato e configurato in maniera ottimale mediante l'esecuzione periodica di LiveUpdate. Auto-Protect offre una protezione antivirus in tempo reale da qualsiasi sorgente, inclusa la rete Internet, ed esegue automaticamente la scansione degli allegati di al momento dell'accesso.

52 52 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Auto-Protect Per disabilitare la scansione dell' 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Configura. 2 Nel riquadro destro fare clic su <Auto-Protect> per l' . 3 Deselezionare Attiva <Auto-Protect> per l' . 4 Fare clic su OK. Visualizzazione delle statistiche di scansione Auto-Protect In Statistiche di scansione Auto-Protect viene visualizzato lo stato dell'ultima scansione di Auto-Protect, il nome dell'ultimo file analizzato e le informazioni sulle infezioni da virus e sui rischi per la sicurezza. Per visualizzare le statistiche di scansione Auto-Protect Nel menu Visualizza di Symantec AntiVirus, fare clic su Statistiche di scansione Auto-Protect. Modifica di Auto-Protect e uso di SmartScan Auto-Protect è preimpostato per eseguire la scansione di tutti i file. La scansione di tutti i file e l'utilizzo di SmartScan offrono la più completa protezione contro virus e rischi per la sicurezza. SmartScan è attivato per impostazione predefinita Con Symantec AntiVirus è possibile velocizzare la scansione eseguendola solo sui file con le estensioni selezionate, quali exe, com, dll, doc e xls. Questo metodo garantisce un livello di protezione inferiore, ma rappresenta comunque una scansione efficiente poiché i virus colpiscono solo determinati tipi di file. L'elenco predefinito di estensioni riporta i file generalmente a rischio di infezioni da virus. Per modificare Auto-Protect e utilizzare SmartScan 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Configura. 2 Nel riquadro destro fare clic su Auto Protect per il File System. 3 Nella casella di gruppo Tipi di file effettuare una delle seguenti operazioni: Fare clic su Tutti i tipi per eseguire la scansione di tutti i file. Fare clic su Selezionati per eseguire esclusivamente la scansione dei file corrispondenti alle estensioni elencate, quindi fare clic su Estensioni per modificare l'elenco predefinito delle estensioni di file. Verificare che SmartScan sia selezionato per l'esecuzione della scansione mediante questa funzione. 4 Fare clic su OK per salvare le impostazioni.

53 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Protezione contro le manomissioni 53 Disattivazione e attivazione della scansione dei rischi per la sicurezza in Auto-Protect Per impostazione predefinita, Auto-Protect esegue la scansione dei rischi per la sicurezza come adware e spyware, mette in quarantena i file infetti e tenta di eliminare o riparare gli effetti del rischio. A volte, tuttavia, può essere necessario disattivare temporaneamente la scansione dei rischi per la sicurezza in Auto- Protect per il file system, per poi riattivarla successivamente. Nota: l'amministratore potrebbe bloccare questa impostazione. Per disattivare e attivare la scansione dei rischi per la sicurezza in Auto-Protect 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Configura. 2 Nel riquadro destro fare clic su Auto Protect per il File System. 3 Nell'area Opzioni selezionare o deselezionare Esegui scansione alla ricerca dei rischi per la sicurezza. 4 Fare clic su OK. Utilizzo di Protezione contro le manomissioni La funzione Protezione contro le manomissioni protegge le applicazioni Symantec dalle manomissioni a opera di worm, Trojan horse, virus e rischi per la sicurezza. Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Quando la funzione Protezione contro le manomissioni è attivata, è possibile configurare Symantec AntiVirus per il blocco o la registrazione dei tentativi di modifica alle applicazioni Symantec. È anche possibile scegliere di visualizzare un messaggio ogni volta che viene rilevato un tentativo di manomissione. Nota: se su un computer gestito dall'amministratore accanto alle opzioni di Protezione contro le manomissioni è visualizzata un'icona a forma di lucchetto, significa che non è possibile modificare queste opzioni perché l'amministratore le ha bloccate.

54 54 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Protezione contro le manomissioni Per attivare, disattivare e configurare Protezione contro le manomissioni 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Protezione contro le manomissioni. 2 Nel riquadro destro, selezionare o deselezionare Abilita Protezione contro manomissioni. 3 Se la Protezione contro le manomissioni è attivata, nell'elenco a discesa della sezione Protezione eseguire una delle operazioni seguenti: Per bloccare attività non autorizzate, fare clic su Blocca. Per registrare l'attività non autorizzata e consentirne l'esecuzione, fare clic su Solo registrazione. 4 Selezionare o deselezionare Mantieni abilitata la protezione contro le manomissioni anche se Symantec AntiVirus è chiuso. 5 Nella sezione Notifiche, selezionare o deselezionare Visualizza messaggio su computer interessato. 6 Fare clic su OK.

55 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Protezione contro le manomissioni 55 Creazione di messaggi di Protezione contro le manomissioni Protezione contro le manomissioni consente di comporre un messaggio che verrà visualizzato quando la funzione rileva attacchi contro i processi di Symantec. Il messaggio creato può includere una combinazione di testo e campi. I campi selezionati sono variabili compilate con valori che identificano le caratteristiche dell'attacco. Nella Tabella 3-1 sono descritti i campi che è possibile selezionare. Tabella 3-1 Campo Nome file Nomi e descrizioni dei campi da includere nel messaggio di Protezione contro le manomissioni Descrizione Il nome del file che ha attaccato i processi protetti. NomefileEPercorso Posizione Computer Utente DataRilevazione AzioneIntrapresa Evento di sistema Tipo di entità ID processo attore Nome processo attore Percorso di destinazione ID processo di destinazione ID sessione terminal di destinazione Il percorso completo e il nome del file che ha attaccato i processi protetti. L'area software o hardware del computer protetta dalla manomissione. Nei messaggi di Protezione contro le manomissioni, quest'area corrisponde alle applicazioni Symantec. Il nome del computer attaccato. Il nome dell'utente collegato al momento dell'attacco. La data in cui si è verificato l'attacco. L'azione eseguita da Protezione contro le manomissioni in risposta all'attacco. Il tipo di manomissione verificatosi. Il tipo di elemento attaccato dal processo. Il numero identificativo del processo che ha attaccato un'applicazione Symantec. Il nome del processo che ha attaccato un'applicazione Symantec. La posizione dell'elemento attaccato dal processo. Il numero identificativo del processo dell'elemento attaccato. Il numero identificativo della sessione del terminale sul quale si è verificato l'evento.

56 56 Protezione del computer da virus e rischi per la sicurezza Utilizzo di Protezione contro le manomissioni Utilizzare il seguente formato per la creazione dei messaggi: Testo digitato dall'utente: [Nome campo 1] [Nome campo 2] (Testo aggiuntivo e facoltativo digitato dall'utente [Nome campo x]) Il seguente esempio illustra un messaggio che indica all'utente quale processo ha tentato di eseguire quale azione e quando: Data: [DataRilevazione] Processo individuato in: [NomefileEPercorso] (Nome: [Nome processo attore]) Destinazione attacco: [Percorso di destinazione] [ID processo di destinazione] Per creare messaggi di Protezione contro le manomissioni 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Protezione contro le manomissioni. 2 Nel riquadro destro, verificare che Visualizza messaggio su computer interessato sia selezionato nella sezione Notifiche, quindi fare clic su Messaggio. 3 Nella casella Messaggio fare clic per visualizzare il cursore. 4 Spostare il cursore utilizzando la tastiera, aggiungere una o più righe, quindi digitare ed eliminare il testo. 5 Spostare il cursore nella posizione in cui inserire un campo, fare clic con il pulsante destro del mouse, scegliere Inserisci campo e quindi selezionare il campo da inserire. Vedere "Nomi e descrizioni dei campi da includere nel messaggio di Protezione contro le manomissioni" a pagina 55.

57 Protezione del computer da virus e rischi per la sicurezza Scansione alla ricerca di virus e rischi per la sicurezza 57 6 Ripetere i passaggi 4 e 5 secondo le necessità. 7 Nel campo fare clic con il pulsante destro del mouse e quindi selezionare Taglia, Copia, Incolla, Cancella o Annulla. 8 Fare clic su OK. Scansione alla ricerca di virus e rischi per la sicurezza Oltre ad Auto-Protect, che rappresenta la miglior difesa dalle infezioni virali e dai rischi per la sicurezza, Symantec AntiVirus fornisce diversi tipi di scansione allo scopo di incrementare ulteriormente la protezione del computer. Sono disponibili le seguenti scansioni: Scansione personalizzata: consente di eseguire in qualsiasi momento la scansione di file, cartelle, unità disco o di tutto il computer. L'utente seleziona le aree del computer per le quali eseguire una scansione. Scansione rapida: esegue rapidamente la scansione della memoria e delle posizioni oggetto di attacchi da parte di virus e rischi per la sicurezza. Scansione completa: esegue la scansione dell'intero computer, inclusi il settore di avvio e la memoria di sistema. Per la scansione delle unità di rete è necessario immettere una password. Scansioni pianificate: vengono eseguite in base alla frequenza specificata, senza l'intervento dell'utente. Scansioni all'avvio: vengono eseguite ogni volta che viene avviato il computer e caricato Windows. Scansioni definite dall'utente: consentono di eseguire in qualsiasi momento la scansione di gruppi di file specificati. Una scansione rapida giornaliera e una scansione pianificata eseguita settimanalmente di tutti i file rappresentano in genere una protezione sufficiente, se Auto-Protect è sempre in esecuzione. Se il computer viene frequentemente attaccato da virus, prendere in considerazione la possibilità di aggiungere una scansione completa all'avvio o una scansione pianificata giornaliera. È buona abitudine eseguire la scansione dei dischi floppy prima di utilizzarli per la prima volta, in particolare se sono già stati usati più volte da altri utenti.

58 58 Protezione del computer da virus e rischi per la sicurezza Scansione alla ricerca di virus e rischi per la sicurezza Come Symantec AntiVirus rileva virus e rischi per la sicurezza Fasi della scansione Le infezioni da virus su un computer vengono impedite mediante la scansione del settore di avvio, della memoria e dei file alla ricerca di virus e rischi per la sicurezza. Il motore di scansione di Symantec AntiVirus utilizza i profili dei virus e dei rischi per la sicurezza individuati nei file delle definizioni per eseguire una scansione completa alla ricerca dei virus conosciuti inclusi nei file eseguibili. La scansione comprende anche le parti eseguibili dei file di documento alla ricerca di virus macro. È possibile eseguire una scansione nel momento più opportuno per l'utente oppure pianificarne l'esecuzione quando non si utilizza il computer. Durante una scansione vengono cercati nella memoria, nel settore di avvio e nelle unità del computer selezionate i profili di virus e rischi per la sicurezza che identificano un'infezione o la presenza di un rischio. Memoria del computer Symantec AntiVirus esegue la scansione della memoria del computer. Qualsiasi virus di file, del settore di avvio o macro può risiedere in memoria. I virus residenti in memoria si sono autoreplicati nella memoria del computer. Un virus può restare nascosto nella memoria fino a quando non si verifica un evento di attivazione, dopodiché può diffondersi su un dischetto floppy presente nella relativa unità oppure sul disco rigido. Una volta che il virus si è insediato nella memoria, non è possibile pulirlo immediatamente. Tuttavia, è possibile rimuoverlo riavviando il computer, quando viene chiesto di eseguire questa operazione. Settore di avvio Symantec AntiVirus esegue la ricerca dei virus di avvio nel settore di avvio del computer. Vengono controllati due elementi: le tabelle di partizione e il record di avvio principale. Unità a dischetto Un metodo comune di diffusione dei virus è rappresentato dai dischetti floppy che vengono lasciati nella relativa unità al momento dell'accensione o dello spegnimento del computer. Se all'avvio della scansione un dischetto floppy è inserito nell'unità, verranno analizzati anche il settore di avvio e le tabelle di partizione dell'unità a dischetto. Se si spegne il computer con un dischetto floppy inserito nella relativa unità, viene richiesto di rimuoverlo per evitare possibili infezioni.

59 Protezione del computer da virus e rischi per la sicurezza Scansione alla ricerca di virus e rischi per la sicurezza 59 File selezionati Symantec AntiVirus esegue la scansione di singoli file. Nella maggior parte dei casi, è possibile scegliere i file sui quali eseguire la scansione. Symantec AntiVirus supporta una scansione basata su profili alla ricerca di tracce di virus, dette anche firme, all'interno dei file. Ciascun file viene confrontato con firme innocue contenute in un file delle definizioni dei virus, in modo da identificare virus specifici. Al rilevamento di un virus, per impostazione predefinita viene eseguito un tentativo di pulizia del file. Se non è possibile ripulire il file, quest'ultimo viene messo in quarantena per impedire ulteriori infezioni del computer. Le scansioni basate su profili vengono eseguite anche per ricercare segni di rischi per la sicurezza all'interno di file e chiavi di registro. Se viene rilevato un rischio per la sicurezza, per impostazione predefinita i file infetti vengono messi in quarantena e gli effetti del rischio riparati. Se non è possibile procedere in questo modo, viene registrato il tentativo di riparazione. Al termine della scansione, viene visualizzato l'elenco dei risultati. Informazioni sui file delle definizioni I file dei virus includono parti di codice che, una volta analizzate, mostrano determinati profili, detti anche firme, che possono essere isolati all'interno dei file infetti. Anche ai rischi per la sicurezza, come adware e spyware, sono associati profili o firme riconoscibili. Il file delle definizioni include un elenco di profili o firme di virus noti, privi di codice dannoso, e di firme note relative ai rischi per la sicurezza. La scansione ricerca nei file del computer profili noti inclusi nel file delle definizioni. L'individuazione di una corrispondenza, indica che il file è infetto. Il file delle definizioni viene utilizzato per determinare il virus che ha causato l'infezione e per ripararne gli effetti. L'eventuale minaccia individuata viene messa in quarantena per riparane gli effetti mediante il file delle definizioni. Poiché nuovi virus e rischi per la sicurezza vengono diffusi praticamente ogni giorno, i file delle definizioni devono essere aggiornati regolarmente per garantire l'individuazione e la pulizia anche dei virus e dei rischi per la sicurezza più recenti.

60 60 Protezione del computer da virus e rischi per la sicurezza Scansione alla ricerca di virus e rischi per la sicurezza Informazioni sulla scansione di file compressi e codificati Avvio di scansioni manuali Symantec AntiVirus supporta la scansione di file compressi e codificati, ad esempio file zip. L'amministratore può specificare la scansione fino a un massimo di 10 livelli per i file compressi contenenti altri file compressi. Per i tipi di scansione di file compressi supportati, contattare l'amministratore. Se Auto-Protect è attivato, tutti i file estratti da un file compresso vengono sottoposti a scansione, contribuendo alla protezione del computer. È possibile eseguire la scansione manuale alla ricerca di virus e rischi per la sicurezza, come adware e spyware, in qualunque momento. Selezionare un elemento da analizzare, da un file singolo a un dischetto floppy all'intero computer. Le scansioni manuali includono la Scansione rapida e la Scansione completa. Avvio di scansioni manuali È possibile avviare scansioni manuali dalla finestra Risorse del computer, Esplora risorse o dalla finestra principale di Symantec AntiVirus. Per avviare una scansione manuale da Windows Nella finestra Risorse del computer o Esplora risorse, fare clic con il pulsante destro del mouse su un file, cartella o unità disco, quindi scegliere Scansione alla ricerca di virus. Nota: questa funzionalità non è supportata sui sistemi operativi a 64 bit.

61 Protezione del computer da virus e rischi per la sicurezza Scansione alla ricerca di virus e rischi per la sicurezza 61 Per avviare una scansione manuale da Symantec AntiVirus 1 Nel riquadro sinistro di Symantec AntiVirus espandere Scansione. 2 Nel riquadro sinistro selezionare una delle seguenti opzioni: Scansione disco floppy Questa opzione è disponibile solo se è presente un'unità a dischetto floppy. Scansione personalizzata Scansione rapida Scansione completa 3 Se è stata selezionata l'opzione Scansione disco floppy o Scansione personalizzata nel riquadro a destra eseguire le seguenti operazioni: Fare doppio clic su un'unità o una cartella per aprirla o chiuderla. Selezionare o deselezionare gli elementi da sottoporre a scansione. I simboli visualizzati hanno il significato indicato di seguito. Il file, l'unità disco o la cartella non è selezionata. Se l'elemento è un'unità disco o una cartella, anche le cartelle e i file in esse contenuti non sono selezionati. È selezionato il singolo file o la singola cartella. È selezionata la singola cartella o unità. Sono selezionati anche tutti gli elementi contenuti nella cartella o nell'unità. La singola cartella o unità non è selezionata, ma sono selezionati uno o più elementi al suo interno.

62 62 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 4 Per tutte le scansioni manuali, fare clic su Opzioni per modificare le impostazioni predefinite relative all'oggetto della scansione e al tipo di risposta in caso di rilevazione di un virus o di un rischio per la sicurezza. Le impostazioni predefinite sono le seguenti: Per impostazione predefinita viene eseguita una scansione di tutti i file. Per quanto riguarda i virus, le impostazioni predefinite per le azioni consistono nel ripulire il file infettato dal virus, riparare gli effetti e mettere in quarantena il file se non è possibile rimuovere il virus. Per quanto riguarda i rischi per la sicurezza, le impostazioni predefinite per le azioni consistono nel mettere in quarantena la minaccia e riparare gli effetti oppure, se non è possibile, registrarla. Per applicare le impostazioni modificate solo alla scansione corrente, fare clic su OK. Per applicare le impostazioni a tutte le scansioni future, fare clic su Salva impostazioni. 5 Fare clic su Avanzate per configurare la finestra di dialogo di avanzamento della scansione da visualizzare durante la scansione pianificata. 6 Nella finestra di dialogo Opzioni di scansione avanzate, posizionarsi su Opzioni di dialogo e selezionare Mostra avanzamento scansione dall'elenco a discesa, quindi fare clic su OK. 7 Nella finestra di dialogo Opzioni scansione, fare clic su OK. 8 Nella finestra principale di Symantec AntiVirus, fare clic su Scansione. Verrà avviato il processo di scansione e quindi visualizzati i risultati. Configurazione della scansione È possibile configurare diversi tipi di scansione per proteggere il computer dai virus e dai rischi per la sicurezza. Creazione di scansioni pianificate Una scansione pianificata è un componente importante della protezione contro le minacce e i rischi per la sicurezza. Per assicurarsi che il computer non venga infettato da virus e dai rischi per la sicurezza, quali adware e spyware, pianificare l'esecuzione di una scansione almeno una volta alla settimana. Nota: se l'amministratore di rete ha creato una scansione pianificata per l'utente, essa verrà visualizzata nell'area Scansioni pianificate della cartella Visualizza, anziché nella cartella Scansioni pianificate in cui sono visualizzate solo le scansioni pianificate dall'utente.

63 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 63 Per creare una scansione pianificata 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Scansioni pianificate. 2 Nel riquadro destro fare clic su Nuova scansione pianificata. 3 Selezionare uno dei seguenti tipi di scansione da pianificare: Scansione rapida Scansione completa Scansione personalizzata 4 Fare clic su Avanti. 5 Digitare un nome e una descrizione per la scansione. Ad esempio, denominare la scansione "Venerdì ore 16". 6 Fare clic su Avanti. 7 Specificare la frequenza e il momento della scansione, quindi fare clic su Avanti. 8 Se è stata selezionata l'opzione Scansione personalizzata, nel riquadro destro selezionare le caselle di controllo appropriate per specificare dove eseguire la scansione. È possibile selezionare qualsiasi elemento, dal singolo file all'intero computer. Vedere "Avvio di scansioni manuali" a pagina 60.

64 64 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 9 Fare clic su Opzioni per modificare le impostazioni predefinite relative all'oggetto della scansione e al tipo di risposta in caso di rilevazione di un virus o di un rischio per la sicurezza. Le impostazioni predefinite sono le seguenti: Per impostazione predefinita viene eseguita una scansione di tutti i file. Per quanto riguarda i virus, le impostazioni predefinite per le azioni consistono nel ripulire il file infettato dal virus, riparare gli effetti e mettere in quarantena il file se non è possibile rimuovere il virus. Per quanto riguarda i rischi per la sicurezza, le impostazioni predefinite per le azioni consistono nel mettere in quarantena la minaccia e riparare gli effetti oppure, se non è possibile, registrarla. Per applicare le impostazioni modificate solo alla scansione corrente, fare clic su OK. Per applicare le impostazioni a tutte le scansioni future, fare clic su Salva impostazioni. 10 Fare clic su Avanzate per configurare la finestra di dialogo di avanzamento della scansione da visualizzare durante la scansione pianificata. 11 Nella finestra di dialogo Opzioni di scansione avanzate, posizionarsi su Opzioni di dialogo e selezionare Mostra avanzamento scansione dall'elenco a discesa, quindi fare clic su OK. 12 Nella finestra di dialogo Opzioni scansione, fare clic su OK. 13 Nella finestra principale di Symantec AntiVirus, fare clic su Salva. Quando viene eseguita la scansione pianificata, il computer deve essere acceso e i servizi di Symantec AntiVius caricati. Per impostazione predefinita, i servizi di Symantec AntiVirus vengono caricati all'avvio del computer. La nuova scansione viene aggiunta all'elenco nella cartella Scansioni pianificate. Informazioni sulla creazione di più scansioni pianificate Se si pianifica l'esecuzione di più scansioni sullo stesso computer, con inizio alla stessa ora, è possibile che le prestazioni della CPU del computer risultino ridotte o che una o più scansioni pianificate non vengano avviate. Ad esempio, se sono state pianificate sul proprio computer tre diverse scansioni per le 13.00, una sull'unità C, una sull'unità D e una sull'unità E, è possibile che una o più scansioni non vengano avviate. Una soluzione migliore consiste nella creazione di una sola scansione pianificata che esamini le unità C, D ed E.

65 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 65 Creazione delle scansioni all'avvio Alla scansione pianificata, alcuni utenti aggiungono un'ulteriore scansione automatica a ogni avvio del computer. Spesso, la scansione all'avvio viene impostata in modo da esaminare solo le cartelle critiche e a rischio di infezione elevato, ad esempio la cartella di Windows e le cartelle contenenti i modelli di Microsoft Word e Microsoft Excel. Nota: se si creano più scansioni all'avvio, queste vengono eseguite in sequenza, nell'ordine in cui sono state create. Solo per i client non gestiti, Symantec AntiVirus supporta una scansione all'avvio chiamata Scansione rapida a generazione automatica. Con questo tipo di scansione, ogni volta che un utente si connette al computer vengono analizzati i file nella memoria e in altre posizioni ad alto rischio di infezioni alla ricerca di virus e rischi per la sicurezza. È possibile configurare questo tipo di scansione allo stesso modo di una scansione manuale, con l'eccezione che non è possibile interrompere il processo di scansione dei file nella memoria e in altre posizioni ad alto rischio di infezioni sul computer. Per creare una scansione all'avvio 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Scansioni all'avvio. 2 Nel riquadro destro fare clic su. Nuova scansione all'avvio. 3 Selezionare uno dei seguenti tipi di scansione da pianificare: Scansione rapida Scansione completa Scansione personalizzata 4 Fare clic su Avanti. 5 Digitare un nome e una descrizione per la scansione. 6 Fare clic su Avanti. 7 Se è stata selezionata l'opzione Scansione personalizzata, nel riquadro destro selezionare le caselle di controllo appropriate per specificare dove eseguire la scansione. È possibile selezionare qualsiasi elemento, dal singolo file all'intero computer. Vedere "Avvio di scansioni manuali" a pagina 60.

66 66 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 8 Fare clic su Opzioni per modificare le impostazioni predefinite relative all'oggetto della scansione e al tipo di risposta in caso di rilevazione di un virus o di un rischio per la sicurezza. Le impostazioni predefinite sono le seguenti: Per impostazione predefinita viene eseguita una scansione di tutti i file. Per quanto riguarda i virus, le impostazioni predefinite per le azioni consistono nel ripulire il file infettato dal virus, riparare gli effetti e mettere in quarantena il file se non è possibile rimuovere il virus. Per quanto riguarda i rischi per la sicurezza, le impostazioni predefinite per le azioni consistono nel mettere in quarantena la minaccia e riparare gli effetti oppure, se non è possibile, registrarla. Per applicare le impostazioni modificate solo alla scansione corrente, fare clic su OK. Per applicare le impostazioni a tutte le scansioni future, fare clic su Salva impostazioni. 9 Fare clic su Avanzate per configurare la finestra di dialogo di avanzamento della scansione da visualizzare durante la scansione all'avvio. 10 Nella finestra di dialogo Opzioni di scansione avanzate, posizionarsi su Opzioni di dialogo e selezionare Mostra avanzamento scansione dall'elenco a discesa, quindi fare clic su OK. 11 Nella finestra di dialogo Opzioni scansione, fare clic su OK. 12 Nella finestra principale di Symantec AntiVirus, fare clic su Salva. La scansione viene eseguita all'avvio del computer e al caricamento di Windows. Creazione di scansioni definite dall'utente Se si esegue regolarmente la scansione di uno stesso gruppo di file o cartelle, è possibile creare una scansione definita dall'utente limitata a tali elementi. In qualunque momento è possibile verificare rapidamente che i file e le cartelle specificati sono esenti da virus e rischi per la sicurezza. Creazione di scansioni definite dall'utente È possibile creare una scansione definita dall'utente da eseguire manualmente in qualunque momento.

67 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 67 Per creare una scansione definita dall'utente 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Scansioni definite dall'utente. 2 Nel riquadro destro fare clic su Nuova scansione definita dall'utente. 3 Selezionare uno dei seguenti tipi di scansione da pianificare: Scansione rapida Scansione completa Scansione personalizzata 4 Fare clic su Avanti. 5 Digitare un nome e una descrizione per la scansione. 6 Fare clic su Avanti. 7 Se è stata selezionata l'opzione Scansione personalizzata, nel riquadro destro selezionare le caselle di controllo appropriate per specificare dove eseguire la scansione. È possibile selezionare qualsiasi elemento, dal singolo file all'intero computer. Vedere "Avvio di scansioni manuali" a pagina Fare clic su Opzioni per modificare le impostazioni predefinite relative all'oggetto della scansione e al tipo di risposta in caso di rilevazione di un virus o di un rischio per la sicurezza. Le impostazioni predefinite sono le seguenti: Per impostazione predefinita viene eseguita una scansione di tutti i file. Per quanto riguarda i virus, le impostazioni predefinite per le azioni consistono nel ripulire il file infettato dal virus, riparare gli effetti e mettere in quarantena il file se non è possibile rimuovere il virus. Per quanto riguarda i rischi per la sicurezza, le impostazioni predefinite per le azioni consistono nel mettere in quarantena la minaccia e riparare gli effetti oppure, se non è possibile, registrarla. Per applicare le impostazioni modificate solo alla scansione corrente, fare clic su OK. Per applicare le impostazioni a tutte le scansioni future, fare clic su Salva impostazioni. 9 Fare clic su Avanzate per configurare la finestra di dialogo di avanzamento della scansione da visualizzare durante la scansione pianificata. 10 Nella finestra di dialogo Opzioni di scansione avanzate, posizionarsi su Opzioni di dialogo e selezionare Mostra avanzamento scansione dall'elenco a discesa, quindi fare clic su OK. 11 Nella finestra di dialogo Opzioni scansione, fare clic su OK. 12 Nella finestra principale di Symantec AntiVirus, fare clic su Salva.

68 68 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione Per eseguire una scansione definita dall'utente 1 Nel riquadro sinistro di Symantec AntiVirus, espandere Scansioni definite dall'utente. 2 Fare doppio clic sulla scansione definita dall'utente salvata. Modifica ed eliminazione delle scansioni all'avvio, definite dall'utente e pianificate È possibile riconfigurare le scansioni esistenti in qualsiasi momento e, se necessario, eliminarle. Modificare ed eliminare le scansioni È possibile modificare ed eliminare le scansioni all'avvio, definite dall'utente e pianificate esistenti. Alcune opzioni potrebbero non essere disponibili se non è possibile configurarle per un particolare tipo di scansione. Per modificare una scansione 1 Nel riquadro sinistro di Symantec AntiVirus selezionare la scansione da modificare. 2 Fare clic su Modifica. 3 Effettuare una delle seguenti operazioni: Se è stata selezionata l'opzione Scansione definita dall'utente, nella scheda File selezionare i file, le cartelle o le unità da analizzare. In caso di una scansione pianificata, nella scheda Pianifica selezionare una nuova frequenza, una data e un orario per la scansione. Nella scheda Nome/Descrizione modificare il nome e la descrizione della scansione. 4 Se necessario, fare clic su Opzioni per modificare le seguenti opzioni di scansione: Tipi di file: consente di eseguire scansioni in base alle estensioni oaitipi di file Miglioramenti di scansione: consente di eseguire la scansione dei file caricati in memoria, delle posizioni di infezione più comuni, alla ricerca di tracce di virus e rischi per la sicurezza conosciuti prima di analizzare i file e le cartelle selezionati Esclusioni di file e cartelle Opzioni di scansione avanzate: file compressi, migrazione memorizzazione e così via

69 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 69 Azioni eseguite quando viene rilevato un virus o un rischio per la sicurezza Opzioni di limitazione Notifiche: Le Opzioni di rilevazione consentono di creare un messaggio da visualizzare quando viene rilevato un virus o un rischio per la sicurezza. Le Opzioni di rimedio consentono di specificare se visualizzare o meno una notifica, ad esempio l'interruzione di un servizio, prima dell'avvio delle azioni di rimedio. 5 Fare clic su OK fino a quando non viene visualizzata di nuovo la finestra principale di Symantec AntiVirus. Per eliminare una scansione Nel riquadro sinistro di Symantec AntiVirus fare clic con il pulsante destro del mouse sulla scansione da eliminare, quindi fare clic su Elimina. Configurazione delle azioni relative a virus e rischi per la sicurezza Un passaggio importante della scansione per virus e rischi per la sicurezza consiste nella configurazione delle azioni che devono essere eseguite quando viene rilevato un rischio per la sicurezza o un virus. È possibile configurare una prima azione e una seconda azione da eseguire qualora la prima azione non andasse a buon fine. Nota: se su un computer gestito dall'amministratore accanto alle opzioni è visualizzata un'icona a forma di lucchetto, significa che non è possibile modificare queste opzioni perché l'amministratore le ha bloccate. Nella procedura seguente la configurazione di una scansione completa viene utilizzata come esempio. È possibile configurare le azioni per i virus, gli elementi e le categorie dei rischi per la sicurezza in modo analogo nelle altre scansioni.

70 70 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione Per configurare le operazioni per la ricerca di virus e di rischi per la sicurezza 1 Nel riquadro sinistro espandere Scansione e quindi fare clic su Scansione completa. 2 Nel riquadro destro fare clic su Opzioni. 3 Nella finestra Opzioni di scansione fare clic su Azioni. 4 Nella finestra di dialogo Azioni selezionare un tipo di virus o di rischio per la sicurezza nella struttura. Per impostazione predefinita, ogni sottocategoria di rischio per la sicurezza, ad esempio Spyware, viene configurata automaticamente in modo da utilizzare le azioni impostate nel livello principale per l'intera categoria Rischi per la sicurezza. Per configurare una categoria o istanze specifiche di una categoria in modo che utilizzino azioni diverse, selezionare Sovrascrivi le azioni configurate per Rischi per la sicurezza, e quindi impostare le azioni per la categoria desiderata.

71 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 71 5 Selezionare una prima e una seconda azione tra le seguenti opzioni: Pulisci minaccia Rimuove il virus dal file infetto. Rappresenta la prima azione predefinita per i virus. Nota: questa azione non è disponibile per i rischi per la sicurezza. La pulizia deve costituire sempre la prima azione da eseguire nel caso di rilevamento di virus. Se un file viene ripulito da un virus, non sarà necessario eseguire altre azioni in quanto il computer non contiene più il virus e non è soggetto alla diffusione di tale virus in altre aree. Quando un file viene ripulito, il virus viene rimosso completamente dal file, dal settore di avvio o dalle tabelle di partizione infette, impedendone la diffusione. Generalmente i virus vengono individuati e rimossi prima di provocare danni al computer. Tuttavia, in alcuni casi, a seconda dell'entità del danno già provocato dal virus, è possibile che il file pulito non sia più utilizzabile. Il danno è causato dall'infezione del virus e non dall'azione di pulizia. Alcuni file infetti non possono essere ripuliti. Metti minaccia in quarantena Esegue una delle seguenti operazioni: Per i virus, sposta il file infetto dalla posizione originale mettendolo in quarantena. I file infetti in quarantena non possono diffondere i virus. Rappresenta la seconda azione predefinita per i virus. Per i rischi per la sicurezza, sposta il file infetto dalla posizione originale mettendolo in quarantena e tenta di rimuovere o riparare eventuali effetti secondari. Rappresenta la prima azione predefinita per i rischi per la sicurezza. La Quarantena contiene un record di tutte le azioni eseguite per consentire, se necessario, di ripristinare lo stato del computer prima Symantec Client Security della rimozione della minaccia.

72 72 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione Elimina minaccia Elimina il file infetto dal disco rigido del computer. Se non è possibile eliminare un file, nella finestra di dialogo Notifica e nel Registro eventi vengono visualizzate informazioni aggiuntive sull'azione eseguita da Symantec AntiVirus. Utilizzare questa azione solo se è possibile sostituire il file con una copia di backup priva di virus o rischi per la sicurezza. Il file viene eliminato in modo definitivo e non può essere recuperato dal Cestino. Nota: utilizzare questa azione con attenzione in relazione ai rischi per la sicurezza. In alcuni casi la loro eliminazione può determinare problemi di funzionamento in alcune applicazioni. Non intervenire (solo registrazione) Esegue una delle seguenti operazioni: Per i virus, lascia invariato il file infetto. Il virus resta nel file e può diffondersi in altre parti del computer. Nella Cronologia dei rischi viene inserita una voce per tenere traccia del file infetto. È possibile utilizzare Non intervenire (solo registrazione) come seconda azione per i virus macro e non macro. Non selezionare questa azione in caso di scansioni automatiche su larga scala, come ad esempio le scansioni pianificate, ma solo se si desidera visualizzare i risultati della scansione ed eseguire un ulteriore azione successiva, ad esempio la messa in quarantena del file. Per i rischi per la sicurezza, il file infetto viene lasciato invariato nella stessa posizione e nella Cronologia dei rischi viene inserita una voce per tenere traccia del rischio. Utilizzare questa opzione per controllare manualmente come Symantec AntiVirus gestisce un rischio per la sicurezza. Questa rappresenta la seconda azione predefinita in relazione ai rischi per la sicurezza. L'amministratore di sistema può inviare un messaggio personalizzato che indica all'utente come comportarsi. Vedere "Suggerimenti sull'assegnazione delle azioni secondarie per i virus" a pagina 74. Vedere "Suggerimenti sull'assegnazione delle azioni secondarie per rischi per la sicurezza" a pagina Ripetere i passaggi 4 e 5 per ogni categoria per la quale si desiderano impostare azioni specifiche. 7 Se è stata selezionata una categoria di rischi per la sicurezza nella struttura, fare clic sulla scheda Eccezioni per configurare azioni personalizzate per una o più istanze specifiche della categoria.

73 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 73 8 Fare clic su Aggiungi. 9 Nella finestra di dialogo Seleziona rischi, selezionare dall'elenco i rischi specifici per cui configurare le azioni personalizzate, quindi fare clic su Avanti.

74 74 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 10 Nella finestra di dialogo Configurazione dei rischi selezionare la prima e la seconda azione da eseguire quando viene rilevato il rischio selezionato e fare clic su Fine. 11 Ripetere i passaggi da 8 a 10 per ogni rischio per la sicurezza per il quale si desiderano impostare azioni specifiche. 12 Fare clic su OK fino a quando non viene visualizzata di nuovo la finestra principale di Symantec AntiVirus. Suggerimenti sull'assegnazione delle azioni secondarie per i virus Quando si seleziona un'azione secondaria per i virus, è importante considerare i seguenti elementi: Il livello di controllo che è necessario applicare ai file Se si memorizzano sul computer file importanti senza eseguirne copie di backup, si sconsiglia di utilizzare azioni come Elimina minaccia poiché, sebbene questa opzione consenta di eliminare un virus, può determinare la perdita di dati importanti. Un altro elemento importante è rappresentato dai file di sistema. Poiché alcuni file di sistema hanno estensioni di file eseguibili, possono essere potenzialmente soggetti ad attacchi da parte di virus di file. Sebbene non appropriata da certi punti di vista, è consigliabile utilizzare l'azione Non intervenire (solo registrazione) o Metti minaccia in quarantena in modo da poter verificare quali file sono stati infettati. Se ad esempio Command.com viene infettato da un virus di file e l'operazione di pulizia non riesce, è possibile che il file non possa essere ripristinato. Tuttavia, l'uso del comando Non intervenire (solo registrazione) potrebbe evitare ulteriori problemi derivanti dal mancato ripristino di Command.com prima di spegnere il computer. Il tipo di virus che ha infettato il computer A seconda del tipo, i virus attaccano aree diverse del computer. I virus di avvio infettano i settori di avvio, le tabelle di partizione, i record di avvio principali e talvolta la memoria. Se i virus di avvio sono multivalenti, possono infettare anche i file eseguibili e l'infezione può essere trattata con modalità simili a quelle utilizzate per un virus di file. I virus di file infettano in genere i file con estensione exe, com o dll. I virus macro infettano i file di documento e le macro associate. Selezionare le azioni in base ai tipi di file che potrebbe essere necessario ripristinare.

75 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 75 Il tipo di scansione da eseguire Tutte le scansioni eseguono automaticamente determinate azioni senza richiesta di conferma da parte dell'utente. Se le azioni non vengono modificate prima di una scansione, vengono utilizzate quelle predefinite. Le seconde azioni predefinite hanno lo scopo di mantenere sotto controllo una possibile epidemia. Per le scansioni automatiche, quali le scansioni pianificate, le scansioni durante inattività su computer a 32 bit e le scansioni Auto-Protect, è opportuno non assegnare azioni secondarie con effetti permanenti. Ad esempio, limitare l'utilizzo delle azioni Elimina minaccia e Pulisci minaccia o Elimina minaccia nelle scansioni manuali eseguite su file per i quali è già nota la presenza di un virus. Suggerimenti sull'assegnazione delle azioni secondarie per rischi per la sicurezza Quando si seleziona un'azione secondaria per i rischi per la sicurezza, è necessario considerare il livello di controllo che è necessario mantenere sui file. Se sul computer sono memorizzati file importanti senza copie di backup, si sconsiglia di utilizzare l'azione Elimina minaccia. Pur eliminando un rischio per la sicurezza, in questo modo è possibile causare l'arresto di altre applicazioni in esecuzione sul computer. Utilizzare invece l'azione Metti minaccia in quarantena, che consente, se necessario, di annullare le modifiche apportate. Configurazione delle notifiche relative a virus e rischi per la sicurezza Per impostazione predefinita, se durante una scansione Symantec Client Security viene rilevato un virus o un rischio per la sicurezza, viene visualizzata una notifica. Se è necessario Symantec Client Security terminare servizi o arrestare processi per rimuovere o riparare gli effetti di un virus o di un rischio per la sicurezza, viene visualizzata un'altra notifica per impostazione predefinita. È possibile configurare le seguenti notifiche per tutte le scansioni: Opzioni di rilevazione Opzioni di rimedio Comporre il messaggio da visualizzare quando viene Symantec Client Security rilevato un virus o un rischio per la sicurezza. Se si configura Auto-Protect per il file system, è possibile selezionare un'altra opzione per la visualizzazione di una finestra di dialogo con i risultati dei virus e dei rischi per la sicurezza rilevati. Specificare se si desidera che venga visualizzata una notifica ogni volta che viene rilevato un virus o un rischio per la sicurezza ed è necessario terminare un processo o interrompere un servizio per completare la procedura di rimozione o riparazione.

76 76 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione È possibile comporre il messaggio da visualizzare digitando direttamente nel campo del messaggio il testo desiderato e facendo clic con il pulsante destro del mouse per selezionare le variabili. Nella Tabella 3-2 sono descritti i campi delle variabili disponibili per i messaggi di notifica. Tabella 3-2 Campi delle variabili dei messaggi di notifica Campo NomeVirus Azione intrapresa Stato Nome file NomefileEPercorso Posizione Computer Utente Evento Registrato da DataRilevazione Nome di archiviazione Descrizione azione Descrizione Il nome del virus o del rischio per la sicurezza rilevato. L'azione eseguita in risposta alla rilevazione di un virus o di un rischio per la sicurezza. Può essere la prima o la seconda azione configurata. Lo stato del file: Infetto, Non infetto o Eliminato. Per impostazione predefinita, questa variabile di messaggio non viene utilizzata. Per visualizzare queste informazioni, aggiungere manualmente la variabile al messaggio. Il nome del file infettato dal virus o dal rischio per la sicurezza. Il percorso completo e il nome del file infettato dal virus o dal rischio per la sicurezza. L'unità del computer nella quale risiede il virus o il rischio per la sicurezza. Il nome del computer nel quale il virus o il rischio per la sicurezza è stato rilevato. Il nome dell'utente collegato al momento dell'attacco. Il tipo di evento, ad esempio "Individuato rischio". Il tipo di scansione, manuale, pianificata e così via, che ha rilevato il virus o il rischio per la sicurezza. La data di rilevazione del virus o del rischio per la sicurezza. L'area interessata dell'applicazione, ad esempio Auto- Protect per il file system o Auto-Protect per Lotus Notes. La descrizione completa delle azioni eseguite in risposta alla rilevazione del virus o del rischio per la sicurezza. Nella procedura seguente la configurazione di una scansione completa viene utilizzata come esempio. È possibile configurare le notifiche in modo analogo nelle altre scansioni.

77 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 77 Per configurare le notifiche relative a virus e rischi per la sicurezza 1 Nel riquadro sinistro espandere Scansione e quindi fare clic su Scansione completa. 2 Nel riquadro destro fare clic su Opzioni. 3 Nella finestra Opzioni di scansione fare clic su Notifiche. 4 Nell'area Opzioni di rilevazione della finestra Opzioni di notifica, selezionare Visualizza messaggio di notifica su computer infetto per visualizzare un messaggio sul computer quando viene rilevato un virus o un rischio per la sicurezza. 5 Per comporre il messaggio desiderato eseguire una o più delle seguenti operazioni nella finestra di messaggio: Fare clic per digitare o modificare il testo. Fare clic con il pulsante destro del mouse, selezionare Inserisci campo, quindi scegliere il campo della variabile da inserire. Fare clic con il pulsante destro del mouse e selezionare Taglia, Copia, Incolla, Cancella o Annulla. 6 Se si configurano notifiche Auto-Protect per il file system, la finestra del messaggio include un'ulteriore opzione. Deselezionare Visualizza finestra di dialogo Risultati di Auto-Protect sul computer infetto per non visualizzare la finestra di dialogo con i risultati dei virus e dei rischi per la sicurezza rilevati da Auto-Protect.

78 78 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 7 In Opzioni di rimedio, selezionare le impostazioni desiderate. Le opzioni disponibili sono le seguenti: Termina processo automaticamente Arresta servizi automaticamente Se questa opzione è selezionata, Symantec Client Security i processi verranno terminati automaticamente per consentire la rimozione o la riparazione di un virus o di un rischio per la sicurezza. Per terminare Symantec Client Security un processo, non viene chiesto di salvare i dati. Se questa opzione è selezionata, Symantec Client Security i servizi verranno arrestati automaticamente per consentire la rimozione o la riparazione di un virus o di un rischio per la sicurezza. Per terminare Symantec Client Security i servizi, non viene chiesto di salvare i dati. 8 Fare clic su OK fino a quando non viene visualizzata di nuovo la finestra principale di Symantec AntiVirus, quindi fare clic su Scansione. Interazione con le notifiche Se non si modificano le impostazioni predefinite, Symantec Client Security al rilevamento di un virus o un rischio per la sicurezza viene visualizzata una notifica. Viene visualizzata la finestra di dialogo Risultati di Auto-Protect:

79 Protezione del computer da virus e rischi per la sicurezza Configurazione della scansione 79 Se Symantec Client Security è necessario terminare un processo o un'applicazione, oppure arrestare un servizio, il pulsante Rimuovi rischio è attivo. Quando si seleziona questo pulsante, viene visualizzato il messaggio seguente: Ciò consente di salvare il proprio lavoro e chiudere tutte le applicazioni aperte se queste operazioni non sono ancora state eseguite. Una volta salvati i dati, è possibile tornare alla finestra di messaggio e fare clic su Sì per completare il processo di rimozione o riparazione. Se Symantec Client Security per completare il processo di rimozione o riparazione è necessario riavviare il computer, è attivo il pulsante Riavvia. Quando si seleziona questo pulsante, viene visualizzato il messaggio seguente: Ciò consente di salvare il proprio lavoro e chiudere tutte le applicazioni aperte se queste operazioni non sono ancora state eseguite. Una volta salvati i dati, è possibile tornare alla finestra di messaggio e fare clic su Sì per riavviare il computer. Se si sceglie No e si chiude la finestra di messaggio senza riavviare il computer, il processo di rimozione o riparazione verrà completato solo al successivo riavvio del computer. Se si chiude la finestra di messaggio senza eseguire l'azione necessaria per completare il processo di rimozione o riparazione, viene visualizzato il messaggio seguente:

80 80 Protezione del computer da virus e rischi per la sicurezza Interpretazione dei risultati della scansione Se si sceglie Sì e si chiude la finestra di dialogo senza eseguire alcuna azione, è possibile rimuovere o riparare la minaccia in un secondo momento nei modi seguenti: È possibile aprire la Cronologia dei rischi, fare clic con il pulsante destro del mouse e quindi scegliere l'azione da eseguire. È possibile eseguire un'altra scansione per rilevare di nuovo il rischio e riaprire la finestra di dialogo dei risultati. Le azioni disponibili dipendono dalle impostazioni specificate per il particolare tipo di virus o di rischio per la sicurezza individuato. Se si fa clic su No, verrà di nuovo visualizzata la finestra di dialogo dei risultati in cui è possibile selezionare l'azione appropriata. Interpretazione dei risultati della scansione Ogni volta che viene eseguita una scansione manuale, pianificata, all'avvio o definita dall'utente, è possibile seguire l'avanzamento dell'operazione mediante un'apposita finestra di dialogo. Per farlo è però necessario configurare il programma. Vedere "Avvio di scansioni manuali" a pagina 60. Vedere "Creazione di scansioni pianificate" a pagina 62. Vedere "Creazione delle scansioni all'avvio" a pagina 65. Vedere "Creazione di scansioni definite dall'utente" a pagina 66. Se si configura Symantec AntiVirus per visualizzare una finestra di dialogo di avanzamento della scansione, è possibile sospendere, riavviare o interrompere il processo di scansione. Al termine della scansione, i risultati vengono visualizzati in un elenco. Se non viene rilevato alcun virus o rischio per la sicurezza, l'elenco rimane vuoto e lo scansione risulta completata.

81 Protezione del computer da virus e rischi per la sicurezza Esclusione di file dalle scansioni 81 Se vengono rilevati virus o rischi per la sicurezza durante la scansione, nella finestra di dialogo di avanzamento della scansione verranno visualizzati i nomi dei file infetti, dei virus o dei rischi per la sicurezza e le azioni eseguite. Per impostazione predefinita, quando viene individuato un virus o un rischio per la sicurezza, viene visualizzato un messaggio di notifica. Vedere "Interventi sui file infetti" a pagina 83. Nota: in una rete a gestione centralizzata è possibile che la finestra di dialogo di avanzamento della scansione non venga visualizzata nel caso di scansioni avviate dall'amministratore. Analogamente, l'amministratore può scegliere di non visualizzare gli avvisi quando viene rilevato un virus o un rischio per la sicurezza. Esclusione di file dalle scansioni Raramente un file che non contiene virus viene individuato come infetto. Ciò può accadere se una particolare definizione dei virus è stata progettata per l'individuazione di tutte le varianti possibili di un virus. Poiché la definizione dei virus deve essere necessariamente ampia, è possibile che un file non infetto venga indicato come file infetto. Se un file pulito continua a venire considerato infetto, è possibile escludere il file dalle scansioni. Le esclusioni sono elementi che non si ritiene opportuno sottoporre a scansione.

82 82 Protezione del computer da virus e rischi per la sicurezza Esclusione di file dalle scansioni È inoltre possibile escludere cartelle che contengono software che può essere rilevato come un rischio per la sicurezza, ad esempio adware, qualora la politica di sicurezza aziendale ne consenta l'esecuzione. Vedere "Informazioni sui rischi per la sicurezza" a pagina 18. Impostare esclusioni specifiche per ogni tipo di scansione: Auto-Protect, all'avvio, definita dall'utente, pianificata o manuale, incluse le opzioni Scansione personalizzata, Scansione rapida o Scansione completa. La procedura da seguire è comunque identica per tutti i tipi di scansione. Avvertimento: impostare le esclusioni con particolare attenzione. Se un file escluso da una scansione viene infettato da un virus, su di esso non verrà eseguita alcuna azione di pulizia. Ciò può costituire un pericolo per la sicurezza del computer. Per escludere un file da una scansione 1 Eseguire una delle seguenti operazioni: Per Auto-Protect per il file system, nel riquadro sinistro fare clic su Configura e quindi, nel riquadro destro, su Auto-Protect per File System. Per tutti gli altri tipi di scansione, fare clic su Opzioni nel riquadro in cui sono specificati gli elementi da sottoporre a scansione. 2 Nel riquadro destro o nella finestra di dialogo Opzioni di scansione, selezionare l'opzione di esclusione di file e cartelle. 3 Fare clic su Esclusioni e quindi su File/Cartelle per specificare i file da escludere. 4 Fare clic su OK. 5 Fare clic su Estensioni. 6 Specificare i tipi di file che si desidera escludere, quindi fare clic su OK. Per specificare un carattere qualsiasi, utilizzare il carattere jolly?. Ad esempio, digitando XL? vengono esclusi i file con estensione xls, xlt, xlw e xla. 7 Fare clic su OK fino a quando non viene visualizzata di nuovo la finestra principale di Symantec AntiVirus.

83 Capitolo 4 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Questo capitolo comprende i seguenti argomenti: Interventi sui file infetti Informazioni sulla quarantena Gestione della quarantena Visualizzazione del Registro eventi Interventi sui file infetti Le opzioni preimpostate di Symantec AntiVirus per Auto-Protect e per tutti i tipi di scansione prevedono la pulizia dei file infetti al momento del rilevamento del virus e lo spostamento del file in quarantena nel caso in cui non sia possibile procedere alla rimozione. Per quanto riguarda i rischi per la sicurezza, l'impostazione predefinita prevede l'inserimento in quarantena dei file infetti e la rimozione o la riparazione dei relativi effetti secondari oppure, se non è possibile, la registrazione della rilevazione. Se un file infetto da virus viene riparato, non è necessario eseguire ulteriori operazioni per proteggere il computer. Se un file infetto da virus viene messo in quarantena e rimosso o riparato, non è necessario eseguire ulteriori operazioni per proteggere il computer. È possibile intervenire subito sui file infetti dalla finestra di dialogo di avanzamento della scansione una volta terminata la scansione. Ad esempio, si potrà decidere di eliminare un file riparato, perché si preferisce sostituirlo con la versione originale del file stesso.

84 84 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Interventi sui file infetti È possibile intervenire su un file infettato da un virus o da un rischio per la sicurezza in un momento successivo, da Cronologia dei rischi o dalla Quarantena. Vedere "Ripetizione della scansione sui file in quarantena" a pagina 88. Nota: in una rete a gestione centralizzata è possibile che la finestra di dialogo di avanzamento della scansione non venga visualizzata nel caso di scansioni avviate dall'amministratore. Analogamente, l'amministratore può scegliere di non visualizzare gli avvisi quando viene rilevato un virus o un rischio per la sicurezza. Per intervenire su un file infetto 1 Effettuare una delle seguenti operazioni. Nella finestra di dialogo di avanzamento della scansione, selezionare i file desiderati al termine della scansione. Nel riquadro sinistro di Symantec AntiVirus espandere Cronologia, fare clic su Cronologia dei rischi e quindi selezionare i file desiderati nel riquadro destro. 2 Fare clic con il pulsante destro del mouse sul file o sui file, quindi selezionare una delle seguenti opzioni: Annullamento dell'azione precedente: se possibile, annulla l'azione di risposta preimpostata. Ripulisci (solo virus): rimuove il virus dal file. Eliminazione definitiva: elimina il file infetto e i relativi effetti secondari. Utilizzare l'azione con attenzione in relazione ai rischi per la sicurezza. In alcuni casi la loro eliminazione può determinare problemi di funzionamento in alcune applicazioni. Sposta in quarantena: mette in quarantena file infetti. Nel caso di rischi per la sicurezza tenta anche di rimuovere o riparare gli effetti. Controlli di Proprietà: consente di visualizzare informazioni sul virus o sul rischio per la sicurezza.

85 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Informazioni sulla quarantena 85 In base all'azione preimpostata in caso di rilevazione di un virus o di un rischio per la sicurezza, potrebbe non essere possibile eseguire l'azione selezionata. Informazioni sui danni causati dai virus Se un'infezione viene rilevata poco dopo l'attacco del virus, è probabile che il file pulito funzioni correttamente. In altre occasioni, tuttavia, non è possibile ripulire un file che è già stato danneggiato dal virus. Se ad esempio viene rilevato il virus macro Word.Wazzu in un file di documento infetto, il virus viene rimosso, ma non la parola "wazzu", che il virus inserisce nel documento infetto. In questo caso, non è possibile riparare i danni provocati al file infetto. Informazioni sulla quarantena Può succedere che venga rilevato un virus sconosciuto che non può essere eliminato con la serie delle definizioni dei virus corrente, oppure che si sospetti la presenza di un file infetto che tuttavia non viene rilevato. In questi casi, è possibile utilizzare la quarantena per isolare in modo sicuro i file potenzialmente infetti ed evitare la diffusione del virus.

86 86 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Informazioni sulla quarantena Spostare i file infetti da virus in Quarantena Spostando in quarantena un file infetto da virus si riduce notevolmente la possibilità che il virus si replichi e quindi infetti altri file. Questa è un'azione secondaria consigliata per le infezioni da virus macro e non macro. Spostando un file infetto da virus nell'area di quarantena è possibile evitare la diffusione del virus. Tuttavia, questo non viene eliminato e resta nel computer fino a quando il file non viene ripulito o eliminato definitivamente. Lo spostamento di un file infetto in quarantena è un'azione utile da eseguire sui file infetti da virus di file e virus delle macro, ma non per le infezioni da virus di avvio. In genere, i virus di avvio risiedono nel settore di avvio o nelle tabelle di partizione di un computer, elementi che non possono essere spostati in quarantena. Vedere "Informazioni sul record di avvio principale" a pagina 17. Vedere "Virus del settore di avvio" a pagina 16. Dopo che un file è stato spostato in quarantena, è possibile tentare di pulirlo, eliminarlo definitivamente o riportarlo nella posizione originale. È possibile anche visualizzare le proprietà del file infetto. Dopo l'aggiornamento dei file delle definizioni dei virus, sarà possibile eseguire nuovamente la scansione del file infetto memorizzato nell'area di quarantena. Vedere "Ripetizione della scansione sui file in quarantena" a pagina 88. Lasciare in quarantena i file infetti da rischi per la sicurezza È possibile lasciare i file infetti in quarantena oppure eliminarli. È necessario lasciare i file infetti in quarantena finché non si è certi che le applicazioni installate sul computer funzionano correttamente. Eliminare i file infetti da virus in Quarantena Se si elimina un file nell'area di quarantena, questo viene cancellato definitivamente dal disco rigido del computer. L'eliminazione di un file infetto riduce il rischio che un virus possa diffondersi, in quanto il file (e quindi il virus) viene rimosso dal computer. L'eliminazione del file infetto è efficace sia per i virus di file che per i virus delle macro. Poiché i virus possono danneggiare parti dei file, l'eliminazione del file infetto e la sua sostituzione con una copia di backup non infetta possono essere una soluzione migliore rispetto alla semplice pulizia del file.

87 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Gestione della quarantena 87 Questa operazione può essere eseguita manualmente dopo che un file è stato spostato in quarantena. L'eliminazione del file infetto dalla quarantena è un metodo utile per rimuovere un virus da un file non necessario che non è stato possibile pulire. Avvertimento: utilizzare questa opzione soltanto se si dispone di copie di backup non infette dei file da sottoporre a scansione. Non utilizzare questa azione come primaria per i file che vengono sottoposti a scansione Auto-Protect o pianificata. Eliminare i file infetti da rischi per la sicurezza in Quarantena Se si eliminano i file connessi ai rischi per la sicurezza e uno di questi file è associato a un'applicazione, quest'ultima potrebbe non funzionare più correttamente. La quarantena è un'alternativa più sicura in quanto reversibile. È possibile ripristinare i file se una o più applicazioni sul computer presentano problemi di funzionamento dopo l'inserimento in quarantena dei file di programma. Nota: se dopo l'esecuzione dell'applicazione associata al rischio per la sicurezza si è sicuri che questa funziona correttamente, può essere opportuno eliminare i file per liberare spazio sul disco. Gestione della quarantena I file infetti da virus o rischi per la sicurezza vengono messi in Quarantina. I file vengono inseriti in quarantena tramite uno dei due metodi seguenti: Symantec AntiVirus è configurato per spostare in quarantena gli elementi infetti individuati da Auto-Protect o durante una scansione. L'utente seleziona manualmente un file e lo aggiunge alla quarantena. Le opzioni preimpostate di Symantec AntiVirus per Auto-Protect e per tutti i tipi di scansione prevedono la pulizia dei file infetti al momento del rilevamento del virus e lo spostamento del file in quarantena nel caso in cui non sia possibile procedere alla rimozione. Per quanto riguarda i rischi per la sicurezza, l'opzione predefinita consiste nel mettere in quarantena i file infetti e tentare di riparare gli effetti secondari del rischio per la sicurezza.

88 88 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Gestione della quarantena Per aggiungere manualmente un file alla quarantena 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 2 Nel riquadro destro fare clic su Quarantena. 3 Sulla barra degli strumenti fare clic su Aggiungi nuovo elemento alla quarantena. 4 Individuare e selezionare il file, quindi fare clic su Aggiungi. 5 Fare clic su Chiudi. Visualizzazione dei file e dei relativi dettagli nella Quarantena È possibile visualizzare i file collocati nell'area di quarantena e i dettagli relativi, come il nome del virus e del computer sul quale il virus è stato rilevato e così via. Per visualizzare i file e i relativi dettagli nella Quarantena 1 Nel menu Visualizza di Symantec AntiVirus fare clic su Quarantena. 2 Fare clic con il pulsante destro del mouse sul file da visualizzare, quindi scegliere Proprietà. Ripetizione della scansione sui file in quarantena Se un file viene trasferito in quarantena, aggiornare le definizioni dei virus. A seconda di come l'amministratore ha configurato la quarantena, è possibile che dopo l'aggiornamento delle definizioni vengano eseguiti automaticamente la scansione, la pulizia e il ripristino dei file oppure che venga visualizzata la procedura guidata di riparazione, che consente di eseguire nuovamente la scansione dei file in quarantena. Qualora, dopo la ripetizione della scansione dei file in quarantena, non sia possibile rimuovere il virus, è possibile inviare il file infetto a Symantec Security Response perché venga analizzato. Vedere "Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi" a pagina 93.

89 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Gestione della quarantena 89 Per ripetere la scansione dei file in quarantena mediante la Procedura guidata di riparazione 1 Se viene visualizzata la procedura di riparazione guidata fare clic su Sì. 2 Fare clic su Avanti e seguire le istruzioni visualizzate sullo schermo per ripetere la scansione dei file in quarantena. Ripetizione manuale della scansione dei file È possibile ripetere manualmente la scansione di un file in quarantena alla ricerca dei virus ma non dei rischi per la sicurezza. Per ripetere manualmente la scansione antivirus di un file in quarantena 1 Aggiornare le definizioni. Vedere "Mantenere aggiornata la protezione antivirus e contro i rischi per la sicurezza" a pagina Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 3 Nel riquadro destro fare clic su Quarantena.

90 90 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Gestione della quarantena 4 Selezionare il file nell'elenco della quarantena. 5 Effettuare una delle seguenti operazioni. Fare clic con il pulsante destro del mouse sul file, quindi scegliere Ripulisci. Sulla barra degli strumenti del riquadro destro fare clic su Ripulisci. 6 Fare clic su Ripulisci. Il file viene riesaminato in base alle nuove definizioni e collocato nella sua posizione originale. Quando un file riparato non può essere ripristinato nella posizione originale Talvolta, la posizione originale del file non è più identificabile, ad esempio quando un allegato infetto viene estratto dal messaggio di di appartenenza e messo in quarantena. In questi casi particolari, il file pulito viene posizionato nell'area Elementi riparati, da cui l'utente potrà successivamente spostarlo nella posizione desiderata. Per spostare un file pulito dalla cartella Elementi riparati 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 2 Nel riquadro destro fare clic su Elementi riparati. 3 Fare clic con il pulsante destro del mouse sul file, quindi scegliere Ripristina. 4 Specificare la posizione del file pulito.

91 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Gestione della quarantena 91 Cancellazione degli elementi di backup Come forma di precauzione di sicurezza per i dati, per impostazione predefinita Symantec AntiVirus è configurato in modo da creare copie di backup degli elementi infettati da virus e rischi per la sicurezza prima di tentare di ripulirli o ripararli. Dopo un che elemento è stato ripulito con successo, eliminarlo manualmente dagli elementi di backup, in quanto la copia sarà ancora infetta. È inoltre possibile definire un periodo di tempo trascorso il quale i file vengono eliminati automaticamente. Vedere "Eliminazione automatica dei file dalla quarantena da Elementi di backup e da Elementi riparati" a pagina 92. Per cancellare manualmente gli elementi di backup 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 2 Nel riquadro destro, fare clic su Elementi di backup. 3 Selezionare uno o più file nell'elenco Elementi di backup. 4 Effettuare una delle seguenti operazioni. Fare clic con il pulsante destro del mouse sul file, quindi scegliere Elimina definitivamente. Sulla barra degli strumenti del riquadro destro fare clic su Elimina. 5 Nella finestra di dialogo Azione, fare clic su Elimina. 6 Fare clic su Chiudi. Eliminazione di file dalla quarantena È possibile eliminare manualmente dalla quarantena i file non più necessari e definire un periodo di tempo trascorso il quale i file vengono eliminati automaticamente. Vedere "Eliminazione automatica dei file dalla quarantena da Elementi di backup e da Elementi riparati" a pagina 92. Nota: è possibile che l'amministratore abbia impostato il numero massimo di giorni di permanenza dei file in quarantena. Trascorso tale periodo, i file vengono eliminati automaticamente.

92 92 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Gestione della quarantena Per eliminare manualmente i file dalla quarantena 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 2 Nel riquadro destro fare clic su Quarantena. 3 Selezionare uno o più file nell'elenco dei file in quarantena. 4 Fare clic con il pulsante destro del mouse sui file, quindi scegliere Elimina definitivamente. 5 Nella finestra di dialogo Azione, fare clic su Elimina. 6 Fare clic su Chiudi. Eliminazione automatica dei file dalla quarantena da Elementi di backup e da Elementi riparati È possibile impostare Symantec AntiVirus per la rimozione automatica degli elementi dopo un intervallo specificato dalla Quarantena, da Elementi di backup e da Elementi riparati. Ciò impedisce l'accumulo in queste aree di file che si dimentica di eliminare manualmente. Per eliminare automaticamente i file 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 2 Nel riquadro di destra selezionare una delle opzioni seguenti: Quarantena Elementi di backup Elementi riparati 3 Fare clic sull'icona Elimina all'estrema destra della barra degli strumenti. 4 Nella finestra di dialogo Opzioni eliminazione, selezionare Attiva eliminazione file automatica. 5 Nella casella di testo Elimina dopo, digitare un numero oppure fare clic su una freccia per selezionare un numero. 6 Selezionare l'intervallo di tempo. 7 Fare clic su OK.

93 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Visualizzazione del Registro eventi 93 Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi A volte, in Symantec AntiVirus non è possibile eliminare il virus da un file, oppure l'utente ritiene che un file sia infetto sebbene non sia stato rilevato come tale. Inviandolo a Symantec Security Response, esso verrà analizzato per garantire che non sia infetto. Per inviare un campione è necessario poter accedere a Internet. Nota: in una rete a gestione centralizzata, l'invio di file a Symantec Security Response viene in genere gestito dall'amministratore tramite Symantec Central Quarantine. In tal caso, l'opzione Invia a Symantec Security Response non è disponibile nella propria versione di Symantec AntiVirus. Inoltre, l'opzione non è disponibile quando l'amministratore configura un client non gestito in modo da non consentire l'invio diretto a Symantec Security Response. Per inviare un file a Symantec Security Response dalla quarantena 1 Nel riquadro sinistro di Symantec AntiVirus, fare clic su Visualizza. 2 Nel riquadro destro fare clic su Quarantena. 3 Selezionare il file nell'elenco degli elementi in quarantena. 4 Sulla barra degli strumenti del riquadro destro fare clic su Invia a Symantec Security Response. 5 Seguire le istruzioni della procedura guidata per raccogliere le informazioni necessarie, quindi inviare il file da analizzare. Visualizzazione del Registro eventi Il Registro eventi include record giornalieri delle attività relative a virus e rischi per la sicurezza connesse alla protezione del computer, inclusi modifiche alla configurazione, errori e informazioni sui file della definizioni dei virus e dei rischi per la sicurezza. Queste registrazioni, dette eventi, vengono visualizzate insieme ad altre informazioni sotto forma di elenco. Utilizzando queste informazioni è possibile tenere traccia delle tendenze connesse a virus e rischi per la sicurezza sul computer. Se il computer viene utilizzato da più persone, potrebbe essere possibile identificare quale utente determina il maggior numero di infezioni, aiutandolo a prendere maggiori precauzioni. Per visualizzare il Registro eventi Nel menu Cronologia di Symantec AntiVirus fare clic su Registro eventi.

94 94 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Visualizzazione del Registro eventi Filtro degli elementi nel Registro eventi Nel Registro eventi è possibile applicare filtri agli eventi, in modo da visualizzarli per data, evento, computer, utente o tipo di scansione. È inoltre possibile filtrare per data o categorie di eventi, in modo da visualizzare le informazioni relative ad alcuni giorni o anni precedenti. Filtro degli elementi per data È possibile filtrare per data gli elementi visualizzati in Cronologia dei rischi, Cronologia scansioni, Registro eventi e Cronologia delle manomissioni. Per impostazione predefinita, gli eventi vengono inseriti nel Registro eventi nell'ordine in cui si verificano. Gli eventi memorizzati sono tutti quelli che si sono verificati sul computer in uso dopo l'installazione di Symantec AntiVirus. Quando si modifica l'intervallo di date, le informazioni non vengono eliminate. Ad esempio, se si modificano le informazioni visualizzate per la giornata odierna, le altre, anche se non visualizzate nella cronologia o nel registro, non vengono eliminate. Per filtrare gli elementi per data 1 Nel menu Cronologia fare clic su Registro eventi. 2 Fare clic sulla casella di riepilogo a discesa Tutti gli elementi (o su un intervallo di date). 3 Selezionare un filtro. 4 Se si è fatto clic su Intervallo selezionato, selezionare una data iniziale e una data finale, quindi fare clic su OK. Filtro del Registro eventi per categoria di evento Dopo aver visualizzato le informazioni desiderate nel Registro eventi, è possibile salvare i dati visualizzati in un file csv (Comma Separated Values, Valori separati da virgole) sul computer in uso. Gli eventi sono divisi nelle seguenti categorie all'interno del Registro eventi: Modifica della configurazione Avvio/chiusura di Symantec AntiVirus file delle definizioni dei virus omissioni di scansione Inoltro al server di quarantena Invio a Symantec Security Response.

95 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Visualizzazione del Registro eventi 95 Caricamento/scaricamento di Auto-Protect Licenze Gestione e roaming di client Inoltro registro Avvisi di comunicazioni non autorizzate (accesso negato). Accesso e gestione certificati È possibile ridurre il numero di eventi che appaiono nel registro visualizzando soltanto determinate categorie. Ad esempio, per visualizzare soltanto gli eventi di tipo errore, selezionare solo la categoria Modifica di configurazione. Symantec AntiVirus continua a registrare anche gli eventi delle altre categorie, ma questi non appaiono nel Registro degli eventi. Per filtrare il Registro eventi per categoria di evento 1 Nel menu Cronologia di Symantec AntiVirus fare clic su Registro eventi. 2 Fare clic su Filtra registro eventi. 3 Selezionare una o più categorie di eventi. 4 Fare clic su OK. Informazioni sull'eliminazione di elementi dal registro eventi Non è possibile eliminare in modo permanente i record degli eventi dal Registro degli eventi. Per farlo è necessario eliminare i file con estensione log che contengono le registrazioni degli eventi. Per ogni giorno della settimana, gli eventi vengono infatti registrati in file log memorizzati nella directory Registri. I file vengono denominati in base al giorno di creazione. L'eliminazione di questi file è sconsigliata, per evitare di perdere in modo permanente i dati cronologici relativi alla protezione antivirus in essi contenuti.

96 96 Cosa fare se viene rilevato un virus o un rischio per la sicurezza Visualizzazione del Registro eventi Esportazione dei dati in un file csv È possibile esportare le informazioni in file di formato csv. Questo formato di file comune viene utilizzato dalla maggior parte dei programmi di foglio di calcolo e di database per l'importazione di dati. Dopo l'esportazione in un altro programma, è possibile utilizzare i dati per creare presentazioni e grafici oppure unire i dati ad altre informazioni per creare report complessi. È possibile esportare solo i dati visualizzati. Ad esempio, se le impostazioni di Symantec AntiVirus sono state modificate in modo da visualizzare le informazioni relative agli ultimi sette giorni, nel file csv appariranno solo tali informazioni. Per esportare dati in un file csv 1 Nella finestra Cronologia dei rischi, Cronologia scansioni o Registro eventi assicurarsi che i dati da salvare siano visualizzati. 2 Fare clic su Esportare. 3 Nella finestra di dialogo Salva con nome individuare la directory in cui si desidera salvare il file, quindi immetterne il nome. 4 Fare clic su Salva.

97 Sezione 2 Symantec Client Firewall Guida rapida di Symantec Client Firewall Concetti di base su Symantec Client Firewall Utilizzo di Rilevamento posizione e delle aree Protezione dai tentativi di intrusione Protezione delle sessioni del browser web Controllo di Symantec Client Firewall

98

99 Capitolo 5 Guida rapida di Symantec Client Firewall Questo capitolo comprende i seguenti argomenti: Novità di Symantec Client Firewall Informazioni su Symantec Client Firewall Symantec Client Firewall e Symantec Client Security Funzioni di Symantec Client Firewall

100 100 Guida rapida di Symantec Client Firewall Novità di Symantec Client Firewall Novità di Symantec Client Firewall Symantec Client Firewall include ora le seguenti funzionalità: Filtri per protocolli Autorizzazioni utente Impostazioni di Prevenzione delle intrusioni Controllo della riservatezza Consentono di autorizzare o bloccare il traffico IP che utilizza i protocolli Internet Protocol (IP) meno comuni, in precedenza autorizzati in modo incondizionato in Symantec Client Firewall. Vedere "Utilizzo di Filtri per protocolli" a pagina 163. Determinano il livello di interazione con Symantec Client Firewall. Vedere "Informazioni sulle autorizzazioni di Symantec Client Firewall" a pagina 108. La nuova tecnologia di Prevenzione delle intrusioni aumenta il livello di protezione dei computer client dai tentativi di intrusione. La funzione Prevenzione delle intrusioni, infatti, include un sistema di riconoscimento delle firme più sensibile e un motore che memorizza le politiche del traffico in rete per applicarle al successivo monitoraggio del traffico. Vedere "Modalità di analisi del traffico da parte di Prevenzione delle intrusioni" a pagina 138. Consente di bloccare informazioni riservate dalla trasmissione tramite siti Web, messaggi e messaggi immediati (versione avanzata). Vedere "Informazioni sulla protezione della privacy" a pagina 173. Statistiche. Consentono di visualizzare i dettagli relativi agli attacchi recenti subiti dal computer e alle azioni intraprese su cookie, informazioni riservate e Blocco pubblicità (versione avanzata). Vedere "Visualizzazione della finestra Statistiche" apagina194. Visualizzatore registro Consente di visualizzare i dettagli delle azioni intraprese da Symantec Client Firewall per proteggere il computer. È ora possibile sceglier tra i livelli di registrazione predefinito e verboso (dettagliato). Vedere "Informazioni sul livello di registrazione" a pagina 200. Avvisi relativi alle firme di Prevenzione delle intrusioni Avviso di protezione Consente di escludere la generazione di avvisi per singole firme di Prevenzione delle intrusioni Vedere "Esclusione di avvisi di Prevenzione delle intrusioni" apagina166. Consente di disattivare temporaneamente Symantec Client Firewall, il componente Client Firewall client e Prevenzione delle intrusioni. Vedere "Disattivazione temporanea di Symantec Client Firewall" a pagina 115.

101 Guida rapida di Symantec Client Firewall Informazioni su Symantec Client Firewall 101 Informazioni su Symantec Client Firewall Symantec Client Firewall protegge il computer dagli hacker, tutela la riservatezza dell'utente ed elimina le origini indesiderate di traffico di rete. Internet Gli hacker non sono in grado di individuare il computer protetto dal firewall aziendale Symantec Client Firewall controlla i tentativi di accesso da Internet Symantec Client Firewall può consentire o bloccare le comunicazioni avviate dall'utente Firewall Computer client Symantec Client Firewall costituisce una barriera tra il computer e la rete Internet. I firewall impediscono agli utenti non autorizzati di accedere alle reti e ai computer privati connessi a Internet. Symantec Client Firewall impedisce l'accesso non autorizzato al computer quando l'utente è connesso a Internet, rileva possibili attacchi a opera di hacker, protegge le informazioni personali dell'utente ed elimina le origini indesiderate di traffico di rete.

102 102 Guida rapida di Symantec Client Firewall Symantec Client Firewall e Symantec Client Security Symantec Client Firewall e Symantec Client Security Symantec Client Firewall è un componente di Symantec Client Security. A livello client, Symantec Client Security include le seguenti forme di protezione: protezione antivirus Rilevazione e riparazione estesa di minacce filtro dei contenuti firewall Prevenzione delle intrusioni Queste forme di protezione proteggono la rete a livello client identificando e rimuovendo le minacce di tipo blended, Nelle minacce di tipo blended vengono utilizzati diversi metodi di attacco, inclusi worm, punti deboli della posta elettronica e delle applicazioni, nonché condivisioni di rete per il controllo dei sistemi. Code Red e Nimda sono esempi di minacce di tipo blended. Nota: Symantec Client Firewall e il motore di Prevenzione delle intrusioni non supportano le piattaforme a 64 bit nella versione corrente. Verificare nelle note di rilascio e nel file Leggimi in dotazione con ogni nuova release gli aggiornamenti relativi al supporto per i sistemi a 64 bit. Funzioni di Symantec Client Firewall Symantec Client Firewall include vari programmi di protezione a tutela della sicurezza del computer. Poiché la sicurezza Internet può essere di difficile attuazione, Symantec Client Firewall include l'assistente avvisi, che consente di comprendere meglio l'importanza di una buona protezione, suggerisce come risolvere i problemi e aiuta l'utente a evitare futuri problemi di sicurezza.

103 Guida rapida di Symantec Client Firewall Funzioni di Symantec Client Firewall 103 Nella Tabella 5-1 sono elencate le funzionalità disponibili in Symantec Client Firewall. Tabella 5-1 Funzione Stateful inspection Funzioni di Symantec Client Firewall Descrizione Fornisce informazioni sulle connessioni correnti quali gli indirizzi IP di origine e destinazione, le porte, le applicazioni e così via. Assicura che il traffico in entrata sia legittimato dal traffico in uscita e attiva la semplificazione della base di regole. Vedere "Informazioni sul processo stateful inspection" a pagina 154. Stato Internet Fornisce un'istantanea dell'attività svolta sulla rete dal computer in uso. È possibile utilizzare queste informazioni per rilevare i tentativi di attacco in corso e per controllare come le impostazioni del programma agiscono sulla protezione del sistema. Vedere "Informazioni sul controllo di Symantec Client Firewall" a pagina 193. Client Firewall Consente di proteggere il computer dagli hacker e dalle intrusioni non autorizzate provenienti da Internet. Rende il computer virtualmente invisibile ad altri utenti su Internet. Consente di proteggere gli utenti remoti e mobili dagli attacchi degli hacker e impedisce che i sistemi vengano utilizzati dagli hacker per accedere alla rete aziendale. Vedere "Modalità di protezione di Symantec Client Firewall dagli attacchi di rete" a pagina 136. Prevenzione delle intrusioni Consente di rilevare e bloccare il traffico pericoloso e i tentativi di attacco al computer da parte di utenti esterni. Prevenzione delle intrusioni controlla inoltre il traffico in uscita e impedisce il diffondersi di worm. Vedere "Modalità di protezione di Symantec Client Firewall dagli attacchi di rete" a pagina 136. Controllo della riservatezza Fornisce vari livelli di controllo sui tipi di informazioni che gli utenti, i browser Web, i programmi di messaggistica immediata e i client di possono inviare attraverso Internet. Vedere "Informazioni sulla protezione della privacy" a pagina 173.

104 104 Guida rapida di Symantec Client Firewall Funzioni di Symantec Client Firewall Tabella 5-1 Funzione Blocco pubblicità Funzioni di Symantec Client Firewall (Continua) Descrizione Velocizza la navigazione Web eliminando striscioni pubblicitari e altri contenuti intrusivi o a caricamento lento. Symantec Client Firewall, inoltre, consente di bloccare i messaggi pubblicitari creati con Macromedia Flash e impedisce l'apertura di finestre a comparsa (pop-up e pop-under) all'interno dei siti. Vedere "Blocco delle pubblicità" a pagina 181. Rilevamento posizione Consente di implementare specifici set di regole e aree in base al punto di accesso della rete utilizzato per la connessione a Internet. Vedere "Utilizzo di Rilevamento posizione" a pagina 123. Porta sicura Consente di proteggere le porte definite nelle regole Trojan in modo così completo che il traffico destinato a tali porte, sia in entrata che in uscita, non avvia mai il controllo della base di regole del firewall. I programmi che utilizzano porte casuali non tenteranno di utilizzare le porte protette. Vedere "Utilizzo di Secure Port" a pagina 160. Filtri per protocolli Gestione impostazioni Consente di autorizzare o bloccare tutti i protocolli IP di Symantec Client Firewall, per una maggiore sicurezza, anziché limitarsi alla configurazione dei protocolli TCP, UDP, ICMP e IGMP. Le reti VPN (Virtual Private Network) e il multicasting IP utilizzano protocolli meno comuni, che è possibile configurare tramite Filtri per protocolli. Consente di esportare e importare i file delle politiche per fornire la funzionalità di backup e ripristino. Vedere "Esportazione e importazione dei file delle politiche" apagina114. Supporto VNP Consente a Symantec Client Firewall di operare con ileseguenti VPN: Check Point Nortel Contivity Microsoft ipass Fiberlink Con la maggior parte delle VPN, quando il client VPN è attivo, non è possibile consultare Internet o vedere gli altri computer presenti nella propria rete locale. È possibile visualizzare esclusivamente quanto è disponibile tramite il server VPN sul quale si è connessi. Blocco pubblicità e Controllo della privacy non sono supportate nelle connessioni crittografate.

105 Capitolo 6 Concetti di base su Symantec Client Firewall Questo capitolo comprende i seguenti argomenti: Accesso a Symantec Client Firewall Utilizzo di Symantec Client Firewall Personalizzazione di Symantec Client Firewall Esportazione e importazione dei file delle politiche Disattivazione temporanea di Symantec Client Firewall Aggiornamenti con LiveUpdate Dove ottenere maggiori informazioni su Symantec Client Firewall Accesso a Symantec Client Firewall Dopo l'installazione, Symantec Client Firewall inizia automaticamente a proteggere i computer sui quali è stato installato. Non è necessario avviare il programma per attivare la protezione. Per accedere a Symantec Client Firewall Effettuare una delle seguenti operazioni: Sulla barra delle applicazioni di Windows fare doppio clic sull'icona di Symantec Client Firewall.

106 106 Concetti di base su Symantec Client Firewall Accesso a Symantec Client Firewall Sulla barra delle applicazioni di Windows fare clic sul pulsante Start > e scegliere Programmi > Symantec Client Security > Symantec Client Firewall. Visualizzazione del menu di Symantec Client Firewall sulla barra delle applicazioni Symantec Client Firewall determina l'aggiunta di un'icona alla barra delle applicazioni di Windows. Per impostazione predefinita, l'icona sulla barra delle applicazioni di Symantec Client Firewall viene visualizzata nell'angolo -inferiore destro del monitor. Fare clic con il pulsante destro del mouse per aprire un menu che include gli strumenti di Symantec Client Firewall di utilizzo più comune. Nota: la finestra Opzioni di Symantec Client Firewall consente di ignorare l'impostazione predefinita e nascondere l'icona sulla barra delle applicazioni per Symantec Client Firewall. Inoltre, nella finestra sono incluse impostazioni configurabili per non visualizzare le opzioni di menu Visualizzatore registro e Visualizza statistiche.

107 Concetti di base su Symantec Client Firewall Utilizzo di Symantec Client Firewall 107 Nel menu della barra delle applicazioni è possibile effettuare le seguenti operazioni: Aprire la finestra principale di Symantec Client Firewall. Attivare e disattivare Symantec Client Firewall. Bloccare o consentire il traffico da e verso il computer. Visualizzare la finestra Opzioni. Aprire il Visualizzatore registro. Visualizzare la finestra Statistiche. Per visualizzare il menu di Symantec Client Firewall sulla barra delle applicazioni Fare clic-con il pulsante destro del mouse sull'icona. Utilizzo di Symantec Client Firewall Symantec Client Firewall opera in background. L'amministratore di sistema determina il livello di interazione tra l'utente e il programma consentendo o bloccando la possibilità di configurare le funzioni e le opzioni del firewall. In base alle autorizzazioni fornite dall'amministratore di sistema, l'utente potrà interagire con il programma solo quando vengono generati avvisi di nuove connessioni di rete e di potenziali problemi, oppure avere accesso completo all'interfaccia utente. In questo caso, l'utente può controllare il numero di avvisi ricevuti e le modalità di risoluzione di potenziali problemi di sicurezza.

108 108 Concetti di base su Symantec Client Firewall Utilizzo di Symantec Client Firewall Informazioni sulle autorizzazioni di Symantec Client Firewall Le autorizzazioni determinano quali funzioni di Symantec Client Firewall è possibile visualizzare e utilizzare. Le autorizzazioni vengono impostate dall'amministratore di sistema. Ogni funzionalità o opzione del firewall è collegata a un'impostazione di autorizzazione. In base alle autorizzazioni in possesso, è possibile che l'utente non abbia accesso all'interfaccia utente, che possa configurare tutte le opzioni del firewall oppure che debba limitarsi a eseguire attività specifiche che richiedono il suo intervento, ad esempio la configurazione di regole per un certo tipo di traffico Internet. Tra le autorizzazioni sono presenti alcune dipendenze. Ad esempio, se l'utente è in possesso delle autorizzazioni per creare e modificare le regole firewall, ma non per accedere all'interfaccia utente di Symantec Client Firewall, non gli sarà possibile configurare le regole perché la relativa finestra di dialogo non sarà accessibile. Le funzionalità non configurabili dall'utente vengono rimosse o visualizzate in grigio nell'interfaccia utente di Symantec Client Firewall. Modifica delle impostazioni per le funzionalità di protezione di Symantec Client Firewall Le impostazioni predefinite di Symantec Client Firewall offrono un modo sicuro, automatico ed efficiente per proteggere il computer. Se si desidera modificare o personalizzare la protezione, è possibile accedere a molti degli strumenti di Symantec Client Firewall dalla finestra Stato e impostazioni. Per modificare le impostazioni per le funzionalità di protezione di Symantec Client Firewall 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic sulla funzione da personalizzare. 3 Configurare la funzione. 4 Al termine delle modifiche fare clic su OK.

109 Concetti di base su Symantec Client Firewall Utilizzo di Symantec Client Firewall 109 Risposta agli avvisi di Symantec Client Firewall Symantec Client Firewall controlla le attività di comunicazione da e verso il computer e consente di sapere quando è in corso un'attività che potrebbe comprometterne la sicurezza. Symantec Client Firewall mostra i seguenti tipi di avvisi: sicurezza ActiveX Controllo della riservatezza Cookie Prevenzione delle intrusioni Protocollo Internet Java Ascolto Programma di avvio Stampa del finger del modulo Monitor di servizio Rilevamento posizione DNS Trojan Horse Quando viene visualizzato un avviso, leggerlo prima di prendere una decisione. Identificare il tipo di avviso e stabilire il livello di minaccia. Una volta determinati i rischi, è possibile decidere come procedere. La decisione può essere presa in tutta calma in quanto il computer rimane protetto dagli attacchi finché l'avviso è visualizzato. Symantec Client Firewall supporta l'utente nel decidere quale sia l'azione adeguata selezionando l'azione consigliata, se disponibile. Symantec Client Firewall non è in grado di suggerire le azioni consigliate per tutti gli avvisi. Non sempre un avviso di sicurezza rappresenta un tentativo di attacco al computer. Sono molteplici gli eventi innocui in Internet che causano la visualizzazione di tali avvisi. Per alcuni avvisi è possibile evitare che vengano visualizzati di nuovo.

110 110 Concetti di base su Symantec Client Firewall Utilizzo di Symantec Client Firewall Utilizzo dell'assistente avvisi Ogni avviso di Symantec Client Firewall include un collegamento all'assistente avvisi che contiene le seguenti informazioni personalizzate: Tipo di avviso Comunicazione che lo ha attivato Informazioni aggiuntive Operazioni possibili Modalità di riduzione del numero di avvisi di questo tipo. Per utilizzare l'assistente avvisi 1 In una qualsiasi finestra di avviso fare clic sul collegamento all'assistente avvisi. 2 Nella finestra Assistente avvisi esaminare le informazioni relative all'avviso. 3 Per rispondere all'avviso, chiudere l'assistente avvisi. Interruzione delle comunicazioni Internet con Blocca traffico Symantec Client Firewall include un pulsante Blocca traffico che consente di arrestare immediatamente qualunque comunicazione tra computer, limitando eventuali danni al computer in uso in caso di attacchi, se un Trojan Horse invia informazioni personali senza autorizzazione o se si consente inavvertitamente a una persona non affidabile di accedere ai file sul computer. Quando l'opzione è attiva, Symantec Client Firewall interrompe tutte le comunicazioni da e verso il computer. Dall'esterno il computer appare completamente disconnesso da Internet. Per bloccare tutto il traffico da e verso il computer, il pulsante Blocca rappresenta una scelta più efficace rispetto alla semplice disconnessione tramite il proprio software Internet. Poiché la maggior parte dei programmi Internet è in grado di connettersi automaticamente senza input da parte dell'utente, un programma pericoloso potrebbe riconnettersi quando l'utente non lavora al computer. Nota: il pulsante Blocca deve essere utilizzato come misura temporanea mentre si risolve un problema di sicurezza. Se si riavvia il computer, Symantec Client Firewall autorizza automaticamente tutte le comunicazioni in entrata e in uscita.

111 Concetti di base su Symantec Client Firewall Personalizzazione di Symantec Client Firewall 111 Per interrompere le comunicazioni Internet con il pulsante Blocca 1 Nella parte superiore della finestra principale fare clic su Blocca traffico. 2 Utilizzare gli strumenti di Symantec Client Security per risolvere il problema di sicurezza. 3 Dopo avere risolto il problema, fare clic su Consenti traffico. Personalizzazione di Symantec Client Firewall Le impostazioni predefinite di Symantec Client Firewall dovrebbero fornire una protezione adeguata per la maggioranza degli utenti. Se è necessario effettuare modifiche, utilizzare il menu Opzioni per accedere alle opzioni di Symantec Client Firewall, che consentono di controllare impostazioni più avanzate. Per personalizzare Symantec Client Firewall 1 Nella parte superiore della finestra principale fare clic su Opzioni. 2 Selezionare la scheda di cui si desidera modificare le opzioni. Informazioni sulle opzioni generali Le opzioni generali consentono di controllare l'esecuzione di Symantec Client Firewall e di selezionare elementi visivi da visualizzare. Le opzioni generali sono illustrate nella Tabella 6-1. Tabella 6-1 Gruppo Avvio di Symantec Client Firewall Impostazioni dell'icona nella barra delle applicazioni Opzioni generali Descrizione Consente di specificare se si desidera eseguire Symantec Client Firewall in modo manuale o automatico all'avvio di Windows. Consente di visualizzare sulla barra delle applicazioni di Windows un'icona di Symantec Client Firewall dalla quale accedere alle impostazioni del programma. È inoltre possibile includere collegamenti ai seguenti strumenti di Symantec Client Firewall: Descrizione Visualizzatore registro Statistiche.

112 112 Concetti di base su Symantec Client Firewall Personalizzazione di Symantec Client Firewall Tabella 6-1 Gruppo Livello di registrazione Opzioni generali (Continua) Descrizione Impostazione predefinita: Fornisce informazioni dettagliate sulle connessioni di rete, la configurazione e le modifiche al sistema e gli avvisi di sicurezza, inclusi Prevenzione delle intrusioni e attacchi Trojan Horse. Vengono registrate anche i siti Web, le informazioni riservate e la pubblicità bloccate. Dettagliata: Fornisce informazioni dettagliate su tutti gli eventi registrati in base all'impostazione predefinita. Vengono registrati agente utente, informazioni sui siti visitati e cookie. Vengono inoltre registrati le applet Java, i controlli ActiveX, la pubblicità, i siti Web e le informazioni riservate consentiti. Informazioni sulle opzioni relative al firewall Le opzioni relative al firewall consentono di attivare le funzioni di protezione avanzate e di personalizzare le porte utilizzate dal computer per la visualizzazione delle pagine Web. Nella maggioranza dei casi non è necessario modificare queste impostazioni. Le opzioni relative al firewall sono illustrate nella Tabella 6-2. Tabella 6-2 Gruppo Opzioni relative al firewall Descrizione Consente di controllare le impostazioni di accesso per moduli esterni utilizzati dai programmi per la connessione ainternet Se un programma apre un altro programma, consente di controllare le impostazioni di accesso Internet per ciascuno di essi Consente di controllare le regole firewall per ciascun componente quando un programma utilizza un componente software esterno per la connessione a Internet. I Trojan Horse e gli altri programmi pericolosi non possono associarsi a un programma sicuro ed eludere il rilevamento. Consente di utilizzare Controllo avvio programmi per garantire che i Trojan Horse e gli altri programmi pericolosi non possano avviare e manipolare programmi sicuri all'insaputa degli utenti. Quando questa opzione è attiva, viene inviato un avviso ogni volta che un programma non riconosciuto ne avvia un altro. È quindi possibile bloccare o consentire l'accesso a Internet da parte di un programma non riconosciuto.

113 Concetti di base su Symantec Client Firewall Personalizzazione di Symantec Client Firewall 113 Tabella 6-2 Gruppo Porte HTTP Nascondi porte bloccate Opzioni relative al firewall (Continua) Descrizione Consente di specificare l'elenco delle porte per le quali attivare il filtro di blocco Java e ActiveX, degli script, delle informazioni riservate, dei cookie e così via. Se l'elenco è vuoto, le informazioni riservate non vengono filtrate su HTTP. Se una porta attraverso la quale vengono trasmesse informazioni riservate non è inclusa in questo elenco, il traffico relativo su tale porta non viene filtrato. Per applicare tali impostazioni, è necessario riavviare il computer. Consente di specificare se in Symantec Client Firewall le porte inutilizzate, in caso di scansione, appaiono chiuse. Le porte nascoste non rispondono alle scansioni. Informazioni sulle opzioni di Secure Port Le opzioni di Secure Port consentono di attivare e disattivare la tecnologia di Secure Port, che protegge le porte bloccate con le regole Trojan in modo che nessuna applicazione possa utilizzarle. È anche possibile aggiungere altre porte all'elenco. Vedere "Utilizzo di Secure Port" a pagina 160. Informazioni sulle opzioni relative a Filtri per protocolli Consentono di autorizzare o bloccare in modo selettivo i protocolli Internet Protocol (IP) meno comuni. Vedere "Utilizzo di Filtri per protocolli" a pagina 163. Informazioni su Gestione impostazioni Gestione impostazioni consente di eseguire il backup (esportazione) e il ripristino (importazione) dei file delle impostazioni di Symantec Client Firewall. Vedere "Esportazione e importazione dei file delle politiche" a pagina 114.

114 114 Concetti di base su Symantec Client Firewall Esportazione e importazione dei file delle politiche Esportazione e importazione dei file delle politiche Symantec Client Firewall consente di esportare e importare tutte le impostazioni, una funzione utile per creare copie di backup e ripristinare facilmente la configurazione del firewall oppure per salvare una configurazione nota come file delle politiche e installarla su più computer. Per l'esportazione e l'importazione vengono utilizzati file XML. Per esportare o importare un file delle politiche 1 Nella parte superiore della finestra principale fare clic su Opzioni. 2 Nella scheda Gestione impostazioni della finestra Opzioni di Symantec Client Firewall, selezionare una delle seguenti opzioni: Esporta impostazioni Importa impostazioni. 3 Nella finestra di dialogo di selezione del file, passare alla directory desiderata.

115 Concetti di base su Symantec Client Firewall Disattivazione temporanea di Symantec Client Firewall Effettuare una delle seguenti operazioni. Se si sta eseguendo un'esportazione, nella casella Nome file digitare il nome del file in cui salvare le impostazioni, quindi fare clic su Salva. Se si sta eseguendo un'importazione, selezionare il file di destinazione, quindi fare clic su Apri. 5 Nella finestra Opzioni di Symantec Client Firewall, fare clic su OK. Se si sta esportando un file delle politiche, non configurare le impostazioni nelle altre schede prima di fare clic su OK per evitare che le impostazioni nelle altre schede non vengano esportate. Disattivazione temporanea di Symantec Client Firewall In determinate circostanze è possibile che sia necessario disattivare temporaneamente Symantec Client Firewall o una delle sue funzionalità. Ad esempio, è possibile che si desideri visualizzare messaggi pubblicitari online o verificare se Symantec Client Firewall stia impedendo la corretta visualizzazione di una pagina Web. Quando si disattiva Symantec Client Firewall, il componente Firewall Client o Prevenzione delle intrusioni, l'utente riceve un avviso di protezione che indica che il computer è più vulnerabile alle minacce alla sicurezza. È possibile selezionare un periodo predefinito per la disattivazione temporanea di Symantec Client Firewall oppure impostarlo per riattivarsi al riavvio del computer. Nota: se si disattiva Symantec Client Firewall selezionando Fino al riavvio del sistema come periodo di tempo, Symantec Client Firewall sarà attivo solo se il firewall è stato configurato per avviarsi all'avvio del sistema. Disattivare temporaneamente Symantec Client Firewall e funzionalità selezionate La disattivazione di Symantec Client Firewall comporta la disattivazione anche di tutte le sue singole funzionalità. È possibile anche disattivare singolarmente le funzioni di protezione, per verificare, ad esempio, se il componente Client Firewall stia impedendo il corretto funzionamento di un programma.

116 116 Concetti di base su Symantec Client Firewall Disattivazione temporanea di Symantec Client Firewall Per disattivare temporaneamente Symantec Client Firewall 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare clic su Sicurezza. 3 Nella parte destra della finestra fare clic su Disattiva. 4 Nella finestra Avviso di protezione di Symantec Client Firewall selezionare il periodo di disattivazione di Symantec Client Firewall. 5 Fare clic su OK. Per disattivare temporaneamente il componente Client Firewall 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare clic su Firewall client. 3 Nella parte destra della finestra fare clic su Disattiva. 4 Nella finestra Avviso di protezione di Symantec Client Firewall selezionare il periodo di disattivazione della funzione di protezione Client Firewall. 5 Fare clic su OK. Per disattivare temporaneamente la funzione Prevenzione delle intrusioni 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare clic su Prevenzione delle intrusioni. 3 Nella parte destra della finestra fare clic su Disattiva. 4 Nella finestra Avviso di protezione di Symantec Client Firewall selezionare il periodo di disattivazione della funzione di Prevenzione delle intrusioni. 5 Fare clic su OK. Per disattivare temporaneamente altre funzionalità di protezione 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Selezionare la funzione da disattivare. 3 Nella parte destra della finestra fare clic su Disattiva.

117 Concetti di base su Symantec Client Firewall Aggiornamenti con LiveUpdate 117 Aggiornamenti con LiveUpdate I prodotti Symantec utilizzano informazioni aggiornate per proteggere il computer dalle nuove minacce rilevate. Symantec fornisce queste informazioni tramite LiveUpdate, che consente di scaricare gli aggiornamenti del programma e della protezione antivirus tramite la connessione Internet. Informazioni sugli aggiornamenti del programma Gli aggiornamenti del programma rappresentano piccoli miglioramenti apportati al prodotto installato. Non costituiscono un aggiornamento del prodotto, che è invece una nuova versione del prodotto completo. Gli aggiornamenti del programma, che includono programmi di autoinstallazione per sostituire il codice di software esistente, sono denominati patch. Le patch vengono create in genere per estendere il sistema operativo o la compatibilità hardware, modificare le prestazioni o correggere bug. LiveUpdate rende automatica la procedura di ricezione e installazione degli aggiornamenti del programma, individuando e scaricando i file da un sito Internet, installandoli ed eliminando i file residui dal computer. Informazioni sugli aggiornamenti della protezione Gli aggiornamenti della protezione sono disponibili presso Symantec mediante sottoscrizione e consentono di mantenere aggiornati i prodotti Symantec con la tecnologia antivirus più recente. Gli aggiornamenti della protezione ricevuti dipendono dal prodotto in uso. Quando eseguire l'aggiornamento Eseguire LiveUpdate subito dopo l'installazione del prodotto. Una volta aggiornati i file, eseguire di nuovo il programma con regolarità per ottenere gli aggiornamenti. Ad esempio, per mantenere aggiornata la protezione antivirus, utilizzare LiveUpdate una volta a settimana oppure ogni volta che vengono scoperti nuovi virus. Gli aggiornamenti ai programmi vengono rilasciati quando necessario. Informazioni sull'esecuzione di LiveUpdate su una rete interna Se si esegue LiveUpdate su un computer connesso a una rete protetta da un firewall aziendale, è possibile che l'amministratore di rete imposti un server LiveUpdate interno sulla rete. LiveUpdate dovrebbe rilevarla automaticamente. Se si verificano problemi durante la connessione a un server LiveUpdate interno, contattare l'amministratore di rete.

118 118 Concetti di base su Symantec Client Firewall Aggiornamenti con LiveUpdate Come ottenere gli aggiornamenti dal sito Web di Symantec Symantec rende disponibili i nuovi aggiornamenti tramite il proprio sito Web. Se non è possibile eseguire LiveUpdate, scaricare i nuovi aggiornamenti dal sito Web di Symantec. Nota: è possibile ottenere i nuovi aggiornamenti della protezione dal sito Web di Symantec solo se la sottoscrizione è aggiornata. Per ottenere gli aggiornamenti dal sito Web di Symantec 1 Mediante Internet accedere a: 2 Visitare i collegamenti fino a ottenere il tipo di aggiornamento desiderato. Come ricevere gli aggiornamenti mediante LiveUpdate LiveUpdate controlla la presenza di aggiornamenti per tutti i prodotti Symantec installati sul computer. Nota: alcuni aggiornamenti del programma potrebbero richiedere il riavvio del computer dopo l'installazione. Per ricevere gli aggiornamenti utilizzando LiveUpdate 1 Nella parte superiore della finestra principale fare clic su LiveUpdate. 2 Nella finestra LiveUpdate fare clic su Avanti per individuare gli aggiornamenti. 3 Se sono disponibili gli aggiornamenti, fare clic su Avanti per scaricarli e installarli. 4 Al termine dell'installazione, fare clic su Fine.

119 Concetti di base su Symantec Client Firewall Dove ottenere maggiori informazioni su Symantec Client Firewall 119 Dove ottenere maggiori informazioni su Symantec Client Firewall Accesso alla Guida in linea Symantec Client Firewall include una Guida in linea, il manuale del client in formato PDF e collegamenti ai siti Web di Symantec Response Center, alla Knowledge Base e al Supporto tecnico. La guida è sempre accessibile da Symantec Client Firewall. I pulsanti o i collegamenti della Guida in linea forniscono informazioni specifiche sull'operazione in corso. Il menu? fornisce informazioni complete su tutte le funzioni del prodotto e le operazioni che è possibile eseguire. Per accedere alla Guida in linea 1 Nella parte superiore della finestra principale fare clic su Guida e supporto. 2 Nel menu principale della guida fare clic su Guida di Symantec Client Firewall. 3 Nel riquadro sinistro della finestra visualizzata, selezionare una delle seguenti schede: Sommario: consente di visualizzare la Guida per argomento Indice: elenca gli argomenti della guida in ordine alfabetico per parola chiave Cerca: consente di aprire un campo di ricerca in cui è possibile immettere una parola o una frase. Accesso alla guida di schermate e finestre di dialogo La guida relativa a schermate e finestre di dialogo fornisce informazioni sul programma Symantec Client Firewall. Questo tipo di guida è sensibile al contesto, ossia fornisce informazioni sulla schermata o sulla finestra di dialogo attualmente in uso. Per accedere alla guida della schermata o della finestra di dialogo Fare clic sul collegamento Guida, se disponibile.

120 120 Concetti di base su Symantec Client Firewall Dove ottenere maggiori informazioni su Symantec Client Firewall Accesso al Manuale del client in formato PDF Il manuale del client è disponibile sul CD di Symantec Client Security in formato PDF. Accesso al Manuale del client in formato PDF Per la consultazione del PDF è richiesto Adobe Acrobat Reader. Una volta installato Adobe Acrobat Reader, è possibile consultare il PDF dal CD. Per installare Adobe Acrobat Reader 1 Inserire il CD di Symantec Client Security nell'unità CD-ROM. 2 Fare clic su Sfoglia CD. 3 Fare doppio clic sulla cartella Acrobat, quindi sulla cartella Win32. 4 Nella cartella Win32, fare doppio clic su adberdr60_envu.exe. 5 Seguire le istruzioni visualizzate per selezionare una cartella per Adobe Acrobat Reader e completare l'installazione. Per consultare il Manuale del client in formato PDF dal CD 1 Inserire il CD di Symantec Client Security nell'unità CD-ROM. 2 Fare clic su Sfoglia CD. 3 Fare doppio clic sulla cartella Docs. 4 Fare doppio clic su scsclnt.pdf. Accesso al sito Web di Symantec dalla finestra principale di Symantec Client Firewall Il sito Web di Symantec offre complete informazioni su Symantec Client Firewall. È possibile accedere al sito Web di Symantec in diversi modi. È sempre possibile accedere al sito Web di Symantec tramite il browser Internet in uso all'indirizzo:

121 Concetti di base su Symantec Client Firewall Dove ottenere maggiori informazioni su Symantec Client Firewall 121 Per accedere al sito Web di Symantec dalla finestra principale di Symantec Client Firewall 1 Nella parte superiore della finestra principale fare clic su Guida e supporto. 2 Selezionare una delle opzioni indicate di seguito: Guida e supporto Symantec: consente di passare alla pagina del supporto tecnico del sito Web di Symantec, da cui è possibile ricercare soluzioni a problemi specifici, aggiornare la protezione antivirus e consultare le informazioni più aggiornate sulla tecnologia antivirus. Symantec Response Center: consente di passare alla home page del sito Web di Symantec Security Response, in cui sono elencate le ultime minacce virali e le indicazioni per la sicurezza.

122

123 Capitolo 7 Utilizzo di Rilevamento posizione e delle aree Questo capitolo comprende i seguenti argomenti: Utilizzo di Rilevamento posizione Aggiunta di computer alle aree di sicurezza e con restrizioni Utilizzo di Rilevamento posizione Le posizioni consentono di configurare regole e aree per le diverse connessioni di rete utilizzate da Symantec Client Firewall. Mediante le posizioni, i computer possono connettersi a reti differenti applicando automaticamente regole e aree personalizzate per ogni rete. Ad esempio, è possibile impostare un insieme specifico di regole e aree applicate da Symantec Client Firewall quando un client si connette a una rete tramite una connessione wireless remota e impostare un altro insieme da applicare quando un client si connette a una rete tramite una connessione Ethernet locale.

124 124 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione Nella Figura 7-1 è illustrato l'esempio di un computer portatile che si connette a Internet tramite una connessione wireless, all'ufficio domestico tramite una connessione VPN su Internet e alla rete dell'ufficio. Figura 7-1 Un computer portatile che effettua la connessione da diverse posizioni Il computer portatile genera traffico di rete che differisce a seconda delle tre posizioni da cui viene effettuata la connessione e si connette a gateway predefiniti differenti quando la connessione viene effettuata dalle tre posizioni. Ad esempio, il traffico VPN dell'utente nell'abitazione si trasmette sulle porte implementate dal fornitore VPN e si connette a un gateway predefinito presso l'isp 2. Il traffico wireless dell'utente in roaming utilizza le altre porte e un SSID per l'autenticazione e si connette a un gateway predefinito presso l'isp 1. Il traffico Ethernet dell'utente nell'ufficio si trasmette sulle porte utilizzate dai sistemi operativi dell'infrastruttura, ad esempio, Windows o Netware e si connette a un gateway predefinito interno.

125 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione 125 Se si implementano le regole di Symantec Client Firewall in una condizione di blocco predefinita, dove il traffico viene bloccato se non è consentito da una regola, è possibile configurare tre diverse basi di regole che consentono il traffico di rete da tre posizioni. È possibile configurare un file delle politiche contenente informazioni differenti per un massimo di 64 posizioni. Dopo l'installazione, Symantec Client Firewall viene configurato con le seguenti quattro posizioni: Ufficio Casa Fuori sede Predefinito Le regole possono essere associate a una, ad alcune o a tutte le posizioni. Le aree sono associate solo a posizioni specifiche. Quando si configurano le regole e le aree, è necessario selezionare le posizioni corrispondenti. La posizione predefinita viene utilizzata quando Rilevamento posizione è disattivato. Attivazione e disattivazione di Rilevamento posizione Non è obbligatorio utilizzare Rilevamento posizione. Quando la funzione è disattivata, vengono utilizzate le regole e le aree associate alla posizione predefinita. Il meccanismo di attivazione per Rilevamento posizione èrilevazione rete.

126 126 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione Nella Figura 7-2 viene indicato dove attivare e disattivare Rilevazione rete. Figura 7-2 Scheda Posizioni Consente di attivare e disattivare Rilevamento posizione Posizioni configurate correntemente Posizione e numero di connessioni di rete associate Nella scheda Posizioni della finestra Rilevazione rete sono indicate anche le posizioni attualmente configurate e il numero di connessioni di rete associate. Quando la posizione predefinita è attiva, il numero di connessioni di rete associate è sempre 0, poiché le specifiche di rete non possono essere associate alla posizione predefinita. Per attivare o disattivare Rilevamento posizione 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Posizioni della finestra Symantec Client Firewall effettuare una delle seguenti operazioni: Per attivare Rilevamento posizione, selezionare Attiva Rilevazione rete. Per disattivarla, deselezionare Attiva Rilevazione rete. Finestra Rilevamento posizione

127 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione 127 Selezione delle posizioni da implementare Quando ci si connette a una rete non associata a una posizione, come avviene la prima volta che si utilizza Symantec Client Firewall e si attiva Rilevamento posizione, il firewall richiede di selezionare una posizione da associare alle informazioni sulle connessioni di rete. Nella Tabella 7-1 sono elencate le informazioni sulle connessioni di rete che Symantec Client Firewall potrà associare alla posizione selezionata. Tabella 7-1 Attributo Informazioni sulla connessione di rete Descrizione Indirizzo MAC gateway Indirizzo IP gateway Indirizzo di sottorete Dominio SSID Numero di Accesso remoto Descrizione della voce di Accesso remoto Descrizione interfaccia Tipo di interfaccia Indice interfaccia Server principale SAV L'indirizzo MAC (Media Access Control) del gateway predefinito. L'indirizzo IP del gateway predefinito. L'indirizzo IP e la subnet mask del computer client. Il nome del dominio di rete, se disponibile. L'identificativo SSID (Service Set Identifier) dei servizi di rete wireless. Il numero di telefono utilizzato per l'accesso remoto. La descrizione del punto di accesso remoto. La descrizione dell'interfaccia. Il tipo di interfaccia di rete. L'indice dell'interfaccia. Il server di gestione principale di Symantec AntiVirus che gestisce il computer client. Nota: per i client gestiti da Symantec Client Security, l'amministratore del firewall può associare le informazioni sulle connessioni di rete del server principale SAV a una posizione. Se la funzione Rilevazione rete è disattivata, potrebbe non avere luogo il riconoscimento immediato dell'impostazione e quindi è possibile che venga chiesto di entrare nella rete appena rilevata mediante la selezione di una posizione. Oppure è possibile entrare automaticamente in una posizione associataalle altre informazioni sulla connessione di rete. Una volta stabilita la comunicazione con il server di gestione principale di Symantec AntiVirus, la posizione associata all'impostazione Server principale SAV viene impostata come posizione attiva.

128 128 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione Per selezionare una posizione da implementare 1 Effettuare la connessione a una rete con Rilevamento posizione disattivato, ad esempio, visualizzare una pagina Web. 2 Nella finestra principale fare clic su Stato e impostazioni. 3 Fare doppio clic su Client Firewall. 4 Nella scheda Posizioni della finestra Symantec Client Firewall selezionare Attiva Rilevazione rete. 5 Eseguire un'attività di rete. Ad esempio aggiornare una pagina Web. 6 Nell'elenco a discesa Quale posizione utilizzare? nella finestra Rilevazione rete, selezionare la posizione da associare alla connessione di rete. 7 Fare clic su OK. Cancellazione delle informazioni sulla connessione di rete Le informazioni sulla connessione di rete associate a una posizione vengono memorizzate in modo specifico per la posizione. È possibile che a una singola posizione venga associato un numero eccessivo di connessioni di rete, vanificando l'utilità della funzione Rilevamento posizione. Ad esempio, è possibile associare a una singola posizione, informazioni per le connessioni wireless, VPN e dell'ufficio. Symantec Client Firewall consente di cancellare queste associazioni.

129 Utilizzo di Rilevamento posizione e delle aree Utilizzo di Rilevamento posizione 129 Aggiunta di posizioni Per cancellare le informazioni sulle connessioni di rete 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic- su Client Firewall. 3 Nella scheda Posizioni della finestra Symantec Client Firewall, selezionare la posizione da cancellare. 4 Fare clic su Cancella. Symantec Client Firewall consente di aggiungere nuove posizioni. È possibile aggiungere una nuova posizione quando il firewall rileva una nuova connessione ed esegue la richiesta all'utente tramite la finestra Rilevazione rete oppure dalla scheda Posizioni. In entrambi i casi, una procedura guidata consente di eseguire i passaggi necessari. Quando si aggiunge una posizione, a essa vengono applicate automaticamente tutte le regole, le aree e le impostazioni associate alla posizione predefinita. Per aggiungere una posizione 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic- su Client Firewall. 3 Nella scheda Posizioni della finestra Symantec Client Firewall fare clic su Aggiungi. 4 Nella finestra Imposta controllo programmi selezionare una delle seguenti opzioni: Sì: consente di aggiungere automaticamente nuove regole di programma alla posizione quando il firewall rileva il traffico corrispondente a un programma conosciuto. Viene visualizzata una richiesta per i programmi non conosciuti. No viene richiesto di decidere se aggiungere nuove regole di programma alla posizione quando il firewall rileva traffico non corrispondente a una regola. 5 Fare clic su Avanti. 6 Nella finestra Salva posizione digitare una posizione. 7 Fare clic su Avanti. 8 Nella finestra Riepilogo fare clic su Fine.

130 130 Utilizzo di Rilevamento posizione e delle aree Aggiunta di computer alle aree di sicurezza e con restrizioni Informazioni sulla personalizzazione delle impostazioni per la posizione Quando si creano aree di rete e regole firewall, tali aree e regole vengono associate alle posizioni. È possibile associare le aree e le regole alle posizioni tramite le seguenti schede della finestra Symantec Client Firewall: Rete Programmi Avanzate. Eliminazione di posizioni Symantec Client Firewall consente di eliminare le posizioni aggiunte. Non è possibile eliminare le posizioni aggiunte tramite Symantec Client Firewall Administrator. È possibile aggiungere una nuova posizione quando il firewall rileva una nuova connessione ed esegue la richiesta all'utente tramite la finestra Rilevazione rete oppure dalla scheda Posizioni. In entrambi i casi, una procedura guidata consente di eseguire i passaggi necessari. Per eliminare una posizione 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic- su Client Firewall. 3 Nella scheda Posizioni della finestra Symantec Client Firewall selezionare la posizione da eliminare. 4 Fare clic su Elimina. 5 Alla richiesta di conferma, fare clic su Sì. Aggiunta di computer alle aree di sicurezza e con restrizioni Symantec Client Firewall consente di organizzare i computer sulla rete e su Internet in due aree definite dai nomi computer o dagli indirizzi IP: l'area di sicurezza e l'area con restrizioni. Ogni area può includere una o più voci, ognuna delle quali specifica un singolo nome computer, indirizzo IP o un intervallo di indirizzi IP che include gli indirizzi IP iniziale e finale, oppure un indirizzo IP e una subnet mask.

131 Utilizzo di Rilevamento posizione e delle aree Aggiunta di computer alle aree di sicurezza e con restrizioni 131 Nella Figura 7-3 è indicata la scheda Rete. Figura 7-3 Scheda Rete Ai computer inseriti nella zona di sicurezza non si applica il controllo di Symantec Client Firewall. Questi computer hanno accesso al computer dell'utente come se Symantec Client Firewall non fosse installato. Utilizzare la zona di sicurezza soltanto per i computer della rete locale con i quali è necessario condividere i file e le stampanti. Se un computer appartenente alla zona di sicurezza viene attaccato e un hacker ne prende il controllo, il computer si trova in una situazione di rischio. Il firewall blocca tutto il traffico proveniente dagli indirizzi IP elencati nell'area con restrizioni. Il traffico da e verso un indirizzo IP nell'area con restrizioni non viene bloccato dal firewall se l'indirizzo corrisponde al gateway predefinito. Il client può ancora accedere a Internet.

132 132 Utilizzo di Rilevamento posizione e delle aree Aggiunta di computer alle aree di sicurezza e con restrizioni Inoltre, le aree sono collegate solo alle posizioni. Non è possibile creare un'area e impostarla come attributo di più posizioni. È necessario aggiungere manualmente l'area alle altre posizioni. Tuttavia, tutte le aree associate alla posizione predefinita vengono associate automaticamente a tutte le nuove posizioni create con la procedura guidata appropriata. Le impostazioni per le regole, il controllo di Prevenzione delle intrusioni, il contenuto Web, il controllo della riservatezza e il blocco pubblicità vengono ignorati per i siti Web i cui indirizzi rientrano nelle zone di sicurezza. Non è possibile modificare o eliminare i computer aggiunti dall'amministratore del firewall alle aree sicure o con restrizioni. Queste voci sono visualizzate come non disponibili nell'interfaccia utente. Nota: le aree di rete controllano il traffico di rete IP comune, che include i protocolli TCP, UDP e ICMP. Le aree di rete non hanno effetto su Filtri per protocolli, che consente di autorizzare o bloccare i protocolli IP estesi. Ad esempio, se Filtri per protocolli è impostato per il blocco dei protocolli VPN trasportati su IP, tali protocolli vengono bloccati per i computer che si trovano nella Zona di sicurezza. Inoltre, se Filtri per protocolli è impostato per consentire i protocolli VPN, tali protocolli vengono autorizzati per i computer che si trovano nella Zona di sicurezza. Vedere "Utilizzo di Filtri per protocolli" a pagina 163. Per aggiungere computer alla zona di sicurezza e all'area con restrizioni 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nell'elenco a discesa Impostazioni della scheda Rete nella finestra Symantec Client Firewall selezionare la posizione per la quale si desidera aggiungere un'area.

133 Utilizzo di Rilevamento posizione e delle aree Aggiunta di computer alle aree di sicurezza e con restrizioni Nella scheda Sicura o Con restrizioni, fare clic su Aggiungi. 5 Nella finestra di dialogo Rete selezionare una delle seguenti opzioni: Solo il computer indicato: un singolo indirizzo IP che identifica il computer o il nome del computer ( Utilizzando un intervallo: un intervallo di indirizzi IP, dall'indirizzo iniziale a quello finale. Utilizzando un indirizzo di rete: un intervallo inclusivo di indirizzi IP creato digitando un indirizzo IP e una subnet mask. 6 Nella casella di testo digitare gli indirizzi IP o i nomi dei computer da aggiungere alla zona di sicurezza o all'area con restrizioni. 7 Fare clic su OK. 8 Nella scheda Rete fare clic su OK.

134

135 Capitolo 8 Protezione dai tentativi di intrusione Questo capitolo comprende i seguenti argomenti: Informazioni sulla protezione dai tentativi di intrusione Modalità di protezione di Symantec Client Firewall dagli attacchi di rete Personalizzazione della protezione firewall Personalizzazione delle regole firewall Utilizzo di Secure Port Utilizzo di Filtri per protocolli Personalizzazione di Prevenzione delle intrusioni Informazioni sulla protezione dai tentativi di intrusione Gli attacchi alla rete sfruttano la modalità utilizzata dai computer per trasferire le informazioni. Symantec Client Firewall può proteggere il computer monitorando le informazioni trasmesse da e verso il computer e bloccando i tentativi di attacco. Le informazioni viaggiano su Internet sotto forma di pacchetti, che includono un'intestazione con informazioni sul computer di origine, il destinatario previsto, la modalità di elaborazione dei dati e la porta che deve ricevere il pacchetto.

136 136 Protezione dai tentativi di intrusione Modalità di protezione di Symantec Client Firewall dagli attacchi di rete Le porte sono canali che suddividono il flusso delle informazioni proveniente da Internet in percorsi separati gestiti dai singoli programmi. Quando vengono eseguiti su un computer, i programmi Internet ascoltano su una o più porte e accettano le informazioni a esse inviate. Gli attacchi provenienti dalla rete sono organizzati in modo da sfruttare i punti deboli di alcuni programmi Internet. Gli autori degli attacchi utilizzano appositi programmi per inviare a una determinata porta pacchetti di dati contenenti codice pericoloso. Se un programma vulnerabile a questo tipo di attacchi è in ascolto su tale porta, il codice può consentire all'autore dell'attacco di accedere, disattivare o assumere il pieno controllo del sistema attaccato. Il codice pericoloso è utilizzato per generare gli attacchi può essere contenuto all'interno di un singolo pacchetto o suddiviso in più pacchetti. Modalità di protezione di Symantec Client Firewall dagli attacchi di rete Symantec Client Firewall include due strumenti per la protezione del computer da tentativi di intrusione, contenuti Web dannosi e Trojan Horse: Symantec Client Firewall: controlla tutte le comunicazioni Internet e crea uno scudo che blocca o limita i tentativi di visualizzare le informazioni sul computer. Prevenzione delle intrusioni: analizza tutte le informazioni in entrata e in uscita alla ricerca di profili di dati indicativi di un attacco

137 Protezione dai tentativi di intrusione Modalità di protezione di Symantec Client Firewall dagli attacchi di rete 137 Modalità di controllo delle comunicazioni da parte di Symantec Client Firewall Quando Symantec Client Firewall è attivo, controlla le comunicazioni tra il computer e gli altri computer su Internet. Nella Tabella 8-1 sono elencati i più comuni problemi di sicurezza controllati da Symantec Client Firewall. Tabella 8-1 Problema Problemi di sicurezza comuni Protezione Tentativi di connessione impropri Programmi Trojan Horse Minacce alla sicurezza e alla riservatezza da parte di contenuti Web pericolosi Scansione delle porte Intrusioni Vengono segnalati i tentativi di connessione eseguiti da parte di altri computer e i tentativi di connessione ad altri computer eseguiti dai programmi installati sul computer in uso. Viene segnalata la presenza di programmi distruttivi che si presentano come applicazioni utili. Vengono controllati i controlli ActiveX e gli applet Java. L'utente può scegliere se eseguire o bloccare il programma. Vengono nascoste le porte non attive del computer e rilevate eventuali scansioni effettuate sulle porte. Vengono rilevati e bloccati il traffico pericoloso e i tentativi di attacco al computer da parte di utenti esterni ed eseguita la scansione del traffico in uscita per impedire la diffusione di worm. È possibile impostare il livello di protezione tramite il cursore del livello di sicurezza È inoltre possibile controllare la modalità di risposta di Symantec Client Firewall a tentativi di connessione sospetti, Trojan Horse e contenuti Web dannosi. Vedere "Personalizzazione della protezione firewall" a pagina 140.

138 138 Protezione dai tentativi di intrusione Modalità di protezione di Symantec Client Firewall dagli attacchi di rete Modalità di analisi del traffico da parte di Prevenzione delle intrusioni La funzione Protezione delle intrusioni di Symantec Client Firewall è stata notevolmente migliorata. Include ad esempio le firme di attacchi più sicure per impedire le intrusioni e un motore stateful che tiene traccia di tutto il traffico in entrata e in uscita. Questi miglioramenti, inclusi nel nuovo motore di Prevenzione delle intrusioni e nel rispettivo gruppo di firme di attacco, vengono installati per impostazioni predefinita in Symantec Client Firewall. Prevenzione delle intrusioni esegue la scansione di ogni pacchetto in entrata e in uscita dal computer alla ricerca di firme di attacco, informazioni disposte in modo indicativo di un tentativo di attacco finalizzate a sfruttare una vulnerabilità nota di un programma o sistema operativo. La Prevenzione delle intrusioni, oltre e bloccare le varianti note degli attacchi, ricerca ora le possibili varianti di tali attacchi bloccandole. Un hacker può ad esempio modificare un attacco alterando le informazioni utilizzate dalla firma dell'attacco per identificare il tentativo di intrusione. I firewall che si basano sulle esatte corrispondenze della firma non rilevano qusto tipo di attacco. La Prevenzione delle intrusioni blocca invece questo tentativo di attacco anticipando tutte le possibili varianti della firma dell'attacco. Nella Tabella 8-2 sono elencati esempi di attacchi controllati da Symantec Client Firewall. Tabella 8-2 Attacco Attacchi controllati Descrizione BEAGLE_A_B_ BACKDOOR_ACCOUNCE WINDOWS_LOCATORSVC_ OVERFLOW MS_MESSENGER_BO Bonk Backdoor inclusa nel worm W32.Beagle.A@mm, che indica la propria presenza al proprietario del worm, il quale autorizza l'autore dell'attacco a emettere comandi, scaricare file ed eseguire altre azioni dannose. Metodo per sfruttare il servizio Microsoft Windows 98 RPC (Remoto Procedure Call) Locator per l'esecuzione di comandi dannosi o per causare il blocco del computer. Attacco a Microsoft Messenger Service che può determinare il cosiddetto "denial of service" o l'esecuzione di codice nocivo. Attacco destinato allo stack del protocollo Microsoft TCP/ IP, in grado di bloccare il computer attaccato.

139 Protezione dai tentativi di intrusione Modalità di protezione di Symantec Client Firewall dagli attacchi di rete 139 Tabella 8-2 Attacco RDS_Shell WinNuke Attacchi controllati (Continua) Descrizione Metodo che sfrutta il componente RDS (Remote Data Services) di Microsoft Data Access Components, consentendo all'autore dell'attacco di eseguire comandi con i privilegi di sistema. Attacco che utilizza il NetBIOS per bloccare i computer sui quali sono in esecuzione versioni meno recenti di Windows 95/98/NT. Poiché gli attacchi possono colpire più pacchetti, Prevenzione delle intrusioni esamina i pacchetti in due modi diversi. Ogni pacchetto viene analizzato singolarmente, alla ricerca di profili indicativi di un attacco. I pacchetti vengono inoltre controllati all'interno del flusso delle informazioni, metodo che consente di individuare gli attacchi suddivisi su più pacchetti. Inoltre, la Prevenzione delle intrusioni memorizza le politiche del traffico e quelle parziali e quindi le applica al traffico in entrata e in uscita successivo. Se le informazioni rilevate corrispondono a un attacco noto, Prevenzione delle intrusioni ignora automaticamente il pacchetto e chiude la comunicazione con il computer che ha inviato i dati. In questo modo il computer è protetto da qualunque attacco. È possibile modificare la modalità di risposta di Prevenzione delle intrusioni agli attacchi escludendo le firme di attacco dal controllo, o attivando o disattivando Blocco automatico, che blocca automaticamente tutte le comunicazioni da e verso un computer da cui proviene un attacco. Escludendo il blocco di determinate attività di rete, è possibile continuare a lavorare in modo efficiente anche se è in corso un attacco al computer. Oltre a proteggere il computer dagli attacchi, Symantec Client Firewall controlla tutte le informazioni che il computer invia ad altri. Questo garantisce che il computer non possa essere impiegato per attaccare altri utenti o non possa essere sfruttato dai programmi zombie. I programmi zombie possono essere installati all'insaputa dell'utente ed eseguiti in remoto per partecipare ad attacchi collettivi portati ad altri computer. Se Symantec Client Firewall rileva che il computer sta inviando informazioni indicative di un attacco, blocca immediatamente la connessione e avvisa l'utente del potenziale problema.

140 140 Protezione dai tentativi di intrusione Personalizzazione della protezione firewall Per ridurre il numero di avvisi ricevuti, Symantec Client Firewall controlla solo gli attacchi indirizzati alle porte utilizzate dal computer. I tentativi di connessione al computer tramite una porta non attiva o bloccata dal firewall non vengono segnalati da Symantec Client Firewall poiché non esiste il rischio di intrusione. Symantec Client Firewall non esegue la scansione delle intrusioni da parte di computer nell'area di sicurezza. Tuttavia, Prevenzione delle intrusioni controlla le informazioni inviate ai computer considerati sicuri alla ricerca di segni di zombie e di altri attacchi a controllo remoto. Prevenzione delle intrusioni si basa su un ampio elenco di firme di attacco per rilevare e bloccare le attività di rete sospette. Eseguire regolarmente LiveUpdate per garantire che l'elenco delle firme degli attacchi sia sempre aggiornato. Vedere "Aggiornamenti con LiveUpdate" a pagina 117. Nota: se l'opzione del Tracer minacce Il firewall client blocca automaticamente l'indirizzo IP del computer di origine è attiva in Symantec AntiVirus, Symantec Client Firewall blocca il computer autore dell'attacco anche se incluso nella Zona di sicurezza o nell'elenco di esclusioni di Blocco automatico. Personalizzazione della protezione firewall Le impostazioni predefinite del firewall offrono in genere una protezione adeguata. Se il livello di protezione predefinito non è appropriato, è possibile personalizzare il firewall tramite il cursore del livello di sicurezza, che consente di selezionare gruppi di impostazioni di sicurezza preimpostati. o modificando le singole impostazioni di sicurezza. Modifica del livello di sicurezza tramite il dispositivo di scorrimento Il dispositivo di scorrimento Livello di sicurezza consente di selezionare impostazioni di sicurezza di livello Basso, Medio o Alto. Spostare il dispositivo per modificare il livello di sicurezza impostato. La posizione del dispositivo non influisce sulla protezione fornita da Prevenzione delle intrusioni.

141 Protezione dai tentativi di intrusione Personalizzazione della protezione firewall 141 Per trascinare il dispositivo di scorrimento del livello di sicurezza 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Firewall della finestra Symantec Client Firewall, spostare il dispositivo di scorrimento sul livello di sicurezza desiderato. Sono disponibili le seguenti opzioni: Alto Il firewall blocca qualsiasi attività finché non viene autorizzata dall'utente. Se è stata eseguita una Scansione programmi, gli avvisi di Controllo programmi non dovrebbero causare frequenti interruzioni. Viene visualizzato un avviso ogni volta che si rileva un controllo ActiveX o un applet Java. Le porte non utilizzate non rispondono ai tentativi di connessione, rendendosi invisibili.

142 142 Protezione dai tentativi di intrusione Personalizzazione della protezione firewall Medio (consigliata) Bassa Il firewall blocca qualsiasi attività finché non viene autorizzata dall'utente. Se è stata eseguita una Scansione programmi, gli avvisi di Controllo programmi non dovrebbero causare frequenti interruzioni. I controlli ActiveX e le applet Java vengono eseguite senza che siano visualizzati avvisi. Le porte non utilizzate non rispondono ai tentativi di connessione, rendendosi invisibili. Il firewall consente tutto quanto non viene specificatamente bloccato. I controlli ActiveX e le applet Java vengono eseguite senza che siano visualizzati avvisi. Le porte non utilizzate non rispondono ai tentativi di connessione, rendendosi invisibili. Sono consentite tutte le connessioni in uscita. 4 Fare clic su OK. Modifica delle singole impostazioni di sicurezza Se le opzioni predefinite di Livello di sicurezza non sono adeguate alle proprie esigenze, è possibile modificare le impostazioni relative ai livelli di protezione di Symantec Client Firewall, Java e ActiveX. La modifica di una singola impostazione ha la priorità sul livello di sicurezza, ma non modifica le altre impostazioni in tale livello. Per modificare le singole impostazioni di sicurezza 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Firewall della finestra di Symantec Client Security fare clic su Livello personalizzato.

143 Protezione dai tentativi di intrusione Personalizzazione della protezione firewall Nella finestra Personalizza impostazioni di sicurezza effettuare una o più delle seguenti operazioni: Nell'elenco a discesa Firewall client selezionare un livello. Sono disponibili le seguenti opzioni: Alto Medio Blocca tutte le comunicazioni che non sono consentite esplicitamente. È necessario creare regole firewall per tutti i programmi che richiedono l'accesso a Internet. Consente tutte le comunicazioni non specificatamente bloccate. Nell'elenco a discesa Sicurezza applet Java o Sicurezza controlli ActiveX, selezionare un livello. Sono disponibili le seguenti opzioni: Alto Medio Nessuna Blocca l'esecuzione di qualsiasi applet Java o controllo ActiveX su Internet. Si tratta dell'opzione più sicura ma meno comoda. Utilizzando questa impostazione alcuni siti Web potrebbero non funzionare correttamente. Quando viene rilevato un controllo ActiveX o un applet Java, viene visualizzata una richiesta. È possibile consentire o bloccare i singoli applet Java e controlli ActiveX in modo temporaneo o definitivo. Questa opzione consente di specificare quali applet o controlli eseguire, anche se rispondere al rilevamento di ogni singolo applet Java o controllo ActiveX può essere un'operazione impegnativa. Consente l'esecuzione di qualsiasi applet Java o controllo ActiveX rilevato. Per ricevere avvisi ogni volta che programmi sconosciuti accedono a Internet, selezionare Attiva avvisi di controllo accesso. Per ricevere avvisi ogni volta che un computer remoto tenta di connettersi a una porta non utilizzata da alcun programma, selezionare Notifica accesso a porte non utilizzate. 5 Fare clic su OK. 6 Nella scheda Firewall fare clic su OK.

144 144 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Ripristino dei valori predefiniti delle impostazioni di sicurezza Se si imposta un livello di sicurezza personalizzato, il dispositivo di scorrimento del livello di sicurezza viene disattivato. Per selezionare un livello di sicurezza preimpostato tramite il dispositivo, è necessario ripristinare il livello di sicurezza. Per ripristinare i valori predefiniti delle impostazioni di sicurezza 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Firewall della finestra Symantec Client Security, fare clic su Livello predefinito. Viene ripristinato il livello di sicurezza medio. Utilizzare il dispositivo di scorrimento del livello di sicurezza per selezionare uno degli altri livelli di sicurezza preimpostati. Personalizzazione delle regole firewall Le regole firewall controllano la modalità di protezione del computer a opera di Symantec Client Firewall da traffico in entrata dannoso, programmi e Trojan Horse, bloccando inoltre il traffico in uscita dannoso. Il firewall controlla automaticamente tutto il traffico da e verso il computer, confrontandolo con tali regole. Le regole sono suddivise in tre categorie: Generale: consentono di gestire la protezione tramite l'applicazione di filtri ai pacchetti e influiscono su tutti i programmi. Programma: consentono di bloccare o meno l'accesso a Internet da parte dei programmi. Programma Trojan Horse: forniscono protezione dai programmi pericolosi. L'amministratore del firewall deve fornire all'utente le autorizzazioni adeguate per la personalizzazione delle regole del firewall e per l'utilizzo delle relative funzionalità. Vedere "Informazioni sulle autorizzazioni di Symantec Client Firewall" apagina108.

145 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall 145 Creazione di nuove regole firewall Symantec Client Firewall include Controllo programmi, che crea automaticamente regole firewall per programmi noti quando si utilizza Internet. Le regole possono essere create e modificate anche manualmente. Tutte le regole sono associate a una o più posizioni. È possibile creare regole firewall con Controllo programmi in quattro modi: Attivazione di Controllo automatico programmi Utilizzo di Scansione programmi Risposta agli avvisi Aggiunta manuale alle regole generali, di programma e Trojan L'accesso viene configurato automaticamente per i programmi più noti alla prima esecuzione da parte dell'utente. Questa opzione consente di impostare le regole firewall in modo semplice. Attivare e disattivare l'opzione per ogni posizione. L'accesso viene determinato e configurato contemporaneamente per tutti i programmi abilitati per Internet su un computer. È possibile aggiungere regole alle posizioni specificate. Gli utenti ricevono avvisi quando programmi noti tentano di accedere a Internet per la prima volta, se l'impostazione Controllo automatico programmi è disattivata, e quando programmi sconosciuti tentano di accedere a Internet. Gli utenti possono bloccare o consentire l'accesso a Internet del programma. È possibile aggiungere regole solo alla posizione corrente. Consente agli utenti di gestire l'elenco di programmi e servizi a cui è consentito l'accesso a Internet. È possibile aggiungere regole a una o più posizioni. Attivazione di Controllo automatico programmi Quando Controllo programmi automatico è attivo, Symantec Client Firewall può configurare automaticamente le impostazioni di accesso a Internet per i programmi alla loro prima esecuzione. L'accesso a Internet viene configurato solo per le versioni dei programmi identificati da Symantec come sicuri. Se un programma sconosciuto o una versione sconosciuta di un programma noto tenta di accedere a Internet, Symantec Client Firewall avvisa l'utente. L'utente può bloccare o consentire l'accesso a Internet da parte del programma. Nota: se si crea una regola di programma per un'applicazione, Symantec Client Firewall potrebbe ignorare la regola di programma. Questo avviene quando Controllo programmi automatico determina che le regole create dall'utente sono insufficienti in base al tipo di accesso a Internet richiesto dall'applicazione.

146 146 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Per attivare Controllo automatico programmi 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nell'elenco a discesa Impostazioni per della scheda Programmi, nella finestra Symantec Client Firewall, selezionare la posizione per la quale si desidera attivare Controllo automatico programmi. 4 Selezionare Attiva Controllo automatico programmi. 5 Fare clic su OK.

147 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall 147 Ricerca e aggiunta di programmi abilitati per Internet La scansione dei programmi abilitati per Internet è il modo più rapido per impostare le regole firewall con Controllo programmi. Symantec Client Firewall esegue la scansione del computer alla ricerca di programmi conosciuti e consente di selezionare le impostazioni adeguate per ogni programma. Nota: l'amministratore può bloccare l'esecuzione dei programmi per determinate posizioni. Se questi programmi vengono rilevati durante la scansione del computer, vengono create regole solo per le posizioni autorizzate. Per ricercare e aggiungere programmi abilitati per Internet 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Programmi della finestra Symantec Client Firewall fare clic su Scansione programmi. 4 Nella finestra Scansione programmi selezionare il disco o i dischi del computer di cui si desidera eseguire la scansione. 5 Fare clic su Avanti. 6 Effettuare una delle seguenti operazioni: Selezionare i programmi da aggiungere all'elenco di programmi abilitati per Internet. Fare clic su Seleziona tutto per aggiungere contemporaneamente tutti i programmi abilitati per Internet. Fare clic su Aggiungi per aggiungere manualmente un programma. Selezionare un programma e fare clic su Modifica per cambiarne le impostazioni. 7 Fare clic su Avanti. 8 Effettuare una delle seguenti operazioni: Selezionare le posizioni da associare al programma. Fare clic su Seleziona tutto per associare il programma a tutte le posizioni. 9 Fare clic su Fine. 10 Nella scheda Programmi fare clic su OK.

148 148 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Aggiunta di un programma a Controllo programmi È possibile aggiungere programmi a Controllo programmi per controllarne la capacità di accesso a Internet. Questa operazione ha la priorità sulle impostazioni effettuate da Controllo automatico programmi. Per aggiungere un programma a Controllo programmi 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nell'elenco a discesa Impostazioni per della scheda Programmi nella finestra Symantec Client Firewall, selezionare la posizione per la quale si desidera aggiungere una regola di programma. 4 Fare clic su Aggiungi. 5 Individuare e selezionare il file eseguibile del programma. 6 Fare clic su Apri. 7 Nell'avviso di controllo accesso a Internet, selezionare il livello di accesso che si desidera assegnare a questo programma. Sono disponibili le seguenti opzioni: Configura automaticamente l'accesso a Internet (consigliato) Consenti Blocca Configura manualmente l'accesso a Internet Utilizza le impostazioni predefinite di Symantec Client Firewall per il programma corrente. Questa opzione può non essere visualizzata. consente l'accesso per qualsiasi tentativo di connessione effettuato dal programma in questione. Rifiuta i tentativi di accesso effettuati da questo programma. Consente di creare regole per controllare la modalità di accesso a Internet del programma. 8 Per informazioni sugli eventuali rischi che comporta l'uso del programma, fare clic su Mostra dettagli. 9 Fare clic su OK. 10 Nella scheda Programmi fare clic su OK.

149 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall 149 Modifica delle impostazioni di Controllo programmi Dopo aver utilizzato Symantec Client Firewall per un certo periodo, potrebbe essere necessario modificare le impostazioni di accesso per i programmi. È possibile, ad esempio, scegliere di bloccare le connessioni a Internet future effettuate da un programma oppure consentire l'accesso a Internet a un programma bloccato. Qualsiasi modifica ha la priorità sulle impostazioni effettuate da Controllo automatico programmi. Per cambiare le impostazioni di Controllo programmi 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nell'elenco a discesa Impostazioni della scheda Programmi nella finestra Symantec Client Firewall, selezionare la posizione che contiene la regola di programma da modificare. 4 Nell'elenco dei programmi, selezionare il programma da modificare. 5 Fare clic su Modifica. 6 Nell'avviso di Controllo programmi, selezionare il livello di accesso che si desidera assegnare a questo programma. Sono disponibili le seguenti opzioni: Configura automaticamente l'accesso a Internet (consigliato) Consenti Blocca Configura manualmente l'accesso a Internet Utilizza le impostazioni predefinite di Symantec Client Firewall per il programma corrente. Questa opzione può non essere visualizzata. consente l'accesso per qualsiasi tentativo di connessione effettuato dal programma in questione. Rifiuta i tentativi di accesso effettuati da questo programma. Consente di creare regole per controllare la modalità di accesso a Internet del programma. 7 Fare clic su OK. 8 Nella scheda Programmi fare clic su OK.

150 150 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Informazioni sulla creazione manuale di regole firewall Sebbene Symantec Client Firewall crei automaticamente la maggioranza delle regole firewall necessarie, è possibile aggiungere regole specifiche. Questa operazione è consigliata solo agli utenti di Internet esperti. Le regole firewall consentono di definire tipi specifici di comunicazione come consentiti o bloccati. Prima di aggiungere o modificare regole, è necessario comprendere gli elementi di una regola firewall. Opzioni di azione Le opzioni di azione consentono di specificare se la regola consente, blocca o controlla il tipo di comunicazione di rete definito nella regola. Nella Tabella 8-3 sono descritte le opzioni di azione disponibili. Tabella 8-3 Opzione Consenti Blocca Monitor Opzioni di azione Descrizione Consente il tipo di comunicazione specificato. Impedisce il tipo di comunicazione specificato. Consente di aggiornare la scheda Firewall nel Registro eventi di Symantec Client Firewall quando la registrazione è attiva. L'elaborazione delle regole continua finché non viene trovata una corrispondenza. Se non viene trovata alcuna regola corrispondente, la comunicazione viene bloccata per impostazione predefinita oppure viene visualizzato un avviso di controllo accesso a Internet. Utilizzare l'azione Controlla solo se necessario. La configurazione di una regola per il controllo, anziché per l'autorizzazione o il blocco, determina azioni che variano in base alla modalità di configurazione di alcune impostazioni del client. Ad esempio, se il livello del client firewall è impostato su Alto e le opzioni Avvisi di Controllo accesso e Controllo automatico programmi sono impostate su Attiva, Symantec Client Firewall crea in modo automatico e trasparente una regola che consente alle applicazioni conosciute di accedere a Internet sul computer client. Altre combinazioni delle impostazioni del client determinano da parte del firewall il blocco trasparente del traffico configurato con un'azione Controlla o la visualizzazione di una richiesta all'utente per decidere se autorizzare o bloccare il traffico.

151 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall 151 Nella Tabella 8-4 sono illustrate le azioni intraprese dal firewall quando il livello del dispositivo di scorrimento del firewall client è impostato su Alto, insieme alle possibili combinazioni dello stato attivato o non attivato delle impostazioni Avvisi di controllo accesso e Controllo automatico accesso a Internet. Tabella 8-4 Risultati dell'azione Controlla con il livello del client firewall impostato su Alto Stato di Avvisi di Controllo accesso Stato di Controllo automatico programmi Azione firewall risultante disattivata disattivata Blocca. Attivato disattivata Consenti o blocca (scelta dell'utente). disattivata Attivato Blocca per le applicazioni non conosciute. Viene creata automaticamente una regola di autorizzazione per le applicazioni conosciute. Attivato Attivato Consenti o blocca per le applicazioni non conosciute (scelta dell'utente). Viene creata automaticamente una regola di autorizzazione per le applicazioni conosciute. Opzioni di direzione Le opzioni di direzione consentono di specificare se applicare la regola alle comunicazioni di rete in entrata, in uscita o in entrambe le direzioni. Nella Tabella 8-5 sono descritte le opzioni di direzione disponibili. Tabella 8-5 Opzione Connessioni ad altri computer Connessioni da altri computer Opzioni di direzione Descrizione La regola viene applicata alle connessioni in uscita dal computer in uso dirette verso un altro computer. La regola viene applicata alle connessioni in entrata da un altro computer verso il computer in uso. Connessioni da e verso altri computer La regola viene applicata sia per le connessioni in entrata che per le connessioni in uscita.

152 152 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Nota: Symantec Client Firewall utilizza il processo stateful inspection per le connessioni TCP. Pertanto, il firewall consente il traffico in entrata in risposta al traffico in uscita. È quindi necessario creare solo regole in uscita per il traffico avviato dal client-, ad esempio HTTP. Vedere "Informazioni sul processo stateful inspection" a pagina 154. Opzioni relative ai computer Le opzioni relative ai computer consentono di specificare i computer e le schede di rete ai quali applicare una regola. I computer specificati sono quelli con i quali si desidera controllare le comunicazioni. Nella Tabella 8-6 sono descritte le opzioni di Computer disponibili. Tabella 8-6 Opzione Opzioni relative ai computer Descrizione Qualsiasi computer La regola viene applicata a tutti i computer. Solo i computer e i siti elencati di seguito La regola viene applicata a un computer, a più computer con indirizzi IP in un intervallo specificato o a più computer in un dominio. Schede di rete La regola viene applicata a una specifica scheda di rete del computer, Viene specificato l'indirizzo IP della scheda di rete a cui la regola deve essere applicata. Opzioni di protocollo Le opzioni di protocollo consentono di specificare i protocolli di comunicazione controllati da una regola. Nella Tabella 8-7 sono descritte le opzioni di protocollo disponibili. Tabella 8-7 Opzione TCP UDP TCP e UDP ICMP Opzioni di protocollo Descrizione La regola viene applicata alle comunicazioni TCP (Transmission Control Protocol). La regola viene applicata alle comunicazioni UDP (User Datagram Protocol). la regola viene applicata sia alle comunicazioni TCP che UDP. La regola viene applicata alle comunicazioni ICMP (Internet Control Message Protocol). Il protocollo ICMP viene applicato solo alle regole generali e Trojan.

153 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall 153 Opzioni di porta Le opzioni di porta consentono di specificare i tipi di comunicazione o porte controllati da una regola. Nella Tabella 8-8 sono descritte le opzioni di porta disponibili. Tabella 8-8 Opzione Tutti i tipi di comunicazione (tutte le porte) Solo i tipi di comunicazione o porte elencate di seguito Opzioni di porta Descrizione La regola viene applicata alle comunicazioni che utilizzano qualsiasi porta. La regola viene applicata alle porte specificate nell'elenco. È possibile aggiungere e rimuovere porte dall'elenco. Se si specificano le porte locali e remote, per il traffico controllato dovranno venire utilizzate le porte locali e remote perché vi sia corrispondenza con la regola. Opzioni di registrazione Le opzioni di registrazione consentono di specificare se il programma deve inviare una notifica o creare una voce nel Registro eventi ogni volta che viene rilevato un evento di comunicazione di rete corrispondente alle politiche impostate per la regola. Nella Tabella 8-9 sono descritte le opzioni di registrazione disponibili. Tabella 8-9 Opzione Crea una voce del Registro eventi Opzioni di registrazione Descrizione Viene creata una voce nel Registro eventi del firewall quando un evento di comunicazione di rete corrisponde alla regola. Se questa opzione è attivata, è possibile specificare la frequenza degli eventi accanto a Registra evento solo dopo che si verifica X volte. Notifica con un avviso di sicurezza Se viene rilevato un evento di comunicazione di rete corrispondente alla regola, viene visualizzata la finestra di dialogo Avviso di sicurezza. Descrizione La descrizione consente di specificare il nome della regola per facilitarne l'identificazione.

154 154 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Opzioni di posizione Le opzioni di posizione consentono di selezionare le posizioni cui si desidera associare la regola. Informazioni sul processo stateful inspection Symantec Client Firewall utilizza il processo stateful inspection, che crea una tabella dello stato delle connessioni nella quale vengono registrate informazioni sulle connessioni correnti, quali gli indirizzi IP di origine e destinazione, le porte, le applicazioni e così via. Symantec Client Firewall assume decisioni di gestione del traffico utilizzando queste informazioni sulle connessioni prima di analizzare le regole generali e di programma. Ad esempio, se una regola firewall consente a un client di connettersi a un server Web, il firewall registra le informazioni sulla connessione nella tabella degli stati. Quando il server risponde, il firewall controlla tale tabella, rileva una risposta prevista dal server Web al client e consente il flusso del traffico del server Web verso il client che ha avviato la connessione senza ispezionare la base di regole. È necessario che una regola consenta il traffico in uscita iniziale prima che il firewall registri la connessione nella tabella degli stati. Il processo stateful inspection consente di semplificare le basi di regole, poiché non è necessario creare regole che consentano il traffico in entrambe le direzioni per il traffico avviato generalmente in una sola direzione, ad esempio il traffico Telnet (porta 23), FTP (porte 20 e 21), HTTP (porta 80) e HTTPS (porta 443). Poiché i client avviano questo traffico in uscita, è sufficiente creare una regola che consenta il traffico in uscita per questi protocolli. Il firewall consente il traffico di risposta quando ispeziona la tabella degli stati. La configurazione delle sole regole in uscita, quando possibile, consente di aumentare la sicurezza del client nei due modi indicati di seguito: Riducendo la complessità della base di regole Eliminando la possibilità che un worm o altri programmi pericolosi possano avviare connessioni a un client su porte configurate solo per il traffico in uscita. È anche possibile configurare solo regole in entrata per il traffico verso i client non avviato da questi ultimi. Il processo stateful inspection supporta tutte le regole che gestiscono il traffico TCP. Stateful inspection non supporta le regole che filtrano il traffico UDP e ICMP. Per il traffico UDP e ICMP è necessario creare regole che consentono il traffico in entrambe le direzioni quando necessario. Ad esempio, se si desidera che i client utilizzino il comando ping e ricevano risposte, è necessario creare una regola che consenta il traffico ICMP in entrambe le direzioni.

155 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall 155 Priorità per l'elaborazione delle regole firewall Quando viene tentata una connessione esterna al computer in uso, o quando il computer in uso tenta di connettersi a un computer collegato a Internet, Symantec Client Firewall confronta il tipo di connessione con l'elenco di regole firewall. Le regole firewall vengono elaborate secondo un ordine stabilito a partire dalla tabella degli stati. Ad esempio, se il traffico in entrata risponde al traffico in uscita, il firewall in primo luogo ispeziona la tabella degli stati, rileva che è previsto traffico in entrata e consente il traffico. Anche se esiste una regola per bloccare il traffico di risposta in entrata, tale regola non viene mai elaborata. Dopo la tabella degli stati, l'elaborazione delle regole dipende dal relativo stato di blocco o sblocco. Tutte le regole create con Symantec Client Firewall sono sbloccate. Le regole create con Symantec Client Firewall Administrator ed esportate in Symantec Client Firewall possono essere bloccate o sbloccate. Nella Tabella 8-10 è riportato l'ordine di elaborazione delle regola firewall in Symantec Client Firewall. Tabella 8-10 Priorità di elaborazione delle regole Priorità Tipo di regole Tipo di utente Prima Generale Bloccato Seconda Programma Bloccato Terza Generale Sbloccato Quarta Programma Sbloccato Quinta Trojan Horse Bloccato Sesta Trojan Horse Sbloccato Nota: l'utilità Secure Port protegge completamente le porte definite con le regole Trojan. Pertanto, tutte le regole Trojan configurate come Blocca hanno la priorità più alta solo per il traffico in uscita. Vedere "Utilizzo di Secure Port" a pagina 160.

156 156 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Aggiunta delle regole firewall Prima di aggiungere una nuova regola firewall, occorre stabilire se dovrà controllare l'accesso generale a Internet o soltanto un programma. Sono disponibili i seguenti tipi di regole: Le regole generali influiscono su tutte le applicazioni che accedono a Internet poiché ispezionano tutti i pacchetti. Le regole di programma controllano l'accesso di un programma a Internet. Utilizzare queste regole per i programmi che richiedono l'accesso a Internet. Le regole Trojan consentono in genere di bloccare le porte utilizzate dai Trojan Horse e di ispezionare tutti i pacchetti in subordine alle regole generali e di programma. Aggiunta di regole generali È possibile creare regole firewall generali da applicare a tutti i programmi sul computer. Per aggiungere una regola generale 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Avanzate della finestra Symantec Client Firewall, fare clic su Generale. 4 Nella finestra Regole generali fare clic su Aggiungi. 5 Seguire le istruzioni visualizzate sullo schermo. 6 Nella scheda Avanzate fare clic su OK. Aggiunta delle regole di programma È possibile creare regole firewall di programma da applicare ad alcuni programmi presenti nel computer in uso. Per aggiungere una regola di programma 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Programmi della finestra Symantec Client Firewall fare clic su Aggiungi. 4 Nella finestra di dialogo Seleziona programma, selezionare un file eseguibile, quindi fare clic su Apri.

157 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Nell'elenco a discesa Cosa fare dell'avviso di Controllo programmi, fare clic su Configura manualmente l'accesso a Internet. 6 Fare clic su OK. 7 Seguire le istruzioni visualizzate sullo schermo. 8 Nella scheda Programmi fare clic su OK. Aggiunta di regole Trojan -È possibile creare regole firewall Trojan da applicare alle minacce Trojan Horse e inserirle in modo che vengano ispezionate per ultime. Quando viene trovata una corrispondenza con le regole Trojan configurate per il blocco del traffico, l'indirizzo IP che ha avviato il traffico viene bloccato automaticamente. Vedere "Attivazione o disattivazione di Blocco automatico" a pagina 169. Per aggiungere una regola Trojan 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Nella scheda Avanzate fare clic su Trojan Horse. 4 Nella finestra di dialogo Regole Trojan Horse fare clic su Aggiungi. 5 Seguire le istruzioni visualizzate sullo schermo. 6 Nella scheda Avanzate fare clic su OK. Modifica delle regole firewall esistenti È possibile modificare le regole firewall se non funzionano nel modo desiderato. La regola viene modificata per tutte le posizioni che la implementano. Nota: se l'amministratore aggiorna la politica del firewall in modo da bloccare l'esecuzione di programmi da determinate posizioni, non è possibile modificare le regole di programma esistenti interessate dalla nuova politica. È possibile tuttavia eliminarle Dopo aver eliminato la regola di programma, quando il programma viene eseguito di nuovo, vengono create regole di programma solo per le posizioni non limitate dalla nuova politica.

158 158 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Per modificare una regola firewall esistente 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Effettuare una delle seguenti operazioni. Nell'elenco a discesa Impostazioni della scheda Programmi nella finestra Symantec Client Firewall, selezionare la posizione che contiene la regola da modificare. Nella scheda Avanzate della finestra Symantec Client Firewall selezionare Generali o Trojan Horse. 4 Selezionare la regola da modificare. 5 Fare clic su Modifica. 6 Per modificare qualsiasi aspetto della regola, seguire le istruzioni visualizzate. 7 Al termine fare clic su OK. Modifica dell'ordine delle regole firewall Symantec Client Firewall elabora ogni elenco di regole firewall dall'alto verso il basso. È possibile determinare in che modo Symantec Client Firewall elabora le regole firewall modificandone l'ordine. Questo tipo di modifica influisce solo sulla posizione attualmente selezionata. Nota: le regole firewall possono includere regole bloccate e sbloccate. L'amministratore di sistema può bloccare le regole, impedendo all'utente di modificarne l'ordine. Le regole bloccate hanno sempre una priorità maggiore rispetto a quelle sbloccate nello stesso gruppo. È possibile modificare solo l'ordine delle regole sbloccate. Per modificare l'ordine di una regola firewall 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Effettuare una delle seguenti operazioni. Nell'elenco a discesa Impostazioni della scheda Programmi nella finestra Symantec Client Firewall, selezionare la posizione che contiene la regola da riordinare. Nella scheda Avanzate della finestra Symantec Client Firewall selezionare Generali o Trojan Horse.

159 Protezione dai tentativi di intrusione Personalizzazione delle regole firewall Selezionare la regola da spostare. 5 Effettuare una delle seguenti operazioni. Per fare in modo che Symantec Client Firewall elabori la regola corrente prima di quella che la precede, fare clic su Sposta su. Per fare in modo che Symantec Client Firewall elabori la regola corrente dopo quella che la segue, fare clic su Sposta giù. 6 Al termine fare clic su OK. Disattivazione temporanea di regole firewall È possibile disattivare una regola firewall temporaneamente se è necessario consentire accesso specifico a un computer o a un programma. In questo caso, la regola viene disattivata per tutte le posizioni che la implementano. Attivare di nuovo la regola al termine dell'utilizzo del programma o del computer che ha richiesto la modifica. Per disattivare temporaneamente una regola firewall 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Effettuare una delle seguenti operazioni: Nella scheda Programmi della finestra Symantec Client Firewall fare clic su Modifica, quindi deselezionare la casella accanto alla regola da disattivare. Nella scheda Avanzate della finestra Symantec Client Firewall, selezionare Generali o Trojan Horse, quindi deselezionare la casella accanto alla regola da disattivare. Rimozione di regole firewall È possibile rimuovere le regole firewall che non sono più necessarie. Quando si esegue questa operazione, viene richiesto se si desidera eliminare la regola dalla posizione corrente o da tutte le posizioni. Non è possibile eliminare le regole generali o Trojan bloccate e le regole di programma che contengono una o più regole bloccate.

160 160 Protezione dai tentativi di intrusione Utilizzo di Secure Port Per rimuovere una regola firewall 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Client Firewall. 3 Effettuare una delle seguenti operazioni: Nell'elenco a discesa Impostazioni della scheda Programmi nella finestra Symantec Client Firewall, selezionare la posizione che contiene la regola da rimuovere. Nella scheda Avanzate della finestra Symantec Client Firewall selezionare Generali o Trojan Horse. 4 Selezionare la regola da rimuovere. 5 Fare clic su Rimuovi. 6 Al termine fare clic su OK. Utilizzo di Secure Port Secure Port blocca il traffico TCP e UDP sulle porte locali definite nelle regole Trojan configurate come Blocca e le porte definite dagli utenti che eseguono Symantec Client Firewall. Le porte vengono protette completamente in modo che per il traffico in uscita che ha origine da queste porte non venga mai attivata l'ispezione della base di regole firewall. Poiché la base di regole non viene ispezionata per queste porte, i relativi messaggi di avviso del firewall non vengono visualizzati mai anche quando è attivata la funzione di visualizzazione gli avvisi di sicurezza. La base di regole viene ispezionata per il traffico in entrata destinato a queste porte. Inoltre, quando Secure Port è attivata, le applicazioni Windows che usano le porte casuali riconoscono che tali porte sono protette e le ignorano durante la sequenza delle porte casuali. Conseguentemente, questa funzione protegge i client dai Trojan Horse che utilizzano le porte nell'intervallo di porte consentite dalla categoria Generali senza interrompere le comunicazioni di rete. Nota: l'utilità Secure Port protegge solo le porte definite come porte locali bloccate nelle regole Trojan e quelle specificate per le Zone di sicurezza. ma non è in grado di proteggere le porte utilizzate da altri programmi. Inoltre, è necessario che esista una regola di programma che blocchi tutto il traffico TCP e UDP in entrata verso SymSPort.exe per fare in modo che non vengano visualizzati gli avvisi Trojan Horse. Questa regola viene installata per impostazione predefinita.

161 Protezione dai tentativi di intrusione Utilizzo di Secure Port 161 Attivazione e disattivazione di Secure Port Secure Port protegge tutte le porte locali definite nelle regole Trojan. Attivare e disattivare Secure Port Secure Port consente di attivare e disattivare porte specifiche in modo selettivo. Per attivare Secure Port 1 Nella parte superiore della finestra principale fare clic su Opzioni. 2 Nella scheda Secure Port della finestra Opzioni di Symantec Client Firewall, selezionare Attiva la tecnologia di Secure Port, quindi fare clic su OK. Quando le porte sono protette, viene visualizzata una X nella colonna Protetta. Questa operazione può richiedere fino a 30 secondi. 3 Per verificare che le porte siano protette, riaprire la finestra delle opzioni di Symantec Client Firewall.

162 162 Protezione dai tentativi di intrusione Utilizzo di Secure Port Per disattivare Secure Port per singole porte 1 Nella colonna Protocollo dell'elenco delle porte, deselezionare la casella di controllo nella riga dell'elenco contenente la porta di destinazione. 2 Fare clic su OK. Quando la porta è sbloccata, nella colonna Protetta non viene visualizzata alcuna X. 3 Per verificare che la porta sia sbloccata, riaprire la finestra delle opzioni di Symantec Client Firewall. Per attivare Secure Port per singole porte 1 Nella colonna Protocollo dell'elenco delle porte, selezionare la casella di controllo nella riga dell'elenco contenente la porta di destinazione. 2 Fare clic su OK. Quando la porta è protetta, nella colonna Protetta viene visualizzata una X. 3 Per verificare che la porta sia protetta, riaprire la finestra delle opzioni di Symantec Client Firewall. Per disattivare Secure Port 1 Nella parte superiore della finestra principale fare clic su Opzioni. 2 Nella scheda Secure Port della finestra Opzioni di Symantec Client Firewall deselezionare Attiva la tecnologia di Secure Port, quindi fare clic su OK. Quando le porte sono sbloccate, nella colonna Protetta non viene visualizzata alcuna X. 3 Per verificare che le porte siano sbloccate, riaprire la finestra delle opzioni di Symantec Client Firewall.

163 Protezione dai tentativi di intrusione Utilizzo di Filtri per protocolli 163 Aggiunta o rimozione delle porte definite dall'utente L'utilità Secure Port consente di aggiungere e rimuovere porte aggiuntive. Aggiungere o rimuovere porte definite dall'utente se si tenta di rimuovere una porta definita con una regola Trojan, tale porta viene solo disattivata, ma non rimossa dall'elenco. Per aggiungere a Secure Port una porta definita dall'utente 1 Nella parte superiore della finestra principale fare clic su Opzioni. 2 Nell'area Protocollo della scheda Secure Port, nella finestra della finestra Symantec Client Firewall, selezionare una delle seguenti opzioni: TCP UDP TCP, UDP. 3 Nell'area Numero porta digitare il numero della porta da aggiungere. 4 Fare clic su Aggiungi. Nell'elenco delle porte viene visualizzata una riga per il numero della porta. 5 Fare clic su OK. Per rimuovere da Secure Port una porta definita dall'utente 1 Nell'elenco delle porte, fare clic con il pulsante destro del mouse sulla riga corrispondente alla porta di destinazione, quindi fare clic su Rimuovi. Nell'elenco delle porte la riga contenente il numero della porta viene rimossa. 2 Fare clic su OK. Utilizzo di Filtri per protocolli Filtri per protocolli consente di autorizzare o bloccare il traffico in entrata e in uscita che utilizza i protocolli IP meno comuni. La maggioranza del traffico di rete utilizza i protocolli comuni TCP, UDP e ICMP, che è possibile configurare ogni volta che si creano regole e prule. Poiché molti prodotti, incluse le soluzioni VPN, utilizzano protocolli IP meno comuni per le comunicazioni, è necessario autorizzare tutti i protocolli IP fino a quando non si è pronti a cercare le applicazioni e le periferiche utilizzate in rete. L'elenco aggiornato e completo dei protocolli IP è disponibile all'indirizzo:

164 164 Protezione dai tentativi di intrusione Utilizzo di Filtri per protocolli Informazioni sui protocolli VPN Le reti VPN utilizzano protocolli aggiuntivi basati sul tipo di comunicazione necessario e sul tipo di sicurezza applicato per proteggere i tunnel di comunicazione. I protocolli VPN possono variare. Se il client VPN non è in grado di comunicare con la rete interna, è possibile che il firewall stia bloccando i protocolli IP necessari alla comunicazione. Per una maggiore sicurezza, è possibile consentire i singoli protocolli IP necessari dalla soluzione VPN in uso. È inoltre possibile consentire tutti i protocolli IP utilizzati dalle VPN se non si è certi di quali siano quelli necessari sulla rete. Nella Tabella 8-11 vengono elencati e descritti i protocolli VPN più comuni. Tabella 8-11 Protocollo IP Protocolli VPN e loro descrizione: Descrizione 47 - GRE Il protocollo Generic Routing Encapsulation (GRE) viene utilizzato con VPN che impiegano Microsoft Point-to-Point Tunneling Protocol (PPTP) ESP Il protocollo Encapsulation Security Payload (ESP)viene utilizzato con VPN che impiegano il protocollo IPSec AH Il protocollo Authentication Header (AH) viene utilizzato con VPN che impiegano il protocollo IPSec TLSP Il protocollo Trasport Layer Security Protocol (TLSP) utilizza la gestione delle chiavi Kryptonet per offrire riservatezza e integrità dei dati tra due applicazioni che comunicano su Internet SKIP Il protocollo Simple Key-Management for Internet Protocol (SKIP) è utilizzato con VPN che impiegano protocolli Secure Socket Layers (SSL) o IPSec L2TP Il protocollo Level 2 Tunneling Protocol (L2TP) viene utilizzato con VPN che impiegano il protocollo IPSec e costituisce inoltre il principale protocollo Microsoft per l'autenticazione e la crittografia.

165 Protezione dai tentativi di intrusione Utilizzo di Filtri per protocolli 165 Autorizzazione e blocco di protocolli estesi Filtri per protocolli consente di bloccare o autorizzare tutti i protocolli IP non controllati tramite le regole generali, di programma e Trojan Horse. Per autorizzare e bloccare protocolli estesi 1 Nella parte superiore della finestra principale fare clic su Opzioni.. 2 Nella scheda Filtri per protocolli della finestra Opzioni di Symantec Client Firewall, selezionare i protocolli da autorizzare o bloccare. 3 Fare clic su OK.

166 166 Protezione dai tentativi di intrusione Personalizzazione di Prevenzione delle intrusioni Personalizzazione di Prevenzione delle intrusioni Le impostazioni predefinite di Prevenzione delle intrusioni dovrebbero fornire una protezione adeguata. Se la protezione predefinita non è appropriata, è possibile personalizzare tali impostazioni. È possibile personalizzare Prevenzione delle intrusioni escludendo dal controllo o dalla generazione di avvisi attività di rete specifiche e attivando o disattivando Blocco automatico. Nota: generalmente, la personalizzazione di Prevenzione delle intrusioni rende la funzione meno sicura. Non è possibile escludere firme o indirizzi IP se l'amministratore del sistema ha bloccato queste impostazioni. Visualizzazione di avvisi di Prevenzione delle intrusioni Symantec Client Firewall consente di specificare se visualizzare avvisi quando Prevenzione delle intrusioni blocca le connessioni. Per visualizzare gli avvisi di Prevenzione delle intrusioni 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Prevenzione delle intrusioni selezionare Avvisa se Protezione delle intrusioni blocca le connessioni. Esclusione di avvisi di Prevenzione delle intrusioni Symantec Client Firewall consente di escludere avvisi relativi a singole firme di attacco. Se si ricevono avvisi ripetuti relativi a possibili attacchi della cui dannosità non si è certi, è possibile restare protetti da questi attacchi potenziali continuando a lavorare senza che tali avvisi vengano visualizzati continuamente. Nota: per visualizzare gli avvisi di Prevenzione delle intrusioni è necessario selezionare l'opzione Visualizza avvisi quando Prevenzione delle intrusioni blocca le connessioni. È quindi possibile escludere le singole firme di attacco dalla generazione degli avvisi. Se questa impostazione è deselezionata, i potenziali attacchi non attivano gli avvisi.

167 Protezione dai tentativi di intrusione Personalizzazione di Prevenzione delle intrusioni 167 Per visualizzare gli avvisi di Prevenzione delle intrusioni 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Prevenzione delle intrusioni fare clic su Avanzate. 4 Nell'elenco Nomi delle firme di Prevenzione delle intrusioni della finestra di dialogo Esclusioni delle firme di Prevenzione delle intrusioni selezionare la firma di attacco da escludere. 5 Scegliere Proprietà. 6 Deselezionare Avvisa quando la firma viene rilevata. 7 Fare clic su OK. Esclusione di attività di rete dal controllo In alcuni casi, attività di rete non nocive possono essere simili a una firma di attacco di Symantec Client Firewall. Se vengono ripetutamente generati avvisi su possibili attacchi, che sono invece sicuramente riconducibili a una normale attività della rete, è possibile creare un'esclusione per la firma di attacco corrispondente a quella particolare attività. Nota: poiché ogni nuova esclusione rende il computer vulnerabile agli attacchi e influisce su tutti gli indirizzi IP, cercare di essere selettivi quando si decide di escludere un attacco, Escludere soltanto le attività che sono sempre sicure. Potrebbe non essere possibile escludere le firme, se sono state bloccate dall'amministratore di sistema. Per escludere il controllo della firma di un attacco 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni.

168 168 Protezione dai tentativi di intrusione Personalizzazione di Prevenzione delle intrusioni 3 Nella scheda Prevenzione delle intrusioni fare clic su Avanzate. 4 Nell'elenco Nomi delle firme di Prevenzione delle intrusioni della finestra di dialogo Esclusioni delle firme di Prevenzione delle intrusioni, individuare la firma di attacco da escludere. 5 Deselezionare il nome della firma. 6 Al termine fare clic su OK. 7 Fare clic su OK. Inclusione delle firme di attacco Se sono state escluse delle firme di attacco che, invece, si desidera controllare nuovamente, reinserirle nell'elenco delle firme attive. Per includere firme di attacco 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Prevenzione delle intrusioni fare clic su Avanzate. 4 Nell'elenco Nomi delle firme di Prevenzione delle intrusioni della finestra di dialogo Esclusioni delle firme di Prevenzione delle intrusioni, individuare la firma di attacco da controllare. 5 Deselezionare il nome della firma. 6 Al termine fare clic su OK. 7 Fare clic su OK.

169 Protezione dai tentativi di intrusione Personalizzazione di Prevenzione delle intrusioni 169 Attivazione o disattivazione di Blocco automatico Quando Symantec Client Firewall rileva un attacco, blocca automaticamente il traffico dal computer autore per garantire la sicurezza del computer. Tra gli attacchi è incluso il traffico specifica dalle regole Trojan. Symantec Client Firewall è inoltre in grado di attivare Blocco automatico, che blocca automaticamente tutto il traffico in entrata dal computer autore dell'attacco e tutto il traffico in uscita verso di esso per un periodo di tempo specificato, indipendentemente dal fatto che il traffico corrisponda a una firma di attacco. Per impostazione predefinita, Blocco automatico arresta tutto il traffico da e verso il computer autore dell'attacco per 30 minuti e inserisce l'indirizzo IP del computer stesso nell'elenco di Blocco automatico. Se Blocco automatico è disattivato e Prevenzione delle intrusioni determina che il traffico in entrata corrisponde a una firma di attacco, il computer potrebbe ricevere più avvisi per un periodo prolungato. Si consideri la possibilità di escludere gli avvisi per la firma di attacco corrispondente. Vedere "Esclusione di avvisi di Prevenzione delle intrusioni" a pagina 166. Nota: per elaborare gli indirizzi IP di Blocco automatico, nella finestra principale deve essere attivato il firewall client. In caso contrario, Blocco automatico viene disattivato. Inoltre, gli indirizzi IP nelle zone di sicurezza non vengono mai aggiunti all'elenco di Blocco automatico e gli indirizzi IP di Blocco automatico vengono associati a tutte le posizioni. Per attivare o disattivare Blocco automatico 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Blocco automatico, eseguire una delle operazioni seguenti: Selezionare Attiva Blocco automatico. Deselezionare Attiva Blocco automatico.

170 170 Protezione dai tentativi di intrusione Personalizzazione di Prevenzione delle intrusioni Compilazione di Blocco automatico in Symantec Client Firewall Quando viene rilevato un attacco, è possibile scegliere di inserire l'indirizzo IP del computer dal quale proviene l'attacco nell'elenco di Blocco automatico. Compilazione di Blocco automatico in Symantec Client Firewall 1 Nella finestra Symantec AntiVirus fare clic su Configura > Auto-Protect per File System. 2 Nella finestra Auto-Protect per File System selezionare Attiva Auto-Protect. 3 Fare clic su Avanzate. 4 In Tracer minacce nella finestra Opzioni avanzate di Auto-Protect effettuare le seguenti operazioni: Selezionare Attiva tracer minacce. Selezionare Risolvi indirizzo IP del computer di origine. Selezionare Il firewall client blocca automaticamente l'indirizzo IP del computer di origine. 5 Fare clic su OK. 6 Nella finestra Auto-Protect per File System, fare clic su OK. Sblocco dei computer attualmente bloccati da Blocco automatico In alcuni casi, attività normali possono essere riconosciute da Symantec Client Firewall come un attacco. Se non è possibile stabilire la comunicazione con i computer con cui è necessario interagire, questi ultimi potrebbero essere inclusi nell'elenco dei computer bloccati dal Blocco automatico. È possibile sbloccare un computer a cui è necessario accedere e che sia incluso nell'elenco dei computer attualmente bloccati. Se sono state modificate le impostazioni di protezione e si desidera ripristinare l'elenco di Blocco automatico, è possibile sbloccare tutti i computer dell'elenco con un'unica operazione. Per sbloccare i computer attualmente bloccati da Blocco automatico 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Blocco automatico, eseguire una delle operazioni seguenti: Per sbloccare un computer, selezionare il relativo indirizzo IP, quindi fare clic su Sblocca. Per sbloccare tutti i computer nell'elenco, fare clic su Sblocca tutto.

171 Protezione dai tentativi di intrusione Personalizzazione di Prevenzione delle intrusioni 171 Esclusione di computer da Blocco automatico Alcune normali attività su Internet vengono riconosciute ripetutamente da Symantec Client Firewall come attacchi. Ad esempio, alcuni provider di servizi Internet eseguono la scansione delle porte dei computer degli utenti per verificare che siano conformi ai propri contratti di fornitura dei servizi. Per impedire che normali attività possano portare all'interruzione dell'uso di Internet, è possibile escludere alcune attività da Blocco automatico. Nota: non è possibile rimuovere i computer bloccati dall'amministratore di sistema. Per escludere computer da Blocco automatico 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Blocco automatico fare clic su Esclusioni. 4 Effettuare una delle seguenti operazioni. Nell'elenco Attualmente bloccati selezionare un computer bloccato, quindi fare clic su Rimuovi. Fare clic su Aggiungi, quindi digitare il nome del computer, l'indirizzo IP, l'intervallo di indirizzi IP o l'indirizzo di rete che include il computer da escludere. 5 Al termine fare clic su OK. Limitazione di un computer bloccato Per impedire permanentemente a un computer bloccato di accedere al proprio computer, è possibile aggiungerlo all'area con restrizioni. I computer aggiunti all'area con restrizioni non vengono visualizzati nell'elenco degli elementi bloccati in quanto Symantec Client Firewall rifiuta automaticamente qualunque tentativo di connessione da computer con restrizioni. Per limitare un computer bloccato 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Prevenzione delle intrusioni. 3 Nella scheda Blocco automatico, nell'elenco dei computer attualmente bloccati da Blocco automatico, selezionare l'indirizzo da aggiungere all'area con restrizioni. 4 Fare clic su Restrizioni. 5 Al termine fare clic su OK.

172

173 Capitolo 9 Protezione delle sessioni del browser web Questo capitolo comprende i seguenti argomenti: Informazioni sulla protezione della privacy Blocco delle pubblicità Utilizzo delle impostazioni avanzate di Contenuti Web Informazioni sulla protezione della privacy Quando si naviga in Internet, i computer e i siti Web raccolgono informazioni sugli utenti. Alcune di queste informazioni provengono dai moduli compilati dall'utente e dalle opzioni scelte nelle varie pagine. Altri dati provengono dai browser utilizzati, che forniscono informazioni sull'ultima pagina Web visitata e sul tipo di computer in uso. Molti siti Web memorizzano le informazioni raccolte mediante cookie inviati al disco rigido dell'utente. Quando si torna in un sito già visitato che ha inviato un cookie al computer, il server Web apre e legge il cookie. In genere i cookie non sono pericolosi. I siti li utilizzano per personalizzare le pagine Web, ricordare le opzioni scelte dall'utente sul sito e visualizzare pagine ottimizzate per un computer. Alcuni siti tuttavia utilizzano i cookie anche per registrare l'uso di Internet e le abitudini di navigazione degli utenti. Gli hacker possono raccogliere informazioni personali all'insaputa degli utenti. Ogni volta che si inviano informazioni su Internet, i dati attraversano molti computer prima di raggiungere la destinazione. Durante la trasmissione, è possibile per soggetti terzi intercettare queste informazioni e impadronirsene.

174 174 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy I computer includono alcune funzioni di sicurezza di base che tuttavia potrebbero essere insufficienti per proteggere i propri dati personali. Controllo della riservatezza garantisce la protezione della riservatezza degli utenti grazie a vari livelli di controllo dei cookie e delle altre informazioni inviate dal browser ai siti Web. Inoltre questa funzione verifica che non vengano inviati su Internet dati personali, come il numero della carta di credito, a meno che non siano crittografati o non vi sia il consenso dell'utente. Viene filtrato solo il testo normale. Informazioni sulla selezione delle porte per il controllo della riservatezza La finestra Opzioni di Symantec Client Firewall include un elenco delle porte controllate da Controllo della riservatezza. Nella Figura 9-1 è indicata la posizione dell'elenco delle porte. Figura 9-1 Elenco delle porte HTTP utilizzato per i filtri di Controllo della riservatezza Porte utilizzate per i filtri di Controllo della riservatezza

175 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy 175 Quando si selezionano funzioni e opzioni di Controllo della riservatezza, si presume che esse vengano utilizzate sulle porte in elenco. Se l'elenco è vuoto e Controllo della riservatezza è attivo, di fatto la funzione è disattivata poiché non sono indicate porte da controllare. Le porte predefinite sono le porte utilizzate più frequentemente per il traffico Web. Se si utilizzano applicazioni basate su Web personalizzate che si servono di porte differenti, è necessario aggiungere tali porte all'elenco se si desidera implementare Controllo della riservatezza su tali porte. Nota: questo elenco di porte viene applicato per i programmi di messaggistica immediata e i client di . Identificazione delle informazioni riservate da proteggere Molti siti Web richiedono all'utente di immettere il nome, l'indirizzo di e altre informazioni personali. In genere è possibile fornire queste informazioni senza timore a gran parte dei siti più noti, anche se esistono alcuni siti pericolosi che possono utilizzarli per compromettere la riservatezza degli utenti. È inoltre possibile che le informazioni inviate attraverso Internet, i messaggi di e i programmi di messaggistica immediata siano intercettate da altri. Controllo della riservatezza consente di creare un elenco di informazioni che si desidera rimangano riservate. Se si tenta di inviare informazioni protette su Internet, in Symantec Client Firewall può essere generato un avviso relativo al rischio per la protezione, oppure venire bloccata la connessione. Suggerimenti per l'immissione delle informazioni riservate Poiché in Symantec Client Firewall le informazioni personali vengono bloccate così come immesse nel programma, è consigliabile inserire solo cifre parziali. Ad esempio, un numero di telefono può essere digitato con il trattino ( ), senza ( ), con gli spazi ( ) oppure suddiviso in due o più caselle. L'elemento che accomuna tutti i formati è che le ultime quattro cifre (0000) sono sempre raggruppate. Di conseguenza, la protezione risulta maggiore se vengono protette le ultime quattro cifre rispetto all'intero numero. L'inserimento di informazioni parziali presenta due vantaggi. Prima di tutto non viene inserito il numero completo in un punto in cui altri utenti potrebbero intercettarlo. In secondo luogo, in questo modo si consente Symantec Client Firewall di bloccare le informazioni riservate su siti che utilizzano più caselle di testo per numeri telefonici o di carta di credito.

176 176 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy Informazioni su Controllo della riservatezza e SSL Nella maggior parte dei siti Web in cui vengono eseguite transazioni con carte di credito vengono utilizzate connessioni SSL (Secure Sockets Layer) per crittografare le connessioni tra il computer e il server. Controllo della riservatezza non è in grado di bloccare le informazioni riservate inviate tramite le connessioni SSL poiché il traffico è crittografato. Tuttavia, poiché le informazioni sono crittografate, solo il destinatario del messaggio di sarà in grado di leggere il messaggio. Se necessario, è possibile disattivare la capacità del computer di stabilire connessioni SSL. Vedere "Personalizzazione delle impostazioni di Controllo della riservatezza" apagina178. Impostazione del livello della privacy Symantec Client Firewall offre livelli di sicurezza predefiniti che guidano l'utente nell'impostazione contemporanea di varie opzioni di Controllo della riservatezza. Il cursore del livello di riservatezza consente di selezionare un valore di protezione basso, medio o alto. Per impostare il livello di riservatezza 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente, spostare il dispositivo di riservatezza sul livello desiderato. Sono disponibili le seguenti opzioni: Alto Medio (consigliata) Bassa Tutte le informazioni personali sono bloccate e viene visualizzato un avviso ogni volta che viene inviato un cookie. Viene visualizzato un avviso se vengono digitate informazioni riservate in un modulo Web, in un messaggio di o in un programma di messaggistica immediata. Gli URL visitati vengono nascosti ai siti Web. non vengono bloccati. Le informazioni riservate e i cookie non vengono bloccati. Nasconde le informazioni sulla navigazione ai siti Web. 4 Fare clic su OK.

177 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy 177 Aggiunta di informazioni riservate È necessario aggiungere le informazioni da proteggere all'elenco Informazioni riservate di Symantec Client Firewall. Se si desidera consentire la trasmissione di tali informazioni a determinati siti Web, è possibile escluderli dal controllo. Per aggiungere informazioni riservate 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente fare clic su Informazioni riservate. 4 Nella finestra di dialogo Informazioni riservate fare clic su Aggiungi. 5 Selezionare una categoria nell'elenco a discesa Categoria informazioni della finestra di dialogo Aggiungi informazioni riservate. 6 Nella casella di testo Descrizione digitare una descrizione che consenta di ricordare il motivo per cui si desidera proteggere i dati. 7 Nella casella di testo Informazioni da proteggere immettere le informazioni che non si desidera inviare tramite connessioni Internet non protette. 8 In Proteggi queste informazioni private durante l'uso di applicazioni per, selezionare uno o più dei seguenti programmi in relazione ai quali controllare le informazioni riservate: Web Messaggistica immediata . Le informazioni riservate trasmesse tramite basata sul Web (HTTP) non sono protette quando si seleziona l'impostazione , che controlla i programmi che utilizzano il protocollo SMTP. Alcuni programmi di messaggistica immediata consentono di configurare le modalità di comunicazione con i propri server. Se si sceglie di comunicare tramite richieste HTTP, la selezione dell'impostazione Messaggistica immediata, che controlla il traffico SOCKS, non determina la protezione delle conversazioni tramite messaggistica immediata. Per proteggere le informazioni riservate trasmesse attraverso applicazioni basate sul Web e programmi di messaggistica immediata, selezionare l'impostazione Web. 9 Nella casella di testo Eccezioni immettere gli eventuali siti Web da escludere dalla protezione. 10 Fare clic su OK.

178 178 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy Modifica o rimozione delle informazioni riservate È possibile modificare o rimuovere le informazioni riservate in qualsiasi momento. Per modificare o rimuovere le informazioni riservate 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente fare clic su Informazioni riservate. 4 Nella finestra di dialogo Informazioni riservate selezionare le informazioni da modificare o rimuovere. 5 Selezionare una delle opzioni indicate di seguito: Modifica Rimuovi. 6 Fare clic su OK. Personalizzazione delle impostazioni di Controllo della riservatezza Se il livello di riservatezza non soddisfa le proprie esigenze, è possibile modificare le impostazioni delle informazioni riservate, del blocco dei cookie, della riservatezza del browser e delle connessioni protette. Ad esempio, è possibile bloccare tutti i tentativi di invio di informazioni riservate consentendo al contempo ai siti Web di personalizzare le pagine tramite le informazioni del browser. Nella tabella Tabella 9-1 sono illustrate le aree protette da Controllo della riservatezza. Tabella 9-1 Protezione Aree di protezione di Controllo della riservatezza Descrizione Informazioni riservate Blocco dei cookie Privacy browser Connessioni protette Blocca determinate stringhe di testo che non si desidera inviare in Internet. Non consente ai siti Web di recuperare informazioni personali archiviate nei file dei cookie e di scriverle sul disco rigido. Consente di proteggere le informazioni sulle abitudini di navigazione e sul software del browser. Consente di stabilire connessioni protette utilizzando SSL su siti di commercio elettronico e altri siti Web. Durante la personalizzazione delle impostazioni, i dispositivi di scorrimento del livello di riservatezza diventano non disponibili.

179 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy 179 Per attivare i dispositivi 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente, fare clic su Livello predefinito. Modifica dell'impostazione Informazioni riservate È possibile modificare l'impostazione Informazioni riservate per controllare la modalità con cui Symantec Client Firewall gestisce i tentativi di invio su Internet dei dati contenuti nell'elenco delle informazioni riservate. Per modificare l'impostazione Informazioni riservate 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente fare clic su Livello personalizzato. 4 Nella finestra di dialogo Personalizza impostazioni riservatezza, selezionare l'impostazione desiderata. Sono disponibili le seguenti opzioni: Alto Medio Nessuna Consente di bloccare tutte le informazioni riservate in uscita. Consente di visualizzare un avviso ogni volta che si tenta di inviare informazioni riservate a un sito Web non protetto tramite un programma di messaggistica immediata o un messaggio di . Le informazioni riservate non vengono bloccate. 5 Fare clic su OK. Modifica dell'impostazione del blocco dei cookie Molti siti Web memorizzano le informazioni raccolte mediante i cookie inviati sul disco rigido dell'utente. Quando si torna in un sito già visitato che ha inviato un cookie al computer, il server Web apre e legge il cookie. È possibile modificare l'impostazione Blocco cookie per controllare la modalità con cui Symantec Client Firewall gestisce i tentativi di invio di cookie da siti al computer. Nota: sono presenti due tipologie di cookie, persistenti (temporanei) e non persistenti (permanenti fino all'eliminazione). Symantec Client Firewall tratta entrambi i tipi allo stesso modo.

180 180 Protezione delle sessioni del browser web Informazioni sulla protezione della privacy Per modificare l'impostazione del Blocco cookie 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente fare clic su Livello personalizzato. 4 Nella finestra di dialogo Personalizza impostazioni riservatezza, selezionare l'impostazione di Blocco cookie desiderata. Sono disponibili le seguenti opzioni: Alto Medio Nessuna Blocca tutti i cookie Visualizza un avviso ogni volta che viene rilevato un cookie. Accetta i cookie 5 Fare clic su OK. Attivazione e disattivazione di Privacy browser Privacy browser è una funzione di Controllo della riservatezza che impedisce ai siti Web di raccogliere informazioni sul software del browser e sulle abitudini di navigazione. Questa funzione impedisce ai siti Web di ottenere informazioni sul tipo di browser in uso, sull'ultimo sito Web visitato e sulle abitudini di navigazione dell'utente. Alcuni siti Web basati su JavaScript potrebbero non funzionare correttamente quando non riescono a identificare il tipo di browser in uso. Per attivare o disattivare Privacy browser 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente fare clic su Livello personalizzato. 4 Nella finestra di dialogo Personalizza impostazioni riservatezza, effettuare una delle seguenti operazioni: Per attivare Privacy browser, selezionare Attiva privacy browser. Per disattivare la funzione deselezionare Attiva privacy browser. 5 Fare clic su OK.

181 Protezione delle sessioni del browser web Blocco delle pubblicità 181 Attivazione e disattivazione delle connessioni Web protette Quando si visita un sito Web protetto, il browser stabilisce una connessione crittografata con tale sito. Le informazioni riservate non possono essere filtrate sulle connessioni crittografate. Per assicurarsi di non inviare informazioni riservate ai siti Web protetti, è possibile disattivare le connessioni Web protette. Se si disattivano le connessioni Web protette, il browser non applica la crittografia alle informazioni inviate. Si consiglia di disattivare le connessioni Web protette soltanto quando si utilizza il filtro Informazioni riservate. Per attivare o disattivare le connessioni Web protette 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Controllo della riservatezza. 3 Nella finestra corrispondente fare clic su Livello personalizzato. 4 Nella finestra di dialogo Personalizza impostazioni riservatezza, effettuare una delle seguenti operazioni: Per attivare le connessioni Web protette, selezionare Attiva connessioni protette (https). Per disattivarle, deselezionare Attiva connessioni protette (https). 5 Fare clic su OK. Blocco delle pubblicità Molti siti Web utilizzano tecniche aggressive per attirare l'attenzione sui messaggi pubblicitari inclusi nelle pagine. Alcuni siti hanno iniziato a utilizzare pubblicità più evidenti e di dimensioni maggiori, mentre altri siti utilizzano finestre pubblicitarie visualizzate al momento dell'accesso o dell'uscita dal sito. Oltre ad aumentare la quantità di tempo necessaria per la visualizzazione delle pagine Web, alcune pubblicità includono contenuto offensivo, causano conflitti software o utilizzano espedienti per aprire finestre del browser aggiuntive. Il blocco delle pubblicità consente di evitare questi problemi. Quando Blocco pubblicità è attivo, in Symantec Client Firewall rimuove in modo trasparente quanto segue: Striscioni pubblicitari Pubblicità a comparsa in primo piano e in secondo piano Pubblicità e animazioni basate su Macromedia Flash.

182 182 Protezione delle sessioni del browser web Blocco delle pubblicità Funzionamento di Blocco pubblicità Symantec Client Firewall rileva e blocca i messaggi pubblicitari in base a tre politiche: la dimensione, la posizione e le stringhe. Vedere "Informazioni sulla creazione di stringhe di testo che identificano le pubblicità da bloccare o consentire" apagina189. Blocco per dimensioni La maggioranza degli inserzionisti online utilizza una o più dimensioni standard per i propri messaggi. Symantec Client Firewall include oggi la possibilità di bloccare immagini, animazioni Flash e altri elementi HTML con le stesse dimensioni di questi messaggi pubblicitari. Blocco per posizione Ogni file su Internet ha un URL o indirizzo univoco. Quando si visualizza una pagina Web, il computer si connette a un URL e visualizza il file archiviato in questa posizione. Se la pagina punta a grafici e altri elementi di contenuto multimediale, nel browser i file vengono visualizzati all'interno della pagina. Quando si passa a una pagina Web contenente uno striscione pubblicitario, è possibile che le istruzioni utilizzate per visualizzare la pagina includano quanto segue: <p>saluti dall'azienda Cleaning<img src=" nifty_images/image7.gif"> Il browser visualizza il testo Saluti dall'azienda Cleaning sullo schermo, quindi esegue la connessione a e richiede un file denominato /nifty_images/image7.gif. Il suffisso gif indica che si tratta di un file in formato GIF (Graphics Interchange Format) utilizzato comunemente per i file di immagine. Il computer all'indirizzo invia il file al browser, che visualizza l'immagine. Quando Blocco pubblicità è attivo e l'utente si connette a un sito Web, Symantec Client Firewall esegue la scansione delle pagine Web e confronta il loro contenuto con due elenchi: Un elenco predefinito di messaggi pubblicitari bloccati automaticamente per tutte le pagine Web. È anche possibile aggiungere all'elenco messaggi da bloccare automaticamente. È possibile bloccare solo i messaggi presenti nell'elenco predefinito. Un elenco di siti Web creati dall'utente che richiedono una gestione specifica da parte di Blocco pubblicità. È possibile aggiungere e modificare questo elenco. I messaggi pubblicitari possono essere consentiti o bloccati solo per singoli siti Web.

183 Protezione delle sessioni del browser web Blocco delle pubblicità 183 Se la pagina include file provenienti da un dominio bloccato, tramite Symantec Client Firewall il collegamento viene rimosso e scaricato il resto della pagina. È anche possibile configurare le impostazioni di Blocco pubblicità per i singoli siti Web. Vedere "Configurazione delle impostazioni di Blocco pubblicità" apagina188. Attivazione e disattivazione di Blocco pubblicità Symantec Client Firewall ricerca gli indirizzi dei messaggi pubblicitari che verranno bloccati mentre la pagina Web viene scaricata dal browser. Se viene individuato un indirizzo che corrisponde all'elenco delle pubblicità da bloccare, la pubblicità viene rimossa e non viene visualizzata nel browser. Poiché il resto della pagina Web rimane intatto, è possibile visualizzare la pagina senza pubblicità. Vedere "Utilizzo delle impostazioni avanzate di Contenuti Web" apagina185. Per attivare o disattivare Blocco pubblicità 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Blocco pubblicità.

184 184 Protezione delle sessioni del browser web Blocco delle pubblicità 3 Nella finestra Blocco pubblicità effettuare una delle seguenti operazioni: Per attivare Blocco pubblicità, selezionare Attiva Blocco pubblicità. Per disattivarlo, deselezionare Attiva Blocco pubblicità. 4 Fare clic su OK. Attivazione e disattivazione di Blocco finestre a comparsa Le pubblicità a comparsa in primo piano e in secondo piano sono finestre secondarie aperte dai siti Web quando si visita o si esce da un sito, che vengono visualizzate rispettivamente -sopra o sotto la finestra corrente. Quando Blocco finestre a comparsa è attivo, in Symantec Client Firewall viene bloccato automaticamente il codice di programmazione utilizzato dai siti Web per aprire le finestre secondarie all'insaputa dell'utente. Questa impostazione non influisce sui siti che aprono finestre secondarie quando si fa clic su un collegamento o si eseguono altre operazioni. Nota: alcuni siti Web determinano l'apertura di una finestra quando si tenta di scaricare un file. Blocco finestre a comparsa potrebbe impedire la visualizzazione della finestra di scaricamento del file. Se si tenta di scaricare un file senza successo, disattivare temporaneamente Blocco finestre a comparsa fino al completamento dello scaricamento. Per attivare e disattivare Blocco finestre a comparsa 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su Blocco pubblicità. 3 Nella finestra Blocco pubblicità effettuare una delle seguenti operazioni: Per attivare Blocco finestre a comparsa, selezionare Attiva blocco finestre a comparsa. Per disattivare Blocco finestre a comparsa, deselezionare Attiva blocco finestre a comparsa. 4 Fare clic su OK.

185 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web 185 Utilizzo delle impostazioni avanzate di Contenuti Web Le impostazioni di Contenuti Web consentono di controllare la modalità di gestione di contenuti online interattivi, messaggi pubblicitari e possibili violazioni della riservatezza. Le impostazioni di Contenuti Web sono presenti nelle seguenti tre schede: Impostazioni globali Consente di controllare le azioni predefinite e relative a singoli siti Web intraprese da Symantec Client Firewall quando un sito tenta di ottenere informazioni sul browser e sui siti visitati, oppure utilizza immagini animate, script, Macromedia Flash e altri contenuti attivi Impostazioni utente Consente di personalizzare Blocco cookie, Blocco finestre a comparsa, controlli ActiveX e applet Java per singoli siti Web Blocco pubblicità Consente di specificare singole stringhe da bloccare o meno su tutti i siti Web. Consente inoltre di specificare singole stringhe da bloccare o meno sui singoli siti Web. Nota: i filtri vengono applicati a tutti i contenuti Web sulle porte specificate in Elenco porte HTTP nella scheda Firewall della finestra Opzioni di Symantec Client Firewall. Se l'elenco è vuoto, il firewall non applica le impostazioni di Contenuti Web. Inoltre, tali impostazioni vengono ignorate per i computer collocati nelle zone di sicurezza.

186 186 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web Configurazione delle impostazioni globali Consentono di controllare le azioni predefinite e relative a singoli siti Web intraprese da Symantec Client Firewall quando un sito Web tenta di ottenere informazioni sul browser o utilizza immagini animate, script, flash e altri contenuti attivi. La Tabella 9-2 descrive le impostazioni globali. Tabella 9-2 Impostazione Impostazioni globali Descrizione Informazioni sul browser Informazioni sui siti visitati Immagini animate Script Animazione Flash Blocca o consente ai siti Web di ottenere informazioni sul computer e sul browser web. Definisce l'azione intrapresa da Symantec Client Firewall quando i siti Web richiedono informazioni sugli altri siti Web visitati nel corso della sessione online corrente. Blocca Consenti stesso sito (predefinito) Le richieste di informazioni sono autorizzate quando provengono dalla stesso dominio. Tutte le altre richieste vengono bloccate. Consenti Blocca e consente l'esecuzione di immagini animate. L'immagine viene visualizzata, ma non è animata. Consente di bloccare o permettere l'esecuzione di script. Blocca o consente animazioni e pubblicità create con Macromedia Flash. Se l'impostazione Controllo della riservatezza è disattivata nella finestra corrispondente, le impostazioni globali Informazioni sul browser e Informazioni sui siti visitati vengono ignorate. Attivazione e disattivazione di Impostazioni globali La finestra di dialogo Impostazioni globali consente di specificare impostazioni per tutti i siti, nonché di definire impostazioni di blocco o autorizzazione specifiche per singoli siti. In alcuni siti Web vengono utilizzate immagini Flash per creare le barre degli strumenti di spostamento. Il blocco di tali immagini può impedire l'uso di questi siti.

187 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web 187 Per attivare o disattivare Impostazioni globali 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su una delle seguenti opzioni: Controllo della riservatezza Blocco pubblicità 3 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su Avanzate. 4 Nella finestra Avanzate effettuare una delle seguenti operazioni: Per cambiare le impostazioni predefinite per tutti i siti, nella scheda Opzioni per contenuti Web,fare clic su (Impostazioni predefinite). Per ignorare le impostazioni predefinite per un singolo sito, nella scheda Opzioni per contenuti Web selezionare il nome del sito e quindi nella scheda Impostazioni globali deselezionare Usa impostazioni predefinite in corrispondenza di una o più impostazioni. 5 Per ciascuna impostazione da modificare, selezionare una delle seguenti opzioni: Consenti Blocca 6 Fare clic su OK. 7 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su OK. Configurazione delle impostazioni utente Le impostazioni utente consentono di personalizzare le impostazioni relative a Blocco cookie, Blocco finestre a comparsa, applet Java e controlli ActiveX per i singoli siti. Queste impostazioni hanno la priorità sulle impostazioni predefinite visualizzate nelle altre finestre di dialogo. Le impostazioni sono illustrate nella Tabella 9-3, dove vengono identificate le finestre di dialogo che includono le impostazioni predefinite. Tabella 9-3 Impostazioni utente Impostazione Descrizione Finestra di dialogo Cookie Applet Java Blocca o consente ai siti Web di creare e leggere i file di cookie sul computer. Blocca o consente l'esecuzione di applet Java. Controllo della riservatezza, Personalizza impostazioni riservatezza Firewall client, Personalizza impostazioni di sicurezza

188 188 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web Tabella 9-3 Impostazioni utente (Continua) Impostazione Descrizione Finestra di dialogo Controlli ActiveX Pubblicità a comparsa Blocca o consente l'esecuzione dei controlli ActiveX. Blocca o consente le pubblicità acomparsa. Firewall client, Personalizza impostazioni di sicurezza Blocco pubblicità Sono presenti due tipologie di cookie, persistenti e non persistenti. Symantec Client Firewall tratta entrambi i tipi allo stesso modo. Per configurare le impostazioni utente 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su una delle seguenti opzioni: Controllo della riservatezza Blocco pubblicità 3 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su Avanzate. 4 Nella scheda Opzioni per contenuti Web della finestra Avanzate, selezionare il nome di un sito. 5 Deselezionare l'impostazione predefinita per una o più impostazioni nella scheda Impostazioni utente. 6 Per ciascuna impostazione deselezionata, selezionare una delle seguenti opzioni: Consenti Blocca 7 Fare clic su OK. 8 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su OK. Configurazione delle impostazioni di Blocco pubblicità Le impostazioni di Blocco pubblicità consentono di specificare singoli striscioni pubblicitari o gruppi di immagini pubblicitarie da bloccare o autorizzare per singoli siti. Symantec Client Firewall rileva e blocca i messaggi pubblicitari in base a tre politiche: la dimensione, la posizione e le stringhe. Nota: se si è esportato un file delle politiche in Symantec Client Firewall con Symantec Client Firewall Administrator e l'impostazione del client relativa al blocco banner è disattivata, Blocco pubblicità è disattivato in Symantec Client Firewall.

189 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web 189 Informazioni sulla creazione di stringhe di testo che identificano le pubblicità da bloccare o consentire È possibile controllare se in Symantec Client Firewall sono visualizzati messaggi pubblicitari specifici creando un elenco di stringhe di testo che identificano singoli striscioni pubblicitari. Le stringhe di Blocco pubblicità sono porzioni di indirizzi HTML. Se una qualsiasi parte dell'indirizzo del file corrisponde alla stringa di testo, Symantec Client Firewall blocca automaticamente il file. Symantec Client Firewall offre un elenco di Blocco pubblicità denominato (Impostazioni predefinite) utilizzato per determinare quali immagini dovrebbero essere bloccate quando vengono visualizzate le pagine Web. Quando Blocco pubblicità è attivo, tutte le pagine Web vengono analizzate alla ricerca delle stringhe HTML specifiche nell'elenco (Impostazioni predefinite). Symantec Client Firewall ricerca le stringhe bloccate all'interno dei tag HTML utilizzati per visualizzare i messaggi pubblicitari. Le strutture HTML che contengono stringhe corrispondenti vengono rimosse dalla pagina prima che essa venga visualizzata nel browser web. Accertarsi che le stringhe inserite nell'elenco del blocco (Impostazioni predefinite) non siano troppo generiche. Ad esempio, www non rappresenta una stringa di blocco appropriata poiché è contenuta nella maggior parte degli URL. Una sringa come è più adatta poiché in questo caso vengono bloccati soltanto i grafici provenienti dal dominio slowads senza influire sugli altri siti. Il modo in cui vengono definite le stringhe di Blocco pubblicità ha effetto sul livello di restrittività del filtro di Symantec Client Firewall sui dati. Ad esempio, se si aggiunge la stringa spammersrus.com all'elenco del blocco (Impostazioni predefinite), vengono bloccati tutti i componenti inclusi nel dominio spammersrus.com. Se si è più specifici e si aggiunge la stringa /images/ image7.gif all'elenco del blocco specifico del sito gestito da viene bloccata solo quella determinata immagine. È inoltre possibile creare stringhe che consentono ai siti Web di visualizzare le immagini corrispondenti alla stringa specificata. In questo modo è possibile ignorare l'effetto del blocco di qualsiasi stringa inclusa nell'elenco del blocco (Impostazioni predefinite) per i singoli siti. Le regole di autorizzazione hanno la priorità sulle regole di blocco su qualsiasi sito. Nota: se si fa clic con il pulsante destro del mouse su una stringa, è possibile accedere a tutte le funzionalità per l'aggiunta, la modifica e la rimozione delle stringhe, incluse una funzione aggiuntiva per l'ordinamento.

190 190 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web Aggiunta di una stringa a Blocco pubblicità È possibile aggiungere stringhe all'elenco di Blocco pubblicità per tutti o per i singoli siti. Blocco pubblicità supporta solo i caratteri minuscoli. Per aggiungere una stringa a Blocco pubblicità 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su una delle seguenti opzioni: Controllo della riservatezza Blocco pubblicità 3 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su Avanzate. 4 Nella scheda Blocco pubblicità della finestra Avanzate effettuare una delle seguenti operazioni: Per bloccare una stringa in tutti i siti Web, nella scheda Opzioni per contenuti Web, fare clic su (Impostazioni predefinite). Per autorizzare o bloccare una stringa su un sito Web nell'elenco, vedere il passaggio 5. 5 Nella scheda Opzioni per contenuti Web, selezionare il nome del sito, quindi nella scheda Blocco pubblicità fare clic su Aggiungi. 6 Nella finestra di dialogo Aggiungi nuova stringa HTML selezionare l'azione da eseguire. Sono disponibili le seguenti opzioni: Blocca Consenti Consente di bloccare le pubblicità corrispondenti alla stringa specificata. Consente di visualizzare le pubblicità corrispondenti alla stringa specificata (solo per singoli siti Web). 7 Digitare una stringa HTML da bloccare o consentire. 8 Fare clic su OK. 9 Nella finestra Avanzate fare clic su OK. 10 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su OK.

191 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web 191 Modifica e rimozione di una stringa di Blocco pubblicità Se in seguito si decide che una stringa di Blocco pubblicità è troppo restrittiva, non sufficientemente ampia o appropriata, è possibile modificarla o rimuoverla. Per modificare o rimuovere una stringa di Blocco pubblicità 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su una delle seguenti opzioni: Controllo della riservatezza Blocco pubblicità 3 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su Avanzate. 4 Nella scheda Blocco pubblicità della finestra Avanzate effettuare una delle seguenti operazioni: Per modificare o rimuovere una stringa nell'elenco (Impostazioni predefinite) della scheda Opzioni per contenuti Web, fare clic su (Impostazioni predefinite). Per modificare o rimuovere una stringa specifica di un sito, vedere il passaggio 5. 5 Nella scheda Opzioni per contenuti Web selezionare il nome del sito. 6 Nell'elenco di stringhe HTML della scheda Blocco pubblicità selezionare la stringa da modificare o rimuovere. 7 Effettuare una delle seguenti operazioni. Per modificare una stringa, fare clic su Modifica, digitare le modifiche, quindi fare clic su OK. Per rimuoverla, fare clic su Rimuovi, quindi su Sì. 8 Nella finestra Avanzate fare clic su OK. 9 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su OK.

192 192 Protezione delle sessioni del browser web Utilizzo delle impostazioni avanzate di Contenuti Web Aggiunta ed eliminazione dei siti Symantec Client Firewall consente di aggiungere o eliminare siti dall'elenco dei siti Web. Nota: quando si aggiunge un sito all'elenco di Opzioni per contenuti Web, questo deve essere configurato in modo diverso rispetto all'impostazione predefinita. Se si salva il sito da aggiungere senza apportare alcuna modifica, questo viene escluso dall'elenco di configurazione in quanto le impostazioni predefinite corrispondono alla configurazione prevista per il sito Web. Per aggiungere ed eliminare siti 1 Nella finestra principale fare clic su Stato e impostazioni. 2 Fare doppio clic su una delle seguenti opzioni: Controllo della riservatezza Blocco pubblicità 3 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su Avanzate. 4 Nella scheda Opzioni per contenuti Web della finestra Avanzate effettuare una delle seguenti operazioni: Per aggiungere un sito, fare clic su Aggiungi sito, digitare un sito o un nome di dominio, quindi fare clic su OK. Per eliminarlo, selezionare il nome di un sito, fare clic su Rimuovi sito e poi su Sì. 5 Nella finestra Avanzate fare clic su OK. 6 Nella finestra Controllo della riservatezza o Blocco pubblicità fare clic su OK.

193 Capitolo 10 Controllo di Symantec Client Firewall Questo capitolo comprende i seguenti argomenti: Informazioni sul controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche Visualizzazione della finestra Statistiche di Symantec Client Firewall Utilizzo di Visualizzatore file di registro Stampa e salvataggio dei registri e delle statistiche Informazioni sul controllo di Symantec Client Firewall Symantec Client Firewall conserva informazioni su ogni connessione a Internet in entrata e in uscita e su ogni azione intrapresa per proteggere il computer. È necessario controllare periodicamente queste informazioni per rilevare possibili violazioni della sicurezza. Le informazioni raccolte da Symantec Client Firewall provengono da tre origini: Finestra Statistiche: contiene informazioni recenti sulle attività del firewall e di blocco del contenuto Finestra Statistiche di Symantec Client Firewall: include informazioni dettagliate sull'attività di rete e sulle azioni intraprese da Symantec Client Firewall Visualizzatore file di registro: include le attività Internet degli utenti ed eventuali azioni intraprese da Symantec Client Firewall

194 194 Controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche Durante l'esame delle informazioni registrate, controllare quanto segue: Gli attacchi recenti nella finestra Stato corrente Un numero elevato di tentativi di accesso non riusciti, in particolare se provenienti da un unico indirizzo IP Sequenze di numeri di porta provenienti dallo stesso indirizzo IP, che possono indicare un tentativo di scansione delle porte (gli hacker provano ad attaccare le diverse porte del computer alla ricerca di una porta che consenta l'accesso) Attività di rete eccessiva da parte di un programma sconosciuto È normale osservare occasionalmente dei tentativi di accesso negato al sistema (non da un unico indirizzo IP e non destinati a una sequenza di numeri di porta). È anche possibile vedere registrati tentativi di accesso dovuti alla normale attività del computer, come le connessioni a server FTP o l'invio di messaggi di posta elettronica. Se invece si verifica una delle situazioni descritte in precedenza, potrebbe essere in corso un attacco al sistema. Visualizzazione della finestra Statistiche Nella finestra Statistiche viene visualizzata un'istantanea dell'attività di rete del computer registrata a partire dall'ultimo avvio di Windows. Utilizzare le informazioni fornite per identificare i tentativi di attacco in corso e per controllare l'effetto sulla protezione del sistema delle impostazioni selezionate per Controllo della riservatezza. Nella Tabella 10-1 sono illustrate le informazioni disponibili nella finestra Statistiche. Tabella 10-1 Sezione Client Firewall Informazioni della finestra Statistiche Informazioni Eventuali attacchi recenti contro il computer, inclusi ora dell'attacco più recente, frequenza degli attacchi e indirizzo del computer più attivo in termini di attacchi Blocco dei contenuti recenti Il numero di volte in cui cookie e informazioni riservate sono stati bloccati o consentiti e in cui le pubblicità Web sono state bloccate

195 Controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche 195 Per visualizzare la finestra Statistiche Nella finestra principale fare clic su Statistiche. Ripristino delle informazioni nella finestra Statistiche Symantec Client Firewall cancella automaticamente tutti i dati nella finestra Statistiche al riavvio di Windows. È possibile anche cancellare le statistiche manualmente. Ciò consente di verificare se una modifica apportata alla configurazione influenza le statistiche. Per ripristinare le informazioni nella finestra Statistiche 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Ripristina ora.

196 196 Controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche di Symantec Client Firewall Visualizzazione della finestra Statistiche di Symantec Client Firewall Oltre alle statistiche generali della finestra Statistiche, è possibile gestire i contatori di rete in tempo reale che tengono traccia dell'utilizzo di Internet e delle azioni intraprese da Symantec Client Firewall. Nella Tabella 10-2 sono illustrate le informazioni disponibili nella finestra Statistiche di Symantec Client Firewall. Tabella 10-2 Riquadro Rete Contenuto on-line Connessioni TCP firewall Datagrammi UDP firewall Regole firewall Connessioni di rete Ultimi 60 secondi Informazioni della finestra Statistiche di Symantec Client Firewall Informazioni I byte inviati e ricevuti tramite i protocolli TCP e UDP, il numero di connessioni di rete aperte e il numero massimo di connessioni di rete aperte simultaneamente dall'avvio del programma I cookie, le informazioni riservate, le pubblicità Web bloccate e il numero di connessioni HTTP Il numero di connessioni TCP bloccate e consentite Il numero di connessioni UDP bloccate e consentite Tutte le regole definite per il firewall nell'ordine di elaborazione e le informazioni relative al numero di tentativi di comunicazione consentiti, bloccati o non corrispondenti alle regole del firewall Le informazioni sulle connessioni correnti, ad esempio il programma che utilizza la connessione, il protocollo in uso e gli indirizzi o i nomi dei computer connessi Il numero di connessioni di rete e HTTP e la velocità di ciascun tipo di connessione Per visualizzare le statistiche dettagliate 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Guida.

197 Controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche di Symantec Client Firewall 197 Ripristino dei contatori di statistiche Il ripristino dei contatori comporta l'azzeramento di tutte le statistiche e l'inizio di un nuovo conteggio. Ciò consente di verificare se una modifica apportata alla configurazione influenza le statistiche. Per ripristinare i contatori di statistiche 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Guida. 3 Nel menu Visualizza della finestra Statistiche di Symantec Client Firewall fare clic su Ripristina valori. Visualizzazione selettiva delle statistiche È possibile visualizzare tutte le statistiche dettagliate contemporaneamente oppure visualizzare solo alcune categorie. Per visualizzare selettivamente le statistiche 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Guida. 3 Nel menu Visualizza della finestra Statistiche di Symantec Client Firewall fare clic su Opzioni. 4 Nella finestra di dialogo Opzioni statistiche di Symantec Client Firewall selezionare una o più categorie di statistiche da visualizzare. 5 Fare clic su OK. Configurazione delle colonne Nella finestra Statistiche di Symantec Client Firewall sono visualizzate informazioni su una o due colonne. Entrambi i layout includono le medesime statistiche.

198 198 Controllo di Symantec Client Firewall Visualizzazione della finestra Statistiche di Symantec Client Firewall Per configurare le colonne 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Guida. 3 Nella finestra Statistiche di Symantec Client Firewall, effettuare una delle seguenti operazioni: Per impostare automaticamente la visualizzazione a unae a due-colonne in base alla larghezza della finestra corrente, fare clic su Colonne > Automatico nel menu Visualizza. Per impostare la visualizzazione a colonna singola, scegliere Colonne > Una dal menu Visualizza. Per impostare la visualizzazione a due colonne, scegliere Colonne > Due nel menu Visualizza. Visualizzazione costante della finestra Statistiche di Symantec Client Firewall È possibile mantenere costantemente visibile la finestra Statistiche di Symantec Client Firewall anche quando un programma è in esecuzione in una finestra a tutto schermo. Questa operazione può essere utile per rilevare attività di rete insolite che potrebbero indicare la presenza di un problema di sicurezza. Per visualizzare costantemente la finestra Statistiche di Symantec Client Firewall 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Guida. 3 Nel menu Visualizza della finestra Statistiche di Symantec Client Firewall, fare clic su Sempre in primo piano.

199 Controllo di Symantec Client Firewall Utilizzo di Visualizzatore file di registro 199 Utilizzo di Visualizzatore file di registro In Symantec Client Firewall vengono registrate informazioni sui siti Web visitati dall'utente, sulle azioni intraprese dal firewall e su eventuali avvisi attivati. I registri contengono dettagli su una parte dell'attività riportata nella finestra Statistiche. Nella Tabella 10-3 sono illustrate le schede incluse nel Visualizzatore file di registro. Tabella 10-3 Scheda Schede del Visualizzatore file di registro Informazioni Blocco dei contenuti Connessioni firewall Prevenzione delle intrusioni Riservatezza Informazioni riservate Sistema Cronologia Web Avvisi Configurazione I dettagli relativi a pubblicità Web, applet Java e controlli ActiveX bloccati da Symantec Client Firewall. La cronologia di tutte le connessioni di rete TCP/IP effettuate dal computer in uso. Le connessioni vengono registrate nel momento in cui vengono chiuse. Il traffico intercettato dal firewall, inclusi le regole che sono state elaborate, gli avvisi visualizzati, le porte inutilizzate bloccate e gli eventi di Blocco automatico. Indica se Prevenzione delle intrusioni è attivo, le firme di attacco controllate e il numero di intrusioni verificatesi e bloccate. Cookie, informazioni sul computer e informazioni sulla cronologia dei siti Web bloccati o consentiti, inclusi nome del cookie e sito Web che l'ha richiesto, nome dei siti Web visitati in precedenza e nome e dettagli relativi al computer. Le informazioni riservate inviate o bloccate. Quando Symantec Client Firewall è stato attivato o disattivato, l'attività di connessione e gli aggiornamenti apportati dall'amministratore relativamente a regole, prule e impostazioni IDS. Gli URL visitati mediante il computer, con una cronologia dell'attività Web. Tutte le attività di avviso, inclusi i normali avvisi Controllo accesso Internet e di sicurezza generati da possibili attacchi al computer di Symantec Client Firewall. Informazioni relative alle modifiche alla configurazione e agli aggiornamenti a regole, Secure Port e firme IPS.

200 200 Controllo di Symantec Client Firewall Utilizzo di Visualizzatore file di registro Informazioni sul livello di registrazione Symantec Client Firewall registra informazioni relative agli attacchi alla sicurezza, alle connessioni rifiutate e all'utilizzo generale del computer. È inoltre possibile configurare regole per la creazione di voci di registro aggiuntive in caso di corrispondenze con determinate regole. Un certo tipo di traffico di rete controllato da Symantec Client Firewall potrebbe non venire registrato se il livello di registrazione è impostato sul valore predefinito. Nella Tabella 10-4 vengono elencati e descritti i livelli di registrazione di Symantec Client Firewall. Tabella 10-4 Livelli di registrazione di Symantec Client Firewall Livello di registrazione Default Verboso Descrizione Fornisce informazioni dettagliate sulle connessioni di rete, la configurazione e le modifiche al sistema e gli avvisi di sicurezza, inclusi Prevenzione delle intrusioni e attacchi Trojan Horse. Vengono registrate anche i siti Web, le informazioni riservate e la pubblicità bloccate. Fornisce informazioni dettagliate su tutti gli eventi registrati in base all'impostazione predefinita. Vengono registrati agente utente, informazioni sui siti visitati e cookie. Vengono inoltre registrati le applet Java, i controlli ActiveX, la pubblicità, i siti Web e le informazioni riservate consentiti. Configurazione del livello di registrazione È possibile configurare il livello di registrazione di Symantec Client Firewall. Per configurare il livello di registrazione 1 Nella finestra principale fare clic su Opzioni. 2 Nell'area Livello di registrazione impostare il livello di registrazione da utilizzare. 3 Fare clic su OK.

201 Controllo di Symantec Client Firewall Utilizzo di Visualizzatore file di registro 201 Visualizzazione dei registri È possibile visualizzare i registri di Symantec Client Firewall dalla finestra Statistiche. Per visualizzare i registri 1 Nella finestra principale fare clic su Statistiche. 2 Nella finestra Statistiche fare clic su Visualizza registri. Aggiornamento dei registri 3 Nella finestra Visualizzatore file di registro selezionare il registro da esaminare. 4 Al termine, selezionare un altro registro o fare clic su File > Esci per chiudere la finestra. I registri vengono aggiornati automaticamente quando si passa da un registro all'altro. Per visualizzare gli eventi di rete che si sono verificati dopo l'apertura del Visualizzatore file di registro, è possibile aggiornare manualmente tutti i registri o un singolo registro. Aggiornare i registri È possibile aggiornare tutti i registri contemporaneamente o singolarmente.