Guida di valutazione di Symantec Endpoint Protection

Transcript

1 Guida di valutazione di Symantec Endpoint Protection

2 Guida di valutazione di Symantec Endpoint Protection Il software descritto nel presente manuale viene fornito in conformità con un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Versione della documentazione Note legali Copyright 2008 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton e TruScan sono marchi o marchi registrati di Symantec Corporation o delle relative consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi commerciali dei rispettivi proprietari. Questo prodotto Symantec può contenere software di terze parti di cui Symantec ha l'obbligo di rendere nota l'appartenenza ("Programmi di terze parti"). Alcuni programmi di terze parti sono disponibili con licenza di tipo open source o freeware. Il contratto di licenza di questo software non altera i diritti o gli obblighi stabiliti dalle licenze dei software open source o freeware. Per ulteriori informazioni sui programmi di terze parti, consultare l'appendice sulle note legali relative a terze parti contenute nella presente documentazione o il file TPIP Readme contenuto nel prodotto Symantec. Il prodotto descritto nel presente documento è distribuito in base alle condizioni di una licenza che ne limita l'utilizzo, la copia, la distribuzione e la decompilazione/decodificazione. È vietato riprodurre qualsiasi parte di questo documento tramite qualsiasi mezzo senza previo consenso scritto di Symantec Corporation e dei suoi eventuali concessori di licenza. LA DOCUMENTAZIONE È FORNITA "TAL QUALE" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, ASSICURAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UN PARTICOLARE SCOPO E INVIOLABILITÀ, SONO ESCLUSE, SALVO PER LE CLAUSOLE VESSATORIE. SYMANTEC CORPORATION NON SARÀ RESPONSABILE DI ALCUN TIPO DI DANNO INCIDENTALE O CONSEQUENZIALE COLLEGATO ALLA CONSEGNA, ALLE PRESTAZIONI O ALL'UTILIZZO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NELLA PRESENTE DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO. Il software fornito in licenza e la documentazione sono da ritenersi un software commerciale per computer come definito in FAR e soggetti a diritti limitati, come definito nella sezione FAR "Commercial Computer Software - Restricted Rights" e DFARS , "Rights in Commercial Computer Software or Commercial Computer Software Documentation", ove applicabile, e ogni regolamentazione successiva. Ogni utilizzo, modifica, versione per la riproduzione, prestazione, visualizzazione o divulgazione del software fornito in licenza e della documentazione da parte del governo degli Stati Uniti dovranno essere conformi ai termini del presente accordo.

3 Symantec Corporation Stevens Creek Blvd. Cupertino, CA 95014, Stati Uniti d'america. Realizzato in Irlanda

4 Soluzioni di servizio e supporto Registrazione e licenze Aggiornamenti della protezione Symantec desidera fornire un servizio di alto livello in tutto il mondo con l'obiettivo di fornire assistenza professionale nell'utilizzo del software e dei servizi ovunque si trovi l'utente. Le soluzioni di supporto tecnico e servizio clienti variano da paese a paese. In caso di domande sui servizi descritti qui di seguito, consultare Servizio e supporto nel mondo alla fine di questo capitolo. Se il prodotto da implementare richiede la registrazione e/o una chiave di licenza, il modo più semplice e veloce di procedere è di accedere al nostro sito di registrazione e gestione delle licenze all indirizzo In alternativa è possibile accedere all indirizzo selezionare il prodotto da registrare e dalla pagina iniziale dei prodotti selezionare il collegamento Licenze d'uso e registrazione. Se è stato acquistato un abbonamento al supporto, si ha diritto di ricevere assistenza tecnica da Symantec per telefono e via Internet. Quando si contatta il supporto per la prima volta tenere a disposizione il numero di licenza presente sul certificato di licenza o l ID di contatto generato attraverso la registrazione al supporto per consentire di verificare il diritto di richiedere assistenza. Se non è stato acquistato un abbonamento al supporto, contattare il proprio rivenditore o il servizio clienti di Symantec per ottenere dettagli sull acquisto di opzioni di supporto tecnico da Symantec. Per ottenere le informazioni più recenti sulle minacce virali e alla sicurezza, accedere al sito Web di Symantec Security Response (noto in passato come Antivirus Research Center) all indirizzo: Il sito contiene esaurienti informazioni on-line sulle minacce virali e alla sicurezza oltre alle più recenti definizioni dei virus. Le definizioni dei virus possono anche essere scaricate utilizzando la funzione LiveUpdate disponibile nel prodotto. Rinnovi dell abbonamento all aggiornamento antivirus L acquisto dell opzione di manutenzione con il prodotto dà diritto a scaricare gratuitamente le definizioni dei virus per tutta la durata del contratto. Se il contratto di manutenzione è scaduto, contattare il proprio rivenditore o il servizio clienti di Symantec per ottenere informazioni sul rinnovo.

5 Siti Web di Symantec: Pagina iniziale di Symantec (per lingua): Inglese: Francese: Italiano: Olandese: Portoghese: Spagnolo: Tedesco: Symantec Security Response: Pagina Servizio e supporto enterprise Symantec: Bollettini informativi su specifici prodotti: Inglese/Stati Uniti, Asia Pacifico: Inglese/Europa, Medio Oriente - Africa: Francese: Italiano: Tedesco: Inglese/America Latina:

6 Supporto tecnico In quanto parte del Symantec Security Response, il nostro gruppo di supporto tecnico globale gestisce centri di supporto sparsi in tutto il mondo. Il nostro ruolo principale è di rispondere a quesiti specifici relativi a caratteristiche/funzioni, installazione e configurazione dei prodotti, oltre a produrre materiale per la nostra sezione Knowledge Base accessibile sul Web. Per rispondere tempestivamente alle richieste degli utenti collaboriamo anche con altre aree funzionali all interno di Symantec. Ad esempio, lavoriamo con il settore dell ingegnerizzazione dei prodotti e con i nostri Security Research Center per fornire servizi di avviso e aggiornamenti delle definizioni dei virus volti a combattere epidemie virali e allarmi correlati alla sicurezza. I punti salienti della nostra offerta comprendono: Una gamma di opzioni di supporto che fornisce la flessibilità di scegliere il giusto livello di servizio per organizzazioni di qualsiasi dimensione Componenti di supporto telefonico e via Web che forniscono risposte rapide e informazioni aggiornate Gli aggiornamenti dei prodotti garantiscono l aggiornamento software automatico della protezione Gli aggiornamenti dei contenuti per le definizioni dei virus e i profili di sicurezza assicurano il più alto livello di protezione Il supporto globale degli esperti del Symantec Security Response è disponibile ininterrottamente in tutto il mondo e in numerose lingue Funzioni avanzate come il Symantec Alerting Service e il ruolo di responsabile account tecnico offrono una migliore risposta un supporto attivo sulla sicurezza Per ottenere informazioni aggiornate sui nostri programmi di supporto è possibile fare riferimento al nostro sito Web. Contatto del supporto I clienti che dispongono di un contratto di supporto possono contattare il team del supporto tecnico telefonicamente o sul Web accedendo al seguente indirizzo URL o utilizzando i siti di supporto regionali riportati nel presente documento. Quando si contatta il supporto è importante avere a disposizione le seguenti informazioni. Livello di release del prodotto Informazioni sull hardware Memoria disponibile, spazio su disco, informazioni sulla scheda di rete Sistema operativo

7 Versione e livello di patch Topologia della rete Informazioni su router, gateway e indirizzi IP Descrizione del problema Messaggi di errore/file di registro Diagnosi eseguita prima di contattare Symantec Modifiche recenti alla configurazione del software e/o della rete. Servizio clienti Il centro del servizio clienti di Symantec può fornire assistenza con domande non tecniche comprendenti: Informazioni generali sui prodotti (ad esempio, funzionalità, disponibilità di versioni nazionali, rivenditori in loco, ecc.) Informazioni di base sulla diagnosi dei problemi, quali il controllo del numero di versione del prodotto Informazioni aggiornate sugli aggiornamenti e gli upgrade dei prodotti Modalità di aggiornamento/upgrade dei prodotti Modalità di registrazione del prodotti e/o delle licenze Informazioni sui programmi di licenze d'uso di Symantec Informazioni sui contratti di assicurazione di aggiornamento e manutenzione Sostituzione di CD e manuali Aggiornamento della registrazione del prodotto in seguito al cambio di indirizzo o di nome Consigli sulle opzioni di supporto tecnico di Symantec Informazioni complete sul servizio clienti sono disponibili sul sito Web Servizio e supporto di Symantec e possono anche essere ottenute telefonando al servizio clienti di Symantec. Per informazioni su come contattare il servizio clienti e sugli indirizzi Web fare riferimento a Servizio e supporto nel mondo alla fine di questo capitolo. Informazioni di contatto del servizio e supporto nel mondo Europa, Medio Oriente, Africa e America Latina Siti Web Supporto tecnico di Symantec

8 Inglese: Francese: Italiano: Olandese: Portoghese: Spagnolo: Tedesco: FTP Symantec : ftp.symantec.com (Scaricamento di note tecniche e patch aggiornate) Visitare la sezione Servizio e supporto di Symantec sul Web per trovare informazioni tecniche e generali sui prodotti. Symantec Security Response : Bollettini informativi su specifici prodotti: Inglese/Stati Uniti: Inglese/Europa, Medio Oriente - Africa: Francese: Italiano: Tedesco: Inglese/America Latina:

9 Servizio clienti Symantec Fornisce informazioni non tecniche e consulenza telefonica nelle seguenti lingue: inglese, tedesco, francese e italiano. Austria + (43) Belgio + (32) Danimarca + (45) Spagna + (34) Finlandia + (358) Francia + (33) Germania + (49) Irlanda + (353) Italia + (39) Lussemburgo + (352) Olanda + (31) Norvegia + (47) Sud Africa + (27) Svezia + (46) Svizzera + (41) Regno Unito + (44)

10 Altri paesi + (353) (Solo in lingua inglese) Servizio clienti Symantec - Indirizzo per la corrispondenza ordinaria Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irlanda Per America Latina Symantec fornisce supporto tecnico e servizio clienti in tutto il mondo. I servizi variano a seconda del paese e comprendono partner internazionali che rappresentano Symantec nelle regioni in cui non è presente una filiale. Per informazioni generali, contattare l'ufficio del servizio e supporto Symantec relativo alla propria regione. ARGENTINA Pte. Roque Saenz Peña Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentina Numero principale: +54 (11) Sito Web: Supporto Gold: VENEZUELA Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Numero principale: +58 (212) Sito Web: Supporto Gold:

11 COLOMBIA Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Numero principale: +57 (1) Sito Web: Supporto Gold: BRASILE Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, andar São Paulo - SP CEP: Brasil, SA Numero principale: +55 (11) Fax: +55 (11) Sito Web: Supporto Gold: CHILE Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Numero principale: +56 (2) Sito Web: Supporto Gold: MESSICO Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexico Numero principale: +52 (55) Sito Web: Supporto Gold:

12 RESTO DELL AMERICA LATINA 9155 South Dadeland Blvd. Suite 1100, Miami, FL U.S.A Sito Web: Supporto Gold: Costa Rica: Panama: Puerto Rico: Per Asia Pacifico Symantec fornisce supporto tecnico e servizio clienti in tutto il mondo. I servizi variano a seconda del paese e comprendono partner internazionali che rappresentano Symantec nelle regioni in cui non è presente una filiale. Per informazioni generali, contattare l'ufficio del servizio e supporto Symantec relativo alla propria regione. Uffici di servizio e supporto AUSTRALIA CINA Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australia Numero principale: Fax: Sito Web: Supporto Gold: gold.au@symantec.com Amministratore contratti di supporto: contractsadmin@symantec.com Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing Cina P.R.C. Numero principale:

13 Supporto tecnico: Fax: Sito Web: HONG KONG Symantec Hong Kong Central Plaza Suite # th Floor, 18 Harbour Road Wanchai Hong Kong Numero principale: Supporto tecnico: Fax: Sito Web: INDIA Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai , India Numero principale: Supporto tecnico: Fax: Sito Web: COREA Symantec Korea 15,16th Floor Dukmyung B/D Samsung-Dong KangNam-Gu Seoul Corea del Sud Numero principale: Supporto tecnico: Fax: Sito Web:

14 MALESIA Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A Petaling Jaya Selangor Darul Ehsan Malesia Numero principale: Supporto tecnico: enterprise: Numero verde enterprise: Sito Web: NUOVA ZELANDA Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nuova Zelanda Numero principale: Fax: Sito Web de support: Supporto Gold: gold.nz@symantec.com Amministratore contratti di supporto: contractsadmin@symantec.com SINGAPORE Symantec Singapore 6 Battery Road #22-01/02/03 Singapore Numero principale: Fax: Supporto tecnico: Sito Web:

15 TAIWAN Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwan Numero principale: Corporate Support: Fax: Supporto Gold: gold.nz@symantec.com Sito Web: È stato fatto ogni sforzo possibile per garantire l'accuratezza di questo documento. Tuttavia, le informazioni qui contenute sono soggette a modifica senza preavviso. Symantec Corporation si riserva il diritto di apportare tali modifiche senza preavviso.

16

17 Sommario Soluzioni di servizio e supporto... 4 Capitolo 1 Presentazione di Symantec Endpoint Protection Introduzione a Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection Informazioni sulla protezione della rete dalle minacce Informazioni sulla protezione proattiva dalle minacce Informazioni su Protezione antivirus e antispyware Informazioni su Symantec Capitolo 2 Installazione di Symantec Endpoint Protection Requisiti dell'installazione di sistema Symantec Endpoint Protection Manager, console e database Symantec Endpoint Protection Manager e console Console di Symantec Endpoint Protection Symantec Endpoint Protection Informazioni generali sulla procedura di installazione Informazioni sui firewall e sulle porte di comunicazione del desktop Installazione e configurazione di Symantec Endpoint Protection Manager Installazione di Symantec Endpoint Protection Manager con un database integrato Installazione di Symantec Endpoint Protection Manager con un database Microsoft SQL Accesso alla console di Symantec Endpoint Protection Manager Capitolo 3 Configurazione del prodotto dopo l'installazione Impostazione della struttura organizzativa e aggiornamento del contenuto Aggiunta di un gruppo... 56

18 18 Sommario Informazioni sull'importazione della struttura organizzativa Aggiunta di client come utenti o computer Aggiunta di una posizione con una procedura guidata Aggiunta di un account amministratore Informazioni sulle politiche di LiveUpdate Configurazione di una politica delle impostazioni di LiveUpdate Configurazione di una politica del contenuto di LiveUpdate Capitolo 4 Creazione delle politiche Informazioni sulle politiche Valutazione delle politiche Aggiunta di una politica condivisa Assegnazione di una politica condivisa Aggiornamento manuale del file della politica Verifica dell'avvenuto aggiornamento delle politiche Impostazione e prova di una politica antivirus e antispyware Informazioni sulle politiche antivirus e antispyware Informazioni sulle politiche antivirus e antispyware preconfigurate Aggiunta di scansioni pianificate a una politica antivirus e antispyware Configurazione di azioni per la rilevazione di virus e rischi per la sicurezza noti Informazioni sui messaggi di notifica nei computer infetti Personalizzazione e visualizzazione delle notifiche nei computer infetti Verifica del funzionamento della politica antivirus e antispyware Informazioni sulle scansioni proattive delle minacce TruScan Informazioni sull'utilizzo delle impostazioni predefinite di Symantec Informazioni sui processi rilevati tramite le scansioni proattive delle minacce TruScan Informazioni sulla gestione dei falsi positivi rilevati dalle scansioni proattive delle minacce TruScan Informazioni sui processi ignorati dalle scansioni proattive delle minacce TruScan Informazioni sulle rilevazioni proattive delle minacce TruScan Impostazione e prova di una politica del firewall Informazioni sulle regole firewall... 94

19 Sommario 19 Creazione di una politica del firewall per consentire o bloccare un'applicazione Prova della politica del firewall Impostazione e prova di una libreria IPS personalizzata Informazioni sulle firme IPS personalizzate Informazioni sulla creazione di firme IPS personalizzate per rilevare i tentativi di scaricare file MP Creazione di firme IPS personalizzate Prova della firma IPS personalizzata Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Attivare un insieme predefinito di regole di controllo delle applicazioni Creare un nuovo set di regole di controllo delle applicazioni e aggiungere una nuova regola all'insieme Informazioni sul controllo delle periferiche Informazioni sulle periferiche hardware Ottenimento dell'id classe o dell'id periferica Aggiunta di una periferica hardware all'elenco Periferiche hardware Configurare il controllo dell'applicazione per una Politica di controllo delle applicazioni e delle periferiche Capitolo 5 Capitolo 6 Creazione dei pacchetti di installazione del client Creazione dei pacchetti di installazione del client Informazioni sui pacchetti di installazione del client Configurazione delle caratteristiche dei pacchetti di installazione Configurazione delle impostazioni pacchetto di installazione client Esportazione dei pacchetti di installazione client Distribuzione di software client con la Distribuzione remota guidata Configurazione dell'integrità degli host per la conformità degli endpoint Impostazione e prova di una Politica di integrità dell'host Aggiungere i Requisiti di integrità degli host Aggiunta di un requisito predefinito del firewall Aggiunta di un requisito personalizzato che controlla se il computer client esegue un pacchetto di software antivirus

20 20 Sommario Verifica del funzionamento di una Politica di integrità dell'host Controllo di integrità dell'host Visualizzazione dei registri di Network Access Control Configurare l'autenticazione peer-to-peer Capitolo 7 Uso dei registri e dei report per monitorare la sicurezza Informazioni sui registri e i report Informazioni sulla home page di Symantec Endpoint Protection Informazioni sui registri Tipi, contenuto e comandi dei registri Visualizzazione dei registri Visualizzazione dei dettagli degli eventi nei registri Visualizzazione dei registri da altri siti Esecuzione di comandi e azioni dai registri Uso delle le notifiche Visualizzazione e filtro delle informazioni di dell'amministratore Linee di guida di soglia per le notifiche dell'amministratore Creazione delle notifiche dell'amministratore Informazioni sulla modifica delle notifiche attuali Creazione di report rapidi

21 Capitolo 1 Presentazione di Symantec Endpoint Protection Il capitolo contiene i seguenti argomenti: Introduzione a Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection Informazioni su Symantec Introduzione a Symantec Endpoint Protection Symantec Endpoint Protection fornisce una singola soluzione di sicurezza integrata che protegge contro gli attacchi sofisticati che eludono le misure di sicurezza tradizionali. Symantec Endpoint Protection protegge dinamicamente gli endpoint dalle minacce conosciute e sconosciute unendo la tecnologia antivirus alla prevenzione avanzata delle minacce. In una singola unità, gestita da una singola console, contiene le seguenti tecnologie di sicurezza essenziali: Antivirus e antispyware Firewall del desktop Sistema di prevenzione delle intrusioni (IPS) Controllo delle applicazioni e controllo delle periferiche Offre una protezione comprovata di livello mondiale in un singolo pacchetto per ridurre le spese generali, i tempi e i costi. Le aziende possono gestire efficientemente la protezione ed essere sicure che le loro risorse e la loro azienda sono protette. Symantec Endpoint Protection offre i seguenti vantaggi:

22 22 Presentazione di Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection Fornisce una migliore protezione a livello del client. Le tecnologie di sicurezza integrate forniscono la migliore protezione per tutti i client di una rete aziendale che include utenti remoti e computer portatili. Facilita la gestione. Più componenti di sicurezza sono gestiti centralmente. La gestione centrale fornisce agli amministratori una visione completa della sicurezza dei client e facilita la gestione generale della sicurezza. Una soluzione integrata con gestione e interventi centralizzati consente di avere una visione più completa dei client. Questa soluzione consente di rispondere rapidamente alle epidemie richiamando e distribuendo gli aggiornamenti integrati da una console di gestione centralizzata. Consente tempi di risposta più rapidi. La gestione centrale di strumenti integrati di antivirus e antispyware, firewall e prevenzione delle intrusioni dà agli amministratori la capacità di rispondere rapidamente a svariati tipi di minacce alla sicurezza. Riduce i costi del supporto. Tutti i componenti della sicurezza a livello del client provengono da un singolo fornitore. Questa soluzione è meno costosa della gestione di numerosi prodotti per la sicurezza di vari fornitori. Poiché tutti i componenti provengono da un unico fornitore e possono essere installati, aggiornati e analizzati dalla stessa posizione, Symantec Endpoint Protection elimina i problemi di interoperabilità tra fornitori diversi. Symantec Endpoint Protection è disponibile attraverso la rete Symantec di rivenditori aziendali e di distributori nazionali. Informazioni su Symantec Endpoint Protection Symantec Endpoint Protection protegge le periferiche di elaborazione endpoint dai virus, dalle minacce e dai rischi e fornisce tre livelli di protezione alle periferiche di elaborazione endpoint. I livelli sono Protezione dalle minacce di rete, Protezione proattiva contro le minacce e Protezione antivirus e antispyware.

23 Presentazione di Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection 23 Figura 1-1 Livelli di protezione Protezione della rete dalle minacce Protezione proattiva dalle minacce Protezione antivirus e antispyware La protezione dalle minacce di rete blocca le minacce che tentano di accedere al computer usando le regole e le firme. La protezione proattiva contro le minacce identifica e controlla le minacce in base al comportamento della minaccia. La protezione antivirus e antispyware identifica e controlla le minacce che tentano di accedere o si trovano già sui computer con firme create da Symantec. Informazioni sulla protezione della rete dalle minacce La protezione della rete dalle minacce è costituita da software firewall e di prevenzione delle intrusioni che protegge le periferiche di elaborazione endpoint. Il firewall supporta regole che sono scritte sia per porte specifiche che per applicazioni specifiche e utilizza il processo di stateful inspection per tutto il traffico di rete. Di conseguenza, per tutto il traffico di rete che ha origine nei client è sufficiente creare soltanto una regola in uscita per supportare tale traffico. Il processo stateful inspection autorizza automaticamente il traffico di ritorno che risponde al traffico in uscita. Il firewall supporta integralmente TCP, UDP, ICMP e tutti i protocolli IP quali ICMP e RSVP. Il firewall supporta inoltre i protocolli Ethernet e Token Ring e può bloccare i driver di protocollo quali VMware e WinPcap. Il firewall può riconoscere automaticamente il traffico legittimo DNS, DHCP e WINS, pertanto è possibile selezionare una casella di controllo per consentire questo traffico senza scrivere regole. Nota: Symantec suppone che le regole firewall vengano create in modo tale per cui tutto il traffico che non è consentito viene rifiutato. Il firewall non supporta IPv6.

24 24 Presentazione di Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection Il motore di prevenzione delle intrusioni supporta la verifica delle scansioni delle porte e degli attacchi denial-of-service e protegge dagli attacchi di overflow del buffer. Questo motore supporta anche il blocco automatico del traffico nocivo dai computer infetti. Il motore di rilevazione delle intrusioni supporta l'ispezione dei pacchetti profonda, espressioni regolari e consente di creare firme personalizzate. Informazioni sulla protezione proattiva dalle minacce La protezione proattiva dalle minacce identifica le minacce, quali i worm, i virus, i Trojan horse e i programmi che registrano le sequenze dei tasti sulla base del comportamento dei processi sul computer. Le scansioni proattive delle minacce TruScan identificano queste minacce in base alle loro azioni e caratteristiche, non con le firme di sicurezza tradizionali. Le scansioni proattive delle minacce analizzano il comportamento della minaccia sulla base di centinaia di moduli di rilevazione per determinare se i processi attivi sono sicuri o nocivi. Questa tecnologia può immediatamente rilevare e controllare le minacce sconosciute in base al loro comportamento, senza firme o patch tradizionali. Nei sistemi operativi a 32 bit supportati, la protezione proattiva dalle minacce consente anche di controllare l'accesso in lettura, scrittura ed esecuzione alle periferiche hardware, ai file ed alle chiavi di registro. Se necessario, è possibile affinare il controllo per sistemi operativi specifici supportati. È anche possibile bloccare le periferiche per ID classe, ad esempio USB, Bluetooth, infrarossi, FireWire, seriale, parallelo, SCSI e PCMCIA. Informazioni su Protezione antivirus e antispyware Protezione antivirus e antispyware impedisce le infezioni sui computer, sottoponendo a scansione il settore di avvio, la memoria ed i file alla ricerca di virus, spyware e rischi per la sicurezza. La protezione dalle minacce antivirus e antispyware utilizza le firme per i virus e i rischi per la sicurezza disponibili nei file delle definizioni dei virus. Questa protezione protegge anche i computer bloccando i rischi per la sicurezza prima che si installino, se questa azione non lascia il computer in uno stato instabile. Protezione antivirus e antispyware include Auto-Protect, che rileva virus e rischi per la sicurezza quando cercano accedere alla memoria o di effettuare l'autoinstallazione. Auto-Protect rileva inoltre rischi per la sicurezza quali l'adware e lo spyware. Quando trova rischi per la sicurezza, mette in quarantena i file infetti o rimuove e ripara gli effetti secondari dei rischi per la sicurezza. È anche possibile disattivare la scansione dei rischi per la sicurezza in Auto-Protect. Auto-Protect può riparare i rischi complessi, quali i rischi occulti in modalità utente (rootkit), e i rischi per la sicurezza persistenti che sono difficili da rimuovere o che si reinstallano.

25 Presentazione di Symantec Endpoint Protection Informazioni su Symantec 25 La Protezione antivirus e antispyware include anche la scansione da parte di Auto-Protect dei programmi di Internet, con monitoraggio di tutto il traffico SMTP e POP3. È possibile configurare la protezione dalle minacce antivirus e antispyware in modo da sottoporre a scansione i messaggi in arrivo per le minacce e i rischi per la sicurezza, nonché i messaggi in uscita per elementi di euristica noti. La scansione dei messaggi in uscita consente di impedire la diffusione di minacce quali i worm, che possono utilizzare i client per moltiplicarsi e trasmettersi in una rete. Nota: l'installazione di Auto-Protect per i programmi di Internet basati su Web è bloccata automaticamente sui sistemi operativi basati su server. Per esempio, non è possibile installare questa funzione su Windows Server Informazioni su Symantec Il Symantec è un leader mondiale nel campo del software per infrastrutture. Symantec consente ad aziende e consumatori di operare con fiducia in un mondo altamente connesso. La società offre ai suoi clienti strumenti per proteggere infrastrutture, informazioni e scambi tramite software e servizi atti ad affrontare i rischi per sicurezza, disponibilità, conformità e prestazioni. Con sede a Cupertino in California, Symantec ha attività in più di 40 paesi. Maggiori informazioni sono disponibili al seguente URL:

26 26 Presentazione di Symantec Endpoint Protection Informazioni su Symantec

27 Capitolo 2 Installazione di Symantec Endpoint Protection Il capitolo contiene i seguenti argomenti: Requisiti dell'installazione di sistema Informazioni generali sulla procedura di installazione Informazioni sui firewall e sulle porte di comunicazione del desktop Installazione e configurazione di Symantec Endpoint Protection Manager Accesso alla console di Symantec Endpoint Protection Manager Requisiti dell'installazione di sistema Il software Symantec richiede protocolli, sistemi operativi, service pack, software e hardware specifici. Tutti i computer in cui si installa il software Symantec devono soddisfare o superare i requisiti consigliati per il sistema operativo utilizzato. Nota: L'installazione da o in directory con nomi contenenti caratteri a doppio byte non è supportata. Symantec Endpoint Protection Manager, console e database In Tabella 2-1 sono elencati i requisiti minimi dei computer in cui installare Symantec Endpoint Protection Manager, la console e il database.

28 28 Installazione di Symantec Endpoint Protection Requisiti dell'installazione di sistema Componente Tabella 2-1 a 32 bit Symantec Endpoint Protection Manager, console e database a 64 bit Processore 1 GHz Intel Pentium III 1 GHz nei sistemi x64 funziona soltanto con i seguenti processori: Intel Xeon con supporto di Intel EM64T Intel Pentium IV con supporto EM64T AMD Opteron a 64 bit AMD Athlon a 64 bit Nota: Itanium non è supportato. Sistema operativo I seguenti sistemi operativi sono supportati: Sono supportati i seguenti sistemi operativi: Windows 2000 Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o versione successiva Windows XP Professional con Service Pack 1 o successivo Nota: Windows XP supporta un numero limitato di utenti simultanei se i client sono in modalità "push". Utilizzare la modalità "pull" con i server Windows XP per un massimo di 100 client. Per ulteriori informazioni, cercare Symantec Endpoint Protection Manager 11.x communication troubleshooting (Risoluzione dei problemi di comunicazione di Symantec Endpoint Protection Manager 11.x) sul sito Web del supporto tecnico di Symantec all'indirizzo. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition/Small Business Server Windows XP Professional x64 Edition con Service Pack 1 o versione successiva Windows Server 2003 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition con Service Pack 1 o versione successiva Windows Compute Cluster Server 2003 Windows Storage Server 2003 Nota: Se si utilizza Microsoft Clustering Services per il server Symantec Endpoint Protection Manager, è necessario installare Symantec Endpoint Protection Manager sul volume locale. Memoria Disco rigido Video Almeno 1 GB di RAM (2-4 GB consigliati) 4 GB per il server e altri 4 GB per il database Super VGA (1.024x768) o scheda video e monitor a risoluzione più alta Almeno 1 GB di RAM (2-4 GB consigliati) 4 GB per il server e altri 4 GB per il database Super VGA (1.024x768) o scheda video e monitor a risoluzione più alta

29 Installazione di Symantec Endpoint Protection Requisiti dell'installazione di sistema 29 Componente Database a 32 bit Symantec Endpoint Protection Manager comprende un database integrato. È inoltre possibile scegliere di utilizzare una delle seguenti versioni di Microsoft SQL Server: Microsoft SQL Server 2000 con Service Pack 3 o versione successiva Microsoft SQL Server 2005 Nota: Microsoft SQL Server è facoltativo. a 64 bit Symantec Endpoint Protection Manager comprende un database integrato. È inoltre possibile scegliere di utilizzare una delle seguenti versioni di Microsoft SQL Server: Microsoft SQL Server 2000 con Service Pack 3 o versione successiva Microsoft SQL Server 2005 Nota: Microsoft SQL Server è facoltativo. Altri requisiti È necessario soddisfare anche i requisiti seguenti: È necessario soddisfare anche i requisiti seguenti: Internet Information Services 5.0 o versione successiva, con i servizi World Wide Web attivati Internet Explorer 6.0 o versione successiva Internet Information Services 5.0 o versione successiva, con i servizi World Wide Web attivati Internet Explorer 6.0 o versione successiva Indirizzo IP statico (consigliato) Indirizzo IP statico (consigliato) Symantec Endpoint Protection Manager e console In Tabella 2-2 sono elencati i requisiti minimi dei computer in cui installare Symantec Endpoint Protection Manager e la relativa console. Componente Tabella 2-2 a 32 bit Symantec Endpoint Protection Manager e console a 64 bit Processore Intel Pentium III da 1 GHz 1 GHz nei sistemi x64 funziona soltanto con i seguenti processori: Intel Xeon con supporto di Intel EM64T Intel Pentium IV con supporto EM64T AMD Opteron a 64 bit AMD Athlon a 64 bit Nota: Itanium non è supportato.

30 30 Installazione di Symantec Endpoint Protection Requisiti dell'installazione di sistema Componente Sistema operativo a 32 bit I seguenti sistemi operativi sono supportati: a 64 bit Sono supportati i seguenti sistemi operativi: Windows 2000 Server/Advanced Server/Datacenter Server con Service Pack 3 o versione successiva Windows XP Professional con Service Pack 1 o successivo Nota: Windows XP supporta un numero limitato di utenti simultanei se i client sono in modalità "push". Utilizzare la modalità "pull" con i server Windows XP per un massimo di 100 client. Per ulteriori informazioni, cercare Symantec Endpoint Protection Manager 11.x communication troubleshooting (Risoluzione dei problemi di comunicazione di Symantec Endpoint Protection Manager 11.x) sul sito Web del supporto tecnico di Symantec all'indirizzo. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows XP Professional x64 Edition con Service Pack 1 o versione successiva Windows Server 2003 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition con Service Pack 1 o versione successiva Windows Compute Cluster Server 2003 Windows Storage Server 2003 Nota: Se si utilizza Microsoft Clustering Services per il server Symantec Endpoint Protection Manager, è necessario installare il server SEPM sul volume locale. Memoria Disco rigido Video Altri requisiti Almeno 1 GB di RAM (2 GB consigliati) 2 GB (4 GB consigliati) Super VGA (1.024x768) o scheda video e monitor a risoluzione più alta È necessario soddisfare anche i requisiti seguenti: 1 GB di RAM (2 GB consigliati) 2 GB (4 GB consigliati) Super VGA (1.024x768) o scheda video e monitor a risoluzione più alta È necessario soddisfare anche i requisiti seguenti: Internet Information Services 5.0 o versione successiva, con i servizi World Wide Web attivati Internet Explorer 6.0 o versione successiva Internet Information Services 5.0 o versione successiva, con i servizi World Wide Web attivati Internet Explorer 6.0 o versione successiva Indirizzo IP statico (consigliato) Indirizzo IP statico (consigliato) Console di Symantec Endpoint Protection In Tabella 2-3 sono elencati i requisiti minimi dei computer in cui installare la console di Symantec Endpoint Protection.

31 Installazione di Symantec Endpoint Protection Requisiti dell'installazione di sistema 31 Componente Tabella 2-3 a 32 bit Console di Symantec Endpoint Protection a 64 bit Processore Intel Pentium III da 1 GHz 1 GHz nei sistemi x64 funziona soltanto con i seguenti processori: Intel Xeon con supporto di Intel EM64T Intel Pentium IV con supporto EM64T AMD Opteron a 64 bit AMD Athlon a 64 bit Nota: Itanium non è supportato. Sistema operativo I seguenti sistemi operativi sono supportati: Sono supportati i seguenti sistemi operativi: Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o versione successiva Windows XP Professional con Service Pack 1 o successivo Nota: Windows XP supporta un numero limitato di utenti simultanei se i client sono in modalità "push". Utilizzare la modalità "pull" con i server Windows XP per un massimo di 100 client. Per ulteriori informazioni, cercare Symantec Endpoint Protection Manager 11.x communication troubleshooting (Risoluzione dei problemi di comunicazione di Symantec Endpoint Protection Manager 11.x) sul sito Web del supporto tecnico di Symantec all'indirizzo. Windows XP Professional x64 Edition con Service Pack 1 o versione successiva Windows Server 2003 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition con Service Pack 1 o versione successiva Windows Compute Cluster Server 2003 Windows Storage Server 2003 Windows Vista (x64) Nota: Se si utilizza Microsoft Clustering Services per il server Symantec Endpoint Protection Manager, è necessario installare il server Symantec Endpoint Protection Manager sul volume locale. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86) Memoria Disco rigido Video 512 MB di RAM (1 GB consigliato) 15 MB Super VGA (1.024x768) o scheda video e monitor a risoluzione più alta 512 MB di RAM (1 GB consigliato) 15 MB Super VGA (1.024x768) o scheda video e monitor a risoluzione più alta Browser Internet Explorer 6.0 o successivo Internet Explorer 6.0 o versione successiva

32 32 Installazione di Symantec Endpoint Protection Requisiti dell'installazione di sistema Symantec Endpoint Protection In Tabella 2-4 sono elencati i requisiti minimi dei computer in cui installare Symantec Endpoint Protection. Componente Tabella 2-4 a 32 bit Symantec Endpoint Protection a 64 bit Processore 400 MHz Intel Pentium III (1 gigahertz per Windows Vista) 1 gigahertz su x64 soltanto con i seguenti processori: Intel Xeon con supporto di Intel EM64T Intel Pentium IV con supporto EM64T AMD Opteron a 64 bit AMD Athlon a 64 bit Nota: Itanium non è supportato. Sistema operativo I seguenti sistemi operativi sono supportati: Sono supportati i seguenti sistemi operativi: Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server con Service Pack 3 o versione successiva Windows XP Home Edition/Professional Edition/Tablet PC Edition/Media Center Edition Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition Windows XP Professional x64 Edition Windows Server 2003 x64 Edition Windows Compute Cluster Server 2003 Windows Storage Server 2003 Windows Vista Home Basic x64 Edition/Home Premium x64 Edition/Business x64 Edition/Enterprise x64 Edition/Ultimate x64 Edition Windows Server 2008 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition/Web x64 Edition (Core e Full) Nota: Se si utilizza Microsoft Clustering Services, è necessario installare il client sul volume locale. Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (Core e Full) Memoria Disco rigido Video 256 MB di RAM 600 MB Super VGA (1.024x768) o scheda video e monitor a più alta risoluzione 256 MB di RAM 700 MB Super VGA (1.024x768) o scheda video e monitor a più alta risoluzione

33 Installazione di Symantec Endpoint Protection Informazioni generali sulla procedura di installazione 33 Componente Altri requisiti a 32 bit Internet Explorer 6.0 o successivo Per i client Terminal Server che si connettono a un computer in cui è installata la funzionalità di protezione antivirus sono necessari gli ulteriori requisiti seguenti: a 64 bit Internet Explorer 6.0 o versione successiva client Microsoft Terminal Server RDP (Remote Desktop Protocol) Client Citrix Metaframe (ICA) 1.8 o versione successiva se sul Terminal Server è installato il server Citrix Metaframe. Nota: la Distribuzione remota guidata non verifica che Internet Explorer 6.0 o versione successiva sia installato sui computer quando richiesto. Pertanto, se i computer di destinazione non dispongono della versione corretta di Internet Explorer, il processo d'installazione non verrà eseguito e non verrà visualizzata alcuna notifica. Informazioni generali sulla procedura di installazione Nella Guida all'installazione di Symantec Endpoint Protection e Symantec Network Access Control sono contenute informazioni dettagliate su ogni passaggio della procedura di installazione. Tabella 2-5 ricapitola la procedura di installazione di Symantec Endpoint Protection. Tabella 2-5 Informazioni generali sull'installazione Procedura Descrizione Installazione di Symantec Endpoint Protection Manager Selezionare il computer in cui si desidera installare il software e il tipo di database che si desidera utilizzare. Quindi eseguire il programma di installazione dal CD. Il programma per prima cosa installa il software di gestione. Quindi installa e configura il database. Vedere "Installazione e configurazione di Symantec Endpoint Protection Manager" a pagina 37.

34 34 Installazione di Symantec Endpoint Protection Informazioni generali sulla procedura di installazione Procedura Creazione di un pacchetto di installazione client Descrizione Per l'ambiente di prova è possibile creare e installare pacchetti software client predefiniti. Questi client sono assegnati al gruppo temporaneo e utilizzano le politiche predefinite. Se nell'ambiente di produzione vi sono molti computer, si consiglia di creare prima le politiche di sicurezza personalizzate. È possibile quindi creare i pacchetti di installazione client personalizzati prima di eseguire la distribuzione ai client. Al termine della configurazione del database, viene chiesto se si desidera eseguire la migrazione e distribuzione guidate. Questa procedura guidata crea e quindi esegue il push di un pacchetto di installazione software client predefinito. Vedere "Creazione dei pacchetti di installazione del client" a pagina 123. Distribuzione del software client Accesso alla console di Symantec Endpoint Protection Manager Selezione del gruppo nella console Configurazione di LiveUpdate per gli aggiornamenti del sito Configurazione di LiveUpdate per gli aggiornamenti di client Configurazione delle politiche di sicurezza e verifica di Symantec Endpoint Protection Decidere come si desidera distribuire il software client. È possibile distribuire il software client in diversi modi. Il modo più semplice è quello di utilizzare la migrazione e distribuzione guidate dopo avere installato Manager per distribuire la protezione predefinita. In alternativa, è possibile selezionare la migrazione e distribuzione guidate dal menu Start in qualsiasi momento. Per accedere, è possibile utilizzare il menu Start e il nome utente admin, con la password impostata durante l'installazione. Vedere "Accesso alla console di Symantec Endpoint Protection Manager" a pagina 53. Alla pagina Client, il gruppo creato durante l'installazione viene visualizzato sotto Visualizza client. È necessario configurare le proprietà di LiveUpdate per il sito installato. Vedere "Informazioni sulle politiche di LiveUpdate" a pagina 62. Una volta configurato il sito, è necessario configurare una politica delle impostazioni di LiveUpdate e una politica del contenuto di LiveUpdate per i client. Vedere "Informazioni sulle politiche di LiveUpdate" a pagina 62. Si consiglia di configurare e verificare almeno una politica antivirus e antispyware per i client. Si consiglia inoltre di configurare una politica firewall e le politiche per altri tipi di protezione. Vedere "Valutazione delle politiche" a pagina 69.

35 Installazione di Symantec Endpoint Protection Informazioni sui firewall e sulle porte di comunicazione del desktop 35 Informazioni sui firewall e sulle porte di comunicazione del desktop Se server e client eseguono il software del firewall, è necessario aprire determinate porte in modo da consentire la comunicazione fra i server e i client di gestione. In alternativa è possibile autorizzare l'esecuzione dell'applicazione Rtvscan.exe in tutti i computer in modo da inviare e ricevere il traffico attraverso i firewall. Inoltre, gli strumenti per l installazione di client e server remoti richiedono l apertura della porta TCP 139. Nota: i server e i client di gestione utilizzano l'intervallo predefinito di porte TCP temporanee (da 1024 a 65535) per le comunicazioni di rete. L'intervallo di porte temporaneo utilizzato, tuttavia, supera raramente L'intervallo di porte temporaneo è configurabile per la maggior parte dei sistemi operativi. La maggior parte dei firewall impiega il processo stateful inspection quando si applica il filtro al traffico TCP. In questo modo, le risposte TCP in entrata vengono automaticamente autorizzate e reindirizzate al richiedente originale. Non è pertanto necessario aprire esplicitamente le porte TCP temporanee quando si configura il software del firewall. Nella Tabella 2-6 sono elencati i protocolli e le porte di rete richiesti da client e server di gestione per le comunicazioni e le installazioni di rete. Tabella 2-6 Porte necessarie per l'installazione e la comunicazione di server e client Funzione Distribuzione remota guidata Controllo della rete Componente Symantec Endpoint Protection Manager e client di Symantec Endpoint Protection Symantec Endpoint Protection Manager e client di Symantec Endpoint Protection Protocollo e porta TCP 139 e 445 su manager e client UDP 137 e 138 su Manager e client Porte temporanee TCP su server e client TCP 139 e 445 su manager Porte temporanee TCP sui client

36 36 Installazione di Symantec Endpoint Protection Informazioni sui firewall e sulle porte di comunicazione del desktop Funzione Comunicazione del Fornitore di aggiornamenti di gruppo Comunicazione generale Comunicazione generale Comunicazione di replica Installazione della console remota di Symantec Endpoint Protection Manager Comunicazione database esterno Componente Symantec Endpoint Protection Manager e Fornitori di aggiornamenti di gruppo Fornitori di aggiornamenti di gruppo e client Symantec Endpoint Protection Manager e client di Symantec Endpoint Protection Console remote di Symantec Endpoint Protection Manager e Symantec Endpoint Protection Manager Da sito a sito fra due server di database Symantec Endpoint Protection Manager e console remota di Symantec Endpoint Protection Manager Server Microsoft SQL remoti e Symantec Endpoint Protection Manager Protocollo e porta TCP 2967 su tutte le periferiche Nota: questa porta rappresenta l'impostazione predefinita, che può essere modificata. TCP 80 sui Manager Porte temporanee TCP sui client Nota: la porta 80 può anche essere modificata in TCP 443 (HTTPS). TCP 8443 sui Manager Porte temporanee TCP e 9090 sulle console Nota: questo numero di porta è configurabile. TCP 8443 fra due server di database TCP 9090 sui Manager remoti Porte temporanee TCP sulle console remote Nota: questo numero di porta è configurabile. TCP 1433 sui server Microsoft SQL remoti Porte temporanee TCP sui Manager Nota: la porta 1433 è la porta predefinita.

37 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 37 Funzione Comunicazione con Symantec Network Access Control Enforcer Migrazione e distribuzione guidate LiveUpdate Componente Symantec Endpoint Protection Manager ed Enforcer Symantec Endpoint Protection Manager e precedenti server di gestione Symantec Client e server LiveUpdate Protocollo e porta TCP 1812 sui Manager Porte temporanee TCP sui moduli di applicazione Enforcer Nota: I server RADIUS utilizzano anche la porta 1812 e quindi non installare Symantec Endpoint Protection Manager sullo stesso server. Questa porta non è configurabile su Symantec Endpoint Protection Manager. TCP 139, TCP 445, porte temporanee TCP e UDP 137 su manager TCP 139, TCP 445, porte temporanee TCP e UDP 137 sui precedenti server di gestione Symantec Porte temporanee TCP sui client TCP 80 sui server LiveUpdate Installazione e configurazione di Symantec Endpoint Protection Manager La prima installazione del software di gestione viene eseguita in due fasi. Durante la prima parte viene installato Symantec Endpoint Protection Manager. Durante la seconda parte viene installato e configurato il database Symantec Endpoint Protection Manager. Durante la prima fase è possibile accettare tutte le impostazioni predefinite, Nella seconda parte, è necessario selezionare il tipo di configurazione di Symantec Endpoint Protection Manager desiderato, semplice o avanzata, in base al numero di client supportato dal server. La configurazione semplice, destinata a server che supportano meno di 100 client, crea automaticamente un database incorporato e utilizza i valori predefiniti per la maggior parte delle impostazioni con un intervento minimo da parte dell'utente. La configurazione avanzata è destinata agli amministratori di ambienti più estesi e consente di specificare impostazioni proprie dell'ambiente dell'utente.

38 38 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager Nota: Il software di gestione non include Symantec Endpoint Protection o altri software client gestiti. Per installare Symantec Endpoint Protection Manager 1 Inserire il CD di installazione e avviare l'installazione se questa non inizia automaticamente. 2 Nel pannello di benvenuto, effettuare una delle seguenti operazioni: Per installare Symantec Endpoint Protection, fare clic su Installa Symantec Endpoint Protection Manager. Per installare Symantec Network Access Control, fare clic su Installa SymantecNetworkAccessControl e quindi fare clic su InstallaSymantec Endpoint Protection Manager nel pannello successivo. 3 Nella schermata di benvenuto, fare clic su Avanti. 4 Nella schermata Contratto di licenza, selezionare Accetto i termini del contratto di licenza, quindi fare clic su Avanti. 5 Nella schermata Cartella di destinazione, confermare o cambiare la directory di installazione. 6 Eseguire una delle seguenti operazioni: Per consentire l'esecuzione del server Web IIS di Symantec Endpoint Protection Manager con altri server Web in questo computer, selezionare Usa il sito Web predefinito, quindi fare clic su Avanti. Per configurare il server Web IIS di Symantec Endpoint Protection Manager come unico server Web su questo computer, selezionare Crea un sito Web personalizzato, quindi fare clic su Avanti. 7 Nella schermata Pronta per l'installazione, fare clic su Installa. 8 Al termine dell'installazione, quando viene visualizzata la schermata Installazione guidata completata, fare clic su Fine. Attendere finché non viene visualizzata la schermata Configurazione guidata server di gestione. Ciò potrebbe richiedere fino a 15 secondi. Eseguire le operazioni della sezione seguente adatte al tipo di configurazione selezionata, semplice o avanzata.

39 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 39 Per configurare Symantec Endpoint Protection Manager nella modalità semplice 1 Nel pannello Configurazione guidata server di gestione, selezionare Semplice e fare clic su Avanti. Viene eseguito un controllo del sistema per determinare se i requisiti minimi di spazio disponibile sull'unità e di memoria sono soddisfatti. In caso contrario, viene visualizzata una finestra di dialogo per avvertire che con le risorse disponibili le prestazioni del server potrebbero subire un rallentamento. È possibile scegliere di continuare o annullare la configurazione. 2 Specificare e confermare una password di 6 o più caratteri. Se lo si desidera, fornire a un indirizzo . La password specificata è utilizzata per l'account di amministratore di Symantec Endpoint Protection Manager, insieme alla password di crittografia necessaria per le operazioni di recupero di emergenza. Dopo installazione, la password di crittografia rimane invariata anche se la password per l'account di amministratore è cambiata. Prendere nota di questa password quando si installa Symantec Endpoint Protection nell'ambiente di produzione. La password è necessaria per eseguire operazioni di recupero di emergenza e per aggiungere hardware Enforcer aggiuntivo. Symantec Endpoint Protection Manager invia messaggi di notifica e di avvertimento all'indirizzo specificato. 3 Fare clic su Avanti. 4 Nel pannello di riepilogo della configurazione vengono visualizzati i valori utilizzati per installare Symantec Endpoint Protection Manager. È possibile stampare una copia delle impostazioni da conservare per eventuali riferimenti futuri, oppure fare clic su Avanti per avviare l'installazione. Per configurare Symantec Endpoint Protection Manager nella modalità avanzata 1 Nel pannello Configurazione guidata server di gestione, selezionare Avanzata e fare clic su Avanti. 2 Selezionare il numero di client che s'intende gestire utilizzando questo server, quindi fare clic su Avanti. Viene eseguito un controllo del sistema per determinare se i requisiti minimi di spazio disponibile sull'unità e di memoria sono soddisfatti. In caso contrario, viene visualizzata una finestra di dialogo per avvertire che con le risorse disponibili le prestazioni del server potrebbero subire un rallentamento. È possibile scegliere di continuare o annullare la configurazione. 3 Nella schermata Tipo di sito, selezionare Installa il primo sito, quindi fare clic su Avanti.

40 40 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 4 Nella schermata Informazioni sul server, confermare o cambiare i valori predefiniti per le caselle indicate di seguito, quindi fare clic su Avanti: Nome server Porta server Porta della console Web Cartella dati server 5 Nella schermata Nome sito, nella casella Nome sito, immettere il nome del sito, quindi fare clic su Avanti. 6 Nella schermata Password di crittografia, immettere un valore in entrambe le caselle, quindi fare clic su Avanti. Prendere nota di questa password quando si installa Symantec Endpoint Protection nell'ambiente di produzione. La password è necessaria per eseguire operazioni di recupero di emergenza e per aggiungere hardware Enforcer aggiuntivo. 7 Nella schermata Scelta del server del database, selezionare Database integrato, quindi fare clic su Avanti. 8 Nel pannello dell'utente amministratore, nelle caselle Password, digitare una password per l'account dell'amministratore per accedere alla console. Se lo si desidera, fornire a un indirizzo . Symantec Endpoint Protection Manager invia i messaggi di notifica e di avvertimento all'indirizzo specificato. Al termine dell'installazione è possibile scegliere di distribuire il software client tramite Installazione e migrazione guidate. Se non si desidera distribuire il software client in questa fase, consultare il capitolo sull'installazione del client per informazioni dettagliate. Accedere alla console con il nome utente e la password immessi durante questa procedura. 9 Fare clic su Avanti. Installazione di Symantec Endpoint Protection Manager con un database integrato L'installazione con il database integrato è il modo più facile per installare Symantec Endpoint Protection Manager. Il database integrato supporta fino a client. Dopo l'installazione di Symantec Endpoint Protection Manager e dopo aver acquisito familiarità con le attività di amministrazione, è necessario conservare con cura i file di crittografia in caso di necessità di ripristino di emergenza. È

41 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 41 anche necessario annotare la password di crittografia inserita durante la configurazione di Symantec Endpoint Protection Manager. Installazione di Symantec Endpoint Protection Manager con un database Microsoft SQL È possibile installare Symantec Endpoint Protection Manager nello stesso computer che esegue Microsoft SQL Server 2000/2005 e quindi creare un database nel server SQL locale. È anche possibile installare Symantec Endpoint Protection Manager in un computer che non esegue Microsoft SQL Server 2000/2005 e quindi creare un database nel server SQL remoto. In entrambi i casi, è necessario installare e configurare correttamente i componenti di Microsoft SQL Server in tutti i computer. Nota: Microsoft SQL Server 2000 è supportato solo nei sistemi operativi Windows in lingua inglese. Preparazione di Microsoft SQL Server 2000/2005 per la creazione di database Prima di creare il database è consigliabile installare una nuova istanza di SQL Server conforme ai requisiti di installazione e configurazione di Symantec. È possibile installare un database in un'istanza già esistente. Tuttavia, è necessario configurare correttamente l'istanza, altrimenti l'installazione non verrà portata a termine. Ad esempio, se la configurazione dell'autenticazione non è impostata in modalità mista, l'installazione non verrà portata a termine o non funzionerà correttamente. Se si seleziona un confronto SQL che distingue le lettere maiuscole e minuscole, l'installazione non verrà portata a termine. Avvertimento: Symantec Endpoint Protection Manager si autentica in Microsoft SQL Server con un nome utente e una password del proprietario del database in testo in chiaro. Se si esegue l'installazione in un server Microsoft SQL remoto e si effettuano comunicazioni con lo stesso, qualsiasi computer incluso nel percorso delle comunicazioni è potenzialmente in grado di acquisirne il nome utente e la password tramite un'utilità di acquisizione dei pacchetti. Per ottimizzare la protezione delle comunicazioni con il server Microsoft SQL, collocare entrambi i server in una subnet sicura. Una subnet sicura isola solo le comunicazioni di rete fra i server e la subnet. Una subnet sicura viene generalmente posizionata prima di una periferica di rete che effettua la conversione degli indirizzi (NAT). Molti router attuali di categoria

42 42 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager economica che eseguono le assegnazioni di indirizzo DHCP eseguono anche la conversione NAT. Una subnet sicura deve esserlo anche fisicamente in modo che soltanto il personale autorizzato abbia accesso fisico alle periferiche di rete della subnet. Requisiti di installazione e configurazione di Microsoft SQL Server 2000 I requisiti di configurazione e di installazione interessano tutte le installazioni di Microsoft SQL Server 2000, sia locali che remote. Per creare un database su un server SQL remoto, è necessario installare anche i componenti client di SQL Server sul server che esegue Symantec Endpoint Protection Manager. Requisiti di installazione di Microsoft SQL Server 2000 Quando si installa l'istanza di Microsoft SQL Server 2000, selezionare le seguenti funzionalità non predefinite: Non accettare il nome di istanza predefinito. Utilizzare SEMP o un altro nome. Per impostazione predefinita, un database chiamato Sem5 viene creato in questa istanza quando si installa Symantec Endpoint Protection Manager. È supportata l'istanza predefinita senza nome, che può generare confusione se si installano più istanze nello stesso computer. Impostare la configurazione dell'autenticazione in modalità mista (autenticazione di Windows e autenticazione di SQL Server). Quando si imposta l'autenticazione in modalità mista, impostare la password sa. Questa password viene inserita durante l'installazione di Symantec Endpoint Protection Manager. Nota: Quando si installa l'istanza di Microsoft SQL Server, non selezionare un confronto SQL che distingua tra lettere maiuscole e minuscole. Il database non supporta la distinzione tra lettere maiuscole e minuscole. Requisiti di configurazione di Microsoft SQL Server 2000 Dopo aver installato l'istanza di Microsoft SQL Server 2000, è necessario eseguire le seguenti operazioni: Applicare SQL Server Service Pack 4, quindi selezionare l'autenticazione mediante le credenziali di SQL Server. In Enterprise Manager, registrare l'istanza, fare clic con il pulsante destro del mouse sull'istanza e modificare le proprietà di registrazione per utilizzare l'autenticazione di SQL Server. Dopo aver apportato le modifiche, disconnettersi dal server quando viene richiesto.

43 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 43 Fare clic con il pulsante destro del mouse sull'istanza e connettersi al server. Utilizzare Configurazione di rete di SQL Server per verificare che il protocollo TCP/IP sia attivato. In caso contrario, attivare il protocollo. Verificare che l'agente del server SQL sia in esecuzione e, in caso contrario, avviarlo. Installazione e configurazione dei componenti dei client di Microsoft SQL Server 2000 Installare e configurare i componenti client di Microsoft SQL Server 2000 sul computer che esegue o eseguirà Symantec Endpoint Protection Manager. Per installare i componenti client di Microsoft SQL Server Inserire il CD di installazione di Microsoft SQL Server 2000 e avviare il processo di installazione. 2 Nella finestra Definizione installazione, fare clic su Solo strumenti client. 3 Completare l'installazione. Per configurare i componenti dei client di Microsoft SQL Server Fare clic su Start > Tutti i programmi > Microsoft SQL Server > Configurazione di rete client. 2 Nella finestra di dialogo Utilità di rete del Client di SQL Server, nella scheda Generale, verificare che il protocollo TCP/IP sia attivato. In caso contrario, attivare il protocollo. 3 Fare clic con il pulsante destro del mouse su TCP/IP, quindi fare clic su Proprietà. 4 Nella finestra di dialogo TCP/IP, nella casella Porta predefinita, digitare il numero di porta che corrisponde alla porta che è utilizzata dall'istanza di Microsoft SQL Server La porta predefinita è in genere Specificare questo numero di porta quando si crea il database. 5 Fare clic su OK e quindi uscire dall'utilità di rete del Client di SQL Server. Requisiti di installazione e configurazione di Microsoft SQL Server 2005 I requisiti di configurazione e di installazione interessano tutte le installazioni di Microsoft SQL Server 2005, sia locali che remote. Se si crea un database su un server SQL remoto, è necessario installare anche i componenti client di SQL Server sul server che esegue Symantec Endpoint Protection Manager.

44 44 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager Requisiti di installazione di Microsoft SQL Server 2005 Quando si installa l'istanza di Microsoft SQL Server 2005, è necessario selezionare le seguenti funzionalità non predefinite: Non accettare il nome di istanza predefinito. Utilizzare SEMP o un altro nome. Per impostazione predefinita, un database chiamato Sem5 viene creato in questa istanza quando si installa Symantec Endpoint Protection Manager. È supportata l'istanza predefinita senza nome, che può generare confusione se si installano più istanze nello stesso computer. Impostare la configurazione dell'autenticazione in modalità mista (autenticazione di Windows e autenticazione di SQL Server). Quando si imposta l'autenticazione in modalità mista, impostare la password sa. Questa password viene inserita durante l'installazione di Symantec Endpoint Protection Manager. Quando si configurano gli account di servizio, selezionare l'opzione per l'avvio del browser SQL Server al termine dell'installazione. Nota: quando si installa l'istanza di Microsoft SQL Server, non selezionare un confronto SQL che distingua le lettere maiuscole e minuscole. Il database non supporta la distinzione tra lettere maiuscole e minuscole. Requisiti di configurazione di Microsoft SQL Server 2005 Dopo avere installato l'istanza di Microsoft SQL Server 2005, applicare SQL Server 2005 Service Pack 2 e selezionare l'opzione di autenticazione utilizzando le credenziali del server SQL. Utilizzare quindi Gestione configurazione SQL Server per eseguire le seguenti operazioni: Visualizzare i protocolli per la configurazione di rete di SQL Server Visualizzare le proprietà dei protocolli per TCP/IP e attivare lo stesso. Visualizzare gli indirizzi IP per TCP/IP e attivare gli indirizzi IP1 e IP2. Impostare i numeri della porta TCP/IP per IP1, IP2 e PALL. Il database di Symantec Endpoint Protection Manager non supporta le porte dinamiche. Di conseguenza, lasciare vuoto il campo relativo alle porte dinamiche TCP e specificare un numero di porta TCP. La porta predefinita è in genere Specificare questo numero di porta quando si crea il database. Riavviare il servizio di SQL Server. Se durante l'installazione non è stato selezionato l'avvio del browser SQL, l'installazione remota non verrà portata a termine. Se durante l'installazione non

45 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 45 è stata selezionata questa opzione, utilizzare l'utilità per la configurazione di SQL Server per eseguire le seguenti operazioni: Visualizzare le informazioni relative alla configurazione dei servizi e delle connessioni. Attivare il servizio Browser SQL Server. Se non si attiva questo servizio, i computer client non saranno in grado di comunicare con il server. Verificare che le connessioni locali e remote siano attivate solo mediante TCP/IP. Non sono necessari named pipe. Installazione e configurazione dei componenti clienti di Microsoft SQL Server 2005 Installare i componenti client di Microsoft SQL Server 2005 sul computer che esegue Symantec Endpoint Protection Manager. Nota: è necessario installare i componenti client in un computer in cui è in esecuzione Windows Server L'installazione dei componenti client richiede MDAC 2.8 Service Pack 1 o versione successiva, Windows Installer 3.1 e Internet Explorer 6.0 Service Pack 1 o versione successiva. Per installare i componenti client di Microsoft SQL Server Inserire il CD di installazione di Microsoft SQL Server 2005 e avviare il processo di installazione. 2 Nella finestra di avvio, fare clic sulla sezione relativa a componenti server, strumenti, documentazione in linea ed esempi. 3 Continuare l'installazione fino a quando non viene chiesto di selezionare i componenti da installare. 4 Nella finestra Componenti da installare, fare clic su Avanzate. 5 Nel riquadro sinistro, espandere Componenti client. 6 Fare clic su Componenti client, quindi selezionare Installazione su disco rigido locale. 7 Fare clic sulle seguenti funzioni del componente client: Componenti di connettività e Strumenti di gestione e quindi selezionare Installazione su disco rigido locale. 8 Completare l'installazione.

46 46 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager Per configurare i componenti client di Microsoft SQL Server Fare clic su Start > Tutti i programmi > Microsoft SQL Server 2005 > Strumenti di configurazione > SQL Server Configuration Manager. 2 Sotto Configurazione SQL Native Client, fare clic su Protocolli client, fare clic con il tasto destro del mouse su TCP/IP, quindi scegliere Proprietà. 3 Nella casella Porta predefinita, digitare il numero di porta che corrisponde alla porta utilizzata dall'istanza di Microsoft SQL Server La porta predefinita è in genere Specificare questo numero di porta quando si crea il database. 4 Fare clic su Applica > OK. Requisiti di SQL Server per l'installazione di Symantec Endpoint Protection Manager Per installare Symantec Endpoint Protection Manager con un database di Microsoft SQL Server occorre soddisfare alcuni requisiti di configurazione specifici di SQL Server. È possibile installare Symantec Endpoint Protection Manager con un database locale o un database remoto. La Tabella 2-7 descrive le impostazioni di configurazione di SQL Server necessarie per Symantec Endpoint Protection Manager. Tabella 2-7 Requisiti di configurazione di SQL Server Impostazione di configurazione Nome di istanza Requisiti di installazione di Symantec Endpoint Protection Manager Non utilizzare il nome predefinito. Creare un nome quale SEPM. Per impostazione predefinita, un database chiamato Sem5 viene creato nell'istanza di SQL Server quando si installa Symantec Endpoint Protection Manager. L'istanza predefinita è priva di nome. Ciò è consentito ma può causare confusione se si installano più istanze in un computer. Configurazione dell'autenticazione Password sa Autenticazione Modalità mista Impostare questa password quando si utilizza l'autenticazione in modalità mista. Autenticazione di SQL Server

47 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 47 Impostazione di configurazione Protocollo attivato Indirizzi IP per TCP/IP (solo SQL Server 2005) Numeri di porta TCP/IP per IP1, IP2 e PALL (solo SQL Server 2005) Requisiti di installazione di Symantec Endpoint Protection Manager TCP/IP Attivare IP1 e IP2 Lasciare vuoto il campo relativo alle porte dinamiche TCP e specificare un numero di porta TCP. La porta predefinita è in genere Questo numero di porta viene specificato quando si crea il database. Il database di Symantec Endpoint Protection Manager non supporta le porte dinamiche. Servizio Browser SQL Server (solo SQL Server 2005) Deve essere avviato. Se il database è situato su un server remoto, è necessario anche installare i componenti client di SQL Server sul computer che esegue Symantec Endpoint Protection Manager. Durante l'installazione di Symantec Endpoint Protection Manager vengono definiti i valori del database da impostare. Effettuare questa scelta prima di avviare l'installazione. In Tabella 2-8 sono elencati e descritti tali valori e impostazioni. Tabella 2-8 Impostazioni per l'installazione di Symantec Endpoint Protection Manager con un database SQL Server Impostazione Valore predefinito Descrizione Selezionare le opzioni di configurazione IIS del sito Web Usa il sito Web predefinito Usa il sito Web predefinito Installa l'applicazione Web IIS per Symantec Endpoint Protection nel sito Web IIS predefinito e funziona con qualsiasi altra applicazione Web installata in tale sito. Crea un sito Web personalizzato Disattiva il sito Web IIS predefinito e crea un server Web Symantec per Symantec Endpoint Protection Manager. Nome server Porta server nome host locale 8443 Nome del computer che esegue Symantec Endpoint Protection Manager. Numero di porta sulla quale il server Symantec Endpoint Protection Manager è in ascolto.

48 48 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager Impostazione Porta della console Web Cartella dati server Nome sito Password di crittografia Valore predefinito 9090 C:\Programmi\Symantec Endpoint Protection Manager\data nome host locale del sito Nessuno Descrizione Porta HTTP utilizzata per le connessioni remote della console Directory in cui Symantec Endpoint Protection Manager memorizza i file di dati compresi i backup, la replica e altri file di Symantec Endpoint Protection Manager. Il programma di installazione crea questa directory se non esiste. Nome sito del contenitore di livello superiore nel quale tutte le funzioni sono configurate ed eseguite con Symantec Endpoint Protection Manager. La password che crittografa la comunicazione fra Symantec Endpoint Protection Manager, i client e i dispositivi hardware facoltativi di Enforcer. La password può essere composta da minimo 1 o massimo 32 caratteri alfanumerici ed è necessaria. Annotare questa password e collocarla in una posizione sicura. Non è possibile cambiare o recuperare la password dopo che è stato creato il database. È necessario fornire questa password anche in caso di recupero di emergenza se non si dispone del backup di un database da ripristinare. Server del database Porta server SQL Nome database nome host locale 1433 sem5 Nome del server Microsoft SQL e del nome dell'istanza facoltativa. Se il server del database è stato installato con l'istanza predefinita, vale a dire senza nome, digitare il nome dell'host o l'indirizzo IP dell'host. Se il server del database è stato installato con un'istanza con nome, digitare nome host\nome_istanza o indirizzo IP\nome_istanza. L'immissione del nome host funziona soltanto con il DNS correttamente configurato. Se si installa un server di database remoto, è necessario in primo luogo installare i componenti client di SQL Server sul computer che esegue Symantec Endpoint Protection Manager. Porta del computer su cui è in esecuzione SQL Server configurata per inviare e ricevere il traffico. La porta 0, utilizzata per specificare una porta casuale negoziata, non è supportata. Nome del database creato.

49 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 49 Impostazione Utente Password Cartella del client SQL Utente DBA Password DBA Valore predefinito sem5 Nessuno C:\Programmi\Microsoft SQL Server\80\Tools\Binn Nessuno Nessuno Descrizione Nome dell'account utente del database creato. L'account utente dispone di un ruolo standard con accesso in lettura e scrittura. Il nome può essere una combinazione di valori alfanumerici e di caratteri speciali ~#%_+= :./. I caratteri speciali '!@$^&*()-{}[]\\<;>,? non sono consentiti. Anche i seguenti nomi non sono consentiti: sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin. La password da associarsi all'account utente del database. Il nome può essere una combinazione di valori alfanumerici e dei caratteri speciali ~#%_+= :./. I caratteri speciali '!@$^&*()-{}[]\\<;>,? non sono consentiti. Posizione della directory locale di SQL Client Utility che contiene il file bcp.exe. Se si crea un database nel server SQL 2005, la directory numerica predefinita è 90. Il percorso predefinito completo è C:\Programmi\Microsoft SQL Server\90\Tools\Binn Nome account dell'amministratore del server del database, che in genere corrisponde a sa. Nome della password associata all'account utente del database. Cartella dati del database Rilevato automaticamente dopo avere fatto clic su Predefinito SQL Server 2000: C:\Programmi\Microsoft SQL Server\MSSQL\Data SQL Server 2005: C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Data Posizione della directory dati di SQL Server. Se si installa un server remoto, l'identificativo del volume deve corrispondere all'identificativo del server remoto. Se si installa un'istanza con nome in SQL Server 2000, il nome dell'istanza si aggiunge a MSSQL con un segno del dollaro come in \MSSQL$nome istanza\data. Se si installa in un'istanza con nome sul server SQL 2005, il nome dell'istanza viene aggiunto a MSSQL con un identificativo numerico puntato come in \MSSQL.1\MSSQL\Data. Nota: facendo clic su Predefinito viene visualizzata la directory di installazione corretta, se il nome del server del database e dell'istanza sono stati immessi correttamente. Se si fa clic su Predefinito e la directory di installazione corretta non viene visualizzata, la creazione del database non riesce.

50 50 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager Impostazione Nome utente Admin Password amministratore Valore predefinito admin Nessuno Descrizione Nome dell'utente predefinito che viene utilizzato per accedere per la prima volta alla console di Symantec Endpoint Protection Manager. (non modificabile) La password specificata durante la configurazione del server da utilizzare con il nome utente admin. Installazione di Symantec Endpoint Protection Manager con un database SQL Server È possibile installare Symantec Endpoint Protection Manager nello stesso computer che esegue Microsoft SQL Server e quindi creare un database nel server SQL locale. È inoltre possibile installare Symantec Endpoint Protection Manager in un computer in cui non è in esecuzione SQL Server e quindi creare un database in un computer remoto che esegue SQL Server. In entrambi i casi, assicurarsi che i componenti di SQL Server appropriati siano configurati correttamente su ogni computer. Vedere "Requisiti di SQL Server per l'installazione di Symantec Endpoint Protection Manager" a pagina 46. Nota: se si crea un nuovo database, SQL Server gestisce automaticamente il database con il modello di recupero semplice e attiva Compattazione automatica. Per installare Symantec Endpoint Protection Manager 1 Inserire il CD di installazione e avviare l'installazione. 2 Nella schermata di benvenuto, effettuare una delle seguenti operazioni: Per installare Symantec Endpoint Protection, fare clic su Installa Symantec Endpoint Protection Manager. Per installare Symantec Network Access Control, fare clic su Installa SymantecNetworkAccessControl e quindi fare clic su InstallaSymantec Endpoint Protection Manager. 3 Avanzare tra le schermate successive, fino a quando non viene visualizzata la schermata Cartella di destinazione. 4 Nella schermata Cartella di destinazione, confermare o cambiare la directory di installazione predefinita. 5 Eseguire una delle seguenti operazioni:

51 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 51 Per consentire l'esecuzione del server Web IIS di Symantec Endpoint Protection Manager con altri siti Web in questo computer, selezionare Usa il sito Web predefinito, quindi fare clic su Avanti. Per configurare il server Web IIS di Symantec Endpoint Protection Manager come unico server Web su questo computer, selezionare Crea un sito Web personalizzato, quindi fare clic su Avanti. 6 Nel pannello Pronta per l'installazione del programma, fare clic su Installa. 7 Quando l'installazione termina e appare il pannello Installazione guidata completata, fare clic su Fine. la visualizzazione della schermata Configurazione guidata server potrebbe richiedere fino a 15 secondi. Riavviare il computer se viene chiesto. Quando si effettua l'accesso, viene automaticamente visualizzata la schermata Configurazione guidata server. Per creare un database SQL 1 Nel pannello di Configurazione guidata server di gestione, selezionare Avanzate e quindi fare clic su Avanti. 2 Selezionare il numero di client che si desidera gestire con il server e quindi fare clic su Avanti. 3 Selezionare Installa il primo sito e quindi fare clic su Avanti. 4 Nella schermata Informazioni sul server, confermare o cambiare i valori predefiniti per le seguenti caselle, quindi fare clic su Avanti: Nome server Porta server Porta della console Web Cartella dati server 5 Nel riquadro Informazioni sito, nella casella Nome sito, confermare o cambiare il nome predefinito, quindi fare clic su Avanti. 6 Nel pannello Crea password di crittografia, nelle caselle Crea password di crittografia, digitare una password e quindi fare clic su Avanti. Annotare questa password e conservarla in cassaforte e in una posizione protetta. Non è possibile cambiare o recuperare la password dopo che è stato creato il database. È necessario fornire questa password anche in caso di recupero di emergenza se non si dispone del backup di un database da ripristinare. 7 Nel pannello di selezione del tipo di Database, selezionare Microsoft SQL Server, quindi fare clic su Avanti.

52 52 Installazione di Symantec Endpoint Protection Installazione e configurazione di Symantec Endpoint Protection Manager 8 Nella schermata Definisci nuovo database, effettuare una delle operazioni seguenti: Se il database non esiste, selezionare Crea un nuovo database (scelta consigliata). Se il database esiste, selezionare Utilizza un database esistente. Nel database esistente devono essere configurati i gruppi di file PRIMARY, FG_CONTENT, FG_LOGINFO, FG_RPTINFO e FG_INDEX. L'account utente di l'accesso al database deve disporre dei privilegi db_ddladmin, il db_datareader e db_datawriter. Se questi requisiti non sono soddisfatti, l'installazione non riesce. La procedura consigliata consiste nel definire un nuovo database. 9 Fare clic su Avanti. 10 Nel riquadro Informazioni su Microsoft SQL Server, digitare i valori per le seguenti caselle e quindi fare clic su Avanti: Server del database Se si crea una nuova istanza, il formato è nomeserver_o_indirizzoip\nome_istanza. Porta server SQL Nome database Utente Password Conferma password (solo quando si crea un nuovo database) Cartella del client SQL Utente di DBA (solo quando si crea un nuovo database) Password di DBA (solo quando si crea un nuovo database) Cartella dati del database 11 Specificare e confermare una password per l'account admin di Symantec Endpoint Protection Manager. Facoltativamente, fornire a un indirizzo dell'amministratore. 12 Fare clic su Avanti. 13 Nella finestra di dialogo dell'avviso, analizzare le informazioni d'avvertimento sulle comunicazioni non crittografate e quindi fare clic su OK. 14 Nella schermata Configurazione completata, effettuare una delle seguenti operazioni:

53 Installazione di Symantec Endpoint Protection Accesso alla console di Symantec Endpoint Protection Manager 53 Per distribuire il software client con la procedura Migrazione e distribuzione guidate, fare clic su Sì. Per accedere in primo luogo alla console di Symantec Endpoint Protection Manager e quindi distribuire il software client, fare clic su No. Fare riferimento al capitolo sull'installazione del client per informazioni dettagliate su come distribuire il software client. Dopo l'installazione di Symantec Endpoint Protection Manager e dopo aver acquisito familiarità con le attività di amministrazione, è necessario conservare con cura i file di crittografia in caso di necessità di ripristino di emergenza. È anche necessario annotare la password di crittografia che viene fornita durante l'installazione di Symantec Endpoint Protection Manager. Accesso alla console di Symantec Endpoint Protection Manager La console di Symantec Endpoint Protection Manager consente di effettuare attività amministrative quali la gestione di client e politiche. Per accedere alla console di Symantec Endpoint Protection Manager 1 Fare clic su Avvia > Programmi > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Console. 2 Nel prompt di accesso di Symantec Endpoint Protection Manager, nella casella Nome utente, digitare admin. 3 Nella casella Password, digitare la password di amministrazione creata durante l'installazione, quindi fare clic su Accesso.

54 54 Installazione di Symantec Endpoint Protection Accesso alla console di Symantec Endpoint Protection Manager

55 Capitolo 3 Configurazione del prodotto dopo l'installazione Il capitolo contiene i seguenti argomenti: Impostazione della struttura organizzativa e aggiornamento del contenuto Aggiunta di un gruppo Informazioni sull'importazione della struttura organizzativa Aggiunta di client come utenti o computer Aggiunta di una posizione con una procedura guidata Aggiunta di un account amministratore Informazioni sulle politiche di LiveUpdate Configurazione di una politica delle impostazioni di LiveUpdate Configurazione di una politica del contenuto di LiveUpdate Impostazione della struttura organizzativa e aggiornamento del contenuto Dopo avere installato il server di gestione è necessario impostare la struttura organizzativa. È inoltre possibile configurare una Politica di LiveUpdate per scaricare le firme più recenti e altro contenuto nei computer client.

56 56 Configurazione del prodotto dopo l'installazione Aggiunta di un gruppo Tabella 3-1 Procedura dopo l'installazione di Symantec Endpoint Protection Manager Per effettuare questa operazione Operazione 1 Operazione 2 Operazione 3 Operazione 4 Operazione 5 Descrizione Aggiunta di un gruppo. È possibile aggiungere nuovi gruppi o importare la struttura organizzativa attuale. Aggiunta di un client come utente o computer. Aggiunta di una posizione. Aggiunta di un account amministratore. Aggiornamento del contenuto sui client. È possibile impostare una Politica del contenuto di LiveUpdate e una Politica delle impostazioni di LiveUpdate. Si veda questa sezione Vedere "Aggiunta di un gruppo" a pagina 56. Vedere "Informazioni sull'importazione della struttura organizzativa" a pagina 57. Vedere "Aggiunta di client come utenti o computer" a pagina 57. Vedere "Aggiunta di una posizione con una procedura guidata" a pagina 59. Vedere "Aggiunta di un account amministratore" a pagina 60. Vedere "Informazioni sulle politiche di LiveUpdate" a pagina 62. Aggiunta di un gruppo Una volta definita la struttura del gruppo per l'organizzazione, è possibile aggiungere gruppi. Le descrizioni di gruppi possono contenere fino a caratteri. I nomi e le descrizioni del Gruppo possono contenere qualsiasi carattere tranne i seguenti: [" / \ *? < > :]. Nota: Non è possibile aggiungere i gruppi al gruppo temporaneo. Per aggiungere un gruppo 1 Nella console, fare clic su Client. 2 Sotto Visualizza client, selezionare il gruppo a cui si desidera aggiungere un nuovo sottogruppo.

57 Configurazione del prodotto dopo l'installazione Informazioni sull'importazione della struttura organizzativa 57 3 Sulla scheda di Client, sotto Attività, fare clic su Aggiungi gruppo. 4 Nella finestra di dialogo Aggiungi gruppo per nome gruppo, digitare il nome del gruppo e una descrizione. 5 Fare clic su OK. Informazioni sull'importazione della struttura organizzativa È possibile importare strutture di gruppo o unità organizzative. Per importare le unità organizzative, si utilizzano un server di directory LDAP o un server Active Directory. Symantec Endpoint Protection può quindi sincronizzare automaticamente i gruppi sulla scheda Client con quelli sul server di directory. Non è possibile utilizzare la scheda Client per gestire questi gruppi dopo l'importazione. Non è possibile aggiungere, eliminare o spostare i gruppi all'interno di un'unità organizzativa importata. È possibile assegnare politiche di sicurezza all'unità organizzativa importata. È inoltre possibile copiare gli utenti da un'unità organizzativa importata in altri gruppi elencati nel riquadro Visualizza client. La politica assegnata a un gruppo prima dell'importazione è prioritaria. Un account utente può esistere sia nell'unità organizzativa sia in un gruppo esterno. La politica applicata al gruppo esterno ha priorità in questo scenario. È possibile importare e sincronizzare le informazioni sugli account utenti e sugli account del computer da un server Active Directory o da un server LDAP. Aggiunta di client come utenti o computer Tutti i client devono essere assegnati a un gruppo. I gruppi devono contenere client con le stesse esigenze e impostazioni di sicurezza. È possibile aggiungere utenti a un gruppo manualmente. Nella maggior parte dei casi, tuttavia, questa procedura non è agevole a meno che non si voglia aggiungere un numero limitato di utenti a scopo di manutenzione. La maggior parte degli amministratori importa gli elenchi utente da un server di LDAP o da un server di Dominio. Vedere "Informazioni sull'importazione della struttura organizzativa" a pagina 57. È possibile in primo luogo aggiungere manualmente un utente a un gruppo specifico e successivamente installare il client assegnandovi il gruppo desiderato. Questa operazione viene eseguita associando politiche di gruppo durante la creazione dei pacchetti. Il client viene aggiunto al gruppo specificato sul server anziché a quello specificato nel pacchetto.

58 58 Configurazione del prodotto dopo l'installazione Aggiunta di client come utenti o computer È possibile aggiungere un client come computer a qualsiasi gruppo. Il motivo principale per aggiungere un client come computer è di proteggere il computer indipendentemente da chi accede ad esso. Ad esempio, un computer può essere situato in una posizione vulnerabile o non protetta quale l'ingresso di un edificio a cui ha accesso il pubblico. È possibile aggiungere questo computer a un gruppo che contiene altri computer pubblici e assegnare politiche di sicurezza molto rigorose al gruppo. Tenere presenti i seguenti fatti quando si aggiungono dei computer ai gruppi: È possibile aggiungere un computer a più di un gruppo. È necessario conoscere il nome effettivo del computer e il relativo dominio prima di potere aggiungere un computer. La lunghezza massima del nome del computer è di 64 caratteri. La lunghezza massima del campo descrizione è di 256 caratteri. Assicurarsi che l'opzione di aggiunta di client a gruppi non sia bloccata. Per aggiungere i client come utenti 1 Nella console, fare clic su Client. 2 Alla pagina Client, sotto Visualizza client, individuare il gruppo a cui si desidera aggiungere un client. 3 Nella scheda Client, sotto Attività, fare clic su Aggiungi account utente. 4 In Aggiungi Utente per nome gruppo, nella casella di testo Nome utente, digitare il nome del nuovo utente. 5 In Nome dominio, scegliere se accedere a un dominio specificato o al computer locale. 6 Nella casella di testo Descrizione, digitare una descrizione facoltativa dell'utente. 7 Fare clic su OK. Per aggiungere i client come computer 1 Nella console, fare clic su Client. 2 Alla pagina Client, sotto Visualizza client, individuare il gruppo a cui si desidera aggiungere un client. 3 Nella scheda Client, sotto Attività, fare clic su Aggiungi account computer. 4 Nella finestra di dialogo Aggiungi computer, digitare il nome del computer e del dominio a cui si desidera aggiungere il computer.

59 Configurazione del prodotto dopo l'installazione Aggiunta di una posizione con una procedura guidata 59 5 Nella casella del testo Descrizione, facoltativamente digitare una breve descrizione del computer. 6 Fare clic su OK. Aggiunta di una posizione con una procedura guidata È possibile aggiungere una posizione a un gruppo utilizzando una procedura guidata. Ogni posizione può avere un proprio set di politiche e impostazioni. Si impostano criteri (condizioni) per fare in modo che i client passino a una posizione con impostazioni di sicurezza differenti ogni volta che le condizioni sono soddisfatte. Le politiche di sicurezza migliori da applicare solitamente dipendono da dove si trova il client quando si connette alla rete. Quando il rilevamento della posizione è attivato, la politica di sicurezza più rigorosa viene assegnata a un client in base alle necessità. Per aggiungere una posizione con una procedura guidata 1 Nella Symantec Endpoint Protection Manager console, fare clic su Client. 2 Nela pagina Client, in Visualizza client, selezionare il gruppo per il quale si desidera aggiungere una o più posizioni. 3 Nella scheda Politiche, deselezionare Eredita politiche e impostazioni dal gruppo di appartenenza "nome gruppo". È possibile aggiungere le posizioni soltanto ai gruppi che non ereditano le politiche dal gruppo di appartenenza. 4 In Attività, fare clic su Aggiungi posizione. 5 Nel pannello Aggiunta guidata posizione, fare clic su Avanti. 6 Nel pannello Specifica nome posizione, digitare un nome e una descrizione per la nuova posizione e fare clic su Avanti. 7 Nel pannello Specifica una condizione, selezionare una delle condizioni seguenti in base a cui un client passa da una posizione a un'altra: Nessuna condizione specifica Selezionare questa opzione in modo che il client possa scegliere questa posizione se sono disponibili più posizioni. Intervallo indirizzi IP Selezionare questa opzione in modo che il client possa scegliere questa posizione se il relativo indirizzo IP è incluso nell'intervallo specificato. È necessario specificare sia l'indirizzo IP iniziale sia l'indirizzo IP finale.

60 60 Configurazione del prodotto dopo l'installazione Aggiunta di un account amministratore Indirizzo della subnet e subnet mask Server DNS Selezionare questa opzione in modo che il client possa scegliere questa posizione se sono specificati il subnet mask e l'indirizzo subnet relativi. Selezionare questa opzione in modo che il client possa scegliere questa posizione se si connette al server DNS specificato. Il client può risolvere il nome host Selezionare questa opzione in modo che il client possa scegliere questa posizione se si connette al nome di dominio e all'indirizzo di risoluzione DNS specificati. Il client può connettersi al server di gestione Tipo di connessione di rete Selezionare questa opzione in modo che il client possa scegliere questa posizione se si connette al server di gestione specificato. Selezionare questa opzione in modo che il client possa scegliere questa posizione se si connette al tipo di connessione di rete specificato. Il client passa a questa posizione quando usa una delle connessioni seguenti: Qualsiasi connessione di rete Connessione remota Ethernet Wireless Check Point VPN-1 Cisco VPN Microsoft PPTP VPN Juniper NetScreen VPN Nortel Contivity VPN SafeNet SoftRemote VPN Aventail SSL VPN Juniper SSL VPN 8 Fare clic su Avanti. 9 Nel pannello Aggiunta guidata posizione completata, fare clic su Fine. Aggiunta di un account amministratore Man mano che la rete si espande o cambia, è possibile che il numero di amministratori sia insufficiente per soddisfare le nuove esigenze. È possibile aggiungere uno o più amministratori. Quando si aggiunge un amministratore, è necessario specificarne le funzioni e i vincoli. Come amministratore di sistema, è possibile aggiungere un altro amministratore di sistema, un amministratore o

61 Configurazione del prodotto dopo l'installazione Aggiunta di un account amministratore 61 un amministratore con diritti limitati. In qualità di amministratore di un dominio è possibile aggiungere altri amministratori e amministratori con diritti limitati e configurare i loro diritti. Avvertimento: Se si crea un nuovo account amministratore per se stessi, è possibile escludere il proprio nome utente e password di accesso. Per aggiungere un amministratore 1 Nella Symantec Endpoint Protection Manager console, fare clic su Ammin.. 2 Nela pagina Admin, sotto Attività, fare clic su Amministratori e quindi fare clic su Aggiungi amministratore. 3 Nella finestra di dialogo Aggiungi amministratore, inserire il nome amministratore. Questo è il nome con cui l'amministratore accede e con il quale è conosciuto all'interno dell'applicazione. 4 Facoltativamente fornire il nome completo dell'amministratore nella seconda casella di testo. 5 Digitare e digitare nuovamente la password. La password deve essere di sei o più caratteri. Tutti i caratteri sono consentiti. 6 Per configurare il metodo di autenticazione, fare clic su Cambia. Il valore predefinito è l'autenticazione tramite il server di gestione Symantec. È possibile configurare quando la password scade per il metodo predefinito o cambiare il metodo di autenticazione. 7 Fare clic su OK. 8 Selezionare uno dei seguenti tipi di amministratore: Amministratore di sistema. Amministratore. Gli amministratori possono eseguire report su tutti i gruppi. Se è stata eseguita la migrazione da Symantec AntiVirus 10.x e si desidera che l'amministratore esegua i report per questi gruppi di server migrati, fare clic su Diritti di reporting. Amministratore con diritti limitati, e quindi configurare i diritti per un amministratore con diritti limitati. 9 Fare clic su OK.

62 62 Configurazione del prodotto dopo l'installazione Informazioni sulle politiche di LiveUpdate Informazioni sulle politiche di LiveUpdate Esistono due tipi di politica di LiveUpdate. Un tipo è una politica delle impostazioni di LiveUpdate e si applica ai client Symantec Endpoint Protection e Symantec Network Access Control. L'altro tipo è una politica del contenuto di LiveUpdate e si applica solo ai client Symantec Endpoint Protection. La politica delle impostazioni di LiveUpdate specifica i computer che i client contattano per cercare gli aggiornamenti e determina la frequenza di ricerca degli aggiornamenti da parte dei client. Se necessario, è possibile applicare questa politica a posizioni specifiche in un gruppo. La politica del contenuto di LiveUpdate specifica i tipi di aggiornamento che i client possono cercare ed installare. Per ogni tipo, è possibile specificare che i client cerchino e installino l'ultimo aggiornamento. Oppure è possibile specificare una versione di un aggiornamento che i client possono installare se non la eseguono. Non è possibile applicare questa politica a posizioni specifiche in un gruppo. È possibile applicare questa politica soltanto a livello del gruppo. Configurazione di una politica delle impostazioni di LiveUpdate Quando si aggiunge e si applica una politica delle impostazioni di LiveUpdate, è necessario pianificare ogni quanto tempo si desidera che i computer client cerchino gli aggiornamenti. L'impostazione predefinita è ogni 4 ore. È necessario anche sapere da dove si desidera che i computer client cerchino e ottengano gli aggiornamenti. Generalmente, è necessario che i computer client cerchino e ottengano gli aggiornamenti da Symantec Endpoint Protection Manager. Dopo avere creato la politica, è possibile assegnarla a uno o più gruppi e posizioni.

63 Configurazione del prodotto dopo l'installazione Configurazione di una politica delle impostazioni di LiveUpdate 63 Nota: È disponibile un'impostazione avanzata che consente agli utenti di avviare manualmente LiveUpdate dai computer client. Questa impostazione è disattivata per impostazione predefinita. Se si attiva questa impostazione, gli utenti possono avviare LiveUpdate e scaricare le ultime definizioni dei virus del contenuto, gli aggiornamenti dei componenti e i potenziali aggiornamenti dei prodotti. Se è attivata l'impostazione avanzata della politica per il download degli aggiornamenti dei prodotti tramite LiveUpdate, gli aggiornamenti dei prodotti che vengono scaricati sono versioni di manutenzione e patch per il software client Symantec. A seconda della dimensione della popolazione degli utenti, è possibile non consentire agli utenti di scaricare tutto il contenuto senza che non lo abbiano provato prima. Inoltre, possono verificarsi dei conflitti se due sessioni di LiveUpdate vengono eseguite simultaneamente sui computer client. Si consiglia come norma di lasciare questa impostazione disattivata. Per configurare una politica delle impostazioni di LiveUpdate 1 Nella console, fare clic su Politiche. 2 Nel riquadro Visualizza politiche, fare clic su LiveUpdate. 3 Nella scheda di Impostazioni LiveUpdate, nel riquadro Attività, fare clic su Aggiungi politica delle impostazioni di LiveUpdate. 4 Nel riquadro Informazioni generali, nella casella Nome politica, digitare un nome per la politica. 5 In Politica di LiveUpdate, fare clic su Impostazioni server. 6 Nel riquadro Impostazioni server, in Server LiveUpdate interno o esterno, selezionare e attivare almeno un'origine da cui recuperare gli aggiornamenti. La maggior parte delle organizzazioni dovrebbe utilizzare il server di gestione predefinito. 7 Se è stato selezionato Utilizza un server LiveUpdate, in Politica di LiveUpdate, fare clic su Pianifica. 8 Nel riquadro Pianifica, accettare o cambiare le opzioni di pianificazione. 9 Se è stato selezionato Utilizza un server LiveUpdate, in Politica di LiveUpdate, fare clic su Impostazioni avanzate. 10 Decidere se mantenere o cambiare le impostazioni predefinite. In genere non consentire agli utenti di modificare le impostazioni di aggiornamento. Tuttavia, se non si offre supporto a centinaia o migliaia di client, è possibile consentire agli utenti di avviare manualmente una sessione di LiveUpdate. 11 Una volta che si è configurata la politica, fare clic su OK.

64 64 Configurazione del prodotto dopo l'installazione Configurazione di una politica del contenuto di LiveUpdate 12 Nella finestra di dialogo Assegna politica, eseguire una delle seguenti operazioni: Fare clic su Sì per salvare e assegnare la politica a un gruppo o una posizione in un gruppo. Fare clic su No per salvare solo la politica. 13 Se si fa clic su Sì, nella finestra di dialogo Assegna politica di LiveUpdate, selezionare i gruppi e le posizioni alle quali assegnare la politica, quindi fare clic su Assegna. Se non è possibile selezionare un gruppo nidificato, tale gruppo eredita le politiche dal relativo gruppo di appartenenza, come impostato nella scheda Politiche dei computer e degli utenti. Configurazione di una politica del contenuto di LiveUpdate Per impostazione predefinita, tutti i client Symantec Endpoint Protection in un gruppo ricevono le ultime versioni di tutti gli aggiornamenti del contenuto e dei prodotti. Se un gruppo di client ottiene gli aggiornamenti da un server di gestione, i client ricevono solo gli aggiornamenti per il cui download è configurato il server. Se la politica del contenuto di LiveUpdate permette tutti gli aggiornamenti, ma il server di gestione non è configurato per scaricare tutti gli aggiornamenti, i client ricevono solo ciò che viene scaricato dal server. Se un gruppo è configurato per ottenere gli aggiornamenti da un server LiveUpdate, i client del gruppo ricevono tutti gli aggiornamenti consentiti nella politica del contenuto di LiveUpdate. Se la politica del contenuto di LiveUpdate specifica una revisione specifica per un aggiornamento, i client non ricevono mai gli aggiornamenti per questo aggiornamento particolare fino a quando l'impostazione non viene cambiata da una revisione specifica all'ultima disponibile. I server LiveUpdate non capiscono la funzionalità della versione con nome. Le versioni con nome consentono di esercitare un controllo più severo sugli aggiornamenti che vengono distribuiti ai client. Solitamente, gli ambienti che verificano gli ultimi aggiornamenti prima che questi vengano distribuiti ai client utilizzano la funzionalità della versione con nome. Nota: L'utilizzo di revisioni specifiche fornisce la funzionalità di ripristino.

65 Configurazione del prodotto dopo l'installazione Configurazione di una politica del contenuto di LiveUpdate 65 Per configurare una politica del contenuto di LiveUpdate 1 Nella console, fare clic su Politiche. 2 Nel riquadro Visualizza politiche, fare clic su LiveUpdate. 3 Nella scheda Contenuto LiveUpdate, fare clic su Aggiungi politica del contenuto di LiveUpdate. 4 Nel riquadro Informazioni generali, nella casella Nome politica, digitare un nome per la politica. 5 Nel riquadro Contenuto LiveUpdate, fare clic su Definizioni di sicurezza. 6 Nel riquadro Definizioni di sicurezza, selezionare gli aggiornamenti da scaricare e installare, quindi deselezionare gli aggiornamenti da respingere. 7 Per ogni aggiornamento, eseguire una delle azioni seguenti: Selezionare Utilizza più recente. Selezionare Seleziona una revisione. 8 Per continuare, effettuare una delle operazioni seguenti: Se non si seleziona Seleziona una revisione per un tipo di aggiornamento, fare clic su OK, quindi continuare con il punto 11. Se si seleziona Seleziona una revisione per un tipo di aggiornamento, fare clic su Modifica, quindi continuare con il punto successivo. 9 Nella finestra di dialogo Seleziona revisione, nella colonna Revisione, fare clic e selezionare la revisione da utilizzare, quindi fare clic su OK. 10 Nella finestra Contenuto LiveUpdate, fare clic su OK. 11 Nella finestra di dialogo Assegna politica, fare clic su Sì. È possibile annullare facoltativamente questa procedura e assegnare la politica in un secondo momento. 12 Nella finestra di dialogo Assegna politica del contenuto di LiveUpdate, selezionare uno o più gruppi a cui assegnare questa politica e quindi fare clic su Assegna.

66 66 Configurazione del prodotto dopo l'installazione Configurazione di una politica del contenuto di LiveUpdate

67 Capitolo 4 Creazione delle politiche Il capitolo contiene i seguenti argomenti: Informazioni sulle politiche Valutazione delle politiche Impostazione e prova di una politica antivirus e antispyware Impostazione e prova di una politica del firewall Impostazione e prova di una libreria IPS personalizzata Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Informazioni sulle politiche È possibile utilizzare diversi tipi di politiche di sicurezza per gestire la sicurezza della rete. Molte politiche sono create automaticamente durante l'installazione. È possibile utilizzare le politiche predefinite o personalizzarle per adattarle all'ambiente specifico. Tabella 4-1 elenca i diversi tipi di politiche. Include inoltre se una politica predefinita viene creata durante l'installazione iniziale e una descrizione di ogni tipo di politica.

68 68 Creazione delle politiche Informazioni sulle politiche Tabella 4-1 Symantec Endpoint Protection Manager Politiche Nome politica Antivirus e antispyware Firewall Prevenzione delle intrusioni Integrità degli host Controllo delle applicazioni e delle periferiche LiveUpdate Eccezioni centralizzate Politica predefinita Sì Sì Sì Sì Sì Sì No Descrizione Definisce le impostazioni di scansione delle minacce di virus e spyware, tra cui la gestione dei processi rilevati. Definisce le regole del firewall che permettono e bloccano il traffico e specifica le impostazioni per il filtro intelligente del traffico, per il traffico e per l'autenticazione peer-to-peer. Definisce le eccezioni alle firme di prevenzione delle intrusioni e specifica le impostazioni di prevenzione delle intrusioni, come la risposta attiva. Consente di definire, ripristinare e applicare la sicurezza dei client per mantenere sicuri reti e dati aziendali. Protegge le risorse del sistema dalle applicazioni e gestisce i dispositivi periferici che possono attaccare i computer. Specifica i computer che i client devono contattare per cercare gli aggiornamenti oltre che la pianificazione che definisce ogni quanto tempo i client devono cercare gli aggiornamenti. Specifica le eccezioni a funzioni specifiche delle politiche che si desidera applicare. È possibile effettuare le seguenti attività su tutte le politiche: Aggiunta

69 Creazione delle politiche Valutazione delle politiche 69 Se nella pagina Politiche vengono aggiunte o modificate politiche condivise, è necessario anche assegnare le politiche a un gruppo o a una posizione. In caso contrario, tali politiche non saranno attive. Modifica Eliminazione Assegnazione Sostituzione Copia e incolla Importazione ed esportazione È possibile ritirare qualsiasi tipo di politica tranne una politica antivirus e antispyware e una politica delle impostazioni di LiveUpdate. Valutazione delle politiche La Tabella 4-2 elenca i tipi principali di politica che è necessario valutare dopo avere installato il server di gestione per la prima volta. Tabella 4-2 Procedura per la valutazione delle politiche Per effettuare questa operazione Descrizione Si veda questa sezione Operazione 1 Creare e provare una politica antivirus e antispyware. È possibile definire le impostazioni di scansione delle minacce di virus e spyware, tra cui la gestione dei processi rilevati. Vedere "Impostazione e prova di una politica antivirus e antispyware" a pagina 74. Operazione 2 Creare e provare una politica del firewall. È possibile definire le regole del firewall che permettono e bloccano il traffico e specificare le impostazioni per il filtro intelligente del traffico, per il traffico e per l'autenticazione peer-to-peer. Vedere "Impostazione e prova di una politica del firewall" a pagina 93.

70 70 Creazione delle politiche Valutazione delle politiche Per effettuare questa operazione Operazione 3 Operazione 4 Descrizione Creare e provare una Politica di controllo delle applicazioni e delle periferiche. È possibile proteggere le risorse del sistema dalle applicazioni e gestire le periferiche che possono essere collegate ai computer. Creare e provare una libreria personalizzata del sistema di prevenzione delle intrusioni (IPS). È possibile creare firme basate su pacchetti che rilevano gli attacchi nello stack TCP/IP. Le firme basate su pacchetti esaminano un singolo pacchetto corrispondente a una regola. Si veda questa sezione Vedere "Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche" a pagina 107. Vedere "Impostazione e prova di una libreria IPS personalizzata" a pagina 97. Operazione 5 Creare e provare una Politica di integrità dell'host. È possibile valutare se un computer è protetto correttamente ed è conforme prima di consentire ad esso di connettersi alla rete aziendale. Vedere "Impostazione e prova di una Politica di integrità dell'host" a pagina 129. Per valutare una politica, creare una politica e quindi provarla sul computer client. Tabella 4-3 Procedura per creare e provare le politiche Per effettuare questa operazione Operazione 1 Descrizione Aggiungere una nuova politica. Tutte le nuove politiche comprendono le impostazioni predefinite. Si veda questa sezione Vedere "Aggiunta di una politica condivisa" a pagina 71.

71 Creazione delle politiche Valutazione delle politiche 71 Per effettuare questa operazione Operazione 2 Descrizione Una volta completata la configurazione della politica, assegnarla a un gruppo o a una posizione. Si veda questa sezione Vedere "Assegnazione di una politica condivisa" a pagina 72. Operazione 3 Per provare la politica, sul computer client, controllare che il client abbia la politica aggiornata. È inoltre possibile aggiornare manualmente la politica. Vedere "Aggiornamento manuale del file della politica" a pagina 73. Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73. Aggiunta di una politica condivisa Le politiche condivise vengono generalmente aggiunte alla pagina Politiche anziché Client. Sia le posizioni che i gruppi possono condividere la stessa politica. È possibile assegnare la politica condivisa solo dopo averla aggiunta. È possibile aggiungere una politica non condivisa dalla pagina Client. Per aggiungere una politica condivisa nella pagina Politiche 1 Nella console, fare clic su Politiche. 2 In Visualizza politiche, selezionare un tipo di politica. 3 In Attività, fare clic su Aggiungi una politica tipo di politica. 4 Nel riquadro Panoramica della pagina della politica tipo di politica, digitare il nome e la descrizione della politica. 5 Se non ancora selezionato, selezionare Attiva questa politica. 6 Nel riquadro Panoramica, selezionare una delle visualizzazioni seguenti: Visualizzazione a struttura Visualizzazione a elenco Le politiche assegnate ai gruppi e alle posizioni sono rappresentate da icone. Le politiche assegnate ai gruppi e alle posizioni sono visualizzate in un elenco. 7 Per configurare la politica, in Visualizza politiche, fare clic su un tipo di politica, ad esempio Protezione antivirus e antispyware. 8 Al termine della configurazione della politica, fare clic su OK.

72 72 Creazione delle politiche Valutazione delle politiche 9 Nella finestra di dialogo Assegna politica, eseguire una delle seguenti operazioni: Per assegnare la politica a un gruppo o a una posizione ora, fare clic su Sì, quindi andare al punto 10. Per assegnare la politica a un gruppo o a una posizione successivamente, fare clic su No. Vedere "Assegnazione di una politica condivisa" a pagina 72. È necessario assegnare la politica a un gruppo o a una posizione, altrimenti i computer client non ricevono la politica. 10 Nella finestra di dialogo Assegna politica tipo di politica, selezionare i gruppi e le posizioni a cui si desidera assegnare la politica. 11 Fare clic su Assegna. 12 Per confermare, fare clic su Sì. Assegnazione di una politica condivisa Una volta creata una politica condivisa nella pagina Politiche, è necessario assegnarla a uno o più gruppi e posizioni. Le politiche non assegnate non vengono scaricate nei computer client nei gruppi e nelle posizioni. Se non si assegna la politica quando la si aggiunge, è possibile assegnarli ai gruppi e alle posizioni successivamente. È inoltre possibile riassegnare una politica a un gruppo o a una posizione differente. Per assegnare una politica condivisa 1 Creare una politica condivisa. Vedere "Aggiunta di una politica condivisa" a pagina Alla pagina Politiche, sotto Visualizza politiche, selezionare il tipo di politica che si desidera assegnare. 3 Nel riquadro Politiche tipo politica, selezionare la politica specifica che si desidera assegnare. 4 Nella pagina Politiche, in Attività, fare clic su Assegna la politica. 5 Nella finestra di dialogo Assegna politica tipo di politica, selezionare i gruppi e le posizioni a cui si desidera assegnare la politica. 6 Fare clic su Assegna. 7 Fare clic su Sì per confermare l'assegnazione della politica.

73 Creazione delle politiche Valutazione delle politiche 73 Aggiornamento manuale del file della politica Le impostazioni che controllano la protezione sul client sono memorizzate sul computer in un file della politica. Il file della politica aggiorna le impostazioni per Protezione antivirus e antispyware, Protezione dalle minacce di rete, Protezione proattiva dalle minacce e Network Access Control. In genere questo file della politica viene aggiornato automaticamente. Tuttavia, è possibile aggiornarlo manualmente se non si desidera attendere fino al successivo aggiornamento automatico. Nota: è possibile visualizzare il registro di sistema per verificare che l'aggiornamento della politica sia stato eseguito correttamente. Per aggiornare manualmente il file della politica 1 Nell'area di notifica di Windows, fare clic con il pulsante destro del mouse sull'icona del client. 2 Nel menu di scelta rapida, fare clic su Aggiorna politica. Verifica dell'avvenuto aggiornamento delle politiche Quando si cambia o si assegna una politica, controllare che i client abbiano ricevuto la politica aggiornata. Per verificare che una politica è stata aggiornata da Symantec Endpoint Protection Manager 1 Nella console, fare clic su Monitor e quindi fare clic su Registri. 2 Nell'elenco Tipo registro, fare clic su Sistema. 3 Nell'elenco Contenuto registro, fare clic su Attività client-server. 4 Fare clic su Visualizza registro. Viene visualizzata una voce relativa allo scaricamento della politica in ciascun client. Per verificare che i computer client abbiano ricevuto le politiche aggiornate 1 Sul computer client, nella finestra principale di Symantec Endpoint Protection, fare clic su Visualizza registri. 2 Accanto a Gestione client, fare clic su Visualizza registri e quindi fare clic su Registro sistema. Viene visualizzata una voce per l'aggiornamento della politica contenente il numero di serie.

74 74 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Impostazione e prova di una politica antivirus e antispyware È possibile applicare la tecnologia antivirus e antispyware nella rete utilizzando una politica antivirus e antispyware di Symantec Endpoint Protection. Anche se sono configurate come componente della politica antivirus e antispyware, le scansioni proattive delle minacce TruScan non verranno trattate in questa sede. Vengono tuttavia fornite alcune informazioni di base. Tabella 4-4 Procedura per installare e provare una politica antivirus e antispyware Per effettuare questa operazione Descrizione Si veda questa sezione Operazione 1 Operazione 2 Operazione 3 Decidere su quale politiche antivirus e antispyware predefinite si desidera basare la protezione antivirus e antispyware. Configurare una scansione pianificata e aggiungerla alla politica antivirus e antispyware predefinita selezionata. Cambiare l'azione relativa a un rischio per la sicurezza nella politica antivirus e antispyware predefinita selezionata. Vedere "Informazioni sulle politiche antivirus e antispyware preconfigurate" a pagina 76. Vedere "Aggiunta di scansioni pianificate a una politica antivirus e antispyware" a pagina 77. Vedere "Configurazione di azioni per la rilevazione di virus e rischi per la sicurezza noti" a pagina 79. Operazione 4 Operazione 5 Operazione 6 Configurare una notifica per gli utenti dei computer client nella politica antivirus e antispyware predefinita selezionata. Assegnare la politica a un gruppo. Controllare che la politica sia aggiornata sui client. Vedere "Informazioni sui messaggi di notifica nei computer infetti" a pagina 80. Vedere "Personalizzazione e visualizzazione delle notifiche nei computer infetti" a pagina 81. Vedere "Assegnazione di una politica condivisa" a pagina 72. Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73.

75 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 75 Per effettuare questa operazione Operazione 7 Operazione 8 Descrizione Verificare che la politica antivirus e antispyware funziona. Leggere in merito alla scansione proattiva delle minacce TruScan. Si veda questa sezione Vedere "Verifica del funzionamento della politica antivirus e antispyware" a pagina 83. Vedere "Informazioni sulle scansioni proattive delle minacce TruScan" a pagina 83. Vedere "Informazioni sull'utilizzo delle impostazioni predefinite di Symantec" a pagina 85. Vedere "Informazioni sui processi rilevati tramite le scansioni proattive delle minacce TruScan" a pagina 85. Vedere "Informazioni sulla gestione dei falsi positivi rilevati dalle scansioni proattive delle minacce TruScan" a pagina 87. Vedere "Informazioni sui processi ignorati dalle scansioni proattive delle minacce TruScan" a pagina 89. Vedere "Informazioni sulle rilevazioni proattive delle minacce TruScan" a pagina 90. Informazioni sulle politiche antivirus e antispyware Una politica antivirus e antispyware comprende i seguenti tipi di opzioni: Scansioni Auto-Protect Scansioni definite dall'amministratore (scansioni pianificate e scansioni su richiesta) scansioni proattive delle minacce TruScan Opzioni di quarantena Opzioni di invio Parametri vari

76 76 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Quando si installa Symantec Endpoint Protection, numerose politiche antivirus e antispyware vengono visualizzate nell'elenco delle politiche nella console. È possibile modificare una delle politiche preconfigurate oppure è possibile creare nuove politiche. Nota: le politiche antivirus e antispyware includono la configurazione delle scansioni proattive delle minacce TruScan. Informazioni sulle politiche antivirus e antispyware preconfigurate Sono disponibili le seguenti politiche antivirus e antispyware preconfigurate: Politica antivirus e antispyware Politica antivirus e antispyware - Alta sicurezza Politica antivirus e antispyware - Alte prestazioni L politica Alta sicurezza è la più rigorosa tra tutte le politiche antivirus e antispyware preconfigurate. È necessario essere informati che può influire sulle prestazioni di altre applicazioni. La politica Alte prestazioni fornisce le migliori prestazioni rispetto alla politica Alta sicurezza, ma non fornisce le stesse misure di sicurezza. Fa affidamento soprattutto su Auto-Protect del file system per eseguire la scansione dei file con le estensioni selezionate per rilevare le minacce. La politica antivirus e antispyware predefinita contiene le seguenti impostazioni importanti: Auto-Protect per file system viene caricato all'avvio del computer ed è attivato per tutti i file. Gli Auto-Protect per Internet , Microsoft Outlook e Lotus Notes sono attivati per tutti i file. La scansione di rete Auto-Protect per file system è attivata. Le scansioni proattive delle minacce TruScan sono attivate e vengono eseguite una volta ogni ora. ActiveScan non viene eseguito automaticamente quando vengono caricate nuove definizioni. Una scansione pianificata viene eseguita una volta alla settimana, con l'ottimizzazione di scansione impostata a Prestazioni dell'applicazione ottimali. La politica Alta prestazioni contiene le seguenti impostazioni importanti:

77 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 77 Auto-Protect del file system viene caricato all'avvio di Symantec Endpoint Protection ed è attivato per i file con le estensioni selezionate. La scansione della rete di Auto-Protect per file system è disattivata. Gli Auto-Protect per Internet , Microsoft Outlook e per Lotus Notes sono disattivati. Le scansioni proattive delle minacce sono attivate e vengono eseguite una volta ogni 6 ore. ActiveScan non viene eseguito automaticamente quando vengono caricate nuove definizioni. Una scansione pianificata viene eseguita una volta al mese con l'ottimizzazione di scansione impostata a Prestazioni dell'applicazione ottimali. La politica Alta sicurezza contiene le seguenti impostazioni importanti: Auto-Protect per file system viene caricato all'avvio del computer ed è attivato per tutti i file. Gli Auto-Protect per Internet , Microsoft Outlook e Lotus Notes sono attivati per tutti i file. La scansione di rete Auto-Protect per file system è attivata. Le scansioni proattive delle minacce sono attivate e vengono eseguite una volta ogni ora, come pure ogni volta che inizia un nuovo processo. ActiveScan viene eseguito automaticamente quando vengono caricate nuove definizioni. Una scansione pianificata viene eseguita una volta alla settimana, con l'ottimizzazione di scansione impostata a Bilanciato. Aggiunta di scansioni pianificate a una politica antivirus e antispyware Le scansioni pianificate sono configurabili come componente di una politica antivirus e antispyware. È possibile salvare le impostazioni della scansione pianificata come modello. È possibile utilizzare qualsiasi scansione salvata come modello come base per una politica antivirus e antispyware differente. I modelli di scansione consentono di risparmiare tempo quando si configurano più politiche antivirus e antispyware. Un modello di scansione pianificata è incluso per impostazione predefinita nella politica. La scansione pianificata predefinita sottopone a scansione tutti i file e directory. Per ulteriori informazioni sulle opzioni utilizzate in questa procedura, è possibile fare clic su?.

78 78 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Per aggiungere una scansione pianificata ad una politica antivirus e antispyware 1 Nella pagina Politica antivirus e antispyware, fare clic su Scansioni definite dall'amministratore. 2 Sulla scheda Scansioni, sotto Scansioni pianificate, fare clic su Aggiungi. 3 Nella finestra di dialogo Aggiungi scansione pianificata, fare clic su Crea una nuova scansione pianificata.. 4 Fare clic su OK. 5 Nella finestra di dialogo Aggiungi scansione pianificata, sulla scheda Dettagli scansione, digitare un nome e una descrizione per questa scansione pianificata. 6 Fare clic su Scansione attiva, Scansione completa o Scansione personalizzata. 7 Se si seleziona Personalizzata, in Scansione è possibile specificare che directory sottoporre a scansione. 8 In Tipi di file, fare clic su Esegui scansione di tutti i file o Scansione solo delle estensioni selezionate. 9 Sotto Migliora la scansione eseguendo il controllo di, selezionare o deselezionare Memoria, Posizioni di infezione comuni o Posizioni di virus e rischi per la sicurezza noti. 10 Fare clic su Opzioni di scansione avanzate. 11 Impostare qualsiasi opzione per i file compressi, la migrazione di archivi o l'ottimizzazione delle prestazioni. 12 Fare clic su OK per salvare le opzioni di scansione avanzate per questa scansione. 13 Sulla scheda Pianifica, sotto Pianificazione scansione, impostare la frequenza e l'orario in cui la scansione andrà eseguita. 14 Sulla scheda Azioni, impostare qualsiasi opzione per le azioni. Vedere "Configurazione di azioni per la rilevazione di virus e rischi per la sicurezza noti" a pagina 79. È inoltre possibile impostare opzioni di riparazione per la scansione. 15 Sulla scheda Notifiche, impostare qualsiasi opzione per le azioni. Vedere "Informazioni sui messaggi di notifica nei computer infetti" a pagina 80.

79 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Se si desidera salvare questa scansione come modello, selezionare Salva una copia come modello di scansione pianificata. 17 Fare clic su OK. Per aggiungere una scansione pianificata da un modello 1 Nella pagina Politica antivirus e antispyware, fare clic su Scansioni definite dall'amministratore. 2 Sulla scheda Scansioni, sotto Scansioni pianificate, fare clic su Aggiungi. 3 Nella finestra di dialogo Aggiungi scansione pianificata, fare clic su Crea scansione pianificata da un modello di scansione pianificata. 4 Selezionare il modello di scansione che si desidera utilizzare per questa politica. 5 Fare clic su OK. Configurazione di azioni per la rilevazione di virus e rischi per la sicurezza noti Le azioni consentono di specificare la risposta dei client quando durante la scansione antivirus e antispyware viene rilevato un virus o un rischio per la sicurezza noto. Queste azioni si applicano alle scansioni Auto-Protect e a quelle definite dall'amministratore. Le azioni associate alla scansione proattiva delle minacce vengono configurate separatamente. Vedere "Informazioni sulle scansioni proattive delle minacce TruScan" a pagina 83. Le azioni consentono di impostare la risposta del software client quando viene rilevato un virus o un rischio per la sicurezza noto. È possibile assegnare una prima azione e, nel caso questa non sia possibile, una seconda azione. Il client Symantec Endpoint Protection esegue queste azioni quando rileva un virus o un rischio per la sicurezza quale adware o spyware. I tipi di virus e i rischi per la sicurezza sono elencati nella gerarchia. Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, fare clic su?. Nota: Per i rischi per la sicurezza, utilizzare l'azione di eliminazione con cautela. In alcuni casi, l eliminazione di un rischio per la sicurezza comporta problemi di funzionamento in alcune applicazioni.

80 80 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Avvertimento: se si configura il software client per eliminare i file interessati da rischi per la sicurezza, non sarà possibile ripristinare tali file. Per eseguire il backup dei file interessati da rischi per la sicurezza, impostare il software client in modo da mettere i file in quarantena. Per configurare azioni per la rilevazione di virus e rischi per la sicurezza noti 1 Nella scheda Azioni, in Rilevamento, selezionare un tipo di virus o di rischio per la sicurezza. Per impostazione predefinita, ogni sottocategoria di rischio per la sicurezza è configurata automaticamente per l'esecuzione delle azioni impostate per l'intera categoria Rischi per la sicurezza. 2 Per impostare l'utilizzo di azioni diverse per una categoria o per istanze specifiche di una categoria, selezionare Sovrascrivi azioni configurate per Rischi per la sicurezza, quindi impostare le azioni solo per la categoria specificata. 3 In Azioni per, selezionare la prima e la seconda azione che il software client eseguirà quando viene rilevata la categoria di virus o di rischio per la sicurezza specificata. È possibile bloccare le azioni per impedire agli utenti di modificarle nei computer client che utilizzano questa politica. Per i rischi per la sicurezza, utilizzare l'azione di eliminazione con cautela. In alcuni casi, l eliminazione di un rischio per la sicurezza comporta problemi di funzionamento in alcune applicazioni. 4 Ripetere il passaggio 3 per ogni categoria per la quale si desidera impostare azioni specifiche (virus e rischi per la sicurezza). 5 Al termine della configurazione di questa politica, fare clic su OK. Informazioni sui messaggi di notifica nei computer infetti È possibile impostare un messaggio di notifica da visualizzare nei computer infetti quando viene individuato un virus o un rischio per la sicurezza durante una scansione Auto-Protect o definita dall'amministratore. Queste notifiche consentono agli utenti di esaminare le operazioni più recenti eseguite nel computer client. Ad esempio, un utente potrebbe scaricare un'applicazione o visualizzare una pagina Web che causa un'infezione spyware.

81 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 81 Nota: la lingua del sistema operativo in cui è in esecuzione il client potrebbe non essere in grado di interpretare alcuni caratteri nei nomi di virus. Se il sistema operativo non può interpretare i caratteri, i caratteri compaiono come punti interrogativi nelle notifiche. Ad esempio, alcuni nomi di virus Unicode potrebbero contenere caratteri a doppio byte. Nei computer client con un sistema operativo in italiano, questi caratteri compaiono come punti interrogativi. Per scansioni Auto-Protect dell' , è anche possibile configurare le seguenti opzioni: Aggiungi avvisi al messaggio di infetto Invia ai mittenti una notifica per messaggi di infetti Invia agli utenti una notifica per messaggi infetti. Le notifiche dei risultati della scansione proattiva delle minacce vengono configurate separatamente. Personalizzazione e visualizzazione delle notifiche nei computer infetti È possibile comporre un messaggio personalizzato da visualizzare sul computer infetto quando viene rilevato un virus o un rischio per la sicurezza. È possibile digitare direttamente nel campo del messaggio per aggiungere o modificare il testo. Quando si esegue una scansione remota, è possibile informare l'utente di un problema mostrando un messaggio sullo schermo del computer infetto. Il messaggio di avviso può essere personalizzato con informazioni quali il nome del rischio, il nome del file infetto e lo stato del rischio. Un messaggio di avviso può essere simile al seguente: Tipo scansione: Scansione pianificata Evento: Rischio trovato NomeRischioSicurezza: Stoned-C File: C:\Autoexec.bat Posizione: C: Computer: ACCTG-2 Utente: JSmith Azione intrapresa: Ripulito Nella Tabella 4-5 sono descritti i campi delle variabili disponibili per le notifiche.

82 82 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Tabella 4-5 Campo NomeRischioSicurezza AzioneEseguita Variabili del messaggio di notifica Descrizione Nome del virus o del rischio per la sicurezza rilevato. Azione eseguita in risposta alla rilevazione di un virus o di un rischio per la sicurezza. Può trattarsi della prima o della seconda azione configurata. Stato Stato del file: infetto, non infetto o eliminato. Questa variabile di messaggio non viene utilizzata per impostazione predefinita. Se si desidera che questa informazione venga visualizzata, è necessario aggiungere manualmente la variabile al messaggio. Nomefile PercorsoENomefile Posizione Computer Utente Evento RegistratoDa DataTrovata NomeArchiviazione DescrizioneAzione Nome del file infettato dal virus o interessato dal rischio per la sicurezza. Nome e percorso completo del file infettato dal virus o interessato dal rischio per la sicurezza. Unità del computer nella quale il virus o il rischio per la sicurezza è stato rilevato. Nome del computer in cui è stato rilevato il virus o il rischio per la sicurezza. Nome dell'utente collegato quando è stato rilevato il virus o il rischio per la sicurezza. Tipo di evento, ad esempio Rischio trovato. Tipo di scansione che ha rilevato il virus o il rischio per la sicurezza. Data di rilevazione del virus o del rischio per la sicurezza. Area interessata dell'applicazione, ad esempio Auto-Protect per file system o Auto-Protect per Lotus Notes. Descrizione completa delle azioni eseguite in risposta alla rilevazione del virus o del rischio per la sicurezza. Per mostrare i messaggi di notifica sui computer infetti 1 Nella pagina Politica antivirus e antispyware, fare clic su una delle opzioni seguenti: Scansioni definite dall'amministratore Auto-Protect per file system

83 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 83 Auto-Protect per l' Internet Auto-Protect per Microsoft Outlook Auto-Protect per Lotus Notes 2 Se si è selezionato Scansioni definite dall'amministratore, sulla scheda Scansioni fare clic su Aggiungi o su Modifica. 3 Sulla scheda Notifiche, selezionare Visualizza un messaggio di notifica nel computer infetto e modificare il corpo del messaggio di notifica. 4 Fare clic su OK. Verifica del funzionamento della politica antivirus e antispyware Per verificare che la politica antivirus e antispyware funziona è possibile utilizzare il file eicar.com del virus di prova. Il virus di prova EICAR è un file di testo sviluppato dall'european Institute for Computer Anti-Virus Research (EICAR). Questo file fornisce un modo facile e sicuro per verificare il funzionamento della maggior parte dei software antivirus. È possibile utilizzarlo per verificare che la parte antivirus del client funziona. Per verificare la politica antivirus e antispyware 1 Sul computer client, scaricare il file del virus di prova dal sito Web di EICAR. Questo file è disponibile al seguente URL: 2 Scaricare ed eseguire il file di prova eicar.com. Viene visualizzata una notifica per informare che è stato trovato un rischio. 3 Nella console di Symantec Endpoint Protection Manager, alla pagina Monitor, fare clic su Registri. 4 Nella scheda Registri, nell'elenco a discesa Tipo registro, fare clic su Rischio e fare clic su Visualizza registro. Nella pagina Registro rischi viene visualizzato l'evento Trovato virus. Informazioni sulle scansioni proattive delle minacce TruScan Le scansioni proattive delle minacce TruScan forniscono un livello aggiuntivo di protezione per i computer. La scansione proattiva delle minacce rappresenta un supplemento delle tecnologie di protezione antivirus, antispyware, di prevenzione delle intrusioni e firewall utilizzate.

84 84 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Nota: Il termine "scansione proattiva delle minacce TruScan" è un altro modo di identificare la scansione proattiva delle minacce e potrebbe apparire nell'interfaccia utente. Il significato rimane invariato. Le scansioni antivirus e antispyware si basano principalmente sulle firme per rilevare le minacce note. Le scansioni proattive delle minacce utilizzano metodi euristici per rilevare le minacce sconosciute. Le scansioni euristiche dei processi analizzano il comportamento di un'applicazione o di un processo. La scansione determina se il processo presenta caratteristiche di minacce, quali i Trojan horse, i worm o i keylogger. Alcune volte questo tipo di protezione è indicato come protezione dagli attacchi di tipo zero-day. Nota: anche Auto-Protect utilizza un tipo di euristica denominata Bloodhound per rilevare il comportamento sospetto nei file. Le scansioni proattive delle minacce rilevano il comportamento sospetto nei processi attivi. Le impostazioni relative alle scansioni proattive delle minacce vengono specificate all'interno delle politiche antivirus e antispyware. Molte delle impostazioni possono essere bloccate in modo da impedire agli utenti la modifica delle impostazioni nei computer client. È possibile configurare le seguenti impostazioni: Tipi di minacce da rilevare tramite scansione Frequenza con cui eseguire le scansioni proattive delle minacce Eventuale visualizzazione di notifiche nel computer client al momento della rilevazione proattiva di minacce Le scansioni proattive delle minacce TruScan viene abilitata se sono attivate le due impostazioni Ricerca Trojan horse e worm e Ricerca keylogger. Se una delle due impostazioni è disattivata, la pagina di stato nel client Symantec Endpoint Protection mostra che la protezione TruScan è disattivata. La scansione proattiva delle minacce viene attivata per impostazione predefinita. Nota: poiché le scansioni proattive delle minacce analizzano le applicazioni e i processi alla ricerca di comportamenti anomali, possono incidere sulle prestazioni del computer.

85 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 85 Informazioni sull'utilizzo delle impostazioni predefinite di Symantec È possibile decidere il modo in cui gestire le rilevazioni proattive delle minacce. È possibile utilizzare le impostazioni predefinite di Symantec o specificare il livello di sensibilità e l'azione di rilevazione. Se si sceglie di consentire a Symantec di gestire le rilevazioni, il software client determina l'azione e il livello di sensibilità. Il motore di scansione che viene eseguito sul computer client determina l'impostazione predefinita. Se invece l'utente sceglie di gestire le rilevazioni, è possibile impostare una singola azione di rilevazione e un livello di sensibilità specifico. Per ridurre al minimo i falsi positivi, Symantec consiglia di utilizzare inizialmente le impostazioni predefinite gestite da Symantec. Dopo un certo periodo di tempo, è possibile osservare il numero dei falsi positivi rilevati dai client. Se il numero è basso, sarà possibile regolare gradualmente le impostazioni di scansione proattiva delle minacce. Per esempio, per la rilevazione di Trojan horse e worm, può risultare utile spostare il dispositivo di scorrimento della sensibilità leggermente più in alto rispetto all'impostazione predefinita. È possibile osservare i risultati della scansione proattiva delle minacce una volta impostata la nuova configurazione. Vedere "Informazioni sulle rilevazioni proattive delle minacce TruScan" a pagina 90. Vedere "Impostazione delle azioni e dei livelli di sensibilità per rilevare Trojan horse, worm e keylogger" a pagina 92. Informazioni sui processi rilevati tramite le scansioni proattive delle minacce TruScan Le scansioni proattive delle minacce rilevano i processi con comportamento simile a quello dei Trojan horse, dei worm o dei keylogger. I processi mostrano in genere un tipo di comportamento che una minaccia può sfruttare, quale l'apertura della porta sul computer dell'utente. È possibile configurare le impostazioni per alcuni tipi di rilevazioni proattive delle minacce. È possibile attivare o disattivare la rilevazione dei processi che si comportano come i Trojan horse, i worm, o i keylogger. Per esempio, è possibile che si desideri rilevare i processi che si comportano come i Trojan horse ed i worm, ma non i processi che si comportano come le applicazioni keylogger. Symantec gestisce un elenco delle applicazioni commerciali che potrebbero essere utilizzate per scopi nocivi. L'elenco comprende le applicazioni commerciali che registrano le battute dell'utente sulla tastiera. Comprende anche le applicazioni che controllano a distanza un computer client. È possibile che si desideri sapere se questi tipi di applicazioni sono installati sui computer client. Per impostazione

86 86 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware predefinita le scansioni proattive delle minacce rilevano queste applicazioni e registrano l'evento. È possibile specificare diverse azioni di risoluzione. È possibile configurare il tipo di azione risolutiva che il client intraprende quando rileva tipi particolari di applicazioni commerciali. Le rilevazioni comprendono le applicazioni commerciali che monitorano o registrano le sequenze di digitazione dell'utente o che controllano in remoto il computer dell'utente. Se una scansione rileva un keylogger commerciale o un programma commerciale di controllo remoto, il client utilizza l'azione che è impostata nella politica. È anche possibile permettere che l'utente controlli le azioni. Le scansioni proattive delle minacce rilevano anche i processi che si comportano in modo simile all'adware ed allo spyware. Non è possibile configurare il modo in cui le scansioni proattive delle minacce gestiscono questi tipi di rilevazioni. Se le scansioni proattive delle minacce rilevano adware o spyware che si desidera autorizzare nei computer client, è necessario creare un'eccezione centralizzata. In Tabella 4-6 sono descritti i processi rilevati tramite le scansioni proattive delle minacce. Tabella 4-6 Tipo di processi Processi rilevati dalle scansioni proattive delle minacce TruScan Descrizione Trojan horse e worm Processi che presentano le caratteristiche dei Trojan horse o dei worm. Le scansioni proattive delle minacce si avvalgono dell'euristica per cercare i processi che si comportano come Trojan horse o worm. Questi processi possono essere minacce o meno. Keylogger Processi che presentano le caratteristiche dei keylogger. Le scansioni proattive delle minacce rilevano non solo i keylogger commerciali, ma anche processi sconosciuti che presentano un comportamento simile ai keylogger. I keylogger sono applicazioni che controllano la pressione dei tasti e registrano le singole battute degli utenti. Queste applicazioni possono essere utilizzate per raccogliere le informazioni sulle password ed altre informazioni vitali. Possono essere o non essere minacce. Applicazioni commerciali Applicazioni commerciali note che potrebbero essere utilizzate con intenti nocivi. Le scansioni proattive delle minacce rilevano vari tipi di applicazioni commerciali. È possibile configurare le azioni per due tipi: keylogger e programmi di controllo remoto.

87 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 87 Tipo di processi Adware e spyware Descrizione Processi che presentano le caratteristiche di adware e spyware Le scansioni proattive delle minacce si avvalgono dell'euristica per rilevare i processi sconosciuti che si comportano come adware e spyware. Questi processi possono essere rischi o meno. È possibile configurare se il software client invia a Symantec le informazioni sulle rilevazioni proattive delle minacce. Questa impostazione può essere inclusa in una politica antivirus e antispyware. Informazioni sulla gestione dei falsi positivi rilevati dalle scansioni proattive delle minacce TruScan A volte le scansioni proattive delle minacce TruScan restituiscono falsi positivi. Queste scansioni cercano applicazioni e processi con un comportamento sospetto piuttosto che virus o rischi per la sicurezza noti. Per loro natura, queste scansioni contrassegnano spesso elementi che non si desidera rilevare. Per la rilevazione dei Trojan horse, worm, o keylogger, è possibile scegliere di utilizzare l'azione ed i livelli di sensibilità predefiniti specificati da Symantec. O è possibile scegliere di gestire autonomamente le azioni di rilevazione ed i livelli di sensibilità. Se si sceglie la gestione autonoma, si rischia la rilevazione di molti falsi positivi. Se si desidera gestire autonomamente le azioni ed i livelli di sensibilità, è necessario essere informati dei possibili effetti sulla rete di sicurezza. Nota: se si cambia il livello di sensibilità, si cambia il numero totale delle rilevazioni. Se si cambia il livello di sensibilità, è possibile ridurre il numero dei falsi positivi che le scansioni proattive delle minacce producono. Symantec consiglia che se si cambiano i livelli di sensibilità, si proceda per gradi monitorando i risultati. Se una scansione proattiva delle minacce rileva un processo per il quale si è certi che non rappresenti un problema, è possibile creare un'eccezione. Un'eccezione assicura che le scansioni future non segnalino il processo. Gli utenti sui computer client possono a loro volta creare le eccezioni. Se esiste un conflitto fra un'eccezione definita dall'utente e un'eccezione definita dall'amministratore, l'eccezione definita dall'amministratore ha la precedenza. La Tabella 4-7 descrive le attività per la creazione del piano di gestione dei falsi positivi.

88 88 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Tabella 4-7 Operazione Piano di gestione dei falsi positivi Descrizione Assicurare che Symantec gestisca la rilevazione di Trojan horse, worm e keylogger. Le politiche antivirus e antispyware comprendono le impostazioni gestite da Symantec. Questa impostazione è attivata per impostazione predefinita. Quando questa impostazione è attivata, Symantec determina i provvedimenti da prendere per le rilevazioni di questi tipi di processi. Symantec determina anche il livello di sensibilità utilizzato per la scansione di tali processi. Quando Symantec gestisce le rilevazioni, le scansioni proattive delle minacce effettuano un'azione che è basata su come la scansione interpreta la rilevazione. La scansione applica una delle seguenti azioni alla rilevazione: Quarantena la scansione utilizza questa azione per le rilevazioni che sono probabilmente vere minacce. Solo registrazione la scansione utilizza questa azione per le rilevazioni che probabilmente sono falsi positivi. Nota: se si sceglie di gestire l'azione di rilevazione, scegliere un'azione. Quell'azione è sempre utilizzata per quel tipo di rilevazione. Se si imposta l'azione su Quarantena, il client mette in quarantena tutte le rilevazioni di quel tipo. Assicurarsi che il contenuto Symantec è attuale. Verificare che i computer che producono i falsi positivi abbiano il contenuto Symantec più aggiornato. Il contenuto aggiornato comprende informazioni sui processi che Symantec ha determinato essere falsi positivi conosciuti. Questi falsi positivi conosciuti vengono esclusi dalla rilevazione della scansione proattiva delle minacce. È possibile eseguire un report nella console per verificare quali computer stanno eseguendo l'ultima versione del contenuto. È possibile aggiornare il contenuto eseguendo una qualsiasi delle seguenti azioni: Applicare una politica di LiveUpdate. Vedere "Informazioni sulle politiche di LiveUpdate" a pagina 62. Eseguire il comando Aggiorna per i computer selezionati che sono elencati sulla scheda Client. Eseguire il comando Aggiorna sui computer selezionati che sono elencati nel registro dello stato o dei rischi del computer

89 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 89 Operazione Assicurare che gli invii siano attivati. Descrizione Le impostazioni per gli invii sono incluse come componente della politica antivirus e antispyware. Verificare che i computer client siano configurati per inviare automaticamente le informazioni a Symantec Security Response circa i processi rilevati dalle scansioni proattive delle minacce. Questa impostazione è attivata per impostazione predefinita. Creare eccezioni per i falsi positivi che vengono scoperti. È possibile creare una politica che comprenda eccezioni per i falsi positivi scoperti. Per esempio, è possibile eseguire un determinato processo o applicazione nella rete di sicurezza. Si sa che il processo può essere eseguito con sicurezza nell'ambiente locale. Se le scansioni proattive delle minacce TruScan rilevano il processo, è possibile creare un'eccezione in modo che le scansioni future non rilevino il processo. Informazioni sui processi ignorati dalle scansioni proattive delle minacce TruScan Le scansioni proattive delle minacce TruScan autorizzano alcuni processi e li escludono dalla scansione. Symantec mantiene l'elenco di tali processi. In genere nell'elenco vengono riportate le applicazioni che rappresentano falsi positivi noti. I computer client nella rete di sicurezza ricevono periodicamente aggiornamenti dell'elenco quando scaricano nuovo contenuto. I computer client possono scaricare il contenuto in diversi modi. Il server di gestione può inviare il contenuto aggiornato. È inoltre possibile eseguire LiveUpdate nei computer client. Le scansioni proattive delle minacce TruScan ignorano alcuni processi. Questi processi potrebbero includere le applicazioni per cui Symantec non ha abbastanza informazioni o le applicazioni che caricano altri moduli. È anche possibile specificare che le scansioni proattive delle minacce TruScan ignorino determinati processi. Per specificare l'esclusione di determinati processi dalle scansioni proattive delle minacce, è necessario creare un'eccezione centralizzata. Anche gli utenti nei computer client possono creare eccezioni per le scansioni proattive delle minacce. Se un'eccezione definita dall'amministratore è in conflitto con un'eccezione definita dall'utente, nelle scansioni proattive delle minacce viene considerata unicamente l'eccezione definita dall'amministratore. La scansione ignora l'eccezione dell'utente.

90 90 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Informazioni sulle rilevazioni proattive delle minacce TruScan Quando una scansione proattiva delle minacce TruScan rileva processi che contrassegna come potenzialmente nocivi, alcuni dei processi sono spesso processi legittimi. Alcune rilevazioni non forniscono abbastanza informazioni per essere caratterizzate come una minaccia o falso positivo; questi processi sono considerati "sconosciuti". Una scansione proattiva delle minacce esamina il funzionamento dei processi attivi al momento dell'esecuzione della scansione. Il motore di scansione cerca comportamenti quali apertura di porte o catture di sequenze di dati digitati. Se un processo implica un numero sufficiente di comportamenti di questo tipo, la scansione contrassegna il processo come potenziale minaccia. La scansione non contrassegna il processo se il processo non mostra comportamenti sospetti durante la scansione. Per impostazione predefinita, le scansioni proattive delle minacce rilevano i processi che si comportano come i Trojan horse e i worm o i processi che si comportano come keylogger. È possibile attivare o disattivare questi tipi di rilevazioni in una politica antivirus e antispyware. Nota: le impostazioni di scansione proattiva delle minacce non hanno effetto sulle scansioni antivirus e antispyware, che utilizzano le firme per rilevare i rischi conosciuti. Il client rileva in primo luogo i rischi conosciuti. Il client utilizza le impostazioni predefinite di Symantec per determinare l'azione da eseguire per gli elementi rilevati. Se il motore di scansione determina che l'elemento non deve essere riparato, il client registra la rilevazione. Se il motore di scansione determina che l'elemento dovrebbe essere riparato, il client mette in quarantena l'elemento. Nota: le opzioni Ricerca trojan e worm e Ricerca keylogger non sono attualmente supportate in sistemi operativi Windows Server. È possibile modificare le opzioni nella politica antivirus e antispyware per i client che eseguono su sistemi operativi server, ma le scansioni non vengono eseguite. Nell'interfaccia utente client sui sistemi operativi server, le opzioni di scansione appaiono non disponibili. Se si attivano le opzioni di scansione nella politica, le opzioni sono selezionate e non disponibili. Le impostazioni predefinite di Symantec vengono inoltre utilizzate per determinare la sensibilità della scansione proattiva delle minacce. Quando il livello di sensibilità è più alto, vengono contrassegnati più processi. Quando il livello di sensibilità è più basso, vengono contrassegnati meno processi. Il livello di sensibilità non indica

91 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware 91 il livello di certezza della rilevazione. Inoltre non ha effetto sulla percentuale di rilevazioni di falsi positivi. Maggiore è il livello di sensibilità, maggiore sarà il numero di falsi positivi e veri positivi che la scansione rileva. È necessario utilizzare le impostazioni predefinite di Symantec per ridurre il numero di falsi positivi rilevati. È possibile disattivare le impostazioni predefinite di Symantec. Quando si disattivano le impostazioni predefinite di Symantec, è possibile configurare le azioni e il livello di sensibilità per la rilevazione dei Trojan horse, dei worm o dei keylogger. Nell'interfaccia utente del client, le impostazioni predefinite che compaiono non corrispondono alle impostazioni predefinite di Symantec. Corrispondono alle impostazioni predefinite che sono utilizzate per la gestione manuale delle rilevazioni. Per le applicazioni commerciali, è possibile specificare le azioni che il client esegue quando una scansione proattiva delle minacce fa una rilevazione. È possibile specificare azioni separate per la rilevazione di un keylogger commerciale e la rilevazione di un'applicazione commerciale per il controllo remoto. Nota: gli utenti di computer client possono modificare le impostazioni di scansione proattiva delle minacce se le impostazioni sono sbloccate nella politica antivirus e antispyware. Nel computer client, le impostazioni di scansione proattiva delle minacce TruScan compaiono in Protezione proattiva dalle minacce. Configurazione dei tipi di processi rilevati dalle scansioni proattive delle minacce TruScan Per impostazione predefinita, le scansioni proattive delle minacce TruScan rilevano i Trojan horse, i worm e i keylogger. È possibile disattivare la rilevazione dei Trojan horse e dei worm oppure dei keylogger. Per ulteriori informazioni sulle opzioni del tipo di processo della scansione, è possibile fare clic su?. Per specificare i tipi di processi rilevati dalle scansioni proattive delle minacce TruScan 1 Nella pagina Politica antivirus e antispyware, fare clic su Scansioni proattive delle minacce TruScan. 2 Nella scheda Dettagli scansione, sotto Scansione, selezionare o deselezionare Ricerca Trojan e worm e Ricerca keylogger. 3 Fare clic su OK.

92 92 Creazione delle politiche Impostazione e prova di una politica antivirus e antispyware Impostazione delle azioni e dei livelli di sensibilità per rilevare Trojan horse, worm e keylogger Le scansioni proattive delle minacce TruScan differiscono dalle scansioni antivirus e antispyware. Le scansioni antivirus e antispyware cercano i rischi noti. Le scansioni proattive delle minacce cercano i rischi non noti in base al comportamento di determinati tipi di processi o applicazioni. Le scansioni rilevano qualsiasi comportamento simile a quello di Trojan horse, worm o keylogger. Quando la gestione delle rilevazioni viene effettuata automaticamente dal programma, l'azione di rilevazione è Quarantena per i veri positivi e Registra soltanto per i falsi positivi. Quando invece le rilevazioni vengono gestite dall'utente, è possibile configurare l'azione di rilevazione desiderata. Tale azione viene utilizzata ogni volta che viene eseguita una rilevazione tramite la scansione proattiva delle minacce. Ad esempio è possibile specificare che il client Symantec Endpoint Protection registra la rilevazione dei processi con comportamento simile a quello di Trojan horse e worm. Quando il client esegue una rilevazione, non mette in quarantena il processo, ma registra soltanto l'evento. È possibile configurare il livello di sensibilità. Quando è impostato un livello di sensibilità più alto, le scansioni proattive delle minacce eseguono più rilevazioni (veri positivi e falsi positivi). Nota: se si attivano queste impostazioni, si rischia di rilevare molti falsi positivi. È necessario essere consapevoli dei tipi di processi eseguiti nella rete di sicurezza. È possibile fare clic su Guida per maggiori informazioni sulle opzioni di azione e di sensibilità della scansione. Per specificare l'azione e la sensibilità per Trojan horse, worm o keylogger 1 Nella pagina della politica antivirus e antispyware, fare clic su Scansioni proattive delle minacce TruScan. 2 Nella scheda Dettagli scansione, in Scansione, assicurarsi che le opzioni Ricerca Trojan e worm e Ricerca keylogger siano selezionate. 3 Per l'uno o l'altro tipo di rischio, deselezionare Usa impostazioni predefinite di Symantec.

93 Creazione delle politiche Impostazione e prova di una politica del firewall 93 4 Per l'uno o l'altro tipo di rischio, impostare l'azione su Registra, Quarantena o Termina. Se un'azione è impostata su Quarantena o Termina, verranno inviate notifiche, se attivate. Le notifiche sono attivate per impostazione predefinita. Utilizzare con cautela l'azione Termina. In alcuni casi, ciò potrebbe compromettere le funzionalità di un'applicazione. 5 Eseguire una delle seguenti operazioni: Spostare il dispositivo di scorrimento verso sinistra o destra per ridurre o aumentare rispettivamente la sensibilità. Fare clic su Basso o Alto. 6 Fare clic su OK. Specifica delle azioni per le rilevazioni di applicazioni commerciali È possibile cambiare l'azione che viene eseguita quando una scansione proattiva delle minacce TruScan effettua una rilevazione. Se l'azione è stata impostata su Ignora, le scansioni proattive delle minacce ignorano le applicazioni commerciali. Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare clic su?. Per specificare le azioni per la rilevazione di applicazioni commerciali 1 Nella pagina Politica antivirus e antispyware, fare clic su Scansioni proattive delle minacce TruScan. 2 Sulla scheda Dettagli scansione, sotto Rilevamento di applicazioni commerciali in corso, impostare l'azione Ignora, Registra, Termina o Quarantena. 3 Fare clic su OK. Impostazione e prova di una politica del firewall È possibile configurare il firewall dei computer client utilizzando una politica del firewall. Una politica del firewall offre i seguenti tipi di protezione per i computer client: Le regole del firewall controllano il modo in cui il firewall protegge i computer da traffico in entrata e applicazioni nocivi. Il firewall controlla automaticamente se tutti i pacchetti in entrata e in uscita soddisfano queste regole o meno. Il firewall quindi autorizza o blocca i pacchetti in base alle informazioni specificate nelle regole.

94 94 Creazione delle politiche Impostazione e prova di una politica del firewall I filtri intelligenti dal traffico permettono il traffico di DHCP, del DNS e di WINS. Le impostazioni del traffico e della modalità stealth rilevano e bloccano il traffico che viene da determinati driver, protocolli e altre origini. L'autenticazione peer-to-peer impedisce a un computer remoto di connettersi a un computer client fino a quando il computer client non ha autenticato il computer remoto. L'autenticazione peer-to-peer funziona con la Politica di integrità dell'host. Tabella 4-8 Procedura per impostare e provare una politica del firewall Per effettuare questa operazione Operazione 1 Operazione 2 Operazione 3 Operazione 4 Descrizione Creare una politica del firewall per consentire o bloccare un'applicazione. Assegnare la politica a un gruppo. Controllare che la politica sia aggiornata sui client. Verificare che la politica del firewall funziona. Si veda questa sezione Vedere "Creazione di una politica del firewall per consentire o bloccare un'applicazione." a pagina 95. Vedere "Assegnazione di una politica condivisa" a pagina 72. Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73. Vedere "Prova della politica del firewall" a pagina 97. Informazioni sulle regole firewall Le regole firewall determinano la modalità di protezione del computer client dal traffico nocivo in entrata e in uscita. Il firewall confronta automaticamente tutti i pacchetti in entrata e in uscita con queste regole. Il firewall quindi autorizza o blocca i pacchetti in base alle informazioni che sono specificate nelle regole. Quando un computer cerca di connettersi a un altro computer, il firewall confronta il tipo di connessione con il relativo elenco di regole firewall. Informazioni sugli elementi di una regola firewall In generale le regole firewall descrivono le condizioni in cui una connessione di rete può essere consentita o negata. Per definire una regola firewall si utilizzano i seguenti criteri:

95 Creazione delle politiche Impostazione e prova di una politica del firewall 95 Trigger Applicazioni, host, protocolli e schede di rete. Quando il firewall valuta la regola, affinché si verifichi una corrispondenza valida è necessario che tutti i trigger siano validi. Se un qualsiasi trigger non è valido rispetto all'attuale pacchetto, il firewall non può applicare la regola. È possibile associare le definizioni di trigger per formare regole più complesse, ad esempio per identificare un protocollo particolare in relazione a un indirizzo di destinazione specifico. Condizioni Pianificazione e stato dello screen saver. I parametri condizionali non descrivono un aspetto di una connessione di rete ma determinano lo stato attivo di una regola. È possibile impostare una pianificazione o identificare uno stato dello screen saver in base a cui una regola è considerata attiva o disattiva. I parametri condizionali sono facoltativi e se non sono stati definiti non sono significativi. Il firewall non valuta le regole inattive. Azioni Autorizza o blocca e registra o non registra. I parametri di azione specificano le azioni eseguite dal firewall quando il firewall identifica una corrispondenza valida di una regola. Se la regola corrisponde e viene selezionata in risposta a un pacchetto ricevuto, il firewall effettua tutte le azioni. Il firewall autorizza o blocca il pacchetto e registra o non registra il pacchetto. Se consente il traffico, il firewall autorizza l'accesso alla rete del traffico specificato dalla regola. Se blocca il traffico, il firewall blocca l'accesso alla rete del traffico specificato dalla regola. Una regola che unisce tutti i criteri potrebbe autorizzare il traffico all'indirizzo IP sulla porta remota 80 fra le 9.00 e le di ogni giorno. Creazione di una politica del firewall per consentire o bloccare un'applicazione. È possibile creare una regola in una politica del firewall per consentire o bloccare un'applicazione specifica su un computer client. Ad esempio, è possibile consentire o impedire che Internet Explorer si connetta a risorse fuori dal firewall aggiungendo una regola a una politica del firewall. È inoltre possibile creare regole per consentire o bloccare tipi specifici di traffico, comunicazioni dell'host o servizi di rete. Quando si crea una regola, per impostazione predefinita viene impostata per consentire l'applicazione specificata. È possibile modificare la regola per bloccare l'applicazione dopo che è stata creata.

96 96 Creazione delle politiche Impostazione e prova di una politica del firewall Nota: Per verificare la regola creata in questa procedura, Internet Explorer deve essere installato sul computer client. Per creare una politica del firewall per consentire o bloccare un'applicazione 1 Nella console, fare clic su Politiche. 2 Nella pagina Politiche, sotto Visualizza politiche, fare clic su Firewall. 3 Sotto Attività, fare clic su Aggiungi politica firewall. 4 Specificare un nome e una descrizione facoltativa per la politica. 5 Confermare che Attiva questa politica sia selezionata. 6 Nella pagina della politica firewall, fare clic su Regole. 7 Nell'elenco Regole della scheda Regole, fare clic su Aggiungi regola. 8 Nell'Aggiunta guidata regola firewall, fare clic su Avanti. 9 Nel pannello Seleziona tipo di regola, selezionare Applicazione e quindi fare clic su Avanti. 10 Nel pannello Specifica le informazioni relative all'applicazione, selezionare Definisci un'applicazione e quindi fare clic su Avanti. 11 Nel pannello Definisci un'applicazione, nel campo Nome file, digitare iexplore.exe. È inoltre possibile cercare il file o digitare il percorso completo del file nel campo. 12 Facoltativamente, fornire i valori per i campi Descrizione file, Dimensioni, Ultima modifica e File fingerprint. 13 Fare clic su Avanti. 14 Fare clic su Fine per chiudere la procedura guidata. 15 Per configurare la regola per bloccare Internet Explorer, selezionare la regola che elenca iexplorer.exe nella colonna Applicazione. Dovrebbe essere l'ultima riga sopra la riga blu nella tabella. 16 Fare clic con il pulsante destro del mouse su Consenti nella colonna Azione e quindi selezionare Blocca. 17 Nella pagina Regole, fare clic su OK. 18 Assegnare la politica a un gruppo. Vedere "Assegnazione di una politica condivisa" a pagina 72.

97 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata 97 Prova della politica del firewall È possibile provare la politica del firewall aggiornata sul computer client aprendo Internet Explorer e cercando di accedere al sito Web di Symantec all'indirizzo È necessario utilizzare un computer client da cui è possibile connettersi ai siti Web di Internet. Se la regola per bloccare Internet Explorer è stata aggiornata con successo sul client, il browser cerca di accedere alla pagina per parecchi secondi e quindi visualizza un messaggio che indica che la pagina Web o il server non può essere trovato. È possibile confermare che è la regola che blocca la comunicazione disattivando la Protezione dalle minacce di rete sul client. Quando la protezione è disattivata, aprire una nuova finestra di Internet Explorer e provare ad accedere al sito Web di Symantec. Quando il sito Web è caricato, attivare la Protezione dalle minacce di rete e quindi provare ad aggiornare la pagina Web. Dopo parecchi secondi, il browser visualizza di nuovo un messaggio che indica che la pagina o il server non possono essere trovati. Impostazione e prova di una libreria IPS personalizzata Una libreria IPS personalizzata è una raccolta di firme IPS personalizzate. È possibile creare firme IPS personalizzate per complementare o sostituire le firme IPS Symantec nella Politica di prevenzione delle intrusioni. Tabella 4-9 Procedura per impostare e provare una libreria IPS personalizzata Per effettuare questa operazione Descrizione Si veda questa sezione Operazione 1 Leggere in merito alle firme IPS personalizzate e a come scrivere la sintassi delle firme IPS personalizzate di esempio. Le due firme rilevano i tentativi di scaricare i file MP3 con un browser Web e con FTP. Vedere "Informazioni sulle firme IPS personalizzate" a pagina 98. Vedere "Informazioni sulla creazione di firme IPS personalizzate per rilevare i tentativi di scaricare file MP3" a pagina 100. Operazione 2 Creare la libreria IPS personalizzata e aggiungere una firma IPS personalizzata. Vedere "Creazione di firme IPS personalizzate" a pagina 102.

98 98 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata Per effettuare questa operazione Operazione 3 Operazione 4 Operazione 5 Descrizione Assegnare la politica a un gruppo. Controllare che la politica sia aggiornata sui client. Verificare che la firma IPS personalizzata funziona. Si veda questa sezione Vedere "Assegnazione di una politica condivisa" a pagina 72. Vedere "Assegnazione di più librerie personalizzate IPS ad un gruppo" a pagina 105. Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73. Vedere "Prova della firma IPS personalizzata" a pagina 106. Informazioni sulle firme IPS personalizzate Il client contiene un motore IPS aggiuntivo che supporta le firme basate sul pacchetto. Sia i motori basati sul flusso che quelli basati sul pacchetto rilevano le firme nei dati della rete che attaccano lo stack TCP/IP, i componenti del sistema operativo e le applicazioni. Le firme basate sul pacchetto possono tuttavia rilevare gli attacchi allo stack TCP/IP prima delle firme basate sul flusso. Il motore basato su pacchetti non rileva le firme suddivise in più pacchetti. Il motore IPS basato su pacchetti è più limitato, perché non memorizza nel buffer le corrispondenze parziali e sottopone a scansione solo i payload di singoli pacchetti. Le firme basate su pacchetti esaminano un singolo pacchetto corrispondente a una regola. La regola è basata su vari criteri, quali porta, protocollo, origine o indirizzo IP di destinazione, numero del flag TCP o un'applicazione. Ad esempio, una firma personalizzata può monitorare i pacchetti di informazioni ricevuti per la stringa "phf" in GET/cgi-bin/phf? come indicatore di un attacco al programma CGI. Ogni pacchetto viene valutato per quel profilo specifico. Se il pacchetto di traffico corrisponde alla regola, il client autorizza o blocca il pacchetto e facoltativamente registra l'evento nel registro pacchetti. Una firma IPS personalizzata comprende le seguenti parti: Nome descrittivo Il nome e la descrizione compaiono in Registro sicurezza e facoltativamente nel Registro pacchetti. Descrizione facoltativa

99 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata 99 Gravità Fornisce un livello di gravità per l'evento in Registro sicurezza se l'evento attiva la firma. Direzione traffico Contenuto Il contenuto è la sintassi. Utilizzare la seguente sintassi standard: regola tipo-di-protocollo, [opzioni-protocollo,] [opzioni-protocollo-ip,] messaggio, contenuto regola tipo-di-protocollo, [opzioni-protocollo,] [opzione-protocollo-ip,] = descrizione del traffico messaggio = la stringa di testo che compare in Registro sicurezza. contenuto = la stringa che viene confrontata con il componente del payload nel pacchetto per individuare una possibile corrispondenza. Applicazione facoltativa Facoltativamente, è possibile fornire il nome dell'applicazione che attiva la firma. Il motore IPS può quindi confrontare la firma solo per le applicazioni specificate anziché per tutte le applicazioni. Fornendo il nome dell'applicazione è possibile contribuire anche a ridurre i falsi positivi che altre applicazioni possono creare. Azione da intraprendere quando l'evento attiva la firma. Quando una firma è attivata, il traffico viene permesso o bloccato e questa azione viene registrata in Registro sicurezza. Bloccare il traffico se la gravità è alta. Permettere il traffico se si desidera solo monitorare il traffico. Se desiderato, è possibile scrivere l'evento nel Registro pacchetti. Il Registro pacchetti contiene un dump del pacchetto della transazione. Le firme possono causare falsi positivi in quanto sono spesso basate su espressioni regolari e corrispondenze di stringhe. Le firme personalizzate utilizzano entrambi i criteri per eseguire la ricerca di stringhe durante il tentativo di trovare corrispondenze per il pacchetto. Il client non include firme personalizzate per impostazione predefinita. È l'utente a creare firme IPS personalizzate. Vedere "Creazione di firme IPS personalizzate" a pagina 102.

100 100 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata Informazioni sulla creazione di firme IPS personalizzate per rilevare i tentativi di scaricare file MP3 È possibile creare firme IPS personalizzate di esempio per rilevare un tentativo di accedere e scaricare file MP3 con un browser Web o con FTP. Per rilevare un file MP3 e quindi per bloccarne l'accesso, scrivere due firme. Una firma rileva i file MP3 attraverso il servizio HTTP. La seconda firma rileva i file MP3 attraverso il servizio FTP. Il formato dei file MP3 rende difficile rilevarli nel traffico di rete. Tuttavia, è possibile visualizzare i pacchetti TCP per trovare i comandi e i protocolli che sono utilizzati per recuperare i file MP3. È possibile quindi utilizzare queste informazioni per creare la sintassi per una firma IPS personalizzata. La seguente figura visualizza un'acquisizione del pacchetto di una richiesta GET di HTTP per un file MP3: Durante la sessione FTP o HTTP, il server e il client si scambiano informazioni. Le informazioni sono contenute nei pacchetti TCP che sono destinati al servizio appropriato sul server. Il servizio HTTP usa la porta 80 e il servizio FTP la porta 21. I pacchetti TCP contengono le informazioni richieste in un componente del payload. I pacchetti evidenziati mostrano il comando GET di HTTP che un browser Web utilizza quando scarica i file. Il client FTP utilizza il comando RETR di FTP per scaricare i file. Il comando FTP è utilizzato anche quando file multipli sono richiamati utilizzando il comando MGET. Il nome del file e la rispettiva estensione mp3 sono presenti in entrambe le richieste. Entrambi i protocolli inseriscono caratteri [CR] [LF] per contrassegnare la fine della richiesta. Le firme personalizzate devono anche contenere parecchi parametri, compresa un'espressione regolare che identifica i comandi specifici che devono essere bloccati. Le espressioni regolari sono profili dei caratteri che sono confrontati con il contenuto del pacchetto. I comandi che si desidera bloccare sono contenuti in questi pacchetti. Poiché non si conosce il nome del file MP3, è possibile utilizzare il carattere jolly (*) per confrontare il numero sconosciuto di caratteri nel comando

101 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata 101 con il nome del file. Il comando deve essere in lettere minuscole, ma l'estensione del file può essere sia maiuscola che minuscola. Utilizzare la sintassi standard per scrivere il contenuto: regola tipo-di-protocollo, [opzioni-protocollo,] [opzioneprotocollo-ip,] msg, contenuto Il contenuto della firma HTTP contiene la seguente sintassi: rule tcp, dest=(80,443), tcp_flag&ack, saddr=$localhost, msg="mp3 GET in HTTP rilevato", regexpcontent="[gg][ee][tt].*[mm][pp]3.*\x0d\x0a" Il contenuto della firma FTP contiene la seguente sintassi: rule tcp, dest=(21), tcp_flag&ack, saddr=$localhost, msg="mp3 GET in FTP rilevato", regexpcontent="[rr][ee][tt][rr].*[mm][pp]3\x0d\x0a" Tabella 4-10 suddivide le parti della firma HTTP e della firma FTP. Tabella 4-10 Sintassi della firma HTTP e della firma FTP Utilizzare la seguente sintassi Per la firma HTTP: rule tcp dest=(80,443) Per la firma FTP: rule tcp dest=(21) tcp_flag& ack Per effettuare la seguente attività Indica al motore basato su pacchetti in quale traffico cercare. In questo modo il motore non cerca nel traffico inutile e non consuma le risorse del sistema. Più informazioni dettagliate si forniscono, più aumentano le prestazioni del motore basato su pacchetti. Questo argomento limita le porte di destinazione alla 80 e alla 443 per il servizio HTTP e alla 21 per il servizio FTP. Riduce i falsi positivi. saddr=$localhost Assicura che la richiesta origini nell'host. Per la firma HTTP: msg="mp3 GET in HTTP" Per la firma FTP: msg="mp3 GET in FTP" Visualizzare il nome della firma quando la firma viene attivata. Il nome compare in Registro sicurezza. Utilizzare una stringa descrittiva in modo da identificare la firma attivata nel registro.

102 102 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata Utilizzare la seguente sintassi Per la firma HTTP: regexpcontent="[gg][ee][tt].*[mm][pp]3.*\x0d\x0a" Per effettuare la seguente attività Confronta questa stringa nel traffico HTTP o nel traffico FTP con il payload nei pacchetti TCP. Per ridurre i falsi positivi, utilizzare con attenzione questo argomento. Per la firma FTP: La stringa confronta il testo ASCII del pacchetto TCP, cioè "GET [.*].mp3[cr][lf]" per la firma regexpcontent="[rr][ee][tt][rr] HTTP e "RETR [.*].mp3[cr][lf]" per la firma.*[mm][pp]3\x0d\x0a" FTP. La stringa è scritta in modo da non fare distinzione fra maiuscole e minuscole. Creazione di firme IPS personalizzate È possibile scrivere firme personalizzate per identificare un'intrusione specifica e ridurre la possibilità di firme che causano un falso positivo. Più informazioni è possibile aggiungere a una firma personalizzata, più efficace sarà la firma. Quando si crea una libreria personalizzata, è possibile organizzare le firme in gruppi per maggiore facilità di gestione. È necessario aggiungere almeno un gruppo di firme a una libreria di firme personalizzate per potere aggiungere firme a un gruppo. È possibile copiare e incollare firme fra vari gruppi e librerie. Avvertimento: per sviluppare firme di prevenzione delle intrusioni, è necessario conoscere i protocolli TCP, UDP o ICMP. Una firma creata in modo errato può danneggiare la libreria IPS personalizzata e l'integrità dei client. Per creare firme IPS personalizzate, è necessario effettuare le seguenti operazioni: Creare una libreria IPS personalizzata. Aggiungere una firma. Per creare una libreria IPS personalizzata 1 Nella console, fare clic su Politiche e quindi su Prevenzione intrusioni. 2 In Attività, fare clic su Aggiungi firme di prevenzione delle intrusioni personalizzate. 3 Nella finestra di dialogo Firme di prevenzione delle intrusioni personalizzate, immettere un nome e una descrizione facoltativa per la libreria. Il Gruppo NetBIOS è un gruppo di firme di esempio con una firma di esempio. È possibile modificare il gruppo esistente o aggiungerne uno nuovo.

103 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata Per aggiungere un nuovo gruppo, nella scheda Firme, nell'elenco Gruppi di firme, fare clic su Aggiungi. 5 Nella finestra di dialogo Gruppo di firme di prevenzione delle intrusioni, immettere un nome per il gruppo e una descrizione facoltativa, quindi fare clic su OK. Il gruppo è attivato per impostazione predefinita. Se il gruppo di firme è attivato, tutte le firme presenti nel gruppo vengono attivate automaticamente. Se si desidera disattivare il gruppo, pur conservandolo per riferimento, deselezionare Attiva questo gruppo. 6 Aggiungere una firma personalizzata. Per aggiungere una firma personalizzata 1 Creare una libreria IPS personalizzata. 2 Nella scheda Firme, in Firme per questo gruppo, fare clic su Aggiungi. 3 Nella finestra di dialogo Aggiungi firma, immettere un nome e una descrizione facoltativa per la firma. 4 Nell'elenco a discesa Gravità, selezionare un livello di gravità. Gli eventi che corrispondono alle condizioni della firma vengono registrati con questo livello di gravità. 5 Nell'elenco a discesa Direzione, specificare la direzione del traffico che si desidera venga verificata dalla firma.

104 104 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata 6 Nel campo Contenuto, immettere la sintassi della firma. Ad esempio, la firma HTTP comprende la seguente sintassi: rule tcp, dest=(80,443), tcp_flag&ack, saddr=$localhost, msg="mp3 GET in HTTP rilevato", regexpcontent="[gg][ee][tt].*[mm][pp]3.*\x0d\x0a" Per ulteriori informazioni sulla sintassi, fare clic su?. 7 Se si desidera che la firma venga attivata da un'applicazione, fare clic su Aggiungi. 8 Nella finestra di dialogo Aggiungi applicazione, immettere il nome del file e una descrizione facoltativa per l'applicazione. Ad esempio, per aggiungere l'applicazione Microsoft Internet Explorer, immettere come nome di file iexplore o iexplore.exe. Se non si specifica un nome di file, la firma potrà essere attivata da qualsiasi applicazione.

105 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata Fare clic su OK. L'applicazione aggiunta è attivata per impostazione predefinita. Se si desidera disattivare l'applicazione fino a un momento successivo, deselezionare la casella di controllo nella colonna Attivato. 10 Nella casella Gruppo di azioni, selezionare l'azione che si desidera venga effettuata dal client quando la firma rileva l'evento: Blocca Consenti Identifica e blocca l'evento o l'attacco e lo registra nel registro di sicurezza Identifica e permette l'evento o l'attacco e lo registra nel registro di sicurezza 11 Per registrare l'evento o l'attacco nel registro pacchetti, selezionare Scrivi nel registro pacchetti. 12 Fare clic su OK. La firma aggiunta è attivata per impostazione predefinita. Se si desidera disattivare la firma fino a un momento successivo, deselezionare la casella di controllo nella colonna Attivato. 13 Per aggiungere altre firme al gruppo di firme, ripetere i punti da 2 a 12. Ad esempio, la firma FTP comprende la seguente sintassi: rule tcp, dest=(21), tcp_flag&ack, saddr=$localhost, msg="mp3 GET in FTP rilevato", regexpcontent="[rr][ee][tt][rr].*[mm][pp]3\x0d\x0a" Per modificare o eliminare una firma, selezionarla e fare clic su Modifica o Elimina. 14 Al termine della configurazione della libreria, fare clic su OK. 15 Se viene chiesto, assegnare le firme IPS personalizzate a un gruppo. Vedere "Assegnazione di una politica condivisa" a pagina 72. È inoltre possibile assegnare più librerie personalizzate IPS a un gruppo. Vedere "Assegnazione di più librerie personalizzate IPS ad un gruppo" a pagina 105. Assegnazione di più librerie personalizzate IPS ad un gruppo Dopo la creazione di una libreria personalizzata IPS, è possibile assegnarla a un gruppo invece che a una singola posizione. È possibile assegnare successivamente librerie personalizzate IPS aggiuntive al gruppo.

106 106 Creazione delle politiche Impostazione e prova di una libreria IPS personalizzata Per assegnare più librerie personalizzate IPS ad un gruppo 1 Nella console, fare clic su Client. 2 Sotto Visualizza client, selezionare il gruppo a cui si desidera assegnare le firme personalizzate. 3 Nella scheda Politiche, sotto Politiche e impostazioni indipendenti dalla posizione, fare clic su Prevenzione delle intrusioni personalizzata. 4 Nella finestra di dialogo Prevenzione delle intrusioni personalizzata per nome gruppo, selezionare la casella di controllo Attivata per ogni libreria IPS personalizzata che si desidera assegnare al gruppo. 5 Fare clic su OK. Prova della firma IPS personalizzata Per provare le firme IPS personalizzate, effettuare le seguenti attività, in questo ordine: Verificare che la politica sia stata aggiornata sul computer client. La prossima volta che riceve la politica, il client applica le nuove firme IPS. Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73. Provare a scaricare un file MP3 nel computer client. Per provare entrambe le firme, provare a scaricare un file MP3 sia tramite un client FTP che un browser Web. Se lo scaricamento non avviene o viene abbandonato dopo molti tentativi, la firma IPS personalizzata funziona. Visualizzare gli eventi bloccati nella console di Symantec Endpoint Protection Manager. È possibile visualizzare gli eventi registrati nel registro di Protezione dalle minacce di rete dopo che il client ha bloccato lo scaricamento del file MP3.

107 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 107 Per provare a scaricare il file MP3 nel computer client 1 Sul computer client, provare a scaricare un file MP3 in un client FTP. Il client può essere basato su riga di comando o su interfaccia grafica poiché tutti i client esaminati utilizzano lo stesso comando RETR. Il comando scade e il server remoto reimposta la connessione, con conseguente disconnessione del client. 2 Aprire un browser Web quale Internet Explorer e provare a scaricare un file MP3. Lo scaricamento non dovrebbe essere eseguito. Il client registra questi eventi nel Registro sicurezza e nel Registro pacchetti. Il client quindi invia i risultati al server di gestione nel giro di un paio di minuti. Per visualizzare l'evento bloccato nella console di Symantec Endpoint Protection Manager 1 Nella console, fare clic su Monitor e quindi fare clic su Registri. 2 Nella scheda Registri, nell'elenco a discesa Tipo registro, fare clic su Protezione dalle minacce di rete. 3 Nell'elenco a discesa Contenuto registro, fare clic su Attacchi e quindi fare clic su Visualizza registri. 4 Nel pannello Registri di protezione della rete dalle minacce, fare clic su MP3 GETinHTTPrilevato o MP3GETinFTPrilevato e quindi fare clic su Dettagli. 5 Chiudere la finestra di dialogo Informazioni dettagliate evento protezione della rete dalle minacce. Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche È possibile implementare il controllo delle applicazioni e delle periferiche sui computer client utilizzando una Politica di controllo delle applicazioni e delle periferiche. Una Politica di controllo delle applicazioni e delle periferiche offre i seguenti tipi di protezioni per i computer client: Il controllo delle applicazioni verifica le chiamate API (Application Programming Interface) di Windows fatte sui computer client e controlla l'accesso ai file, alle cartelle, alle chiavi di registro e ai processi dei client. Consente di proteggere le risorse del sistema dalle applicazioni.

108 108 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Il controllo delle periferiche gestisce le periferiche che si collegano ai computer. Tabella 4-11 Procedura per installare e provare la Politica di controllo delle applicazioni e delle periferiche Per effettuare questa operazione Descrizione Si veda questa sezione Operazione 1 Operazione 2 Attivare i set di regole che si desidera utilizzare nella Politica di controllo delle applicazioni e delle periferiche predefinita. Creare un set di regole di controllo delle applicazioni e aggiungerlo alla Politica di controllo delle applicazioni e delle periferiche predefinita. Vedere "Attivare un insieme predefinito di regole di controllo delle applicazioni" a pagina 108. Vedere "Creare un nuovo set di regole di controllo delle applicazioni e aggiungere una nuova regola all'insieme" a pagina 110. Operazione 3 Operazione 4 Operazione 5 Leggere informazioni in merito al controllo delle periferiche. Aggiungere una periferica hardware all'elenco Periferiche hardware. Personalizzare la parte relativa al controllo delle periferiche della Politica di controllo delle applicazioni e delle periferiche predefinita. Assegnare la politica a un gruppo. Controllare che la politica sia aggiornata sui client. Vedere "Informazioni sul controllo delle periferiche" a pagina 118. Vedere "Aggiunta di una periferica hardware all'elenco Periferiche hardware" a pagina 121. Vedere "Configurare il controllo dell'applicazione per una Politica di controllo delle applicazioni e delle periferiche" a pagina 121. Vedere "Assegnazione di una politica condivisa" a pagina 72. Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73. Attivare un insieme predefinito di regole di controllo delle applicazioni La parte della politica di controllo delle applicazioni e delle periferiche è costituita da un insieme di regole di controllo delle applicazioni. Ciascun set di regole di controllo delle applicazioni è costituito da una o più regole. Gli insiemi predefiniti delle regole di controllo delle applicazioni sono installati con Symantec Endpoint Protection Manager. Gli insiemi predefiniti delle regole sono disattivati al momento dell'installazione.

109 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 109 Nota: Non modificare gli insiemi predefiniti delle regole di controllo delle applicazioni. Se gli insiemi predefiniti delle regole e dei comandi non soddisfanno i requisiti, creare un nuovo insieme di regole di controllo delle applicazioni che li soddisfi. Se si desidera utilizzare gli insiemi di regole predefiniti in una Politica di controllo delle applicazioni e delle periferiche, è necessario attivarli. Per attivare un insieme predefinito di regole di controllo delle applicazioni 1 Nella console, fare clic su Politiche. 2 Sotto Visualizza politiche, fare clic su Controllo delle applicazioni e delle periferiche. 3 Nel riquadro Politiche di controllo delle applicazioni e delle periferiche, fare clic sulla politica a cui si desidera aggiungere un insieme predefinito di regole di controllo delle applicazioni. 4 In Attività, fare clic su Modifica la politica. 5 Nel riquadro Politica di controllo delle applicazioni e delle periferiche, fare clic su Controllo applicazioni. 6 Per rivedere l'impostazione in un insieme predefinito di regole di controllo delle applicazioni, fare clic sul nome in Set regole e quindi fare clic su Modifica. Assicurarsi di non effettuare alcuna modifica. 7 Quando l'esame delle regole e delle impostazioni è terminato, fare clic su Annulla. 8 Controllare la casella di controllo corrispondente a ogni set di regole che si desidera attivare. Ad esempio, accanto al set di regole Blocca la scrittura sulle unità USB, selezionare la casella di controllo nella colonna Attivata. 9 Fare clic su OK. Per provare il set di regole Blocca la scrittura sulle unità USB 1 Sul computer client, collegare un'unità USB. 2 Aprire Esplora risorse e fare doppio clic sull'unità USB. 3 Fare clic con il pulsante destro del mouse sulla finestra e fare clic su Nuovo > Cartella. 4 Se il controllo delle applicazioni è attivo, viene visualizzato il messaggio di errore Impossibile creare la cartella.

110 110 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Creare un nuovo set di regole di controllo delle applicazioni e aggiungere una nuova regola all'insieme Un nuovo insieme di regole dell'applicazione contiene una o più regole definite dall'amministratore. Ogni set di regole e ogni regola ha delle proprietà. Ogni regola può anche contenere una o più condizioni per monitorare le applicazioni e il loro accesso ai file, alle cartelle, alle chiavi di registro e ai processi specificati. È possibile creare più regole e aggiungerle a un singolo insieme di regole di controllo delle applicazioni. Creare tutte le regole e tutti gli insiemi di regole necessari ad attuare la protezione desiderata. È possibile eliminare le regole dall'elenco delle regole e cambiare la loro posizione nella gerarchia degli insiemi di regole, se necessario. È inoltre possibile attivare e disattivare gli insiemi di regole o le singole regole all'interno di un insieme. L'ordine in cui le regole sono elencate è importante per il funzionamento del controllo delle applicazioni. Le regole di controllo delle applicazioni funzionano come la maggior parte delle regole dei firewall in rete, in quanto entrambe utilizzano la prima funzione della corrispondenza di regola. Quando ci sono regole multiple dove le condizioni sono vere, la regola superiore è l'unica che si applica a meno che l'azione configurata per la regola sia di continuare a elaborare altre regole. È necessario considerare l'ordine delle regole e delle loro condizioni quando vengono configurate per evitare conseguenze inaspettate. Considerare il seguente scenario: supporre che un amministratore voglia impedire a tutti gli utenti di spostare, copiare e creare file su chiavi USB. L'amministratore ha una regola con una condizione che concede l'accesso in scrittura a un file denominato Test.doc. L'amministratore aggiunge una seconda condizione all'insieme di regole per bloccare tutte le unità USB. In questo scenario, gli utenti possono ancora creare e modificare un file Test.doc nelle unità USB. Poiché nella regola la condizione che concede l'accesso in scrittura al file Test.doc viene prima della condizione che blocca l'accesso in scrittura alle unità USB, quest'ultima non viene elaborata quando la condizione che la precede nell'elenco è vera. È possibile esaminare la struttura degli insiemi predefiniti delle regole per verificare come sono costruiti. Avvertimento: Soltanto gli amministratori avanzati dovrebbero creare gli insiemi di regole di controllo delle applicazioni. Gli errori di configurazione negli insiemi di regole utilizzati in una Politica di controllo delle applicazioni possono disattivare un computer o un server. Il computer client può smettere di funzionare, oppure la comunicazione con Symantec Endpoint Protection Manager può essere bloccata.

111 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 111 È possibile aggiungere e provare un insieme di regole che comprende numerose regole che controllano un'applicazione sul computer client. È possibile aggiungere e verificare individualmente ogni regola o aggiungere tutte le regole immediatamente e verificarle successivamente. Per creare un nuovo insieme di regole e aggiungervi nuove regole 1 Creare una nuova politica di controllo delle applicazioni e delle periferiche Vedere "Aggiunta di una politica condivisa" a pagina Nel riquadro Controllo applicazioni, fare clic su Aggiungi. 3 Nella finestra di dialogo Aggiungi set di regole di controllo applicazioni, deselezionare Attiva registrazione se non si desidera registrare gli eventi relativi a questo set di regole. La registrazione è attivata per impostazione predefinita. 4 Nella casella di testo del nome dell'insieme di regole, cambiare il nome predefinito all'insieme di regole. Ad esempio, cambiare il nome in Prova del set di regole di controllo delle applicazioni. 5 Nel campo Descrizione, digitare una descrizione. 6 Cambiare il nome predefinito per la regola nella casella di testo Nome regola e digitare una descrizione della regola. 7 Se non si desidera attivare subito questa nuova regola, deselezionare Attivare questa regola. 8 Per aggiungere una seconda regola, fare clic su Aggiungi e quindi fare clic su Aggiungi regola. 9 Aggiungere le seguenti regole: Aggiungere una regola che impedisce di avviare FTP dal prompt dei comandi. Vedere "Aggiunta e prova di una regola per bloccare l'avvio di un processo" a pagina 112. Aggiungere una regola che permette di visualizzare una chiave di registro ma non consente di modificarla. Vedere "Aggiunta e prova di una regola per impedire la scrittura nel registro" a pagina 113. Aggiungere una regola che consente di visualizzare un file di testo in Blocco note ma non consente di modificarlo. Vedere "Aggiunta e prova di una regola per bloccare una DLL" a pagina 115. Aggiungere una regola che blocca l'apertura di WordPad Microsoft.

112 112 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Vedere "Aggiunta e prova di una regola per consentire o bloccare l'accesso a un file" a pagina 116. Aggiungere una regola che termina lo strumento Process Explorer se lo strumento cerca di terminare la Calcolatrice. Vedere "Aggiunta e prova di una regola per terminare un processo" a pagina Fare clic su OK. Dopo aver creato un insieme di regole e una singola regola, è necessario definire le applicazioni a cui la regola dovrebbe applicarsi. Se necessario, definire ogni applicazione che dovrebbe essere esclusa dall'applicazione di questa regola. È possibile quindi aggiungere nuove condizioni alla regola e configurare le azioni da intraprendere quando le condizioni sono soddisfatte. Aggiunta e prova di una regola per bloccare l'avvio di un processo Il client FTP è comunemente utilizzato per trasferire i file da un server a un computer client. Per impedire agli utenti di trasferire file è possibile aggiungere

113 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 113 una regola per impedire che un utente possa avviare il client FTP dal prompt dei comandi. Per aggiungere una regola che blocchi l'avvio di un processo 1 Nella finestra di dialogo Aggiungi set di regole di controllo applicazioni, selezionare una regola nell'elenco Regole, quindi nella scheda Proprietà, nella casella di testo Nome regola, digitare ftp_ bloccato_da_cmd. 2 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 3 Nella finestra di dialogo Aggiungi definizione processo, in Nome processo per la corrispondenza, digitare cmd.exe e quindi fare clic su OK. 4 Nella finestra di dialogo Aggiungi set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi condizione > Tentativi di avvio dei processi. 5 Nella scheda Proprietà, nella casella di testo Descrizione, digitare no ftp da prompt cmd. 6 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 7 Nella finestra di dialogo Aggiungi definizione processo, in Nome processo per la corrispondenza, digitare ftp.exe e quindi fare clic su OK. 8 Nella finestra di dialogo Aggiungi set di regole di controllo applicazioni, nella scheda Azioni, selezionare Blocca accesso e quindi selezionare Attiva registrazione e Notifica all'utente. 9 In Notifica all'utente, digitare ftp è bloccato se viene avviato dal prompt dei comandi. Per verificare il funzionamento di una regola che blocca l'avvio di un processo 1 Sul computer client, aprire un prompt dei comandi. 2 Nella finestra del prompt dei comandi, digitare ftp e quindi premere Invio. Secondo quanto specificato nella regola, il client FTP non verrà aperto. Aggiunta e prova di una regola per impedire la scrittura nel registro È possibile proteggere una chiave di registro specifica bloccando l'accesso o la modifica delle chiavi o dei valori di registro da parte dell'utente. È possibile consentire agli utenti di visualizzare la chiave di registro, ma non di rinominarla o modificarla. Per verificare la funzionalità: Aggiungere una chiave di registro di prova.

114 114 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Aggiungere una regola che consenta di leggere ma non di scrivere nella chiave di registro. Cercare di aggiungere un nuovo valore alla chiave di registro. Per aggiungere una chiave di registro di prova 1 Sul computer client, avviare l'editor del registro di sistema aprendo una riga di comando e digitando regedit. 2 Nell'Editor del registro di sistema, espandere HKEY_LOCAL_MACHINE\Software e quindi creare una nuova chiave di registro chiamata prova. Per aggiungere una regola che blocchi la scrittura nel registro 1 In Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi > Aggiungi regola. 2 Nella scheda Proprietà, nella casella di testo Nome regola, digitare HKLM_scrittura_non_consentita_da_regedit. 3 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 4 Nella finestra di dialogo Aggiungi definizione processo, in Nome processo per la corrispondenza, digitare regedit.exe e quindi fare clic su OK. 5 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi condizione > Tentativi di accesso al registro. 6 Nella scheda Proprietà, nella casella di testo Descrizione, digitare accesso al registro. 7 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 8 Nella finestra di dialogo Aggiungi definizione chiave di registro, nella casella del testo Chiave di registro, digitare HKEY_LOCAL_MACHINE\software\prova e quindi fare clic su OK. 9 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, nella scheda Azioni, nella casella di gruppo Tentativo di lettura, selezionare Consenti accesso e quindi selezionare Attivare registrazione e Notifica all'utente. 10 In Notifica all'utente, digitare lettura consentita. 11 Nella casella di gruppo Tentativo di creazione, eliminazione o scrittura, fare clic su Blocca accesso e quindi selezionare Attiva registrazione e Notifica all'utente. 12 In Notifica all'utente, digitare scrittura non consentita.

115 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 115 Per verificare il funzionamento di una regola che blocca la scrittura nel registro 1 Dopo avere applicato la politica, sul computer client, nell'editor del registro di sistema, espandere HKEY_LOCAL_MACHINE\Software. 2 Fare clic sulla chiave di registro chiamata prova creata in precedenza. 3 Fare clic con il pulsante destro del mouse sulla chiave di prova, fare clic su Nuovo e quindi fare clic su Valore stringa. L'aggiunta di un nuovo valore alla chiave di registro di prova non dovrebbe essere consentita. Aggiunta e prova di una regola per bloccare una DLL È possibile impedire a un utente di aprire un'applicazione specifica. Un modo per impedire che un utente apra un'applicazione è quello di bloccare una DLL necessaria per l'esecuzione dell'applicazione. Per bloccare la DLL, è possibile creare una regola che ne blocchi il caricamento. Quando l'utente cerca di aprire l'applicazione, l'operazione non verrà eseguita. Ad esempio, il file Msvcrt.dll contiene il codice di programmazione che viene utilizzato per eseguire varie applicazioni di Windows, come Microsoft WordPad. Se si aggiunge una regola che blocca Msvcrt.dll sul computer client, non sarà possibile aprire Microsoft WordPad. Per aggiungere una regola che blocchi una DLL 1 In Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi > Aggiungi regola. 2 Nella scheda Proprietà, nella casella di testo Nome regola, digitare Impedisce all'utente di aprire Microsoft Wordpad. 3 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 4 Nella finestra di dialogo Aggiungi definizione processo, in Nome processo per la corrispondenza, digitare C:\Programmi\Windows NT\Accessories\wordpad.exe e quindi fare clic su OK. 5 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi condizione > Tentativi di caricamento di DLL. 6 Nella scheda Proprietà, nella casella di testo Descrizione, digitare DLLavviata. 7 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 8 Nella finestra di dialogo Aggiungi definizione DLL, nella casella di testo Nome DLL per la corrispondenza, digitare MSVCRT.dll e quindi fare clic su OK.

116 116 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 9 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, nella scheda Azioni, selezionare Blocca accesso e quindi selezionare Attiva registrazione e Notifica all'utente. 10 In Notifica all'utente, digitare Caricamento di WordPad non consentito. Per verificare il funzionamento di una regola che blocca una DLL Nel computer client, cercare di aprire Microsoft WordPad. Aggiunta e prova di una regola per consentire o bloccare l'accesso a un file È possibile consentire agli utenti di visualizzare ma non modificare un file. Ad esempio, file contenenti informazioni di carattere finanziario che i dipendenti hanno bisogno di visualizzare ma non possono modificare. Per verificare il funzionamento di una regola che consenta di accedere a un file in sola lettura, aggiungere una regola per aprire un file di testo in Blocco note ma senza poterlo modificare. Per aggiungere una regola che consenta o blocchi l'accesso a un file 1 In Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi > Aggiungi regola. 2 Nella scheda Proprietà, nella casella di testo Nome regola, digitare 1.txt in c lettura consentita, scrittura bloccata. 3 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 4 Nella finestra di dialogo Aggiungi definizione processo, in Nome processo per la corrispondenza, digitare notepad.exe e quindi fare clic su OK. 5 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi condizione > Tentativi di accesso a file e cartelle. 6 Nella scheda Proprietà, nella casella di testo Descrizione, digitare accesso al file. 7 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 8 Nella finestra di dialogo Aggiungi definizione file o cartella, nella casella di testo Nome file o cartella per la corrispondenza, digitare c:\1.txt e quindi fare clic su OK. 9 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, nella scheda Azioni, nella casella di gruppo Tentativo di lettura, selezionare Consenti accesso e quindi selezionare Attivare registrazione e Notifica all'utente.

117 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche In Notifica all'utente, digitare lettura consentita. 11 Nella casella di gruppo Tentativo di creazione, eliminazione o scrittura, fare clic su Termina processo e quindi selezionare Attiva registrazione e Notifica all'utente. 12 In Notifica all'utente, digitare Blocco note verrà chiuso in caso di scrittura. Per verificare il funzionamento di una regola che consente o blocca l'accesso a un file 1 Sul computer client, aprire File Explorer, individuare l'unità c:\ e quindi fare clic su File > Nuovo > Documento di testo. I file creati con Blocco note sono di sola lettura. 2 Rinominare il file come 1.txt. Salvare il file nella cartella c:\. 3 In Blocco note, aprire il file c:\1.txt. È possibile aprire il file ma non è possibile modificarlo. Aggiunta e prova di una regola per terminare un processo Process Explorer è uno strumento che consente di visualizzare i processi DLL aperti o caricati, nonché le risorse utilizzate da essi. È inoltre possibile utilizzare questo strumento per terminare un processo. È possibile aggiungere una regola per terminare lo strumento Process Explorer se un utente cerca di utilizzarlo per terminare l'applicazione Calcolatrice. Per aggiungere una regola che termini un processo 1 In Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi > Aggiungi regola. 2 Nella scheda Proprietà, nella casella di testo Nome regola, digitare Termina Process Explorer se cerca di terminare calc.exe. 3 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi. 4 Nella finestra di dialogo Aggiungi definizione processo, in Nome processo per la corrispondenza, digitare procexp.exe e quindi fare clic su OK. 5 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, sotto l'elenco Regole, fare clic su Aggiungi condizione > Tentativi di terminazione di un processo. 6 Nella scheda Proprietà, nella casella di testo Descrizione, digitare DLLavviata. 7 A destra di Applica questa regola ai seguenti processi, fare clic su Aggiungi.

118 118 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 8 Nella finestra di dialogo Aggiungi definizione processo, nella casella di testo Nome processo per la corrispondenza, digitare calc.exe e quindi fare clic su OK. 9 Nella finestra di dialogo Modifica set di regole di controllo applicazioni, nella scheda Azioni, selezionare Termina processo e quindi selezionare Attiva registrazione e Notifica all'utente. 10 In Notifica all'utente, digitare Se si tenta di terminare la Calcolatrice da procexp, procexp verrà terminato. Per verificare il funzionamento di una regola che termina un processo 1 Sul computer client, scaricare ed eseguire la versione gratuita di Process Explorer dal seguente URL: 2 In Windows, aprire la Calcolatrice. 3 Aprire Process Explorer. 4 Nella finestra principale di Process Explorer, fare clic con il pulsante destro del mouse sul processo calc.exe e quindi fare clic su Kill process. Process Explorer viene terminato. Informazioni sul controllo delle periferiche Utilizzare il controllo del dispositivo per gestire l'accesso dei dispositivi periferici ai computer client. È possibile implementare il controllo del dispositivo costruendo gli Elenchi di controllo del dispositivo hardware. È possibile creare un elenco di periferiche a cui deve essere impedito l'accesso dai computer e un elenco di periferiche a cui deve essere consentito l'accesso. Anche se la periferica è fisicamente collegata a un computer, è comunque possibile negare l'accesso della periferica al computer. È possibile bloccare o consentire i dispositivi USB, infrarossi, FireWire e SCSI, come pure le porte seriali e le porte parallele. Il controllo della periferica garantisce a un amministratore un livello di controllo più elevato sulle periferiche a cui è consentito l'accesso ai computer. Gli amministratori possono personalizzare il controllo delle periferiche per bloccare l'accesso ai computer a determinati tipi di periferica, ad esempio tutte le periferiche USB. Inoltre, l'amministratore può impostare l'esclusione dal blocco di altri tipi di periferiche, ad esempio dischi rigidi USB. L'amministratore può inoltre scegliere di definire il controllo delle periferiche utilizzando il GUID Windows o l'id della periferica.

119 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche 119 In Tabella 4-12 sono riportati le combinazioni di configurazione porta e periferica e l'effetto che ogni combinazione ha sulla periferica che cerca di accedere al computer client. Tabella 4-12 Configurazione Combinazioni di configurazione porta e periferica Risultato Porta bloccata + dispositivo escluso Porta esclusa + dispositivo bloccato Periferica funzionante Il Dispositivo non funziona Nota: Non bloccare mai una tastiera. Ad esempio, è possibile decidere di bloccare tutte le porte, escludendo un mouse USB per poterlo connettere a un computer client. In questo scenario, il mouse USB funzionerà sul computer client anche se la porta è bloccata. Informazioni sulle periferiche hardware È possibile utilizzare un elenco predefinito di periferiche hardware per aggiungere una periferica specifica di un fornitore a una politica di controllo delle applicazioni e delle periferiche. L'elenco Periferiche hardware elimina la necessità di digitare nuovamente queste periferiche ogni volta che si desidera aggiungerne una da una regola. Due valori numerici identificano le periferiche hardware: l'id periferica e l'id classe. È possibile utilizzare uno di questi due valori per identificare le periferiche nell'elenco Periferiche hardware. La Symantec Endpoint Protection Manager console comprende gli elenchi delle periferiche che possono essere bloccate e di quelle che possono essere escluse dal blocco, a seconda delle necessità. L'amministratore può aggiungere periferiche, eliminare periferiche o modificare le periferiche nell'elenco. Nota: Non è possibile modificare né eliminare le periferiche predefinite. Informazioni sugli ID della classe utente L'ID della classe utente fa riferimento a Windows GUID. Ogni tipo di dispositivo ha sia una Classe utente che una ClassGuid associate. Il ClassGuid è un valore esadecimale con il seguente formato: { }

120 120 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Informazioni sugli ID periferica Un ID periferica è l'id più specifico per una periferica. Le periferiche possono avere un ID periferica specifico o un ID più generico. Ad esempio, è possibile specificare tutte le periferiche USB che utilizzano un ID periferica o è possibile scegliere un'unità disco USB rimovibile specifica. È necessario utilizzare gli ID delle periferiche che si desidera aggiungere. Il seguente è un esempio di ID periferica: {IDE\CDROMHL-DT-ST_RW/DVD_GCC-4242N 0201 \5&3CCF215&0&0.0.0} Ottenimento dell'id classe o dell'id periferica È possibile utilizzare lo strumento Symantec DevViewer per ottenere l'id classe o l'id periferica. È possibile utilizzare Gestione periferiche di Windows per ottenere l'id classe. Per ottenere l'id classe o l'id periferica utilizzando lo strumento DevViewer 1 Sul CD 3 del prodotto, individuare la directory \TOOLS\NOSUPPORT\DEVVIEWER e quindi scaricare lo strumento DevViewer.exe nel computer client. 2 Sul computer client, eseguire DevViewer.exe. 3 Espandere la struttura di Device e individuare la periferica di cui si desidera l'id o il GUID. Ad esempio, espandere Keyboards e selezionare la periferica all'interno di quella categoria. 4 Nel riquadro di destra, fare clic con il pulsante destro del mouse sull'id della periferica (inizia con [device id]) e quindi fare clic su Copy Device ID. 5 Fare clic su Exit. 6 Sul server di gestione, incollare l'id della periferica nell'elenco delle periferiche hardware. Per ottenere un ID periferica dal Pannello di controllo 1 Sulla barra delle applicazioni Windows, fare clic su Start > Impostazioni > Pannello di controllo > Sistema. 2 Sulla scheda dell'hardware, fare clic su Gestione periferiche. 3 Nell'elenco Gestione periferiche, fare doppio clic sulla periferica.

121 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Nella finestra di dialogo Proprietà della periferica, sulla scheda Dettagli, selezionare l'id della periferica. Per impostazione predefinita, l'id periferica è il primo valore visualizzato. 5 Premere Control+C per copiare la stringa di ID. 6 Fare clic su OK o Annulla. Vedere "Aggiunta di una periferica hardware all'elenco Periferiche hardware" a pagina 121. Aggiunta di una periferica hardware all'elenco Periferiche hardware Dopo avere ottenuto l'id classe o l'id periferica per una periferica hardware, è possibile aggiungere la periferica all'elenco Periferiche hardware predefinito. È possibile quindi accedere a questo elenco dalla sezione relativa al controllo delle periferiche della politica di controllo delle applicazioni e delle periferiche. Per aggiungere periferiche hardware all'elenco di Periferiche hardware 1 Nella Symantec Endpoint Protection Manager console, fare clic su Politiche. 2 In Componenti politica, fare clic su Periferiche hardware. 3 In Attività, fare clic su Aggiungi periferica hardware. 4 Immettere il nome della periferica che si desidera aggiungere. Sia gli ID classe sia gli ID periferica sono racchiusi in parentesi graffe per convenzione. 5 Selezionare ID classe o ID periferica e incollare l'id copiato da Gestione periferiche di Windows o dallo strumento DevViewer. È possibile utilizzare i caratteri jolly per definire un gruppo di ID delle periferiche. Per esempio, è possibile utilizzare la seguente stringa: *IDE\CDROM*. Vedere "Ottenimento dell'id classe o dell'id periferica" a pagina Fare clic su OK. Configurare il controllo dell'applicazione per una Politica di controllo delle applicazioni e delle periferiche Utilizzare un controllo delle periferiche per gestire le periferiche hardware. È possibile modificare questi elenchi in qualunque momento. Vedere "Informazioni sulle periferiche hardware" a pagina 119.

122 122 Creazione delle politiche Installazione e prova di una Politica di controllo delle applicazioni e delle periferiche Aggiungere il controllo di una periferica a una Politica di controllo delle applicazioni e delle periferiche 1 Nel riquadro Politica di controllo delle applicazioni e delle periferiche, fare clic su Controllo periferiche. 2 In Periferiche bloccate, fare clic su Aggiungi. 3 Controllare l'elenco dei dispositivi hardware e fare clic sul dispositivo o i dispositivi cui si desidera bloccare l'accesso al computer client. 4 Fare clic su OK. 5 In Periferiche escluse dal blocco, fare clic su Aggiungi. 6 Controllare l'elenco delle periferiche hardware e fare clic sulla periferica che si desidera escludere dal blocco al momento dell'accesso al computer client. 7 Se non si desidera che le informazioni di controllo della periferica vengano registrate, deselezionare Registra periferiche bloccate. Le informazioni vengono registrate per impostazione predefinita. 8 Se si desidera informare gli utenti, selezionarenotifica agli utenti quando sono bloccate le periferiche. Se la notifica è attivata, fare clic Specificare Testo messaggio e digitare il testo che si desidera sia visto dagli utenti. 9 Fare clic su OK. Per provare il controllo delle periferiche in una Politica di controllo delle applicazioni e delle periferiche 1 Nella console, aggiungere una periferica hardware all'elenco Periferiche hardware per la tastiera del computer client. Vedere "Ottenimento dell'id classe o dell'id periferica" a pagina Assegnare la politica al gruppo del computer client. 3 Sul computer client, provare a digitare con la tastiera.

123 Capitolo 5 Creazione dei pacchetti di installazione del client Il capitolo contiene i seguenti argomenti: Creazione dei pacchetti di installazione del client Informazioni sui pacchetti di installazione del client Configurazione delle caratteristiche dei pacchetti di installazione Configurazione delle impostazioni pacchetto di installazione client Esportazione dei pacchetti di installazione client Distribuzione di software client con la Distribuzione remota guidata Creazione dei pacchetti di installazione del client È possibile utilizzare la seguente procedura per creare un pacchetto di installazione e per distribuirlo ai computer client. Prima di creare un pacchetto di installazione del client è necessario impostare i gruppi e configurare le politiche e altre impostazioni di sicurezza. Tabella 5-1 Procedura per impostare un pacchetto di installazione del client Per effettuare questa operazione Operazione 1 Azione Leggere in merito ai pacchetti di installazione del client. Si veda questa sezione Vedere "Informazioni sui pacchetti di installazione del client" a pagina 124.

124 124 Creazione dei pacchetti di installazione del client Informazioni sui pacchetti di installazione del client Per effettuare questa operazione Operazione 2 Operazione 3 Azione Configurare le funzioni e le impostazioni dei pacchetti di installazione del client. Esportare il pacchetto di installazione del client. Si veda questa sezione Vedere "Configurazione delle caratteristiche dei pacchetti di installazione" a pagina 125. Vedere "Configurazione delle impostazioni pacchetto di installazione client" a pagina 125. Vedere "Esportazione dei pacchetti di installazione client" a pagina 126. Informazioni sui pacchetti di installazione del client Per gestire i computer con la console di Symantec Endpoint Protection Manager, è necessario esportare almeno un pacchetto di installazione del client in un server di gestione del sito. Una volta esportato il pacchetto di installazione del client, i file del pacchetto vengono installati nei computer client. È possibile esportare i pacchetti per i client gestiti da Symantec, i client gestiti da terze parti e i client non gestiti. È possibile utilizzare la console per esportare in una directory questi pacchetti come singolo file eseguibile o come serie di file. Il metodo scelto varia in base al metodo di distribuzione e all'eventualità che il software client venga aggiornato in gruppi dalla console. Il singolo file eseguibile è disponibile per strumenti di installazione di terze parti e per la potenziale conservazione della larghezza di banda. In genere, se si utilizza l'oggetto Criteri di gruppo di Active Directory, non si esegue l'esportazione in un singolo file eseguibile. Durante il processo di esportazione, vengono selezionati pacchetti di installazione a 32 o a 64 bit forniti per impostazione predefinita. Vengono quindi selezionate facoltativamente le tecnologie specifiche di protezione del client da installare se non si desidera installare tutti i componenti. È inoltre possibile specificare il tipo di interazione desiderata con gli utenti finali. È infine possibile installare i file esportati (un pacchetto) nei computer uno alla volta o distribuire simultaneamente i file esportati a più computer. Per le opzioni di distribuzione dell'installazione del client, fare riferimento alla Guida all'installazione di Symantec Endpoint Protection e Symantec Network Access Control sul CD.

125 Creazione dei pacchetti di installazione del client Configurazione delle caratteristiche dei pacchetti di installazione 125 Symantec fornisce occasionalmente pacchetti aggiornati dei file di installazione. Quando il software client è installato nei computer client, è possibile aggiornare automaticamente il software client in tutti i client di un gruppo con la funzione di aggiornamento automatico. Non è necessario distribuire di nuovo il software con gli strumenti di distribuzione dell'installazione. Configurazione delle caratteristiche dei pacchetti di installazione Le caratteristiche di installazione sono i componenti del client disponibili per l'installazione. Ad esempio, se si creano pacchetti di Symantec Endpoint Protection, è possibile scegliere se installare le caratteristiche antivirus e firewall. Oppure è possibile scegliere di installare solo la caratteristica antivirus. È necessario assegnare un nome a ciascun insieme di selezioni. Quindi si seleziona un insieme di caratteristiche quando si esportano i pacchetti del software del client a 32 bit e quelli a 64 bit. Per configurare le caratteristiche dei pacchetti di installazione 1 Nella console, fare clic su Ammin., quindi fare clic su Installa pacchetti. 2 In Visualizza pacchetti di installazione, fare clic su Set caratteristiche per installazione client. 3 In Attività, fare clic su Aggiungi set caratteristiche per installazione client. 4 Nella finestra di dialogo Aggiungi set caratteristiche per installazione client, nella casella Nome, digitare un nome. 5 Nella casella di Descrizione, digitare una descrizione del set caratteristiche per installazione client. 6 Per i particolari su come impostare altre opzioni di questa finestra di dialogo, fare clic su?. 7 Fare clic su OK. Configurazione delle impostazioni pacchetto di installazione client Le impostazioni di installazione determinano il modo in cui il software di installazione del client viene installato nei computer client. È necessario assegnare un nome a ciascun insieme di selezioni. Quindi si seleziona un determinato insieme di impostazioni dei pacchetti quando si esportano i pacchetti del software del client a 32 bit e quelli a 64 bit.

126 126 Creazione dei pacchetti di installazione del client Esportazione dei pacchetti di installazione client Per configurare le impostazioni pacchetto di installazione client 1 Nella scheda Amministratore, nel riquadro in basso a sinistra, fare clic su Pacchetti di installazione. 2 In Visualizza pacchetti di installazione, fare clic su Impostazioni di installazione client. 3 In Attività, fare clic su Aggiungi impostazioni di installazione client. 4 Nella finestra di dialogo Impostazioni installazione client, nella casella Nome, digitare un nome. 5 Per i particolari su come impostare altre opzioni di questa finestra di dialogo, fare clic su?. 6 Fare clic su OK. Esportazione dei pacchetti di installazione client Quando si esegue l'esportazione di pacchetti di software client, vengono creati file di installazione dei client utilizzati per la distribuzione. Quando si esportano i pacchetti, è necessario selezionare una directory in cui collocare i pacchetti esportati. Se si specifica una directory che non esiste, questa viene creata automaticamente. Il processo di esportazione crea delle sottodirectory con un nome descrittivo in questa directory e colloca i file di installazione in tali sottodirectory. Ad esempio, se si crea un pacchetto di installazione per un gruppo chiamato GruppoA nella directory Globale, viene creata una sottodirectory chiamata Globale_GruppoA. Questa directory contiene il pacchetto di installazione esportato. Nota: questa convenzione di denominazione non fa distinzione fra i pacchetti di installazione del client per Symantec Endpoint Protection e Symantec Network Access Control. Il nome del pacchetto esportato contenente un unico file eseguibile è Setup.exe sia per Symantec Endpoint Protection che per Symantec Network Access Control. Di conseguenza, creare una struttura di directory che consenta di distinguere fra i file di installazione di Symantec Network Access Control e quelli di Symantec Endpoint Protection. Quando si esportano i pacchetti occorre prendere una decisione importante: è necessario decidere se creare un pacchetto di installazione per client gestiti o non gestiti. Se si crea un pacchetto per i client gestiti, è possibile gestirli con la console di Symantec Endpoint Protection Manager. Se si crea un pacchetto per i client non gestiti, non è possibile gestirli dalla console.

127 Creazione dei pacchetti di installazione del client Distribuzione di software client con la Distribuzione remota guidata 127 Nota: se si esportano pacchetti di installazione del client da una console remota, i pacchetti vengono creati nel computer da cui si esegue la console remota. Inoltre, se si utilizzano più domini, è necessario esportare i pacchetti per ogni dominio, perché altrimenti non risultano disponibili per i gruppi del dominio. Dopo aver esportato uno o più file di pacchetti di installazione, occorre distribuire i file di installazione nei computer client. Per maggiori informazioni sull'installazione del software client, vedere la Guida all'installazione di Symantec Endpoint Protection e Symantec Network Access Control sul CD. Per esportare i pacchetti di installazione dei client 1 Nella console, fare clic su Ammin., quindi fare clic su Installa pacchetti. 2 In Visualizza pacchetti di installazione, fare clic su Pacchetti di installazione client. 3 Nel riquadro di Pacchetti di installazione client, sotto Nome pacchetto, fare clic sul pacchetto da esportare. 4 In Attività, fare clic su Esporta pacchetto di installazione client. 5 Nella finestra di dialogo Esporta pacchetto, fare clic su Sfoglia. 6 Nella finestra di dialogo Seleziona cartella di esportazione, individuare e selezionare la directory in cui si desidera salvare il pacchetto esportato, quindi fare clic su OK. Le directory contenenti caratteri a doppio byte o i caratteri ASCII alti non sono supportate e sono bloccate.. 7 Nella finestra di dialogo Esporta pacchetto, impostare le altre opzioni in base agli obiettivi di installazione desiderati. 8 Per ulteriori informazioni su come impostare altre opzioni di questa finestra di dialogo, fare clic su?. 9 Fare clic su OK. Distribuzione di software client con la Distribuzione remota guidata La Distribuzione remota guidata compare automaticamente quando si utilizza la distribuzione guidata; in alternativa è possibile avviarla manualmente. In ogni caso è necessario avere presenti il pacchetto di software client da distribuire e la

128 128 Creazione dei pacchetti di installazione del client Distribuzione di software client con la Distribuzione remota guidata cartella in cui si trova il pacchetto. È necessario individuarli durante la distribuzione. Per distribuire software client con la Distribuzione remota guidata 1 Iniziare la procedura guidata di distribuzione e di migrazione dal menu di Start di Windows. 2 Nel pannello di benvenuto, fare clic su Avanti. 3 Fare clic su Distribuire il client (solo Symantec Endpoint Protection), quindi fare clic su Avanti. 4 Fare clic su Selezionare un pacchetto di installazione client esistente da distribuire e quindi fare clic su Fine. 5 Nel pannello Distribuzione remota guidata, fare clic su Sfoglia, spostarsi e selezionare la cartella che contiene il pacchetto di installazione che si desidera distribuire e quindi fare clic su OK. 6 Approvare o modificare il numero massimo di distribuzioni simultanee e quindi fare clic su Avanti. 7 Nel pannello Seleziona computer, nel riquadro a sinistra sotto Computer disponibili, espandere le strutture e selezionare i computer su cui installare il software client e quindi fare clic su Aggiungi. In alternativa, è possibile importare un gruppo di lavoro o un dominio di computer e anche un elenco di computer come file di testo. 8 Nella finestra di dialogo Autenticazione client remoto, digitare un nome utente e una password che possano accedere al dominio o al gruppo di lavoro Windows a cui appartengono i computer e fare clic su OK. 9 Una volta che tutti computer sono selezionati e compaiono nel riquadro di destra, fare clic su Fine.

129 Capitolo 6 Configurazione dell'integrità degli host per la conformità degli endpoint Il capitolo contiene i seguenti argomenti: Impostazione e prova di una Politica di integrità dell'host Aggiungere i Requisiti di integrità degli host Aggiunta di un requisito predefinito del firewall Aggiunta di un requisito personalizzato che controlla se il computer client esegue un pacchetto di software antivirus Verifica del funzionamento di una Politica di integrità dell'host Configurare l'autenticazione peer-to-peer Impostazione e prova di una Politica di integrità dell'host Symantec Network Access Control valuta se un computer portatile o desktop è una periferica conforme e protetta correttamente prima di consentire che si connetta alla rete aziendale. Questa protezione contribuisce a impedire che virus e altri attacchi possano accedere alla rete attraverso client non conformi. È

130 130 Configurazione dell'integrità degli host per la conformità degli endpoint Impostazione e prova di una Politica di integrità dell'host possibile implementare la conformità degli endpoint sui computer client creando una Politica di integrità dell'host. Nota: è necessario installare Symantec Network Access Control per creare Politiche di integrità dell'host. Per assicurare la conformità degli endpoint, il computer client utilizza la Politica di integrità dell'host per eseguire la seguente procedura: Tabella 6-1 Procedura che il client effettua per assicurarsi che il computer client sia conforme alla Politica di integrità dell'host Per effettuare questa operazione Azione Descrizione Operazione 1 Il client esegue il controllo di integrità dell'host. Il client confronta la configurazione del computer con la Politica di integrità dell'host scaricata dal server di gestione. La Politica di integrità dell'host controlla se il computer esegue il software di sicurezza, le patch, gli hotfix e altri requisiti di sicurezza più recenti. Ad esempio, la politica può controllare se le relative definizioni antivirus sono state aggiornate recentemente e se le ultime patch sono state applicate al sistema operativo.

131 Configurazione dell'integrità degli host per la conformità degli endpoint Impostazione e prova di una Politica di integrità dell'host 131 Per effettuare questa operazione Azione Descrizione Operazione 2 Sulla base del risultato del controllo di integrità dell'host, il client permette o blocca l'accesso del computer client alla rete. Se il computer è conforme a tutti i requisiti previsti dalla politica, il controllo di integrità dell'host viene superato. Il computer client ha accesso di rete completo ai computer che passano il controllo di integrità dell'host. Se il computer non è conforme a tutti i requisiti previsti dalla politica, il controllo di integrità dell'host non viene superato. Quando un controllo di integrità dell'host non viene superato, il client blocca o mette in quarantena il computer non conforme fino a quando l'utente non ripara il computer. È possibile impostare una Politica di quarantena per i computer client in quarantena. I computer in quarantena non hanno alcun accesso o hanno un accesso limitato alla rete. Operazione 3 Il client corregge il computer non conforme. Se nel client viene rilevata una richiesta di politica di integrità dell'host non soddisfatta, viene installato il software richiesto o ne viene richiesta l'installazione all'utente. Una volta risolto il problema nel computer client, viene tentato nuovamente l'accesso alla rete. Se il computer soddisfa tutti i requisiti, viene autorizzato l'accesso alla rete.

132 132 Configurazione dell'integrità degli host per la conformità degli endpoint Aggiungere i Requisiti di integrità degli host Per effettuare questa operazione Operazione 4 Azione Il client esegue il monitoraggio dinamico della conformità. Descrizione Il client esegue attivamente il monitoraggio dello stato di conformità di tutti i computer client. Se in qualunque momento lo stato di conformità del computer cambia, vengono modificati anche i privilegi di accesso del computer alla rete. Per creare e provare una Politica di integrità dell'host, effettuare le seguenti operazioni: Tabella 6-2 Procedura per impostare e provare una Politica di integrità dell'host Per effettuare questa operazione Operazione 1 Operazione 2 Operazione 3 Descrizione Creare un requisito predefinito o un requisito personalizzato. Il client confronta ogni requisito con il software installato sul computer client. Assegnare la politica a un gruppo. Effettuare una prova per verificare se la Politica di integrità dell'host funziona. Si veda questa sezione Vedere "Aggiunta di un requisito predefinito del firewall" a pagina 134. Vedere "Aggiunta di un requisito personalizzato che controlla se il computer client esegue un pacchetto di software antivirus" a pagina 135. Vedere "Assegnazione di una politica condivisa" a pagina 72. Vedere "Verifica del funzionamento di una Politica di integrità dell'host" a pagina 137. Aggiungere i Requisiti di integrità degli host Una politica di integrità dell'host imposta i requisiti dei firewall, dell'antivirus, dell'antispyware, delle correzioni, dei service pack o di altre applicazioni richieste sui computer client. Ogni politica di integrità dell'host comprende requisiti e impostazioni generali. I requisiti specificano i punti seguenti:

133 Configurazione dell'integrità degli host per la conformità degli endpoint Aggiungere i Requisiti di integrità degli host 133 Quali condizioni dovrebbero essere controllate Quali azioni (come i download e le installazioni) il client adotta in risposta alla condizione Quando si specificano i Requisiti di integrità dell'host, è possibile scegliere tra i seguenti tipi: requisiti predefiniti, personalizzati o modello. I requisiti modello sono disponibili con il servizio LiveUpdate delle Politiche di integrità dell'host. È possibile copiare e incollare ed esportare e importare i requisiti da una politica all'altra. Le impostazioni generali consentono di configurare quando e ogni quanto tempo il client esegue un controllo di integrità dell'host, le opzioni di risoluzione e le notifiche. È possibile creare una nuova Politica di integrità dell'host condivisa o non condivisa. Dopo che è stata creata una nuova politica, è possibile aggiungere un requisito predefinito, un requisito personalizzato, o entrambi. Per aggiungere un requisito di integrità dell'host 1 Nella console, aprire una Politica di integrità dell'host. 2 Alla pagina Politica di integrità dell'host, fare clic su Requisiti. 3 Nella pagina Requisiti, selezionare quando i Controlli di integrità dell'host dovrebbero essere eseguiti sul client da una delle opzioni seguenti: Esegui sempre il controllo di integrità dell'host Questa opzione è quella predefinita. Un controllo di integrità dell'host viene sempre effettuato in questa posizione all'intervallo di frequenza specificato. Esegui il controllo di integrità dell'host solo tramite Enforcer Gateway o DHCP Enforcer Esegui il controllo di integrità dell'host solo quando è attiva la connessione al server di gestione Un Controllo di integrità dell'host viene effettuato in questa posizione soltanto quando il client è autenticato con Gateway Enforcer o DHCP Enforcer. Un controllo di integrità dell'host viene effettuato in questa posizione soltanto quando il client è connesso a un server di gestione. Non eseguire mai il controllo di integrità dell'host Un controllo di integrità dell'host non viene mai effettuato in questa posizione. 4 Fare clic su Aggiungi.

134 134 Configurazione dell'integrità degli host per la conformità degli endpoint Aggiunta di un requisito predefinito del firewall 5 Nella finestra di dialogo Aggiungi requisito, selezionare uno dei seguenti tipi di requisito: Requisito antivirus Requisito antispyware Requisito firewall Requisito correzione Requisito Service Pack Requisito personalizzato 6 Fare clic su OK. 7 Configurare le impostazioni per il requisito. 8 Nella pagina Impostazioni avanzate, configurare le impostazioni per il Controllo di integrità dell'host, la risoluzione e le notifiche. Per ulteriori informazioni fare clic su?. 9 Al termine della configurazione della politica, fare clic su OK. 10 Assegnare la politica ai gruppi o alle posizioni. Vedere "Assegnazione di una politica condivisa" a pagina 72. Aggiunta di un requisito predefinito del firewall È possibile creare un requisito di Integrità degli host che controlla se il client Symantec Endpoint Protection è installato e se il componente di protezione dalle minacce di rete è in esecuzione. Se il client è già stato installato, la verifica per questo requisito di Integrità degli host viene superata. Se il client non è ancora stato installato o se si disattiva la Protezione dalle minacce di rete sul client, questo requisito non viene superato. Tuttavia, è possibile configurare il requisito in modo che venga superato comunque. Per aggiungere un requisito predefinito per le patch 1 Nella console, aprire una Politica di integrità dell'host. 2 Alla pagina Politica di integrità dell'host, fare clic su Requisiti. 3 Nella pagina Requisiti, fare clic su Esegui sempre il controllo di integrità dell'host e quindi fare clic su Aggiungi. 4 Nella finestra di dialogo Aggiungi requisito, fare clic su Requisito firewall e quindi fare clic su OK.

135 Configurazione dell'integrità degli host per la conformità degli endpoint Aggiunta di un requisito personalizzato che controlla se il computer client esegue un pacchetto di software antivirus Nella finestra di dialogo Aggiungi requisito, nella casella di testo Nome, digitare Verifica che il firewall SEP è in esecuzione. 6 Nell'elenco a discesa Applicazione firewall da installare ed eseguire, fare clic su Symantec Endpoint Protection. 7 Per fare in modo che il requisito passi anche se non supera il controllo, selezionare Consenti il superamento del controllo di integrità dell'host anche se i requisiti non sono soddisfatti. 8 Fare clic su OK. 9 Nella pagina Panoramica, fare clic su OK. 10 Se la politica non è già stata assegnata a un gruppo o a una posizione, assegnarla ora. Vedere "Assegnazione di una politica condivisa" a pagina 72. Aggiunta di un requisito personalizzato che controlla se il computer client esegue un pacchetto di software antivirus È possibile configurare una Politica di integrità dell'host per controllare se un pacchetto software conosciuto è in esecuzione sul computer client. Per controllare se il prodotto è in esecuzione 1 Aggiungere un requisito personalizzato. 2 Nella finestra di dialogo Requisito personalizzato, digitare un nome per il requisito. 3 Sotto Script requisito personalizzato, fare clic su Aggiungi e quindi fare clic su IF.THEN.. 4 Con il nodo IF selezionato, nel riquadro di destra, sotto Seleziona una condizione, fare clic su Utilità: Processo in esecuzione. 5 Nella casella Nome file di processo, digitare C:\Programmi\WidgetWorks\WWAV.exe. 6 Sotto Script requisito personalizzato, selezionare THEN, fare clic su Aggiungi e quindi fare clic su Ripristina. 7 Selezionare THEN, fare clic su Aggiungi e quindi fare clic su Else. 8 Nel nodo Else, selezionare //Inserire le istruzioni in questo punto e nel riquadro di destra digitare Esegui il programma.

136 136 Configurazione dell'integrità degli host per la conformità degli endpoint Aggiunta di un requisito personalizzato che controlla se il computer client esegue un pacchetto di software antivirus 9 Sotto Script requisito personalizzato, fare clic su Aggiungi e quindi fare clic su IF.THEN.. 10 Nell'elenco a discesa Seleziona una condizione, fare clic su Utilità: Processo in esecuzione. 11 Nella casella Nome file di processo, digitare WWAV. 12 Sotto Script requisito personalizzato, selezionare THEN, fare clic su Aggiungi e quindi fare clic su Ripristina. 13 Selezionare END IF sotto il primo END IF, fare clic su Aggiungi e quindi fare clic su Commento. 14 Nella casella di testo Commento, digitare non supera - il prodotto non è installato. 15 Sotto Script requisito personalizzato, selezionare RIUSCITO e nel riquadro di destra, fare clic su Non riuscito. 16 Fare clic su OK.

137 Configurazione dell'integrità degli host per la conformità degli endpoint Verifica del funzionamento di una Politica di integrità dell'host Per fare in modo che il requisito passi anche se non supera il controllo, selezionare Consenti il superamento del controllo di integrità dell'host anche se i requisiti non sono soddisfatti. 18 Al termine della configurazione della politica, fare clic su OK. Verifica del funzionamento di una Politica di integrità dell'host Per verificare se una Politica di integrità dell'host funziona, utilizzare la seguente procedura: Tabella 6-3 Procedura per provare la Politica di integrità dell'host Per effettuare questa operazione Operazione 1 Operazione 2 Descrizione Controllare che la politica sia aggiornata sui client. È inoltre possibile aggiornare la politica sul client. Eseguire il controllo di integrità dell'host. Si veda questa sezione Vedere "Verifica dell'avvenuto aggiornamento delle politiche" a pagina 73. Vedere "Aggiornamento manuale del file della politica" a pagina 73. Vedere "Controllo di integrità dell'host" a pagina 137. Operazione 3 Visualizzare il registro di sicurezza per vedere se il controllo di integrità dell'host è stato superato o meno. Vedere "Visualizzazione dei registri di Network Access Control" a pagina 138. Controllo di integrità dell'host L'amministratore configura la frequenza utilizzata dal client per eseguire un controllo di integrità dell'host. Può essere necessario eseguire un controllo di integrità dell'host immediatamente anziché attendere quello successivo. Ad esempio, è possibile che un controllo di integrità dell'host non venga superato perché è necessario aggiornare l'applicazione antivirus nel computer. Il client può consentire di scegliere se scaricare immediatamente il software richiesto o posticipare il download. Se si scarica il software immediatamente, è necessario eseguire nuovamente il controllo di integrità dell'host per verificare di disporre del software corretto. È possibile attendere l'esecuzione del successivo controllo di integrità dell'host pianificato o eseguire il controllo immediatamente.

138 138 Configurazione dell'integrità degli host per la conformità degli endpoint Verifica del funzionamento di una Politica di integrità dell'host Per eseguire un controllo di integrità dell'host 1 Nel client, nella barra laterale, fare clic su Stato. 2 In corrispondenza di Network Access Control, fare clic su Opzioni > Controlla ora. 3 Se viene visualizzato un messaggio in cui viene confermata l'esecuzione del controllo di integrità dell'host, fare clic su OK. Se l'accesso alla rete non era stato autorizzato, è necessario riottenerlo dopo l'aggiornamento del computer in conformità alla politica di sicurezza. Visualizzazione dei registri di Network Access Control Il client Symantec Network Access Control utilizza i seguenti registri per monitorare vari aspetti del suo funzionamento oltre che il controllo di integrità dell'host: Sicurezza Sistema Registra i risultati e lo stato dei controlli di integrità dell'host. Registra tutti i cambiamenti operativi del client, quali la connessione al server di gestione e gli aggiornamenti della politica di sicurezza del client. Se si utilizza un client gestito, è possibile caricare regolarmente nel server entrambi i registri. L'amministratore può utilizzare il contenuto dei registri per analizzare lo stato generale di sicurezza della rete. È possibile esportare i dati di questi registri. Per visualizzare i registri di Symantec Network Access Control 1 Nel client, nella barra laterale, fare clic su Stato. 2 Per visualizzare il Registro sistema, fare clic su Opzioni > Visualizza registri accanto a Network Access Control. 3 Per visualizzare il registro di sicurezza, nella finestra di dialogo Registri gestione client - Registro sistema, fare clic su Visualizza > Registro sicurezza.

139 Configurazione dell'integrità degli host per la conformità degli endpoint Configurare l'autenticazione peer-to-peer In Registro sicurezza, selezionare la prima voce di registro. Nell'angolo in basso a sinistra vengono visualizzati i risultati del controllo di integrità dell'host. Se il client è già installato, il requisito predefinito del firewall viene accettato. Se il client non è installato, il requisito predefinito del firewall non viene accettato ma risulta accettato. 5 Fare clic su File > Chiudi. Configurare l'autenticazione peer-to-peer È possibile utilizzare l'autenticazione peer-to-peer per consentire a un computer client remoto (peer) di connettersi a un altro computer client (dispositivo di autenticazione) all'interno della stessa rete aziendale. Il dispositivo di autenticazione blocca temporaneamente il traffico TCP e UDP in entrata TCP dal computer remoto fino a quando il computer remoto non passi il controllo di integrità dell'host.

140 140 Configurazione dell'integrità degli host per la conformità degli endpoint Configurare l'autenticazione peer-to-peer Il controllo di integrità dell'host verifica le seguenti caratteristiche del computer remoto: Sul computer remoto sono installati sia Symantec Endpoint Protection e Symantec Network Access Control. Il computer remoto soddisfa i requisiti della Politica di integrità dell'host. Se il computer remoto passa il controllo di integrità dell'host, il dispositivo di autenticazione permette al computer remoto di connettersi. Se il computer remoto non supera il controllo di integrità dell'host, la periferica di autenticazione continua a bloccare il computer remoto. È possibile specificare per quanto tempo il computer remoto rimane bloccato prima che possa cercare di connettersi nuovamente al dispositivo di autenticazione. È inoltre possibile specificare determinati computer remoti ai quali l'accesso è sempre consentito, anche se non passerebbero il controllo di integrità dell'host. Se non viene attivata la Politica di integrità dell'host per il computer remoto, il computer remoto passa il controllo di integrità dell'host. Le informazioni di autenticazione peer-to-peer sono visualizzate nel registro di conformità del client Enforcer e nel registro del traffico della protezione della rete dalle minacce. Nota: L'autenticazione peer-to-peer funziona sotto controllo del server e sotto controllo misto, ma non sotto controllo del client. Avvertimento: Non attivare l'autenticazione peer-to-peer per i client installati sullo stesso computer del server di gestione. Altrimenti, il server di gestione non può scaricare le politiche nel computer remoto se il computer remoto non supera il controllo di integrità dell'host. Per configurare l'autenticazione peer-to-peer 1 Nella console, aprire una politica del firewall. 2 Nella pagina Politica firewall, fare clic su Impostazioni di autenticazione peer-to-peer. 3 Nel riquadro Impostazioni autenticazione peer-to-peer, selezionare Attiva autenticazione peer-to-peer. 4 Configurare ciascuno dei valori elencati nella pagina. Per ulteriori informazioni su queste opzioni, fare clic su?.

141 Configurazione dell'integrità degli host per la conformità degli endpoint Configurare l'autenticazione peer-to-peer Per consentire ai computer remoti di connettersi al computer client senza essere autenticato, selezionare Escludi gli host dall'autenticazione e quindi fare clic su Host esclusi. Il computer client consente il traffico ai computer elencati nell'elenco di host. 6 Nella finestra di dialogo Host esclusi, fare clic su Aggiungi per aggiungere i computer remoti che non devono essere autenticati. 7 Nella finestra di dialogo Host, definire l'host dall'indirizzo IP, dall'intervallo IP, o dalla subnet e quindi fare clic su OK. 8 Nella finestra di dialogo Host esclusi, fare clic su OK. 9 Al termine della configurazione di questa politica, fare clic su OK. 10 Se viene chiesto, assegnare la politica a una posizione. Vedere "Assegnazione di una politica condivisa" a pagina 72.

142 142 Configurazione dell'integrità degli host per la conformità degli endpoint Configurare l'autenticazione peer-to-peer

143 Capitolo 7 Uso dei registri e dei report per monitorare la sicurezza Il capitolo contiene i seguenti argomenti: Informazioni sui registri e i report Informazioni sulla home page di Symantec Endpoint Protection Informazioni sui registri Visualizzazione dei registri Esecuzione di comandi e azioni dai registri Uso delle le notifiche Creazione di report rapidi Informazioni sui registri e i report Le funzioni di reporting forniscono all'utente informazioni aggiornate necessarie per monitorare e prendere decisioni ponderate sulla sicurezza della rete. La home page della console di Symantec Endpoint Protection Manager mostra i diagrammi automaticamente generati che contengono le informazioni sugli eventi più importanti verificatisi di recente nella rete. È possibile utilizzare i filtri della pagina Monitor per visualizzare informazioni più dettagliate e aggiornate sulla rete ricavate dai registri. È possibile utilizzare i filtri della pagina Report per generare report predefiniti o personalizzati. È possibile utilizzare la pagina Report per visualizzare rappresentazioni grafiche e statistiche circa gli eventi che si verificano nella rete.

144 144 Uso dei registri e dei report per monitorare la sicurezza Informazioni sulla home page di Symantec Endpoint Protection Informazioni sulla home page di Symantec Endpoint Protection Se è installato Symantec Endpoint Protection e si è eseguito l'accesso con un account amministratore a cui sono assegnati diritti di visualizzazione dei report, nella home page vengono visualizzati i report generati automaticamente. Questi report contengono informazioni importanti sulla sicurezza di rete. Se non si dispone delle autorizzazioni per visualizzare i report, nella home page non verranno visualizzati i report generati automaticamente. Nella Figura 7-1 viene mostrato un esempio di home page contenente i report nel caso in cui gli amministratori dispongano dei diritti di visualizzazione. Figura 7-1 Esempio di home page di Symantec Endpoint Protection nella console di Symantec Endpoint Protection Manager Nella home page vengono visualizzati i report generati automaticamente e numerosi elementi di stato. In alcuni report della home page sono presenti collegamenti ipertestuali a report più dettagliati. È possibile fare clic sui numeri e alcuni grafici nei report della home page per consultare i dettagli.