Worry-Free Business Security Advanced6

Transcript

1 Worry-Free Business Security Advanced6 TM for Small and Medium Business Guida dell'amministratore

2

3 Trend Micro Incorporated si riserva il diritto di apportare modifiche a questa documentazione e ai prodotti in essa descritti senza alcun obbligo di notifica. Prima dell'installazione e dell'utilizzo del software, leggere con attenzione i file readme, le note sulla versione corrente e l'ultima edizione della relativa documentazione dell'utente, che sono disponibili presso il sito di Trend Micro all'indirizzo: Trend Micro, il logo della pallina con il disegno di una T, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan e ScanMail sono marchi o marchi registrati di Trend Micro, Incorporated. Tutti gli altri nomi di aziende o prodotti potrebbero essere marchi o marchi registrati dei rispettivi proprietari. Copyright Trend Micro Incorporated. Tutti i diritti riservati. Numero codice documento: WBEM64408/ Data di pubblicazione: Agosto 2010 Nome del prodotto e versione n.: Trend Micro Worry-Free Business Security 6.0 SP3 Protetto da brevetti USA n e

4 La documentazione di Trend Micro Worry-Free Business Security è destinata alla presentazione delle caratteristiche principali del software e alle istruzioni per l'installazione nell'ambiente di produzione dell'utente. Prima di procedere all'installazione o all'utilizzo del software, è consigliata la lettura di questa documentazione. Altre informazioni dettagliate sull'utilizzo di funzioni specifiche del software sono disponibili nella guida in linea e nella Knowledge Base presso il sito di Trend Micro.

5 Contenido Contenido Capitolo 1: Presentazione di Trend Micro Worry-Free Business Security Advanced Panoramica di Trend Micro Worry-Free Business Security Advanced Novità versione Versione 6.0, Service Pack Versione 6.0, Service Pack Versione 6.0, Service Pack Caratteristiche principali Trend Micro Smart Protection Network Smart Feedback Web Reputation Reputation Reputazione dei file Filtro URL Vantaggi della protezione Componenti di Descrizione delle minacce Terminologia dei componenti dei prodotti Capitolo 2: Informazioni preliminari Accesso alla console Web Stato in tempo reale Visualizzazione delle impostazioni di sicurezza iii

6 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Capitolo 3: Installazione degli agenti Panoramica dell'installazione degli agenti Panoramica di installazione/aggiornamento/migrazione dell'agente Esecuzione di una nuova installazione Installazione da una pagina Web interna Installazione con Impostazione script di accesso Installazione con gli script Installazione con Client Packager Installazione tramite un file MSI Installazione con Installazione remota Installazione con Vulnerability Scanner Installazione con notifica Installazione di MSA dalla console Web Verifica dell'installazione, dell'aggiornamento o della migrazione del modulo Agent Verifica dell'installazione con Vulnerability Scanner Verifica dell'installazione del client mediante lo script di prova EICAR Rimozione degli agenti Rimozione degli agenti attraverso il programma di disinstallazione agenti Rimozione dell'agente attraverso la console Web Rimozione dell'agente dai server Exchange Esecuzione del programma di disinstallazione di Messaging Security Agent Capitolo 4: Gestione dei gruppi Panoramica dei gruppi Visualizzazione dei client in un gruppo Aggiunta di gruppi Rimozione dei computer e dei gruppi dalla console Web Aggiunta dei client ai gruppi iv

7 Contenido Spostamento di client Replica delle impostazioni di gruppo Importazione ed esportazione delle impostazioni Capitolo 5: Gestione delle impostazioni di sicurezza di base Opzioni per gruppi di desktop e server Tipi di scansione Configurazione della scansione in tempo reale Gestione del firewall Sistema di rilevamento anti-intrusione Stateful Inspection Configurazione del firewall Uso del servizio di Web Reputation Configurazione di Web Reputation Configurazione del filtro URL Uso di Monitoraggio del comportamento Configurazione del monitoraggio del comportamento TrendSecure Configurazione di TrendSecure Gestione di POP3 Mail Scan Configurazione della scansione Privilegi client Gestione della quarantena Capitolo 6: Gestione di Messaging Security Agent Informazioni su Messaging Security Agent Azioni MSA Scansione avanzata delle macro Opzioni configurabili di Messaging Security Agent Impostazioni predefinite di Messaging Security Agent v

8 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Antivirus Configurazione della scansione in tempo reale per Messaging Security Agent Anti-spam Configurazione di Reputation Scansione dei contenuti Elenchi di mittenti approvati e bloccati Configurazione della scansione dei contenuti Filtro dei contenuti Parole chiave Espressioni regolari Visualizzazione delle regole di filtro dei contenuti Aggiunta/Modifica delle regole di filtro dei contenuti Riordinamento delle regole Blocco allegati Configurazione del blocco degli allegati Monitoraggio in tempo reale Messaging Agent Quarantine Configurazione delle directory di quarantena Consultazione delle directory di quarantena Gestione delle directory di quarantena Gestione dello strumento End User Quarantine Operazioni Impostazioni di notifica Manutenzione spam Assistenza Trend Micro/Programma di debug Aggiunta di server Microsoft Exchange alla struttura dei gruppi di protezione Rimozione dei server Microsoft Exchange dalla console Web Replica delle impostazioni dei server Microsoft Exchange Aggiunta di una declinazione di responsabilità ai messaggi in uscita vi

9 Contenido Capitolo 7: Utilizzo di Difesa dalle infezioni Strategia di difesa dalle infezioni Stato attuale della difesa dalle infezioni Disinfezione delle minacce Minaccia potenziale Attivazione di Esegui risanamento Impostazione della Difesa dalle infezioni Configurazione delle impostazioni di difesa dalle infezioni Visualizzazione dei dettagli della difesa dalle infezioni automatica Configurazione delle impostazioni della valutazione delle vulnerabilità Capitolo 8: Gestione delle scansioni Informazioni sulla scansione Metodi di scansione Selezione del metodo di scansione Tipi di scansione Configurazione delle opzioni di scansione manuale e pianificata Modifica dell'elenco Approvati spyware/grayware Configurazione delle opzioni di scansione per server Microsoft Exchange Pianificazione delle scansioni Capitolo 9: Gestione delle notifiche Notifiche Configurazione degli eventi per le notifiche Personalizzazione degli avvisi di notifica Uso dei token vii

10 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Configurazione delle impostazioni di notifica Configurazione delle impostazioni di notifica dei server Microsoft Exchange Capitolo 10: Gestione delle impostazioni globali Configurazione delle preferenze globali Opzioni proxy di Internet Opzioni del server SMTP Opzioni desktop/server Opzioni di sistema Capitolo 11: Gestione degli aggiornamenti Aggiornamento dei componenti ActiveUpdate Componenti da aggiornare Aggiornamento di Security Server Origini di aggiornamento Configurazione di un'origine di aggiornamento Utilizzo di Update Agent Aggiornamenti manuali Aggiornamento manuale dei componenti Aggiornamenti pianificati Pianificazione degli aggiornamenti dei componenti Rollback o sincronizzazione dei componenti Hotfix, patch e service pack viii

11 Contenido Capitolo 12: Utilizzo dei registri e dei rapporti Registri Utilizzo delle query del registro Rapporti Interpretazione dei rapporti Creazione di rapporti Gestione di registri e rapporti Manutenzione dei rapporti Eliminazione dei registri Capitolo 13: Amministrazione WFBS-A Modifica della password della console Web Operazioni relative a Plug-in Manager Visualizzazione dei dettagli della licenza del prodotto Partecipazione a Smart Protection Network Modifica della lingua dell'interfaccia dell'agente Disinstallazione di Trend Micro Security Server Appendice A: Elenco esclusione prodotti Trend Micro Elenco esclusione per i server Microsoft Exchange... A-5 Appendice B: Informazioni sul client Tipi di client...b-2 Icone del client normale...b-2 Location Awareness...B-7 Client roaming...b-7 Client a 32 e 64 bit...b-9 ix

12 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Appendice C: Servizi Trend Micro Criteri di difesa dalle infezioni... C-2 Damage Cleanup Services... C-2 Valutazione delle vulnerabilità... C-4 IntelliScan... C-5 ActiveAction... C-5 IntelliTrap... C-7 Reputation Services... C-8 Reputazione Web... C-9 Appendice D: Migliori pratiche per la protezione dei client Migliori pratiche...d-2 Appendice E: Utilizzo di strumenti amministrativi e strumenti client Tipi di strumenti... E-2 Strumenti amministrativi... E-3 Impostazione script di accesso... E-3 Vulnerability Scanner... E-4 Utilizzo di Vulnerability Scanner...E-5 Remote Manager Agent... E-9 Strumento Disk Cleaner... E-9 Strumenti client...e-11 Client Packager...E-11 Restore Encrypted Virus...E-12 Touch Tool...E-15 Client Mover...E-16 Componenti aggiuntivi...e-17 Installazione dei componenti aggiuntivi di SBS e EBS...E-18 x

13 Contenido Appendice F: Risoluzione dei problemi e Domande frequenti Risoluzione dei problemi...f-2 Domande frequenti (FAQ)...F-10 Dove è possibile reperire il codice di attivazione e la chiave di registrazione?...f-10 Registrazione...F-11 Installazione, aggiornamento e compatibilità...f-11 Come recuperare una password persa o dimenticata?...f-12 Protezione del software Intuit...F-12 Configurazione delle impostazioni...f-13 Ho installato il file di pattern o il service pack più recente?...f-15 Smart Scan...F-15 Problemi noti...f-16 Appendice G: Visualizzazione della guida Documentazione del prodotto...g-2 Knowledge Base...G-3 Assistenza tecnica...g-4 Come contattare Trend Micro...G-5 Invio di file sospetti a Trend Micro...G-5 Virus Information Center...G-6 TrendLabs...G-7 Appendice H: Glossario Índice xi

14 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore xii

15 Capitolo 1 Presentazione di Trend Micro Worry-Free Business Security Advanced In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche chiave di Trend Micro Worry-Free Business Security Advanced (WFBS-A). Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Panoramica di Trend Micro Worry-Free Business Security Advanced a pagina 1-2 Novità a pagina 1-2 Caratteristiche principali a pagina 1-7 Vantaggi della protezione a pagina 1-10 Descrizione delle minacce a pagina 1-15 Terminologia dei componenti dei prodotti a pagina

16 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Panoramica di Trend Micro Worry-Free Business Security Advanced Trend Micro Worry-Free Business Security Advanced (WFBS-A) protegge utenti e risorse delle piccole imprese da furti di dati e identità, siti pericolosi e spam.parte di Trend Micro Smart Protection Network, la soluzione Worry-Free Business Security Advanced è: Più sicura: blocca virus, spyware, spame minacce Web prima che raggiungano computer o server. Il filtro URL blocca l'accesso ai siti Web pericolosi e consente di migliorare la produttività degli utenti. Più intelligente: la scansione e gli aggiornamenti rapidi bloccano le nuove minacce, che hanno così un impatto minimo sui PC degli utenti. Più semplice: facile da implementare e senza bisogno di amministrazione, WFBS-A rileva più efficacemente le minacce per consentire agli utenti di concentrarsi sul lavoro invece che sulla protezione. Novità versione 6.0 Smart Scan: Smart Scan sposta le funzionalità di scansione di minacce informatiche e spyware di grandi dimensioni in un server di scansione. Fa in modo che le dimensioni del client rimangano limitate e riduce l'esigenza dei client di scaricare costantemente gli aggiornamenti, offrendo una valida difesa contro l'incredibile rapidità di diffusione delle minacce informatiche. Se si forniscono le soluzioni per il server invece di aggiornare i singoli client, è possibile garantire la protezione più aggiornata quasi immediatamente. Per ulteriori informazioni vedere Metodi di scansione a pagina 8-2 e Selezione del metodo di scansione a pagina 8-3. Filtro dei contenuti Web URL: Trend Micro è una scelta sicura per bloccare i siti Web che contengono contenuti inappropriati. Il filtro URL consente di migliorare la produttività dei dipendenti e proteggere le risorse di rete e le informazioni proprietarie. Per ulteriori informazioni, consultare Configurazione del filtro URL a pagina

17 Presentazione di Trend Micro Worry-Free Business Security Advanced Integrazione Smart Protection Network: Trend Micro Smart Protection Network è un insieme di tecnologie che riunisce una vasta gamma di informazioni sulle minacce provenienti da Internet per garantire una protezione aggiornata dalle minacce più recenti. Filtro URL, Web Reputation e Smart Scan sono parte integrante di Trend Micro Smart Protection Network. Per ulteriori informazioni, consultare Partecipazione a Smart Protection Network a pagina Stato in tempo reale più semplice: La dashboard dello stato in tempo reale è ancora più facile da leggere. Per ulteriori informazioni, consultare Stato in tempo reale a pagina 2-5. Installazione integrata con Worry-Free Remote Manager 2.1: I rivenditori hanno ora la possibilità di installare Worry-Free Remote Manager Agent, che consente la gestione remota di WFBS-A Security Server installato da zero. Per ulteriori informazioni, consultare Installing the Trend Micro Worry-Free Remote Manager Agent a pagina Nuova interfaccia di rete per lo strumento di quarantena Restore Encrypted Virus: Consente una gestione semplificata della quarantena, grazie all'utilizzo dello strumento Restore Encrypted Virus. Per ulteriori informazioni, consultare Restore Encrypted Virus a pagina E-12. Scansione variabile in base all'utilizzo della CPU: Consente una maggiore flessibilità di scansione quando l'uso della CPU è molto elevato. WFBS-A tiene ora conto del consumo di CPU e può essere configurato in modo che entri in pausa se il consumo è troppo elevato. Per ulteriori informazioni, consultare Configurazione delle opzioni di scansione manuale e pianificata a pagina 8-3. Protezione dalle minacce di esecuzione automatica USB: Blocca l'apertura dei file ad esecuzione automatica quando tale unità viene inserita nella porta USB di un client. Per ulteriori informazioni, consultare Restore Encrypted Virus a pagina E

18 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Versione 6.0, Service Pack 1 Protezione client migliorata Consente di impedire le modifiche o la chiusura di importanti componenti sull'agente da parte di software dannosi. Possibilità di disattivare il firewall per tutti i client Disattivazione del firewall per tutti i client mediante una nuova opzione in Impostazioni globali. Supporto per nuovi sistemi operativi WFBS-A ora supporta Windows 7, Windows Server 2008 R2 e Windows Server 2008 Foundation. Altri miglioramenti Il programma di installazione ora interroga i server di Trend Micro durante l'installazione/l'upgrade per verificare la validità del codice di attivazione Il miglioramento della migrazione dei database per i Security Server aggiornati dalla versione 3.6 risolve l'errore di accesso che si verifica durante l'interrogazione dei file di registro sui server aggiornati Un meccanismo di verifica aggiornato che garantisce l'esecuzione del download del file di pattern Smart Scan solo quando è disponibile una quantità sufficiente di spazio su disco Supporto per il protocollo HTTPS (oltre al protocollo HTTP) per Web Reputation e Filtro URL 1-4

19 Presentazione di Trend Micro Worry-Free Business Security Advanced Versione 6.0, Service Pack 2 Meccanismo di aggiornamento del pattern Smart Scan a impatto ridotto I frequenti aggiornamenti del componente Smart Scan sul Security Server garantiscono la scansione dei client con i pattern più recenti. Per ridurre l'impatto degli aggiornamenti sulle prestazioni del Security Server, determinati processi con uso intensivo delle risorse sono stati spostati sui server Trend Micro in-the-cloud. Modifiche del monitoraggio dei comportamenti e del firewall per migliorare le prestazioni Per evitare di incidere sulle applicazioni del server di importanza critica, il monitoraggio dei comportamenti è ora disattivato per impostazione predefinita sui client nei gruppi di server, mentre il firewall resta disattivato per impostazione predefinita su tutti i client. L'aggiornamento al Service Pack 2 disattiva automaticamente entrambe le funzioni su tutti i client nei gruppi di server esistenti. Per liberare risorse del sistema, disattivare una delle due funzioni in un gruppo per scaricare tutti i driver e i processi correlati. Per ulteriori informazioni sulle impostazioni predefinite, vedere Opzioni per gruppi di desktop e server a pagina 5-2. Percorsi UNC sull'elenco di eccezioni del monitoraggio dei comportamenti Poiché l'elenco delle eccezioni del monitoraggio dei comportamenti supporta i percorsi UNC, è possibile bloccare o autorizzare automaticamente i programmi che vengono eseguiti dalle cartelle di rete. Per ulteriori informazioni sull'elenco di eccezioni, vedere Uso di Monitoraggio del comportamento a pagina Meccanismo di disinfezione in seguito agli aggiornamenti Con il Service Pack 2, lo strumento di disinfezione Disk Cleaner consente di rimuovere i file residui a ogni aggiornamento del Security Server. Lo strumento garantisce che i componenti inutilizzati non occupino spazio su disco, liberando quindi fino a 900 MB di spazio. È inoltre possibile eseguire lo strumento manualmente per disinfettare il Security Server. Altri miglioramenti Riduzione della frequenza di segnalazione dello stato di sicurezza a Worry-Free Remote Manager per potenziare le prestazioni La soglia del conteggio delle postazioni per la visualizzazione degli avvisi sullo schermo Stato in tempo reale è stata modificata in 100% I messaggi nella schermata di installazione di Messaging Security Agent ora comprendono il controllo dell'accesso degli utenti a Windows Small Business Server

20 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Versione 6.0, Service Pack 3 Aggiornamenti della console Web Nella console Web è disponibile un elenco di collegamenti alle impostazioni di configurazione comuni per consentire agli utenti di accedervi più facilmente. Security Server visualizza sulla console Web gli annunci relativi a patch e aggiornamenti non appena questi risultano disponibili. Security Server supporta ora l'invio di notifiche tramite server SMTP autenticati. Nuovi strumenti WFBS include uno strumento di reimpostazione della password per la console di gestione Web. WFBS supporta ora Trend Micro Vulnerability Scanner su sistemi operativi a 64 bit. Aggiornamenti del client Monitoraggio del comportamento supporta la disinfezione di file di antivirus falsificati confermati. Aggiornamenti della procedura di installazione Nella procedura guidata di installazione sono ora inclusi collegamenti per facilitare gli utenti nella risoluzione dei problemi di installazione. Gli utenti possono ora visualizzare e personalizzare la directory in cui vengono estratti i file all'inizio del processo di installazione. Altri aggiornamenti Un collegamento alla Trend Micro Worry-Free Knowledge Base è ora incluso nel menu "Start" di Microsoft Windows. 1-6

21 Presentazione di Trend Micro Worry-Free Business Security Advanced Caratteristiche principali Le caratteristiche di questa versione del prodotto comprendono un miglioramento nell'integrazione con Trend Micro Smart Protection Network. Trend Micro Smart Protection Network Trend Micro Smart Protection Network è un'infrastruttura di protezione dei contenuti di tipo cloud-client di prossima generazione progettata per salvaguardare i clienti dalle minacce Web. I seguenti sono elementi essenziali di Smart Protection Network. Smart Feedback Trend Micro Smart Feedback offre una comunicazione continua tra i prodotti Trend Micro, le tecnologie e i centri di ricerca contro le minacce attivi 24 ore su 24 e 7 giorni su 7. Ogni nuova minaccia identificata tramite una verifica di routine della reputazione di un singolo cliente aggiorna automaticamente tutti i database delle minacce di Trend Micro e blocca ogni successiva interazione del cliente con una data minaccia. Elaborando senza soste le conoscenze sulle minacce raccolte attraverso la sua vasta rete globale di clienti e partner, Trend Micro offre una protezione automatica in tempo reale contro le più recenti minacce e garantisce una sicurezza di tipo "l'unione fa la forza", proprio come un gruppo di sorveglianti di quartiere, che coinvolge la comunità nella protezione dei cittadini. Poiché le informazioni raccolte sulle minacce sono basate sulla reputazione dell'origine della comunicazione e non sul contenuto della specifica comunicazione, la riservatezza delle informazioni personali o aziendali di un cliente è sempre tutelata. 1-7

22 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Web Reputation Con uno dei più estesi database di reputazione dei domini al mondo, la tecnologia Web Reputation di Trend Micro rileva la credibilità dei domini Web tramite l'assegnazione di un punteggio di reputazione basato su fattori quali l'età del sito Web, le modifiche cronologiche all'ubicazione del sito e le indicazioni di attività sospette scoperte tramite l'analisi del comportamento delle minacce informatiche. Questa tecnologia analizza quindi i siti e impedisce agli utenti di accedere a quelli infetti. Per aumentare l'accuratezza e ridurre l'incidenza di falsi allarmi, la tecnologia Web Reputation di Trend Micro assegna punteggi di reputazione a pagine o collegamenti specifici all'interno dei siti, invece di classificare o bloccare tutto il sito, perché spesso solo alcune parti di siti legittimi vengono infettate e le reputazioni possono cambiare in modo dinamico nel corso del tempo. Reputation La tecnologia di reputazione di Trend Micro convalida gli indirizzi IP verificandoli a fronte di un database della reputazione di fonti di spam note e utilizzando un servizio dinamico capace di valutare la reputazione del mittente in tempo reale. Le classificazioni della reputazione vengono perfezionate tramite un'analisi continua del "comportamento" degli indirizzi IP, della portata dell'attività e della cronologia precedente. I messaggi dannosi vengono bloccati in-the-cloud in base all'indirizzo IP del mittente, impedendo così a minacce come zombie o botnet di raggiungere la rete dell'utente. 1-8

23 Presentazione di Trend Micro Worry-Free Business Security Advanced Reputazione dei file La tecnologia di reputazione dei file verifica la reputazione di ciascun file a fronte di un ampio database, prima di consentire l'accesso all'utente. Poiché le informazioni sulle minacce informatiche sono memorizzate in-the-cloud, sono disponibili immediatamente a tutti gli utenti. Le reti di trasmissione dei contenuti ad elevate prestazioni e i server di cache locale garantiscono una latenza minima durante la fase di controllo. L'architettura cloud-client offre una protezione più immediata ed elimina l'obbligo dell'implementazione dei pattern, oltre a ridurre in misura significativa l'impatto complessivo del client sulle risorse. Smart Scan Trend Micro Worry-Free Business Security Advanced si avvale di una nuova tecnologia chiamata Smart Scan. In passato, i client WFBS-A utilizzavano la scansione tradizionale, con la quale ogni client doveva scaricare i componenti legati alla scansione per eseguire le scansioni. Con Smart Scan, il client utilizza invece il file di pattern presente sul server Smart Scan. I vantaggi offerti da Smart Scan sono: Riduzione delle risorse hardware: per la scansione dei file vengono utilizzate soltanto le risorse del server di scansione. Filtro URL Il filtro URL contribuisce a controllare l'accesso ai siti Web per ridurre i tempi di inattività dei dipendenti, limitare il consumo di ampiezza di banda Internet e creare un ambiente di lavoro più sicuro. È possibile scegliere un livello di protezione del filtro URL oppure personalizzare i tipi di siti Web da tenere sotto controllo. 1-9

24 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Vantaggi della protezione La tabella riportata di seguito descrive come i vari componenti di WFBS-A proteggono i computer dalle minacce. TABELLA 1-1. Vantaggi della protezione MINACCIA PROTEZIONE Virus/minaccia informatica. Virus, cavalli di Troia, worm, backdoor e rootkit Spyware/grayware. Spyware, dialer, strumenti per hacker, applicazioni per decifratura password, adware, programmi ingannevoli e keylogger Virus/minacce informatiche e spyware/grayware trasmessi tramite messaggi e spam Worm e virus di rete Intrusioni Siti Web e siti di phishing pericolosi Comportamento dannoso Falsi punti di accesso Contenuti espliciti o riservati in applicazioni di messaggistica istantanea Motori di scansione antivirus e anti-spyware con file di pattern di Client/Server Security Agent e Messaging Security Agent POP3 Mail Scan in Client/Server Security Agent e IMAP Mail Scan in Messaging Security Agent Protezione di Messaging Security Agent per server Microsoft Exchange Firewall di Client/Server Security Agent Firewall di Client/Server Security Agent Web Reputation e TrendProtect di Client/Server Security Agent Monitoraggio del comportamento di Client/Server Security Agent Transaction Protector di Client/Server Security Agent Filtro contenuti di messaggistica istantanea di Client/Server Security Agent 1-10

25 Presentazione di Trend Micro Worry-Free Business Security Advanced Componenti di Antivirus Motore di scansione (a 32 o 64 bit) per Client/Server Security Agent e Messaging Security Agent: il motore di scansione utilizza il file di pattern antivirus per rilevare virus/minacce informatiche e altre minacce alla sicurezza nei file che gli utenti aprono e/o salvano. Il motore di scansione agisce in combinazione con il file di pattern antivirus per eseguire il primo livello di rilevamento, mediante un processo denominato corrispondenza di pattern. Poiché ogni virus contiene una "firma" univoca o una stringa di caratteri riconoscibili che lo distinguono da qualsiasi altro codice, gli esperti di TrendLabs raccolgono porzioni rivelatrici inerti del codice nel file di pattern. Il motore confronta alcune parti di ogni file analizzato con i pattern del file di pattern antivirus alla ricerca di qualche corrispondenza. Pattern antivirus: file che consente ai moduli Security Agent di individuare le impronte virali, le sequenze univoche di bit e byte che segnalano la presenza di un virus. Modello disinfezione virus: utilizzato da Virus Cleanup Engine, questo modello consente di identificare cavalli di Troia, worm e spyware/grayware e i processi da essi innescati, affinché il motore di disinfezione possa eliminarli. Virus Cleanup Engine a 32 o 64 bit: il motore che i Cleanup Services utilizzano per ricercare e rimuovere i cavalli di Troia e i relativi processi, i worm e lo spyware/grayware. Pattern eccezioni IntelliTrap: Il pattern eccezioni utilizzato da IntelliTrap e dai motori di scansione per cercare il codice dannoso nei file compressi. Pattern IntelliTrap: pattern utilizzato da IntelliTrap e dai motori di scansione per cercare il codice dannoso nei file compressi. Pattern per Smart Scan Agent: file pattern utilizzato dal client per identificare le minacce. Questo file di pattern è archiviato all'interno del computer agente. Motore feedback a 32 e 64 bit: motore per l'invio di feedback a Trend Micro Smart Protection Network. Pattern per Smart Scan: file di pattern contenente dati specifici per i file del computer client. 1-11

26 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Anti-spyware Motore di scansione anti-spyware a 32 bit: motore di scansione distinto che cerca, rileva e rimuove lo spyware/grayware dai computer e dai server infetti eseguiti su sistemi operativi i386 (a 32 bit). Motore di scansione anti-spyware a 64 bit: simile al motore di scansione anti-spyware/grayware per i sistemi a 32 bit, questo motore di scansione ricerca, rileva e rimuove spyware da sistemi operativi x64 (a 64 bit). Pattern spyware: contiene definizioni di spyware noto ed è utilizzato dai motori di scansione anti-spyware (sia 32 che 64 bit) per rilevare lo spyware/grayware sui computer e sui server durante le scansioni manuali e pianificate. Schema di monitoraggio attivo dello spyware: simile al pattern spyware ma utilizzato dal motore di scansione per la scansione anti-spyware. Anti-spam Motore anti-spam (a 32/64 bit): individua i messaggi commerciali indesiderati (UCE) o i messaggi inviati in massa indesiderati (UBE), noti anche come spam. Pattern anti-spam: contiene definizioni di spam che consentono al motore anti-spam di rilevare i messaggi indesiderati. Reputation Services (ERS): blocca una quantità elevata di spam, prima che possa raggiungere il gateway e inondare l'infrastruttura di messaggistica. Difesa dalle infezioni La difesa dalle infezioni fornisce avvisi precoci delle minacce Internet e/o di altre minacce informatiche di portata globale. La difesa dalle infezioni risponde automaticamente con misure preventive che garantiscono la sicurezza dei computer e della rete e con misure di protezione volte a identificare il problema e risanare il danno. Pattern vulnerabilità: file che include il database di tutte le vulnerabilità. Il pattern di vulnerabilità fornisce le istruzioni utili al motore di scansione per la ricerca delle vulnerabilità note. 1-12

27 Presentazione di Trend Micro Worry-Free Business Security Advanced Virus di rete Motore firewall comune a 32 o 64 bit: il firewall utilizza il motore, insieme al file di pattern per i virus di rete, per proteggere i computer dagli attacchi degli hacker e dai virus di rete. Pattern comune per firewall: come il file di pattern per i virus, questo file consente a WFBS-A di identificare le impronte dei virus di rete. Transport Driver Interface (TDI) a 32 o 64 bit: il modulo che reindirizza il traffico di rete verso i moduli di scansione. Driver WFP a 32 o 64 bit: per i client Windows Vista, il firewall utilizza questo driver con il file di pattern antivirus per individuare i virus di rete. Web Reputation Database di sicurezza di Trend Micro: Web Reputation valuta il potenziale rischio alla sicurezza della pagina Web richiesta prima di visualizzarla. In base alla valutazione fornita dal database e al livello di sicurezza configurato, Client/Server Security Agent blocca o approva la richiesta. Motore filtro URL a 32 o 64 bit: il motore che effettua le ricerche nel database di sicurezza di Trend Micro per valutare la pagina. TrendProtect Database di sicurezza di Trend Micro: TrendProtect valuta il potenziale rischio alla sicurezza dei collegamenti ipertestuali visualizzati in una pagina Web. Il plug-in classifica il collegamento in base alla valutazione fornita dal database e al livello di sicurezza configurato sul plug-in del browser. Protezione del software Elenco di protezione software: non è possibile modificare o eliminare i file di programma (EXE e DLL). Per disinstallare o aggiornare un programma, è necessario rimuovere temporaneamente la protezione dalle cartelle. 1-13

28 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Monitoraggio del comportamento Driver del monitoraggio del comportamento: il driver rileva il comportamento dei processi sui client. Servizio principale monitoraggio del comportamento: CSA utilizza questo servizio per la gestione dei driver principali del monitoraggio del comportamento. Pattern implementazione dei criteri: elenco dei criteri configurati su Security Server che devono essere implementati mediante gli Agent. Pattern firma digitale: elenco delle aziende riconosciute da Trend Micro il cui software è ritenuto sicuro. Pattern di configurazione monitoraggio del comportamento: Questo pattern memorizza i criteri predefiniti del controllo del comportamento. I file di questo pattern vengono ignorati da tutte le corrispondenze di criteri. Pattern di disattivazione monitoraggio del comportamento: un pattern che contiene le regole per l'individuazione del comportamento sospetto delle minacce. Transaction Protector Wi-Fi Advisor: controlla la protezione delle reti wireless sulla base della validità del loro SSIDs, dei metodi di autenticazione e dei requisiti di crittografia. Filtro dei contenuti Elenco di parole/frasi vietate: l'elenco di parole/frasi vietate comprende parole e frasi che non possono essere trasmesse mediante le applicazioni di messaggistica istantanea. Stato in tempo reale e notifiche Stato in tempo reale consente di conoscere con una sola occhiata lo stato della protezione per quanto riguarda difesa dalle infezioni, antivirus, anti-spyware e virus di rete. Se WFBS-A protegge i server Microsoft Exchange, è possibile visualizzare anche lo stato anti-spam. Analogamente, WFBS-A invia agli amministratori delle notifiche ogniqualvolta si verifica un evento significativo. 1-14

29 Presentazione di Trend Micro Worry-Free Business Security Advanced Descrizione delle minacce La sicurezza informatica è un settore in rapida evoluzione. Gli amministratori e gli esperti di sicurezza informatica inventano e adottano un'ampia gamma di termini e frasi per descrivere i rischi potenziali o gli incidenti indesiderati su computer e rete. Di seguito vengono analizzati alcuni dei termini e il loro significato in base a come vengono utilizzati in questo documento. Virus/minaccia informatica Un virus informatico/una minaccia informatica è un programma, vale a dire una porzione di codice eseguibile, che ha la capacità di riprodursi. Penetrano in qualsiasi tipo di file eseguibile e si diffondono nel momento in cui i file vengono copiati e inviati da un utente all'altro. Oltre alla moltiplicazione, alcuni virus/minacce informatiche hanno un altro elemento comune: una routine di danni che trasporta la carica distruttiva. Benché a volte si limitino a visualizzare messaggi o immagini, le cariche distruttive possono anche danneggiare file, formattare il disco rigido o causare danni di altra natura. Minacce informatiche: le minacce informatiche sono dei software progettati per infiltrarsi o danneggiare un computer senza il consenso del proprietario. Cavalli di Troia: un cavallo di Troia è un programma dannoso mascherato da applicazione innocua. Contrariamente ai virus e alle minacce informatiche, i cavalli di Troia non si moltiplicano ma possono essere altrettanto dannosi. Un esempio di cavallo di Troia è un'applicazione che a prima vista serve per eliminare virus/minacce informatiche dai computer ma in realtà li introduce. Worm: un worm è un programma (o gruppo di programmi) autonomo in grado di diffondere copie funzionanti di se stesso o di suoi segmenti ad altri sistemi. La propagazione avviene in genere mediante le connessioni alla rete o gli allegati . A differenza dei virus e delle minacce informatiche, non hanno la necessità di attaccarsi a programmi host. Backdoor: un programma backdoor è un metodo per oltrepassare i normali processi di autenticazione così da permettere l'accesso remoto a un computer e/o ottenere accesso alle informazioni rimanendo, nel frattempo, nascosto. 1-15

30 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Rootkit: un rootkit è un insieme di programmi progettato per attaccare il controllo legittimo di un sistema operativo da parte dei suoi utenti. Solitamente un rootkit mantiene nascosta la propria installazione e tenta di evitare la rimozione provando a modificare i sistemi di protezione standard. Virus da macro: i virus da macro sono specifici di un'applicazione. Questo tipo di virus si trova all'interno di file destinati ad applicazioni come Microsoft Word (.doc) e Microsoft Excel (.xls). Possono, pertanto, essere rilevati in file con estensioni comuni ad applicazioni in grado di eseguire macro come.doc,.xls e.ppt. I virus da macro viaggiano tra i file di dati nell'applicazione e possono, se non scoperti, infettare centinaia di file. I programmi agente presenti sui computer client, detti anche Client/Server Security Agent e Messaging Security Agent, possono rilevare la presenza di virus/minacce informatiche durante la scansione antivirus. In presenza di virus/minacce informatiche, Trend Micro consiglia di eseguire una disinfezione. Spyware/Grayware Con il termine grayware si intendono tutti quei programmi che eseguono operazioni inaspettate o non autorizzate. È un termine generico utilizzato per indicare spyware, adware, dialer, programmi ingannevoli, strumenti di accesso remoto e qualsiasi altro tipo di file e programma indesiderato. A seconda del tipo, queste minacce possono contenere codici dannosi in grado o meno di replicarsi. Spyware: gli spyware sono dei software che si installano sul computer senza il consenso o la consapevolezza dell'utente per raccogliere o trasmettere informazioni personali. Dialer: i dialer sono necessari per collegare a Internet i computer che non dispongono di connessione a banda larga. I dialer dannosi sono progettati per collegare i computer a numeri telefonici con tariffe altissime invece che al provider di servizi Internet abituale. I provider di tali dialer dannosi riscuotono le tariffe pagate. I dialer vengono utilizzati anche per trasmettere informazioni personali e scaricare software dannoso. Strumenti per hacker: uno strumento per hacker è un programma o un set di programmi progettato per l'attività degli hacker. 1-16

31 Presentazione di Trend Micro Worry-Free Business Security Advanced Adware: per adware si intende il software finalizzato alla pubblicità e si riferisce a qualsiasi pacchetto software che, dopo la sua installazione o quando l'applicazione viene utilizzata, esegue, visualizza o scarica automaticamente del materiale pubblicitario su un computer. Keylogger: i keylogger sono dei software che registrano tutte le sequenze di tasti digitate dall'utente. Queste informazioni possono quindi essere recuperate da un hacker che le utilizza per i propri scopi. Bot: diminutivo di "robot", programma che opera come agente per un utente o per un altro programma e simula un'attività umana. I bot, una volta eseguiti, possono replicarsi, comprimersi e distribuire copie di se stessi. I bot possono essere utilizzati per coordinare un attacco automatico su computer collegati in rete. I moduli Client/Server Security Agent e Messaging Security Agent possono rilevare la presenza di grayware. L'azione consigliata da Trend Micro per spyware e grayware è la disinfezione. Virus di rete Un virus che si diffonde su una rete non è necessariamente un virus di rete. Solo alcune delle minacce descritte in questa sezione, come i worm, si qualificano come virus di rete. In particolare, per moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e i protocolli di posta elettronica. Per identificare e bloccare i virus di rete, il firewall utilizza un file di pattern apposito. Spam Il termine spam indica tutti i messaggi non richiesti (messaggi di posta indesiderati), spesso di natura commerciale, inviati indiscriminatamente a elenchi di destinatari multipli, individui o newsgroup. Esistono due tipi di spam: messaggi commerciali non richiesti (UCE) e messaggi indesiderati (UBE). Intrusioni Per intrusione si intende l'accesso a una rete o a un computer compiuto con la forza o senza autorizzazione. Può indicare anche il superamento della protezione di una rete o un computer. 1-17

32 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Comportamento dannoso Un comportamento dannoso è quello che apporta delle modifiche non autorizzate effettuate da un software al sistema operativo, alle chiavi di registro, ad altri software o a file e cartelle. Falsi punti di accesso Con falsi punti di accesso, detti anche Evil Twin, si intendono dei punti di accesso Wi-Fi disponibili presso diverse strutture che sembrano legittimi ma che, invece, sono stati realizzati da hacker per spiare le comunicazioni wireless. Contenuti espliciti o riservati in applicazioni di messaggistica istantanea Contenuti testuali espliciti o riservati all'interno di un'organizzazione che vengono trasmessi tramite applicazioni di messaggistica istantanea; ad esempio, informazioni aziendali riservate. Listener di sequenza di tasti online Una versione online dei keylogger. Per ulteriori informazioni, consultare Spyware/Grayware a pagina Packer I packer sono degli strumenti che comprimono i programmi eseguibili. La compressione di un file eseguibile rende più difficoltoso il riconoscimento del codice in esso contenuto da parte dei normali prodotti per scansione antivirus. Un packer può contenere un cavallo di Troia o un worm. Il motore di scansione di Trend Micro è in grado di rilevare i file compressi; l'azione consigliata per questo tipo di file è la quarantena. Tentativi di phishing Un tentativo di phishing è un messaggio che si presenta come una comunicazione da parte di un'azienda affidabile e legittima. Il messaggio spinge gli utenti a fare clic su un collegamento che reindirizza il browser su un falso sito Web. All'utente viene chiesto di aggiornare le informazioni personali (password, codice fiscale e numeri di carta di credito) per spingerlo a fornire dati sensibili che possono essere utilizzati per il furto di identità. 1-18

33 Presentazione di Trend Micro Worry-Free Business Security Advanced Per il rilevamento dei tentativi di phishing, i moduli Messaging Security Agent utilizzano la funzione Anti-spam. L'operazione raccomandata da Trend Micro per i tentativi di phishing è l'eliminazione dell'intero messaggio in cui è stato rilevato il phishing. Attacchi tramite invii di posta in massa I virus e le minacce informatiche per hanno la capacità di diffondersi mediante i messaggi grazie all'automatizzazione del client del computer infetto o alla diffusione di virus/minacce informatiche. Le caratteristiche legate all'invio di posta in massa descrivono una situazione in cui un'infezione si diffonde rapidamente in un ambiente Microsoft Exchange. Trend Micro ha elaborato un motore di scansione in grado di rilevare i comportamenti che in genere si verificano nel corso di un attacco di posta in massa. Questi comportamenti vengono registrati nel file di pattern antivirus che viene aggiornato utilizzando i server Trend Micro ActiveUpdate. I moduli Messaging Security Agent sono in grado di rilevare gli attacchi tramite invii di posta in massa durante la Scansione antivirus. L'operazione predefinita per gli attacchi tramite invii di posta in massa ha la precedenza su tutte le altre. L'operazione raccomandata da Trend Micro contro gli attacchi di posta in massa è l'eliminazione dell'intero messaggio. 1-19

34 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Terminologia dei componenti dei prodotti La tabella riportata di seguito definisce i termini utilizzati nella documentazione del prodotto: TABELLA 1-2. Terminologia dei componenti dei prodotti VOCE Security Server Server di scansione Agent/CSA/MSA Client Console Web DESCRIZIONE Security Server ospita la console Web, una console di gestione centralizzata basata sul Web per il prodotto. Un server di scansione sottopone a scansione i client configurati per Smart Scan. Per impostazione predefinita, un server di scansione viene installato su Security Server. Il Client/Server Security Agent o Messaging Security Agent. Gli agenti proteggono il client sul quale sono installati. I client sono server Microsoft Exchange, computer desktop, portatili e server su cui è installato Messaging Security Agent o Client/Server Security Agent. Si tratta di una console di gestione centralizzata basata sul Web che consente di gestire tutti i moduli Agent. La console Web si trova su Security Server. 1-20

35 Capitolo 2 Informazioni preliminari In questo capitolo vengono descritte le operazioni necessarie per iniziare a utilizzare WFBS-A. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Accesso alla console Web a partire da pagina 2-2 Stato in tempo reale a partire da pagina 2-5 Visualizzazione delle impostazioni di sicurezza a partire da pagina

36 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Accesso alla console Web In questo argomento vengono descritte le modalità di accesso alla console Web. TABELLA 2-1. Funzioni principali della console Web Funzione Menu principale Area di configurazione Barra laterale dei menu Barra degli strumenti Impostazioni di sicurezza Descrizione Il menu principale si trova lungo il lato superiore della console Web. Questo menu è sempre disponibile. L'area di configurazione si trova sotto le voci del menu principale. Utilizzare quest'area per selezionare le opzioni in base alla voce di menu selezionata. La barra laterale dei menu viene visualizzata quando si seleziona un client o gruppo nella schermata Impostazioni di sicurezza e si fa clic su Configura. La barra laterale consente di configurare le impostazioni di sicurezza e le scansioni per i computer desktop e server. Se si seleziona un server Microsoft Exchange nella schermata Impostazioni di sicurezza, è possibile utilizzare la barra laterale per configurare le impostazioni di sicurezza e le scansioni per i server Microsoft Exchange. Quando si apre la schermata Impostazioni di sicurezza, è visibile una barra degli strumenti contenente diverse icone. Se si fa clic su un client o gruppo dalla schermata Impostazioni di sicurezza e poi si fa clic su un'icona della barra degli strumenti, Security Server esegue l'operazione corrispondente. Quando si installa Trend Micro Security Server, viene installata anche la console di gestione centralizzata basata sul Web. La console utilizza tecnologie Internet quali ActiveX, CGI, HTML e HTTP/HTTPS. Apertura della console Web: 1. Per aprire la console Web, selezionare una delle opzioni riportate di seguito. Fare clic sul collegamento a Worry-Free Business Security presente sul desktop. 2-2

37 Informazioni preliminari Nel menu Start di Windows, fare clic su Trend Micro Worry-Free Business Security > Worry-Free Business Security. È anche possibile aprire la console Web da qualsiasi computer della rete. Aprire un browser Web e digitare quanto segue nella barra degli indirizzi: porta}/smb Ad esempio: Se NON si utilizza SSL, digitare http invece di https. La porta predefinita per le connessioni HTTP è la 8059, mentre per le connessioni HTTP è la Suggerimento: Se l'ambiente non è in grado di risolvere i nomi server mediante DNS, sostituire {Nome_Security_Server} con {Indirizzo_IP_Server}. 2. Nel browser viene visualizzata la schermata di accesso a Trend Micro Worry-Free Business Security. FIGURA 2-1. Schermata di accesso di WFBS-A 2-3

38 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 3. Nella casella di testo Password, digitare la password e fare clic su Accesso. Nella schermata del browser viene visualizzata la schermata Stato in tempo reale della console Web. Icone della console Web La tabella seguente descrive le icone visualizzate nella console Web e ne illustra il significato. TABELLA 2-2. Icone della console Web Icona Descrizione Icona Guida. Apre la Guida in linea. Icona Aggiorna. Aggiorna la visualizzazione della schermata corrente. / Icona Espandi/Comprimi sezione. Visualizza/Nasconde le sezioni. È possibile espandere una sola sezione alla volta. Icona di informazione. Visualizza le informazioni relative a un elemento specifico. 2-4

39 Informazioni preliminari Stato in tempo reale Utilizzare la schermata Stato in tempo reale per gestire WFBS-A. La frequenza di aggiornamento delle informazioni visualizzate nella schermata Stato in tempo reale varia in base alla sezione. In genere, la frequenza è compresa tra 1 e 10 minuti. Per aggiornare manualmente le informazioni visualizzate nella schermata, fare clic su Aggiorna. FIGURA 2-2. Schermata Stato in tempo reale 2-5

40 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Descrizione delle icone Le icone comunicano se è necessario eseguire un'operazione per garantire la protezione dei computer della rete. Per visualizzare altre informazioni, espandere la sezione. Per visualizzare dettagli specifici, è anche possibile fare clic sulle voci presenti nella tabella. Per ulteriori informazioni su determinati client, fare clic sui collegamenti numerati presenti nelle tabelle. TABELLA 2-3. Icone dello Stato in tempo reale Icona Descrizione Normale L'applicazione delle patch è richiesta soltanto su alcuni client. Le attività di virus, spyware e altre minacce informatiche sui computer e sulla rete non costituiscono un rischio significativo. Attenzione Adottare degli accorgimenti per evitare ulteriori rischi alla rete. In genere un'icona di avviso significa che su diversi computer vulnerabili è stato rilevato un numero eccessivo di virus o di altri incidenti relativi a minacce informatiche. Quando Trend Micro emette un allarme giallo, viene visualizzato l'avviso per la Difesa dalle infezioni. Operazione richiesta L'icona di avviso indica che l'amministratore deve intervenire per risolvere un problema di sicurezza. Le informazioni visualizzate nella schermata Stato in tempo reale vengono generate da Security Server in base ai dati raccolti sui client. 2-6

41 Informazioni preliminari Stato della minaccia La schermata Stato della minaccia visualizza informazioni sui seguenti elementi: Antivirus: rilevamento virus. A partire dall'incidente n. 5, l'icona di stato diventa un'icona di avviso. Se si deve eseguire un'operazione: Client/Server Security Agent non ha eseguito correttamente l'azione per la quale è stato impostato. Fare clic sul collegamento numerato per visualizzare informazioni dettagliate relative ai computer sui quali Client/Server Security Agent non è stato in grado di eseguire un'azione. La scansione in tempo reale è disattivata su Client/Server Security Agent. Fare clic su Attiva ora per avviare nuovamente la scansione in tempo reale. La scansione in tempo reale è disattivata su Messaging Security Agent. Anti-spyware: La sezione Anti-spyware mostra i risultati delle scansioni spyware più recenti e le voci di registro dello spyware. La colonna Numero di incidenti della tabella Incidenti minaccia spyware mostra i risultati dell'ultima scansione spyware. Per ulteriori informazioni su determinati client, fare clic sul collegamento numerato nella colonna Incidenti rilevati della tabella Incidenti minaccia spyware. In questa schermata è possibile trovare le informazioni riguardanti specifiche minacce spyware che hanno infettato i client. Filtro URL: siti Web con limitazioni in base alle indicazioni dell'amministratore. A partire dall'incidente n. 300, l'icona di stato diventa un'icona di avviso. Monitoraggio del comportamento: violazioni dei criteri di monitoraggio del comportamento. Virus di rete: rilevamento virus di rete determinato dalle impostazioni del firewall. Difesa dalle infezioni: possibile infezione virale in rete. Anti-spam: rilevamento spam. Fare clic sul collegamento Alto, Medio o Basso per tornare alla schermata di configurazione del server Microsoft Exchange selezionato in cui è possibile impostare il livello di soglia dalla schermata Anti-spam. Fare clic su Disattivato per tornare alla schermata appropriata. Queste informazioni vengono aggiornate su base oraria. Web Reputation: siti Web potenzialmente dannosi in base alle indicazioni di Trend Micro. A partire dall'incidente n. 200, l'icona di stato diventa un'icona di avviso. 2-7

42 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Stato del sistema Visualizzare le informazioni riguardanti i componenti aggiornati e lo spazio libero sui computer dove sono installati gli agenti. Aggiornamento dei componenti: lo stato degli aggiornamenti dei componenti di Security Server o la distribuzione dei componenti aggiornati agli agenti. Eventi di sistema insoliti: le informazioni relative allo spazio su disco per i client che funzionano come server (cioè sui quali sono in esecuzione sistemi operativi server). Smart Scan: i client che non possono collegarsi al server di scansione assegnato. Suggerimento: È possibile personalizzare i parametri che attivano la visualizzazione sulla console Web di un'icona Avviso o Operazione richiesta in Preferenze > Notifiche. Stato della licenza Visualizzazione delle informazioni sullo stato della licenza. Licenza: informazioni sullo stato della licenza del prodotto, in particolare per quanto riguarda la data di scadenza. Intervalli di aggiornamento dello stato in tempo reale Per capire la frequenza con cui vengono aggiornate le informazioni sullo stato in tempo reale, consultare la tabella seguente. TABELLA 2-4. Intervalli di aggiornamento dello stato in tempo reale Voce Intervallo di aggiornamento (in minuti) L'agente invia registri al server dopo... (in minuti) Difesa dalle infezioni 3 N.D. Antivirus 1 CSA: immediatamente MSA: 5 Anti-spyware

43 Informazioni preliminari TABELLA 2-4. Intervalli di aggiornamento dello stato in tempo reale (segue) Voce Anti-spam 3 60 Web Reputation 3 60 Filtro URL 3 60 Monitoraggio del comportamento 3 60 Virus di rete 3 60 Smart Scan 10 N.D. Licenza 10 N.D. Aggiornamento dei componenti Eventi di sistema insoliti Intervallo di aggiornamento (in minuti) 3 N.D. L'agente invia registri al server dopo... (in minuti) 10 Quando viene avviato il servizio di ascolto TmListen Visualizzazione delle impostazioni di sicurezza La schermata Impostazioni di sicurezza permette di gestire tutti i computer sui quali sono stati installati gli agenti. Quando si seleziona un gruppo dalla struttura dei gruppi di protezione, i computer di tale gruppo vengono visualizzati in una tabella a destra. La schermata Impostazioni di sicurezza si suddivide in due (2) sezioni principali: Menu di navigazione globale Queste voci di menu restano disponibili a prescindere dalle opzioni selezionate nella schermata Impostazioni di sicurezza e restano invariate per tutte le altre schermate. 2-9

44 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Area di configurazione L'area di configurazione contiene la barra delle informazioni di Security Server, la barra degli strumenti per la configurazione e, sotto alla barra degli strumenti, la struttura dei gruppi di protezione e la tabella informazioni di Security Agent. Barra delle informazioni di Security Server: contiene informazioni sul Security Server come Nome dominio, numero di porta e numero di desktop e server gestiti. Barra degli strumenti Configura: lo strumento Configura è disponibile solo quando si seleziona una delle voci della Struttura dei gruppi di protezione. Questo strumento consente di configurare le impostazioni per tutti gli agenti del gruppo specificato. Tutti i computer di un gruppo devono condividere la stessa configurazione. Sono disponibili le opzioni seguenti: Metodo di scansione, Antivirus/Anti-spyware, Firewall, Web Reputation, Filtro URL, Monitoraggio del comportamento, Barre degli strumenti TrendSecure, Privilegi client, Scansione e Directory di quarantena per desktop e server. Nota. Se si utilizza Internet Explorer 8 e si fa clic su Configura per un Messaging Security Agent, viene visualizzato un messaggio che chiede se si desidera visualizzare solo il contenuto delle pagine Web. Per visualizzare la pagina delle impostazioni MSA, fare clic su No. Replica impostazioni: lo strumento Replica impostazioni è disponibile solo quando si seleziona una delle voci della Struttura dei gruppi di protezione e se è presente almeno una delle voci dello stesso tipo nella Struttura dei gruppi di protezione. Importa/Esporta impostazioni: salvare le impostazioni di configurazione o importare le impostazioni già salvate. Aggiungi gruppo: lo strumento Aggiungi gruppo consente di aggiungere nuovi gruppi di desktop o server. Aggiungi: lo strumento Aggiungi consente di aggiungere computer a gruppi specifici attraverso l'implementazione dei moduli Client/Server Security Agent nei computer specificati dall'utente. Rimuovi: lo strumento Rimuovi consente di eliminare gli agenti dai computer specificati dall'utente. 2-10

45 Informazioni preliminari Sposta: lo strumento Sposta consente di spostare i computer o i server selezionati da un Security Server a un altro. Azzera contatori: lo strumento Azzera contatori funziona su tutti i computer appartenenti al gruppo. Quando si fa clic, il valore presente nelle colonne Virus rilevati e Rilevato spyware della tabella informazioni di Security Agent viene portato a zero. Struttura dei gruppi di protezione: selezionare un gruppo dalla struttura dei gruppi di protezione per visualizzare un elenco di computer del gruppo in questione sulla destra. Tabella delle informazioni Security Agent: quando si seleziona un client e si fa clic su uno strumento della barra degli strumenti, la console Web visualizza una nuova area per le configurazioni. 2-11

46 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 2-12

47 Capitolo 3 Installazione degli agenti In questo capitolo sono riportati i passaggi fondamentali per eseguire l'installazione e l'aggiornamento dei moduli Agent. Vengono inoltre fornite informazioni su come rimuovere gli agenti. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Panoramica dell'installazione degli agenti a pagina 3-2 Panoramica di installazione/aggiornamento/migrazione dell'agente a pagina 3-4 Esecuzione di una nuova installazione a pagina 3-4 Verifica dell'installazione, dell'aggiornamento o della migrazione del modulo Agent a pagina 3-18 Verifica dell'installazione del client mediante lo script di prova EICAR a pagina 3-21 Rimozione degli agenti a pagina

48 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Panoramica dell'installazione degli agenti WFBS-A fornisce diversi metodi per l'installazione di Client/Server Security Agent. Questa sezione ne offre un riepilogo. Suggerimento: Per le organizzazioni che applicano criteri molto rigidi, Trend Micro consiglia Installazione remota o Impostazione script di accesso. Pagina Web interna: indicare agli utenti dell'organizzazione di accedere alla pagina Web interna e scaricare i file di configurazione di Client/Server Security Agent (vedere Installazione da una pagina Web interna a pagina 3-4). Impostazione script di accesso: installazione automatica di Client/Server Security Agent su computer non protetti quando questi accedono al dominio (vedere Installazione con Impostazione script di accesso a pagina 3-6). Client Packager: implementazione dell'installazione di Client/Server Security Agent o aggiornamento dei client tramite (vedere Installazione con Client Packager a pagina 3-9). Installazione remota: installazione dell'agente su tutti i client Windows Vista/2000/XP/Server 2003/Server 2008 dalla console Web (consultare Installazione con Installazione remota a pagina 3-13). Vulnerability Scanner (TMVS): installazione di Client/Server Security Agent su tutti i client Windows 2000/Server 2003 dotati di Trend Micro Vulnerability Scanner (vedere Installazione con Vulnerability Scanner a pagina 3-15). 3-2

49 Installazione degli agenti TABELLA 3-1. Metodi di implementazione dell'agente Adatto all'implementazione su WAN Adatto all'amministrazione e alla gestione centralizzata Richiede intervento dell'utente Richiede risorse IT Adatto all'implementazione di massa Consumo dell'ampiezza di banda Privilegi necessari Pagina Web Script di accesso Client Packager Installazione remota Sì No Sì No No Sì Sì No Sì Sì Sì No Sì No No No Sì Sì Sì Sì No Sì No Sì Sì Basso, se pianificato Alto, se i client vengono avviati nello stesso momento Basso, se pianificato Basso, se pianificato Privilegi di amministratore necessari per tutti i metodi di installazione. TMVS Basso, se pianificato Nota. Per utilizzare uno dei metodi di implementazione di Client/Server Security Agent specificati, è necessario disporre dei privilegi di amministratore locale sui client di destinazione. 3-3

50 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Panoramica di installazione/aggiornamento/migrazione dell'agente Questa sezione contiene informazioni sui seguenti argomenti: Esecuzione di una nuova installazione di Client/Server Security Agent tramite il metodo di installazione selezionato (vederepanoramica dell'installazione degli agenti a pagina 3-2) Aggiornamento di una versione precedente di Client/Server Security Agent alla versione corrente (vedere Verifica dell'installazione, dell'aggiornamento o della migrazione del modulo Agent a pagina 3-18) Migrazione dall'installazione di un antivirus di terze parti alla versione attuale di WFBS-A (vedere Verifica dell'installazione, dell'aggiornamento o della migrazione del modulo Agent a pagina 3-18) Nota. Prima di installare Client/Server Security Agent, chiudere eventuali applicazioni in esecuzione sui client. Se si esegue l'installazione mentre sono in esecuzione altre applicazioni, il completamento dell'installazione potrebbe richiedere più tempo. Esecuzione di una nuova installazione In caso di prima installazione di Client/Server Security Agent sui computer di destinazione, attenersi a una delle seguenti procedure. Installazione da una pagina Web interna Se Trend Micro Security Server è stato installato su un computer con Windows 2000, Windows XP, Windows Server 2003 o Windows Server 2008 con Internet Information Server (IIS) 5.0, 6.0 o 7.0 o Apache , è possibile installare Client/Server Security Agent dal sito Web interno creato durante la configurazione principale. 3-4

51 Installazione degli agenti Si tratta di un metodo pratico per eseguire l'implementazione di Client/Server Security Agent. È sufficiente suggerire agli utenti di visitare la pagina Web interna e scaricare i file di installazione di Client/Server Security Agent. Suggerimento: È possibile utilizzare Vulnerability Scanner per verificare quali utenti non hanno seguito le istruzioni di installazione dalla console Web (consultare Verifica dell'installazione con Vulnerability Scanner a pagina 3-19 per ulteriori informazioni). Per scaricare i file di installazione di Client/Server Security Agent, occorre disporre di Microsoft Internet Explorer 6.0 o versione successiva e assicurarsi che il livello di sicurezza permetta l'utilizzo dei controlli ActiveX. Le istruzioni riportate di seguito sono state scritte considerando il punto di vista dell'utente. Inviare agli utenti un messaggio con le seguenti istruzioni per l'installazione di Client/Server Security Agent dal server Web interno. Per eseguire l'installazione da una pagina Web interna: 1. Aprire una finestra di Internet Explorer e digitare: Micro Security Server_nome}:{porta}/SMB/console/html/client Ad esempio: In alternativa, utilizzare l'url della console di gestione. Nella schermata della password, viene visualizzato un collegamento Fai clic qui per l'installazione del client. Se NON si utilizza SSL, digitare http invece di https. 3-5

52 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 2. Fare clic su Installa ora per avviare l'installazione di Client/Server Security Agent. Nota. per Windows Vista, verificare che la modalità protetta sia attiva. Per attivare la modalità protetta, in Internet Explorer, fare clic su Strumenti > Opzioni Internet > Protezione. L'installazione viene avviata. Al termine dell'installazione, viene visualizzato il messaggio Installazione dell'agente completata. 3. Controllare che l'installazione sia stata completata verificando che l'icona di Client/Server Security Agent venga visualizzata nella barra delle applicazioni di Windows. Per le scansioni tradizionali: Per Smart Scan: Installazione con Impostazione script di accesso Utilizzare l'impostazione script di accesso per automatizzare l'installazione di Client/Server Security Agent su computer non protetti quando questi accedono al dominio. L'Impostazione script di accesso aggiunge allo script di accesso del server un programma denominato autopcc.exe. Il programma autopcc.exe esegue le funzioni riportate di seguito: Determina il sistema operativo del computer non protetto e di Client/Server Security Agent. Aggiorna il motore di scansione, i file di pattern dei virus, i componenti Damage Cleanup Services, i file di disinfezione e i file di programma Nota. Per poter utilizzare il metodo di installazione tramite lo script di accesso, è necessario che i client siano elencati nella Windows Active Directory del server che esegue l'installazione. 3-6

53 Installazione degli agenti Per aggiungere il file autopcc.exe allo script di accesso mediante l'impostazione script di accesso: 1. Sul computer dove è stato installato WFBS-A, aprire C:\Programmi\Trend Micro\Security Server\PCCSRV\Admin\SetupUsr.exe. Viene caricata l'utilità Impostazione script di accesso. La console visualizza una struttura ad albero con tutti i domini della rete. 2. Cercare il computer Windows 2000/Server 2003/Server 2008 di cui si desidera modificare lo script di accesso, selezionarlo e fare clic su Seleziona. Il server deve essere un controller di dominio primario; per accedervi è necessario disporre dei diritti di amministratore. Per Impostazione script di accesso, vengono richiesti il nome utente e la password. 3. Immettere il proprio nome utente e la password. Fare clic su OK per continuare. Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti mostra i computer che si collegano al server. L'elenco Utenti selezionati contiene invece gli utenti di cui si desidera modificare lo script di accesso al computer. Per modificare lo script di accesso di uno o più utenti, selezionarli da Utenti e fare clic su Aggiungi. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti. Per escludere un utente il cui computer è già stato modificato, selezionarne il nome da Utenti selezionati e fare clic su Elimina. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto. 4. Quando tutti gli utenti di destinazione si trovano nell'elenco Utenti selezionati, fare clic su Applica. Viene visualizzato un messaggio che conferma la corretta modifica degli script di accesso al server. 5. Fare clic su OK. Si ritorna alla schermata iniziale del programma Impostazione script di accesso. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4. Per chiudere il programma Impostazione script di accesso, fare clic su Esci. Nota. Se un computer non protetto si collega ai server dei quali sono stati modificati gli script di accesso, autopcc.exe vi installa automaticamente l'agente. 3-7

54 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Installazione con gli script Se è già presente uno script di accesso per Windows 2000/Server 2003/Server 2008, Impostazione script di accesso aggiunge un comando per l'esecuzione di autopcc.exe oppure crea un file batch denominato ofcscan.bat, che contiene il comando per eseguire autopcc.exe. Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati di seguito. \\{Nome_Server}\ofcscan dove: {Nome_server} è il nome o l'indirizzo IP del computer dove è installato Trend Micro Security Server. Suggerimento: Se l'ambiente non è in grado di risolvere i nomi server mediante DNS, sostituire {Nome_server} con {Indirizzo_IP_Server}. Lo script di accesso per Windows 2000 si trova sul server Windows 2000 (in una directory condivisa per l'accesso in rete): \\Windows 2000 server\{unità sistema}\winnt\sysvol\ domain\scripts\ofcscan.bat Lo script di accesso per Server 2003 si trova su Server 2003 (in una directory condivisa per l'accesso in rete): \\Windows 2003 server\{unità sistema}\%windir%\sysvol\ domain\scripts\ofcscan.bat Lo script di accesso per Server 2008 si trova su Server 2008 (in una directory condivisa per l'accesso in rete): \\Windows 2008 server\{unità sistema}\%windir%\sysvol\ domain\scripts\ofcscan.bat 3-8

55 Installazione degli agenti Installazione con Client Packager Client Packager consente di comprimere file di installazione o di aggiornamento in un file autoestraente, al fine di semplificarne l'invio tramite , CD-ROM o supporto simile. Gli utenti che ricevono il pacchetto devono semplicemente fare doppio clic sul file per eseguire il programma di installazione. Gli agenti installati mediante Client Packager si collegano al server sul quale Client Packager ha creato il pacchetto di installazione. Questo strumento risulta particolarmente utile quando si implementa l'agente o i file di aggiornamento nei client nelle sedi remote con bassa ampiezza di banda. Considerazioni sull'installazione di Client Packager Installa: se l'agente non è in grado di collegarsi a Security Server, il client mantiene le impostazioni predefinite. Il client può ottenere le impostazioni di gruppo, solo quando è in grado di collegarsi a Security Server. Aggiorna: se si verificano problemi con l'aggiornamento dell'agente tramite Client Packager, Trend Micro consiglia di disinstallare prima la versione precedente dell'agente, quindi di installare la nuova versione. Nota. Client Packager richiede un minimo di 370 MB di spazio libero su disco del client. Per eseguire un MSI package è necessario disporre di Windows Installer 3.0 per il client. 3-9

56 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Client Packager può creare due tipi di file autoestraenti. Eseguibili Nota. in Windows Vista, il programma deve essere eseguito con i privilegi di amministratore (effettuare l'accesso come tale). Formato pacchetto Microsoft Installer (MSI): questo tipo di file è conforme alle specifiche per i pacchetti di installazione di Microsoft Windows e può essere utilizzato per l'implementazione invisibile e/o di Active Directory. Per ulteriori informazioni sui file MSI, consultare il sito Web Microsoft. Suggerimento: Trend Micro consiglia l'utilizzo di Active Directory per l'implementazione di un pacchetto MSI tramite Configurazione del computer anziché Configurazione dell'utente. In tal modo si assicura che il pacchetto MSI sia installato indipendentemente dall'utente che accede al computer. Per creare un pacchetto con la GUI Client Packager: 1. Su Trend Micro Security Server, aprire Esplora risorse di Windows. 2. Accedere a \PCCSRV\Admin\Utility\ClientPackager. 3. Per eseguire lo strumento, fare doppio clic su ClnPack.exe. Viene aperta la console di Client Packager. Nota. Il programma deve essere eseguito solo da Trend Micro Security Server. 4. In Sistema operativo di destinazione, selezionare il sistema operativo per il quale si desidera creare il pacchetto. 5. Selezionare la Modalità di scansione. Scansione tradizionale: un motore di scansione locale presente sul client che analizza il computer client. Smart Scan: un server di scansione contribuisce alla scansione del client. Un server di scansione viene installato automaticamente con Security Server. È possibile scegliere il metodo di scansione nella schermata Impostazioni di sicurezza. Le varie modalità di scansione utilizzano file di pattern diversi. La scansione tradizionale utilizza il file di pattern antivirus standard. 3-10

57 Installazione degli agenti 6. Selezionare il tipo di pacchetto da creare: Installazione: selezionare se si sta installando l'agente. Aggiornamento: selezionare questa opzione se si intende aggiornare solo i componenti di Client/Server Security Agent. 7. Nella sezione Opzioni, scegliere una delle seguenti opzioni di installazione: Modalità invisibile: creazione di un pacchetto che viene installato in background sul computer client, senza visualizzazione del processo da parte dell'utente. Non verrà visualizzata la finestra dello stato di installazione. Pacchetto MSI: creazione di un pacchetto conforme al formato per i pacchetti di installazione di Microsoft Windows. Nota. Il pacchetto MSI può essere utilizzato solo per l'implementazione di una Active Directory. Per un'installazione locale, creare un pacchetto.exe. Disattiva pre-scansione (solo per nuove installazioni): disattiva la normale scansione dei file che WFBS-A esegue prima di avviare la configurazione. 8. Nella sezione Componenti, selezionare i componenti da includere nel pacchetto di installazione scegliendo tra le opzioni riportate di seguito: Programma: tutti i componenti. Motore di scansione: il più recente motore di scansione disponibile su Trend Micro Security Server. Pattern antivirus: ultimo file di pattern antivirus su Trend Micro Security Server. Pattern vulnerabilità: ultimo file di pattern vulnerabilità su Trend Micro Security Server. Componenti spyware: ultimi componenti spyware su Trend Micro Security Server. Driver comune firewall: il driver per il firewall. Pattern antivirus di rete: ultimo file di pattern specifico per i virus di rete. DCE/DCT: il più recente modello e Virus Cleanup Engine disponibile su Trend Micro Security Server. Pattern IntelliTrap: ultimo file di pattern IntelliTrap su Trend Micro Security Server. 3-11

58 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 9. Assicurarsi che il percorso del file ofcscan.ini accanto al file di origine sia corretto. Per modificare il percorso, fare clic su per cercare il file ofcscan.ini. Per impostazione predefinita, il file si trova nella cartella \PCCSRV di Trend Micro Security Server. 10. In File di destinazione, fare clic su per specificare il nome del file (ad esempio, ClientSetup.exe) e il percorso in cui creare il pacchetto. 11. Fare clic su Crea per creare il pacchetto. Quando Client Packager ha completato la creazione del pacchetto, viene visualizzato il messaggio Creazione pacchetto completata. Per verificare la corretta creazione del pacchetto, effettuare un controllo sulla directory di destinazione specificata. 12. Inviare il pacchetto per ai propri utenti oppure copiarlo su un CD o su un supporto simile e distribuirlo agli utenti. ATTENZIONE! È possibile inviare il pacchetto solo ai Client/Server Security Agent che si collegano al server sul quale è stato creato il pacchetto. Non inviare il pacchetto ai Trend Micro Security Server Agent che si collegano ad altri Trend Micro Security Server. Installazione tramite un file MSI Se si utilizza Active Directory, è possibile installare Client/Server Security Agent creando un file di Microsoft Windows Installer. Utilizzare Client Packager per creare un file tramite un'estensione.msi. È possibile usufruire delle funzioni di Active Directory eseguendo automaticamente l'implementazione dell'agente simultaneamente su tutti i client con il file MSI, piuttosto che richiedere a ciascun utente di installare Client/Server Security Agent per conto proprio. Per ulteriori informazioni sui file MSI, consultare il sito Web Microsoft. Per istruzioni sulla creazione di un file MSI, consultare Installazione con Client Packager a pagina

59 Installazione degli agenti Installazione con Installazione remota È possibile installare Client/Server Security Agent in remoto contemporaneamente su più computer su cui è in esecuzione Windows 7, Vista, 2000, XP (solo Professional Edition), Server 2003, Server 2008, SBS 2008 e EBS Nota. Per utilizzare l'installazione remota è necessario disporre di autorizzazioni di amministratore per i computer di destinazione. Per Windows 7, Vista, Server 2008, SBS 2008 e EBS 2008, a causa del Controllo account utente di Windows è necessario utilizzare una password di amministratore di dominio preconfigurata. Per installare CSA con Installazione remota: Nota. L'installazione di Client/Server Security Agent su Windows Vista richiede alcuni passaggi aggiuntivi. Per informazioni aggiuntive, consultare la sezione Attivazione dell'installazione remota di Client Server/Security Agent sui client con Windows Vista a pagina Nel menu principale della console Web, fare clic su Impostazioni di sicurezza > Aggiungi. Viene visualizzata la schermata Aggiungi computer. 2. Selezionare Desktop o Server nella sezione Tipo di computer. 3. Selezionare Installazione remota nella sezione Metodo. 4. Fare clic su Avanti. Viene visualizzata la schermata Installazione remota. 5. Selezionare il client dall'elenco di computer nella casella Gruppi e computer, quindi fare clic su Aggiungi. Viene richiesto un nome utente e una password per il computer di destinazione. 6. Immettere il proprio nome utente e la password, quindi fare clic su Accedi. Nell'elenco Computer selezionati viene visualizzato il computer di destinazione. 7. Ripetere questi passaggi fino a quando nell'elenco non vengono visualizzati tutti i computer Windows presenti nella casella di riepilogo Computer selezionati. 8. Fare clic su Installa per installare Client/Server Security Agent sui computer di destinazione. Viene visualizzata una finestra di dialogo di conferma. 9. Fare clic su Sì per confermare l'installazione dell'agente sul client. Mentre viene eseguita la copia dei file di Client/Server Security Agent su ogni computer di destinazione, viene visualizzata una schermata di avanzamento. 3-13

60 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Una volta completata l'installazione di WFBS-A su un computer di destinazione, nel campo Risultato dell'elenco dei computer selezionati viene visualizzato lo stato dell'installazione e accanto al nome del computer un segno di spunta verde. Nota. l'installazione remota non installa Client/Server Security Agent su un computer su cui è già in esecuzione Trend Micro Security Server. Attivazione dell'installazione remota di Client Server/Security Agent sui client con Windows Vista L'installazione di Client/Server Security Agent su client Windows Vista richiede alcuni passaggi aggiuntivi. Per attivare l'installazione remota sui client con Windows Vista: 1. Sul client, attivare temporaneamente la condivisione file e stampanti. Nota. Se i criteri di protezione aziendali prevedono la disattivazione di Windows Firewall, andare al passaggio 2 e avviare il servizio Registro remoto. a. Aprire Windows Firewall nel Pannello di controllo. b. Fare clic su Consenti programma con Windows Firewall. Se viene richiesta una password di amministrazione o una conferma, eseguire l'operazione richiesta. Viene visualizzata la finestra di dialogo delle impostazioni di Windows Firewall. c. Nell'elenco Programma o porta della scheda Eccezioni, verificare che la casella di controllo Condivisione file e stampanti sia selezionata. d. Fare clic su OK. 2. Avviare temporaneamente il servizio Registro remoto. a. Aprire Microsoft Management Console. Suggerimento: Nella finestra Esegui immettere services.msc per aprire Microsoft Management Console. 3-14

61 Installazione degli agenti b. Fare clic con il tasto destro del mouse su Registro remoto e selezionare Avvia. 3. Dopo aver installato Client/Server Security Agent sul client Windows Vista, se necessario, ripristinare le impostazioni originali. Installazione con Vulnerability Scanner Il programma Trend Micro Vulnerability Scanner (TMVS) consente di rilevare le soluzioni antivirus installate, di cercare i computer non protetti presenti nella rete e di installare su di essi Client/Server Security Agent. Vulnerability Scanner effettua il ping delle porte solitamente utilizzate dalle soluzioni antivirus per determinare se i computer necessitano di protezione o meno. In questa sezione viene descritto come installare l'agente tramite Vulnerability Scanner. Per istruzioni su come utilizzare Vulnerability Scanner per individuare le soluzioni antivirus, consultare la sezione Verifica dell'installazione con Vulnerability Scanner a pagina Nota. È possibile utilizzare Vulnerability Scanner sui computer con Windows 2000 o Server 2003; tuttavia sui computer non può essere installato un Terminal Server. Se un'installazione di Trend Micro Security Server è già presente sul client, non è possibile installarvi Client/Server Security Agent tramite Vulnerability Scanner. Per installare Client/Server Security Agent con Vulnerability Scanner: 1. Nell'unità in cui è installato Trend Micro Security Server, accedere a: {percorso server} > PCCSRV > Admin > Utility > TMVS. Fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3-15

62 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore FIGURA 3-1. Schermata di impostazioni TMVS 3. In Impostazione di Trend Micro Security Server (per l'installazione e le segnalazioni sui registri), digitare il nome o l'indirizzo IP di Trend Micro Security Server e il numero della porta. 4. Selezionare la casella di controllo Installazione automatica di Client/Server Security Agent per computer non protetti. 3-16

63 Installazione degli agenti 5. Fare clic su Install Account. 6. Digitare un nome utente e una password con privilegi di amministratore del server (o di dominio) e fare clic su OK. 7. Fare clic su OK per tornare alla schermata TMVS principale. 8. Fare clic su Start per iniziare il controllo dei computer della rete e avviare l'installazione di Client/Server Security Agent. Installazione con notifica Utilizzare questa opzione per inviare un messaggio con un collegamento al programma di installazione. Per comunicare la posizione del pacchetto dalla console: 1. Nel menu principale della console Web, fare clic su Impostazioni di sicurezza > Aggiungi. Viene visualizzata la schermata Aggiungi computer. 2. Selezionare Desktop o Server nella sezione Tipo di computer. 3. Selezionare Installazione notifica dalla sezione Metodo. 4. Fare clic su Avanti. Viene visualizzata la schermata Installazione notifica Inserire l'oggetto del messaggio e i destinatari. 6. Fare clic su Applica. Viene aperto il client predefinito con destinatari, oggetto e il collegamento al programma di installazione. Installazione di MSA dalla console Web È possibile installare Messaging Security Agent (MSA) anche dalla console Web. Per installare MSA dalla console Web: 1. Effettuare l'accesso alla console Web. 2. Fare clic sulla scheda Impostazioni di sicurezza, quindi sul pulsante Aggiungi. 3. Nella sezione Tipo di computer, fare clic sul Server Microsoft Exchange. 3-17

64 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 4. In Informazioni sul server Microsoft Exchange, immettere le informazioni seguenti: Nome server. Il nome del server Microsoft Exchange su cui si desidera installare MSA. Account. Il nome utente dell'amministratore del dominio predefinito. Password. La password dell'amministratore del dominio predefinito. 5. Fare clic su Avanti. Viene visualizzata la schermata Impostazioni server Microsoft Exchange. 6. In Tipo di server Web, selezionare il tipo di server Web da installare sul server Microsoft Exchange. Selezionare Server IIS o Server Apache. 7. Per Tipo di gestione spam, verrà usato Quarantena utente finale. 8. In Directory, modificare o accettare la destinazione predefinita e le directory condivise per l'installazione di MSA. La destinazione predefinita e le directory condivise sono rispettivamente C:\Programmi\Trend Micro\Messaging Security Agent e C$. 9. Fare clic su Avanti. Viene visualizzata la schermata Impostazioni server Microsoft Exchange. 10. Verificare che le impostazioni del server Microsoft Exchange specificate nelle schermate precedenti siano corrette e fare clic su Avanti per avviare l'installazione di MSA. 11. Per visualizzare lo stato dell'installazione MSA, selezionare la scheda Stato in tempo reale. Verifica dell'installazione, dell'aggiornamento o della migrazione del modulo Agent Dopo avere completato l'installazione, verificare che Client/Server Security Agent sia installato correttamente. Per controllare l'installazione: Individuare i collegamenti al programma WFBS-A nel menu Start di Windows del client su cui è stato installato l'agente. Verificare che WFBS-A sia nell'elenco Installazione applicazioni del Pannello di controllo del client. 3-18

65 Installazione degli agenti Utilizzare Vulnerability Scanner (consultare Verifica dell'installazione con Vulnerability Scanner a pagina 3-19). Utilizzare lo strumento Client Mover. Verifica dell'installazione con Vulnerability Scanner È possibile verificare tutti i client della rete con agenti installati. È possibile anche automatizzare Vulnerability Scanner creando delle operazioni pianificate. Per informazioni sulla procedura di automatizzazione di Vulnerability Scanner, consultare la guida in linea di WFBS-A. Nota. È possibile utilizzare Vulnerability Scanner su computer che eseguono Windows 2000 e Server 2003; tuttavia, su tali computer non può essere in esecuzione Terminal Server. Per verificare l'installazione del modulo agente mediante Vulnerability Scanner: 1. Nell'unità in cui è installato Trend Micro Security Server, accedere a Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. In Query prodotto, selezionare la casella di controllo Security Server e specificare la porta di ascolto utilizzata dal server per comunicare con i client. 4. In Impostazioni recupero descrizioni, fare clic su un metodo di recupero. L'opzione Recupero standard è quella più precisa, ma richiede più tempo. Facendo clic su Recupero standard è possibile impostare Vulnerability Scanner in modo che recuperi le descrizioni del computer (se disponibili) selezionando la casella di controllo Recupera descrizioni computer, se disponibili. 5. Per inviare automaticamente i risultati all'utente stesso o ad altri amministratori dell'azienda, selezionare la casella di controllo Invia tramite i risultati all'amministratore del sistema in Impostazioni avvisi. Quindi fare clic su Configura per specificare le impostazioni . Nel campo A immettere l'indirizzo del destinatario. Nel campo Da immettere il proprio indirizzo

66 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore In Server SMTP immettere l'indirizzo del proprio server SMTP. Ad esempio, inserire smtp.example.com. Le informazioni sul server SMTP sono obbligatorie. Nel campo Oggetto immettere un nuovo oggetto per il messaggio, oppure accettare quello predefinito. 6. Per salvare le impostazioni, fare clic su OK. 7. Per visualizzare un messaggio di avviso su computer non protetti, fare clic sulla casella di controllo Visualizza avviso su computer non protetti. Quindi, fare clic su Personalizza per impostare il messaggio di avviso. Viene visualizzata la schermata Messaggio di avviso. 8. Digitare un nuovo messaggio di avviso nella casella di testo oppure accettare il messaggio predefinito, quindi fare clic su OK. 9. Se si desidera salvare i risultati in un file dati con valori separati da virgola (CSV), selezionare la casella di controllo Salva automaticamente i risultati come file con valori separati da virgola (CSV). Per impostazione predefinita, Vulnerability Scanner salva i file di dati CSV nella cartella TMVS. Per modificare la cartella CSV predefinita, fare clic su Sfoglia, selezionare una cartella di destinazione sul computer in uso o sulla rete, quindi fare clic su OK. 10. In Impostazioni Ping, specificare la modalità con cui Vulnerability Scanner deve inviare i pacchetti ai computer e attendere le risposte. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campi Dimensioni pacchetto e Timeout. 11. Fare clic su OK. Viene visualizzata la console di Vulnerability Scanner. 12. Per eseguire una scansione manuale delle vulnerabilità su una gamma di indirizzi IP, procedere nel modo seguente: a. In Intervallo IP da verificare, immettere l'intervallo degli indirizzi IP di cui si desidera verificare le soluzioni antivirus installate e i computer non protetti. b. Fare clic su Avvia per iniziare il controllo dei computer della rete. 13. Per eseguire una scansione manuale delle vulnerabilità su computer che richiedono indirizzi IP da un server DHCP, attenersi alla seguente procedura: a. Fare clic sulla scheda Scansione DHCP nella casella Risultati. Viene visualizzato il pulsante Avvio DHCP. 3-20

67 Installazione degli agenti b. Fare clic su Avvio DHCP. Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controlli di vulnerabilità sui client mano a mano che essi si connettono alla rete. Vulnerability Scanner controlla la rete e visualizza i risultati nella tabella Risultati. Verificare che gli agenti siano installati su tutti i computer server, desktop e portatili. Se Vulnerability Scanner rileva dei computer server, desktop o portatili non protetti, installarvi l'agente utilizzando il metodo preferito di installazione del modulo. Verifica dell'installazione del client mediante lo script di prova EICAR L'istituto EICAR (European Institute for Computer Antivirus Research) ha sviluppato un virus di prova che consente di collaudare la propria installazione e configurazione. Il file consiste in un file di testo inerte il cui pattern binario è compreso nel file di pattern antivirus della maggioranza dei produttori di antivirus. Il file non è un virus e non contiene codice di programmazione. Come ottenere il file di prova EICAR È possibile scaricare il virus di prova EICAR dai seguenti indirizzi URL: In alternativa, è possibile creare un virus di prova EICAR digitando quanto segue in un file di testo da denominare eicar.com: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H* Nota. Prima di effettuare la prova, svuotare la cache del server cache e del browser locale. 3-21

68 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Rimozione degli agenti Esistono due modalità di rimozione degli agenti: Esecuzione del programma di disinstallazione dell'agente Utilizzo della console Web ATTENZIONE! La rimozione degli agenti rende i client vulnerabili alle minacce. Rimozione degli agenti attraverso il programma di disinstallazione agenti Se gli utenti dispongono del privilegio di rimozione dell'agente, può essere inviata loro la richiesta di eseguire il programma di disinstallazione dell'agente dai loro computer. Per eseguire il programma di disinstallazione dell'agente: 1. Dal menu Start di Windows, fare clic su Impostazioni > Pannello di controllo > Installazione applicazioni. 2. Selezionare Trend Micro Client/Server Security Agent quindi fare clic su Modifica/Rimuovi. Viene visualizzata la schermata Disinstallazione di Client/Server Security Agent e, se è stata configurata, viene richiesta la password di disinstallazione. 3. Immettere la password di disinstallazione e fare clic su OK. Rimozione dell'agente attraverso la console Web È anche possibile rimuovere in remoto Client/Server Security Agent mediante la console Web. Per rimuovere un agente in remoto mediante la console Web: 1. Effettuare l'accesso alla console Web. 2. Fare clic sulla scheda Impostazioni di sicurezza. 3. Nella struttura dei gruppi di protezione, selezionare il client da cui si desidera rimuovere l'agente e fare clic su Rimuovi. Viene visualizzata la schermata Rimuovi computer. 3-22

69 Installazione degli agenti 4. In Tipo di rimozione, fare clic su Disinstallare gli agenti selezionati, quindi su Applica. Viene visualizzato un messaggio di conferma dell'operazione. 5. Fare clic su OK. Viene visualizzata una schermata a comparsa con il numero di notifiche di disinstallazione inviate dal server e ricevute dal client. 6. Fare clic su OK. Per verificare che l'agente è stato rimosso, aggiornare la schermata Impostazioni di sicurezza. Il client non dovrebbe più essere visualizzato nella Struttura dei gruppi di protezione. Rimozione dell'agente dai server Exchange Per rimuovere Messaging Security Agent tramite la console Web: 1. Accedere al server Microsoft Exchange con privilegi di amministratore. 2. Nel server Microsoft Exchange, fare clic su Start, quindi sul Pannello di controllo. 3. Aprire Installazione applicazioni. 4. Selezionare Trend Micro Messaging Security Agent e fare clic su Rimuovi. Seguire le istruzioni visualizzate. 3-23

70 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Esecuzione del programma di disinstallazione di Messaging Security Agent Per rimuovere Messaging Security Agent: 1. Accedere al server Microsoft Exchange con privilegi di amministratore. 2. Nel server Microsoft Exchange, fare clic su Start, quindi sul Pannello di controllo. 3. Aprire Installazione applicazioni. 4. Selezionare Trend Micro Messaging Security Agent e fare clic su Rimuovi. Seguire le istruzioni visualizzate. 3-24

71 Capitolo 4 Gestione dei gruppi Questo capitolo spiega come vengono concepiti e utilizzati i gruppi in WFBS-A. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Panoramica dei gruppi a partire da pagina 4-2 Visualizzazione dei client in un gruppo a partire da pagina 4-3 Aggiunta di gruppi a partire da pagina 4-5 Rimozione dei computer e dei gruppi dalla console Web a partire da pagina 4-6 Aggiunta dei client ai gruppi a partire da pagina 4-7 Spostamento di client a partire da pagina 4-9 Replica delle impostazioni di gruppo a partire da pagina 4-10 Importazione ed esportazione delle impostazioni a partire da pagina

72 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Panoramica dei gruppi In WFBS-A, i gruppi rappresentano un insieme di computer e server (non server Microsoft Exchange) che condividono la stessa configurazione ed eseguono le stesse operazioni. Con l'unione dei client in gruppi, è possibile configurare e gestire contemporaneamente più moduli Agent. Per facilitare la gestione, è consigliabile raggruppare i client in base ai rispettivi reparti di appartenenza o alle funzioni assegnategli. È inoltre possibile raggruppare i client che sono maggiormente esposti al rischio di infezioni per applicare una configurazione più sicura a tutti i membri del gruppo con una sola impostazione. Non è possibile unire in gruppi i server Microsoft Exchange. Per configurare i server Microsoft Exchange, consultare Opzioni configurabili di Messaging Security Agent a pagina 6-6. Per impostazione predefinita, Security Server assegna i client ai gruppi (desktop, server o server Exchange) in base al tipo di agente installato. 4-2

73 Gestione dei gruppi Visualizzazione dei client in un gruppo Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo La schermata Impostazioni di sicurezza permette di gestire tutti i client sui quali sono stati installati moduli Client/Server Security Agent e Messaging Security Agent e di personalizzare le impostazioni di sicurezza per gli agenti. FIGURA 4-1. Schermata Impostazioni di sicurezza contenente i client in un gruppo I client vengono visualizzati in base al gruppo di appartenenza nella struttura dei gruppi di protezione. La struttura dei gruppi di protezione è un elenco espandibile di gruppi logici di client. 4-3

74 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Se si seleziona un gruppo sul lato sinistro della schermata e si fa clic su Configura, la console Web visualizza una nuova area di configurazione. Suggerimento: Per selezionare più client adiacenti, fare clic sul primo computer dell'intervallo, tenere premuto il tasto MAIUSC e quindi fare clic sull'ultimo computer dell'intervallo. Per selezionare un intervallo di client non contigui, fare clic sul primo computer dell'intervallo. Tenere premuto il tasto CTRL e fare clic sui client da selezionare. Nota. I server Microsoft Exchange su cui è installato Messaging Security Agent sono registrati nel gruppo dei server. Tuttavia, nella struttura dei gruppi di protezione vengono visualizzati singolarmente. Se si seleziona un gruppo nella Struttura dei gruppi di protezione a sinistra, a destra viene visualizzato un elenco dei client appartenenti al gruppo. Utilizzare le informazioni riportate nella schermata per: Verificare che gli agenti stiano utilizzando i motori più recenti. Regolare le impostazioni di sicurezza in base al numero di incidenti causati da virus e spyware rilevati. Eseguire operazioni speciali sui client che presentano un conteggio insolitamente elevato. Osservare le condizioni generali della rete. Verificare il metodo di scansione selezionato per gli agenti. Da qui, è anche possibile: Configurare i gruppi: fare riferimento a Aggiunta di gruppi a pagina 4-5. Replicare le impostazioni da un gruppo a un altro gruppo: fare riferimento a Replica delle impostazioni di gruppo a pagina Aggiungere gruppi nuovi: fare riferimento a Aggiunta di gruppi a pagina 4-5. Rimuovere i gruppi: fare riferimento a Rimozione dei computer e dei gruppi dalla console Web a pagina 4-6. Spostare i client da un gruppo all'altro o da un Security Server all'altro: fare riferimento a Spostamento di client a pagina

75 Gestione dei gruppi Azzerare i contatori: fare clic su Azzera contatori nella barra degli strumenti delle impostazioni di sicurezza.. Cancella gli incidenti legati a spam, virus/minacce informatiche, spyware/grayware e violazione URL registrati. Aggiunta di gruppi Percorso di navigazione: Impostazioni di sicurezza > Aggiungi gruppo Creare gruppi per gestire in modo unitario più client. Nota. I client devono essere associati a un gruppo. Un client non può risiedere al di fuori di un gruppo. FIGURA 4-2. Schermata Aggiungi gruppo Per aggiungere un gruppo: 1. Nella schermata Aggiungi gruppo, aggiornare i seguenti campi secondo le esigenze: Tipo di gruppo: selezionare Desktop o Server. Importa le impostazioni dal gruppo: importa le impostazioni di sicurezza dal gruppo selezionato. 2. Fare clic su Salva. 4-5

76 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Rimozione dei computer e dei gruppi dalla console Web Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo La funzione Rimuovi può essere utilizzata per raggiungere i seguenti obiettivi: Rimuovere l'icona del client dalla console Web: in alcune situazioni, un client potrebbe risultare inattivo, ad esempio durante la riformattazione del computer o quando l'utente disattiva Client/Server Security Agent per un periodo prolungato. In queste situazioni, potrebbe rendersi necessario eliminare l'icona del computer dalla console Web. Disinstallare Client/Server Security Agent da un client (quindi rimuovere l'icona del client dalla console Web): finché sul server o sul computer è installato Client/Server Security Agent, esso può diventare attivo ed essere visualizzato nella console Web. Per rimuovere il client inattivo in modo permanente, è necessario prima disinstallare Client/Server Security Agent. È possibile rimuovere un computer singolo o un gruppo di computer dalla console Web. ATTENZIONE! Se si rimuove l'agente da un computer, il computer potrebbe essere esposto a virus e ad altre minacce informatiche. Per rimuovere un client o un gruppo: 1. Fare clic sul gruppo o sul computer da rimuovere. 2. Fare clic su Rimuovi nella barra degli strumenti. Selezionare Rimuovere gli agenti inattivi selezionati per rimuovere l'icona del client dalla console Web. Selezionare Disinstallare gli agenti selezionati per rimuovere Client/Server Security Agent dai computer selezionati e le icone dei computer dalla console Web. 4-6

77 Gestione dei gruppi 3. Fare clic su Applica. Nota. Se sono ancora presenti dei client registrati al gruppo, non sarà possibile rimuovere il gruppo. Rimuovere o disinstallare gli agenti prima di rimuovere il gruppo. Aggiunta dei client ai gruppi Worry-Free Business Security fornisce diversi metodi per l'installazione di Client/Server Security Agent. Questa sezione ne offre un riepilogo. Suggerimento: Nelle organizzazioni in cui i criteri informatici vengono rigidamente applicati, si consigliano Installazione remota e Impostazione script di accesso. Pagina Web interna: gli utenti dell'organizzazione devono accedere alla pagina Web interna e scaricare i file di configurazione di Client/Server Security Agent. Impostazione script di accesso: installazione automatica di Client/Server Security Agent su computer non protetti quando questi accedono al dominio. Client Packager: implementazione dell'installazione di Client/Server Security Agent o aggiornamento dei client tramite . Installazione con notifica invio di un messaggio contenente un collegamento al programma di installazione. Installazione remota: installazione di agenti su tutti i client Windows Vista/2000/XP/Server 2003/Server 2008 dalla console Web. Vulnerability Scanner (TMVS): installazione di Client/Server Security Agent su tutti i client Windows 2000/Server 2003 dotati di Trend Micro Vulnerability Scanner. Quando si aggiunge un desktop o un server, Security Server implementa un agente nel computer e aggiunge l'icona relativa al client alla schermata Impostazioni di sicurezza. Una volta installato l'agente sul client, questo inizia a inviare informazioni sulla sicurezza a Security Server. 4-7

78 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per impostazione predefinita, Security Server crea i gruppi in base ai domini Windows esistenti e fa riferimento a ciascun client in base al relativo nome computer. È possibile eliminare i gruppi creati da Security Server o trasferire i client da un gruppo a un altro. Per aggiungere un client a un gruppo: 1. Nella schermata Impostazioni di sicurezza fare clic sullo strumento Aggiungi nella barra degli strumenti. 2. Aggiornare le informazioni riportate di seguito, in base alle necessità: Tipo di computer: il tipo di client. Desktop o server Server Microsoft Exchange Metodo Installazione remota: per installare in remoto l'agente sul client. Per ulteriori informazioni, consultare Installazione con Installazione remota a pagina Crea script di accesso al dominio: per installare l'agente utilizzando lo script di accesso al dominio. Al successivo accesso del client alla rete, l'agente verrà installato. Per ulteriori informazioni, consultare Installazione con Impostazione script di accesso a pagina 3-6. Informazioni sul server Microsoft Exchange Nome server: nome o indirizzo IP del server Microsoft Exchange di destinazione. Account: Nome dell'account dell'amministratore del dominio predefinito. Password: Password dell'account dell'amministratore del dominio predefinito. 3. Fare clic su Avanti. Seguire le istruzioni visualizzate. 4-8

79 Gestione dei gruppi Spostamento di client Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo WFBS-A consente di spostare i client da un gruppo all'altro o da un Security Server all'altro. FIGURA 4-3. Schermata Sposta Desktop/Server Per spostare un client da un gruppo all'altro: 1. Nella schermata Impostazioni di sicurezza, selezionare Gruppo, quindi selezionare il client. 2. Trascinare il client in un altro Gruppo. Il client acquisirà automaticamente le impostazioni del nuovo gruppo. Per spostare un client da un Security Server a un altro: 1. Nella schermata Impostazioni di sicurezza, selezionare Gruppo, quindi selezionare il client. 2. Fare clic su Sposta. 3. Immettere il nome e il numero di porta del nuovo server. Per il numero di porta, accedere alla schermata Impostazioni di sicurezza e fare clic su un server (vedere Figura 4-1. Schermata Impostazioni di sicurezza contenente i client in un gruppo). Il numero di porta viene visualizzato in alto. 4. Fare clic su Sposta. 4-9

80 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Replica delle impostazioni di gruppo La funzione Replica impostazioni consente di copiare le impostazioni da un gruppo all'altro all'interno della rete. Le impostazioni verranno applicate a tutti i client appartenenti al gruppo di destinazione. Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo FIGURA 4-4. Schermata Replica impostazioni Per replicare le impostazioni da un gruppo all'altro: 1. Nella schermata Impostazioni di sicurezza, selezionare il gruppo di origine del quale replicare le impostazioni in altri gruppi. 2. Fare clic su Replica impostazioni. 3. Selezionare il gruppo di destinazione che deve acquisire le impostazioni del gruppo di origine. 4. Fare clic su Applica. 4-10

81 Gestione dei gruppi Importazione ed esportazione delle impostazioni È possibile salvare le impostazioni per desktop e server e quindi importare tali impostazioni in altri desktop e server. Le impostazioni vengono salvate come file di dati (.dat). È possibile importare ed esportare le seguenti impostazioni: Nelle Impostazioni di sicurezza: Antivirus/Anti-spyware, Firewall, Web Reputation, Filtro URL, Monitoraggio del comportamento, Barra degli strumenti Trend Secure, Scansione , Client Privilege, Quarantena Nelle scansioni: Scansione manuale, scansione pianificata Nota. È possibile importare ed esportare le impostazioni tra desktop e server. Le impostazioni non dipendono dal tipo di gruppo. Per importare le impostazioni: 1. Nella schermata Impostazioni di sicurezza, selezionare un computer desktop o server. 2. Fare clic su Importa. Viene visualizzata la schermata Importa impostazioni. 3. Fare clic su Sfoglia, individuare il file e fare clic su Importa. Per esportare le impostazioni: 1. Nella schermata Impostazioni di sicurezza, selezionare un computer desktop o server. 2. Fare clic su Esporta. Viene visualizzata la schermata Esporta impostazioni. 3. Fare clic su Esporta. Nella finestra di dialogo di Windows, fare clic su Salva e selezionare la posizione. Per esportare le impostazioni in uno o più domini gestiti da questo server, utilizzare l'opzione Replica impostazioni. 4-11

82 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 4-12

83 Capitolo 5 Gestione delle impostazioni di sicurezza di base Il presente capitolo spiega come configurare le impostazioni per la protezione della rete in uso. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Opzioni per gruppi di desktop e server a partire da pagina 5-2 Tipi di scansione a partire da pagina 5-3 Configurazione della scansione in tempo reale a partire da pagina 5-5 Gestione del firewall a partire da pagina 5-8 Uso del servizio di Web Reputation a partire da pagina 5-17 Configurazione del filtro URL a partire da pagina 5-19 Uso di Monitoraggio del comportamento a partire da pagina 5-20 TrendSecure a partire da pagina 5-26 Gestione di POP3 Mail Scan a partire da pagina 5-28 Privilegi client a partire da pagina 5-30 Gestione della quarantena a partire da pagina

84 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Opzioni per gruppi di desktop e server In WFBS, i gruppi rappresentano un insieme di client che condividono la stessa configurazione ed eseguono le stesse operazioni. Con l'unione dei client in gruppi, è possibile configurare e gestire contemporaneamente più client. Per ulteriori informazioni, fare riferimento a Panoramica dei gruppi a pagina 4-2. È possibile accedere ai seguenti elementi selezionando un gruppo dalla schermata Impostazioni di sicurezza e facendo clic su Configura: TABELLA 5-1. Opzioni di configurazione per gruppi di desktop e server Opzione Descrizione Predefinito Metodo di scansione Antivirus/ Anti-spyware Firewall Web Reputation Monitoraggio del comportamento Filtro URL TrendSecure Consente di passare da Smart Scan alla scansione tradizionale e viceversa Configurare le opzioni di scansione in tempo reale, antivirus e anti-spyware Configurare le opzioni del firewall Consente di confgurare le opzioni In ufficio e Fuori ufficio di Web Reputation Configurare le opzioni del Monitoraggio del comportamento Il filtro URL blocca i siti Web che violano i criteri configurati. Configurare le opzioni In ufficio e Fuori ufficio di Transaction Protector e TrendProtect Scansione tradizionale (per aggiornamenti) Smart Scan (per nuove installazioni) Attivato (Scansione in tempo reale) Disattivata In ufficio: attivato, basso Fuori ufficio: attivato, medio Attivato per gruppi desktop Disattivato per gruppi di server Attivato In ufficio: Disattivata Fuori ufficio: Attivato 5-2

85 Gestione delle impostazioni di sicurezza di base TABELLA 5-1. Opzioni di configurazione per gruppi di desktop e server (segue) Opzione Descrizione Predefinito POP3 Mail Scan Privilegi client Metti in quarantena Configurare la scansione dei messaggi POP3 Configurare l'accesso alle impostazioni dalla console del client Specificare la directory di quarantena Disattivata N.D. N.D. Nota: altre impostazioni del client, quali il Filtro contenuti IM, vengono applicate a tutti i client e sono accessibili tramite la scheda Desktop/Server della schermata Preferenze > Impostazioni globali. Tipi di scansione La scansione antivirus rappresenta il fulcro della strategia di Worry-Free Business Security. Nel corso di una scansione, il motore di scansione di Trend Micro funziona in modo integrato con il file di pattern antivirus per completare il primo livello di rilevamento utilizzando un processo detto corrispondenza con i pattern. Poiché ogni virus contiene una "firma" univoca o una stringa di caratteri riconoscibili che lo distinguono da qualsiasi altro codice, gli esperti di TrendLabs raccolgono porzioni rivelatrici inerti del codice nel file di pattern. Il motore confronta alcune parti di ogni file analizzato al pattern del file di pattern antivirus alla ricerca di qualche corrispondenza. Quando il motore di scansione individua un file contenente un virus o un'altra minaccia informatica, esegue operazioni quali la disinfezione, la quarantena, l'eliminazione o la sostituzione con testo/file. È possibile personalizzare tali operazioni al momento dell'impostazione delle operazioni di scansione. 5-3

86 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore WFBS mette a disposizione tre tipi di scansione per proteggere i computer client dalle minacce Internet. Scansione in tempo reale: la scansione in tempo reale è una scansione continua e costante. Ogniqualvolta un file viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale analizza il file alla ricerca di eventuali minacce. In presenza di messaggi , Messaging Security Agent protegge tutti i possibili punti di accesso dei virus effettuando la scansione in tempo reale di tutti i messaggi in entrata, dei messaggi SMTP, dei documenti inviati nelle cartelle pubbliche e dei file duplicati da altri server Microsoft Exchange. Scansione manuale: la scansione manuale è una scansione a richiesta. La scansione manuale elimina le minacce presenti nei file. Questa scansione elimina anche eventuali vecchie infezioni così da rendere minimo il rischio di ulteriori infezioni. Nel corso della scansione manuale, gli agenti prendono provvedimenti nei confronti delle minacce a seconda delle azioni impostate dall'amministratore (o dall'utente). Per interrompere, fare clic su Interrompi scansione mentre la scansione è in fase di avanzamento. Nota: il tempo impiegato per la scansione dipende dalle risorse hardware del client e dal numero di file sui quali eseguire la scansione. Scansione pianificata: una scansione pianificata è simile a una scansione manuale ma effettua le scansioni di tutti i file e dei messaggi in momenti prestabiliti e con frequenze predeterminate. Utilizzare la scansione pianificata per automatizzare le scansioni di routine dei client e per migliorare l'efficienza della gestione delle minacce. Per configurare una scansione manuale, fare clic su Scansioni > Scansione pianificata. Per ulteriori informazioni, consultare Pianificazione delle scansioni. Nota: non confondere i tipi di scansione illustrati sopra con i metodi di scansione. Il metodo di scansione si riferisce a Smart Scan e alla Scansione tradizionale.(metodi di scansione a pagina 8-2). 5-4

87 Gestione delle impostazioni di sicurezza di base Configurazione della scansione in tempo reale Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Antivirus/Anti-spyware FIGURA 5-1. Impostazioni di sicurezza > schermata Antivirus/Anti-spyware Per configurare la scansione in tempo reale: 1. Nella scheda Destinazione della schermata Antivirus/Anti-spyware, aggiornare i seguenti campi in base alle necessità: Attiva antivirus/anti-spyware in tempo reale File da esaminare Tutti i file analizzabili: vengono esclusi solo i file codificati o protetti da password. IntelliScan: sottopone a scansione i file in base al tipo di file effettivo. Per ulteriori informazioni, consultare IntelliScan a pagina C-5. Esegue la scansione dei file con le seguenti estensioni: WFBS sottopone a scansione i file con le estensioni selezionate. Separare più voci con la virgola (,). 5-5

88 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Selezione della frequenza della scansione Analizza file creati, modificati o scaricati Analizza file scaricati Analizza file creati o modificati Esclusioni: esclude file specifici, cartelle o file con determinate estensioni dalla scansione. Attiva esclusioni Non effettua la scansione delle directory in cui sono installati i prodotti Trend Micro. Non effettuare la scansione delle seguenti directory: digitare il nome della cartella da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere una cartella, selezionarla e fare clic su Elimina. Non effettuare la scansione dei seguenti file: digitare il nome del file da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un file, selezionarlo e fare clic su Elimina. Non eseguire la scansione dei file con le seguenti estensioni: digitare il nome dell'estensione da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un'estensione, selezionare l'estensione e fare clic su Elimina. Nota: se sui client è in esecuzione il server Microsoft Exchange, Trend Micro consiglia di escludere dalla scansione tutte le cartelle del server. Per escludere dalla scansione le cartelle del server Microsoft Exchange su base globale, passare a Preferenze > Impostazioni globali, fare clic sulla scheda Desktop/Server, quindi selezionare Escludi cartelle server Microsoft Exchange quando sono installate sul server Microsoft Exchange. Impostazioni avanzate Attiva IntelliTrap (per antivirus): IntelliTrap rileva il codice dannoso, come ad esempio i bot contenuti nei file compressi. Per ulteriori informazioni, consultare IntelliTrap a pagina C-7. Scansione unità collegate e cartelle condivise nella rete (per antivirus) Esegui scansione del disco floppy allo spegnimento del sistema (per antivirus) 5-6

89 Gestione delle impostazioni di sicurezza di base Scansione file compressi (per antivirus): selezionare il numero di livelli da sottoporre a scansione. Elenco Approvati spyware/grayware (per anti-spyware): questo elenco contiene i dettagli delle applicazioni spyware/grayware approvate. Per aggiornare l'elenco, fare clic sul collegamento. Per ulteriori informazioni, consultare Modifica dell'elenco Approvati spyware/grayware a pagina Nella scheda Operazione della schermata Antivirus/Anti-spyware, specificare come WFBS deve gestire le minacce rilevate: Azione di rilevamento dei virus ActiveAction: utilizzare le operazioni preconfigurate di Trend Micro per contrastare le minacce. Per ulteriori informazioni, consultare ActiveAction a pagina C-5. Esegue la stessa operazione per tutti i tipi di minacce Internet rilevate: selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Operazione personalizzata per le seguenti minacce rilevate: selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta per ogni tipo di minaccia. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Esegui backup del file prima di disinfettare: salva una copia crittografata del file infetto nella seguente directory sul client: C:\Programmi\Trend Micro\Client Server Security Agent\Backup Azione in caso di rilevamento di spyware/grayware Disinfetta: durante la disinfezione di spyware/grayware, WFBS potrebbe eliminare le voci di registro, i file, i cookie e i collegamenti associati. Potrebbero essere rimossi anche i processi legati a spyware/grayware. Impedisci l'accesso ATTENZIONE! Se si impedisce l'accesso di spyware/grayware al client, non si rimuove la minaccia spyware/grayware dai client infetti. 5-7

90 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Impostazioni avanzate Visualizza un messaggio di avviso sul desktop o server quando viene rilevato un virus/spyware 3. Fare clic su Salva. Consente inoltre di configurare chi riceve le notifiche quando si verifica un evento. Fare riferimento a Configurazione degli eventi per le notifiche a pagina 9-3. Gestione del firewall Consente di proteggere i client dagli attacchi degli hacker e dai virus di rete attraverso la creazione di una barriera tra il client e la rete. Il firewall è in grado di bloccare o consentire l'accesso a un determinato tipo di traffico di rete. Inoltre, il firewall identifica dei pattern nei pacchetti di rete che possano dare indicazione di un attacco ai client. WFBS consente di scegliere tra due opzioni di configurazione del firewall: modalità semplice e modalità avanzata. La modalità semplice abilita il firewall con le impostazioni predefinite consigliate da Trend Micro. La modalità avanzata consente invece di personalizzare le impostazioni del firewall. Suggerimento: Trend Micro consiglia di disinstallare altri firewall basati su software prima di distribuire e abilitare il firewall Trend Micro. Impostazioni predefinite del firewall in modalità semplice Il firewall è dotato di impostazioni predefinite che costituiscono una base di partenza per la propria strategia di protezione tramite firewall del client. Le impostazioni predefinite sono intese a includere condizioni comuni che si verificano sui client come, ad esempio, la necessità di accedere a Internet e scaricare o caricare file via FTP. Nota: per impostazione predefinita, WFBS disabilita il firewall su tutti i nuovi gruppi e i nuovi client. 5-8

91 Gestione delle impostazioni di sicurezza di base TABELLA 5-2. Impostazioni predefinite del firewall Livello sicurezza Basso Descrizione Traffico in entrata e in uscita consentito, bloccati solo i virus di rete Impostazioni Sistema di rilevamento anti-intrusione Messaggio di avviso (invio) Stato Disattivata Disattivata Nome eccezione Azione Direzione Protocollo Porta DNS Consenti In entrata e in uscita NetBIOS Consenti In entrata e in uscita HTTPS Consenti In entrata e in uscita HTTP Consenti In entrata e in uscita Telnet Consenti In entrata e in uscita SMTP Consenti In entrata e in uscita FTP Consenti In entrata e in uscita POP3 Consenti In entrata e in uscita MSA Consenti In entrata e in uscita TCP/UDP 53 TCP/UDP 137, 138, 139, 445 TCP 443 TCP 80 TCP 23 TCP 25 TCP 21 TCP 110 TCP 16372,

92 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Percorso In ufficio Fuori ufficio Impostazioni del firewall Disattivato Disattivo Filtro del traffico Il firewall monitora tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri: Direzione (in entrata o in uscita) Protocollo (TCP/UDP/ICMP) Porte di destinazione Computer di destinazione Scansione dei virus di rete Il firewall prende in considerazione tutti i pacchetti di dati per determinare se sono stati infettati da un virus di rete. Stateful Inspection Il firewall è di tipo "stateful inspection"; monitora tutte le connessioni al client e verifica che le transazioni siano valide. È in grado di identificare specifiche condizioni in una transazione, prevedere quale sarà la transazione seguente e rilevare la violazione delle condizioni normali. Le decisioni sulle modalità di filtro si basano quindi non soltanto su profili e criteri, ma anche sul contesto stabilito analizzando le connessioni e filtrando i pacchetti che hanno già superato il firewall. 5-10

93 Gestione delle impostazioni di sicurezza di base Sistema di rilevamento anti-intrusione Il firewall comprende anche un sistema di rilevamento anti-intrusione (IDS). L'IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco sul client. Il firewall consente di prevenire le seguenti intrusioni note: Frammento di grandi dimensioni: questo tipo di minaccia contiene dei frammenti estremamente grandi all'interno del datagramma IP. Alcuni sistemi operativi non gestiscono in modo appropriato i grandi frammenti e possono rilevare delle eccezioni o comportarsi in altri modi indesiderati. Ping of Death: un ping of death (abbreviato "POD") è un tipo di attacco a un computer che consiste nell'invio a un computer di un ping malformato o comunque dannoso. Solitamente un ping ha una dimensione di 64 byte (o 84 byte se si considera anche l'intestazione IP); molti sistemi non sono in grado di gestire dei ping la cui dimensione è maggiore della dimensione massima di un pacchetto IP, pari a byte. L'invio di un ping di dimensioni superiori potrebbe bloccare il computer destinatario. Conflitto ARP: questo si verifica quando liindirizzo IP di origine e quello di destinazione sono identici. SYN flood: un SYN flood è una forma di attacco denial-of-service in cui chi attacca invia una serie di richieste SYN a un sistema destinatario. Frammenti sovrapposti: questo tipo di minaccia contiene due frammenti all'interno dello stesso datagramma IP ed è dotato di offset che indicano che tali frammenti condividono la stessa posizione all'interno del datagramma. Questo potrebbe significare che il frammento A viene completamente sovrascritto dal frammento B oppure che il frammento A è parzialmente sovrascritto dal frammento B. Alcuni sistemi operativi non gestiscono in modo appropriato i frammenti sovrapposti e potrebbero sollevare delle eccezioni o comportarsi in altri modi indesiderati. Questa struttura rappresenta la base per i cosiddetti attacchi di tipo denial-of-service di teardrop. Attacco di tipo Teardrop: l'attacco di tipo Teardrop consiste nell'inviare alla macchina di destinazione dei frammenti IP con cariche distruttive sovrapposte o di grandi dimensioni. Un errore all'interno del codice di riassemblaggio della frammentazione TCP/IP di diversi sistemi operativi causa una gestione impropria dei frammenti e di conseguenza un blocco. 5-11

94 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Attacco frammento di dimensioni minime: quando un qualsiasi frammento che non sia il frammento finale è di dimensioni inferiori ai 400 byte, molto probabilmente si tratta di un frammento manomesso. I frammenti piccoli possono essere utilizzati in attacchi di tipo denial-of-service o per cercare di oltrepassare le misure di sicurezza e il rilevamento. IGMP frammentato: quando un client riceve un pacchetto di protocollo di gestione di gruppo Internet (IGMP, Internet Group Management Protocol), le prestazioni del client ne possono risentire o il computer potrebbe andare in blocco rendendo necessario un riavvio di sistema. Attacco LAND: un attacco LAND è un attacco di tipo DoS (denial-of-service) che consiste nell'invio a un computer di uno speciale pacchetto ingannevole che lo porta a comportarsi in modo indesiderato. L'attacco consiste nell'invio di un pacchetto TCP SYN ingannevole (di inizio connessione) che indica sia come origine che come destinazione un indirizzo IP host e una porta aperta. Stateful Inspection Il firewall è di tipo "stateful inspection"; monitora tutte le connessioni al client e verifica che le transazioni siano valide. È in grado di identificare specifiche condizioni in una transazione, prevedere quale sarà la transazione seguente e rilevare la violazione delle condizioni normali. Le decisioni sulle modalità di filtro si basano quindi non soltanto su profili e criteri, ma anche sul contesto stabilito analizzando le connessioni e filtrando i pacchetti che hanno già superato il firewall. 5-12

95 Gestione delle impostazioni di sicurezza di base Configurazione del firewall Nota: consente di configurare il firewall per In ufficio/fuori ufficio. Se l'opzione Location Awareness è disattivata, verranno utilizzate le impostazioni In ufficio per le connessioni Fuori ufficio. Fare riferimento a Location Awareness a pagina Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Firewall > In ufficio/fuori ufficio FIGURA 5-2. Schermata Firewall - In ufficio 5-13

96 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per configurare il firewall: 1. Nella schermata Firewall aggiornare le seguenti opzioni, in base alle necessità: Attiva firewall: selezionare per attivare il firewall relativo al gruppo e al percorso. Modalità semplice: abilita il firewall con le impostazioni predefinite. Fare riferimento a Impostazioni predefinite del firewall a pagina 5-9. Modalità avanzata: abilita il firewall con le impostazioni personalizzate. Per le opzioni di configurazione, consultare Opzioni avanzate del firewall a pagina Fare clic su Salva. Le modifiche sono immediatamente attive. Opzioni avanzate del firewall Le opzioni avanzate del firewall consentono di configurare le impostazioni personalizzate del firewall per uno specifico gruppo di client. Per configurare le opzioni avanzate del firewall: 1. Nella schermata Firewall, selezionare Modalità avanzata. 2. Aggiornare le seguenti opzioni, in base alle necessità: Livello sicurezza: il livello di sicurezza controlla le regole del traffico da implementare per le porte che non sono incluse nell'elenco delle eccezioni. Alto: blocca il traffico in entrata e in uscita. Medio: blocca il traffico in entrata e consente quello in uscita. Basso: consente il traffico in entrata e in uscita. Impostazioni Attiva sistema di rilevamento anti-intrusione: il sistema di rilevamento anti-intrusione consente di identificare i pattern nei pacchetti di rete che possono indicare un attacco sul computer. Per ulteriori informazioni, consultare Sistema di rilevamento anti-intrusione a pagina Attiva messaggio avviso: quando WFBS rileva una violazione, invia una notifica al client. Eccezioni: le porte nell'elenco delle eccezioni non vengono bloccate. Per ulteriori informazioni, consultare Utilizzo delle eccezioni Firewall a pagina Fare clic su Salva. 5-14

97 Gestione delle impostazioni di sicurezza di base Disattivazione del firewall Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Firewall > In ufficio/fuori ufficio Per disattivare il firewall: 1. Per disattivare il firewall del gruppo e del tipo di connessione, deselezionare la casella di controllo Attiva firewall. 2. Fare clic su Salva. Nota: Per disattivare il firewall su tutti i client, passare a Preferenze > Impostazioni globali > Desktop/Server e selezionare Disabilita firewall e disinstalla driver nella sezione Impostazioni firewall. Utilizzo delle eccezioni Firewall Le eccezioni comprendono impostazioni specifiche che consentono o bloccano tipi diversi di traffico in base a direzione, protocollo, porta e macchine. Ad esempio, durante un'infezione è possibile scegliere di bloccare tutto il traffico dei client, inclusa la porta HTTP (porta 80). Tuttavia, se comunque si desidera garantire l'accesso a Internet ai client bloccati, è possibile aggiungere il server proxy Web all'elenco delle eccezioni. Aggiunta delle eccezioni Per aggiungere un'eccezione: 1. Dalla schermata Firewall - Modalità avanzata presente nella sezione Eccezioni, fare clic su Aggiungi. 2. Aggiornare le opzioni in base alle necessità: Nome: permette di specificare un nome univoco per l'eccezione. Operazione: bloccare o consentire il traffico del protocollo, delle porte e dei client selezionati. Direzione: in entrata fa riferimento al traffico che da Internet va verso la rete in uso. In uscita fa riferimento al traffico che è indirizzato dalla rete in uso a Internet. 5-15

98 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Protocollo: protocollo del traffico di rete relativo a questa esclusione. Porte Tutte le porte (impostazione predefinita) Intervallo Porte specificate: separare le singole voci con delle virgole. Computer Tutti gli indirizzi IP (impostazione predefinita) Intervallo IP IP unico: indirizzo IP di un particolare client. 3. Fare clic su Salva. Verrà visualizzata la schermata Configurazione firewall con la nuova eccezione inclusa nell'elenco delle eccezioni. Modifica delle eccezioni Per modificare un'eccezione: 1. Nella schermata Firewall - Modalità avanzata presente nella sezione Eccezioni, selezionare l'esclusione da modificare. 2. Fare clic su Modifica. 3. Aggiornare le opzioni in base alle necessità. Per ulteriori informazioni, consultare Aggiunta delle eccezioni a pagina Fare clic su Salva. Rimozione delle eccezioni Per rimuovere un'eccezione: 1. Nella schermata Firewall - Modalità avanzata presente nella sezione Eccezioni, selezionare l'esclusione da eliminare. 2. Fare clic su Rimuovi. 5-16

99 Gestione delle impostazioni di sicurezza di base Uso del servizio di Web Reputation Web Reputation impedisce l'accesso agli URL che costituiscono rischi potenziali per la sicurezza controllando tutti gli URL digitati nel database Trend Micro Web Security. In base alla posizione del client (In ufficio/fuori ufficio), configurare un livello di protezione diverso. Se Web Reputation blocca un URL e l'utente ritiene invece che l'url sia sicuro, è possibile aggiungere l'url all'elenco degli URL approvati. Per informazioni sull'aggiunta di un URL all'elenco degli URL approvati, fare riferimento a Web Reputation e URL approvati a pagina Configurazione di Web Reputation Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Web Reputation > In ufficio/fuori ufficio Nel momento in cui viene effettuata una richiesta HTTP, il servizio Web Reputation valuta i potenziali rischi dell'url in questione effettuando una ricerca nel database di Trend Micro. Nota: configurare le impostazioni di Web Reputation per In ufficio/fuori ufficio. Se l'opzione Location Awareness è disattivata, verranno utilizzate le impostazioni In ufficio per le connessioni Fuori ufficio. Fare riferimento a Location Awareness a pagina FIGURA 5-3. Impostazioni di sicurezza > schermata Web Reputation 5-17

100 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per modificare le impostazioni di Web Reputation: 1. Nella schermata Web Reputation, aggiornare i seguenti campi in base alle esigenze: Attiva Web Reputation Livello di sicurezza Alto: blocca le pagine classificate come pagine fraudolente o fonte di minacce certe, pagine fraudolente o fonte di minacce sospette, associate allo spam o probabilmente compromesse, pagine senza classificazione. Medio: blocca le pagine classificate come pagine fraudolente o fonte di minacce verificate, pagine fraudolente o fonte di minacce sospette. Basso: blocca le pagine classificate come pagine fraudolente o fonte di minacce verificate. 2. Per modificare l'elenco dei siti Web approvati, fare clic su URL approvati globalmente e modificare le impostazioni nella schermata Impostazioni globali. 3. Fare clic su Salva. 5-18

101 Gestione delle impostazioni di sicurezza di base Configurazione del filtro URL Percorso di navigazione: Impostazioni di sicurezza > Seleziona gruppo > Configura > Filtro URL Utilizzare il filtro URL per bloccare il contenuto indesiderato proveniente da Internet. È possibile selezionare tipi specifici di siti Web da bloccare nelle diverse ore del giorno selezionando Personalizzata. Definire anche le Ore di lavoro e le Ore tempo libero per bloccare i siti Web in momenti diversi della giornata. FIGURA 5-4. Schermata Impostazioni di sicurezza > Filtro URL Per configurare il filtro URL: 1. nella schermata Filtro URL, aggiornare i seguenti campi secondo le esigenze: Attiva Filtro URL Efficacia del filtro Alto: blocca le minacce alla sicurezza sconosciute o potenziali, il contenuto inappropriato o potenzialmente offensivo, il contenuto che incide su produttività e ampiezza di banda e le pagine senza classificazione. Medio: blocca le minacce alla sicurezza note e il contenuto inappropriato. 5-19

102 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Basso: blocca le minacce alla sicurezza note. Personalizzata: consente di selezionare categorie a piacimento e di decidere se bloccare tali categorie durante l'orario di lavoro o il tempo libero. 2. Definire le Ore di lavoro. 3. Per modificare l'elenco dei siti Web approvati, fare clic su URL approvati globalmente e modificare le impostazioni nella schermata Impostazioni globali. 4. Fare clic su Salva. Uso di Monitoraggio del comportamento Gli agenti controllano costantemente i client alla ricerca di modifiche insolite al sistema operativo o al software installato. Gli amministratori (o gli utenti) possono creare degli elenchi di eccezioni per consentire a determinati programmi di funzionare pur effettuando una modifica monitorata o per bloccare completamente determinati programmi. Inoltre, l'avvio dei programmi con una firma digitale valida è sempre consentito. Per visualizzare la descrizione e il valore predefinito delle modifiche monitorate, consultare la seguente tabella. TABELLA 5-3. Modifiche monitorate Duplicazione dei file di sistema Modifica del file Hosts Modifiche possibili monitorate Descrizione Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi. Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga rediretto verso siti Web infetti, inesistenti o falsificati. Valore predefinito Chiedi se necessario Blocca sempre 5-20

103 Gestione delle impostazioni di sicurezza di base TABELLA 5-3. Modifiche possibili monitorate (segue) Modifiche monitorate Comportamento sospetto Modifica dei file di sistema Nuovo plug-in per Internet Explorer Modifica delle impostazioni di Internet Explorer Modifica dei criteri di protezione Modifica dei criteri del firewall Descrizione Per comportamento sospetto si può intendere un'azione specifica o una serie di azioni che raramente vengono eseguite da programmi legittimi. I programmi che evidenziano un comportamento sospetto devono essere utilizzati con la massima cautela. Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema. I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object). Molti virus e minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu. Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e possono modificare le impostazioni di sistema. I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet. Valore predefinito Chiedi se necessario Blocca sempre Chiedi se necessario Blocca sempre Blocca sempre Chiedi se necessario 5-21

104 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA 5-3. Modifiche monitorate Caricamento di librerie di programma Modifica della shell Nuovo servizio Modifica del processo di sistema Nuovo programma di avvio Modifiche possibili monitorate (segue) Descrizione Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l'utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime. I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti. Molti programmi dannosi eseguono operazioni diverse sui processi incorporati di Windows. Tali operazioni possono comprendere la chiusura o la modifica dei processi in corso. Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Valore predefinito Chiedi se necessario Chiedi se necessario Chiedi se necessario Chiedi se necessario Chiedi se necessario 5-22

105 Gestione delle impostazioni di sicurezza di base Un'altra funzione di Monitoraggio del comportamento consiste nel proteggere i file EXE e DLL da eventuale eliminazione o modifica. Gli utenti che dispongono di questo privilegio possono proteggere le cartelle specifiche. Inoltre, gli utenti possono decidere di proteggere in modo unitario tutti i programmi Intuit QuickBooks. Configurazione del monitoraggio del comportamento Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Monitoraggio del comportamento Il monitoraggio del comportamento protegge i client da modifiche non autorizzate al sistema operativo, alle voci di registro, ad altri programmi, file e cartelle. FIGURA 5-5. Schermata Monitoraggio del comportamento 5-23

106 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per modificare le impostazioni di Monitoraggio del comportamento: 1. Dalla schermata Monitoraggio del comportamento, aggiornare i seguenti campi secondo le esigenze: Attiva Monitoraggio del comportamento Nota: accedere a Impostazioni di sicurezza > selezionare un gruppo > Configura > Privilegi client e selezionare Modifica elenco eccezioni nella sezione Monitoraggio del comportamento. Attiva Intuit QuickBooks Protection: protegge tutti i file e le cartelle Intuit QuickBooks da modifiche non autorizzate effettuate da altri programmi. L'abilitazione di questa caratteristica non influisce sulle modifiche effettuate dall'interno dei programmi Intuit QuickBooks, ma impedisce solamente le modifiche effettuate da altre applicazioni non autorizzate. Sono supportati i seguenti prodotti: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Blocca l'apertura automatica delle applicazioni presenti nei dispositivi USB plug-in: selezionare questa opzione per impedire l'esecuzione automatica sui client dei programmi presenti nei dispositivi USB. Modifiche possibili monitorate: selezionare Consenti sempre, Chiedi se necessario o Blocca sempre per ogni modifica monitorata. Per informazioni sulle diverse modifiche, consultare Tabella 5-3 a pagina Eccezioni: le Eccezioni comprendono un Elenco Programmi approvati eun Elenco Programmi bloccati. I programmi nell'elenco Programmi approvati possono essere avviati anche se farlo viola una modifica monitorata, mentre i programmi nell'elenco Programmi bloccati non possono mai essere avviati. 5-24

107 Gestione delle impostazioni di sicurezza di base Percorso completo del programma: Immettere il percorso completo Windows o UNC del programma. Separare più voci con punto e virgola (;). Fare clic su Aggiungi a Elenco Programmi approvati o su Aggiungi a Elenco Programmi bloccati. Se necessario, utilizzare le variabili ambientali per specificare i percorsi. Per l'elenco delle variabili supportate, consultare Tabella 5-4 a pagina Elenco Programmi approvati: i programmi (fino a un massimo di 100) in questo elenco possono essere avviati. Fare clic sull'icona corrispondente per eliminare una voce. Elenco programmi bloccati: i programmi (fino a un massimo di 100) in questo elenco non possono essere avviati. Fare clic sull'icona corrispondente per eliminare una voce. 2. Fare clic su Salva. Variabili ambientali WFBS supporta l'uso di variabili ambientali per specificare determinate cartelle sul client. Utilizzare le variabili ambientali per creare eccezioni per specifiche cartelle. La tabella seguente descrive le variabili a disposizione: TABELLA 5-4. Variabili supportate Variabili ambientali $windir$ $rootdir$ $tempdir$ $programdir$ Cartella indicata Cartella Windows cartella principale Cartella Temp di Windows Cartella Programmi 5-25

108 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TrendSecure TrendSecure comprende un gruppo di strumenti basati sul browser (TrendProtect e Transaction Protector) che consentono di navigare sul Web in completa sicurezza. TrendProtect avverte gli utenti se un sito Web è dannoso e legato al phishing. Transaction Protector determina la sicurezza della connessione wireless verificando l'autenticità del punto di accesso. TrendSecure aggiunge al browser una barra degli strumenti che cambia colore a seconda del grado di protezione della connessione wireless. Facendo clic sulla barra degli strumenti, si accede alle seguenti funzioni: Wi-Fi Advisor: controlla la protezione delle reti wireless sulla base della validità del loro SSIDs, dei metodi di autenticazione e dei requisiti di crittografia. Classificazione pagine: determina il grado di sicurezza della pagina corrente. Nota: configurare le impostazioni TrendSecure per In ufficio/fuori ufficio. Se l'opzione Location Awareness è disattivata, verranno utilizzate le impostazioni In ufficio per le connessioni Fuori ufficio. Fare riferimento a Location Awareness a pagina

109 Gestione delle impostazioni di sicurezza di base Configurazione di TrendSecure Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Barre degli strumenti TrendSecure > In ufficio/ Fuori ufficio Consente di configurare la disponibilità degli strumenti TrendSecure per gli utenti in base al rispettivo percorso. FIGURA 5-6. Barre degli strumenti TrendSecure - schermata In ufficio Per modificare la disponibilità degli strumenti TrendSecure: 1. Nella schermata TrendSecure In ufficio/fuori ufficio, aggiornare i seguenti campi secondo le esigenze: Attiva Wi-Fi Advisor: controlla la protezione delle reti wireless sulla base della validità del loro SSIDs, dei metodi di autenticazione e dei requisiti di crittografia. Attiva Classificazione pagine: determina il grado di sicurezza della pagina corrente. 5-27

110 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 2. Fare clic su Salva. Nota: le barre degli strumenti TrendSecure possono essere messe a disposizione degli agenti solo dalla console Web. Gli utenti devono installare o disinstallare gli strumenti dalla console dell'agente. Gestione di POP3 Mail Scan POP3 Mail Scan e il plug-in nella barra degli strumenti di Trend Micro Anti-Spam proteggono i client dai rischi alla sicurezza e dallo spam trasmesso attraverso i messaggi POP3. Nota: per impostazione predefinita, POP3 Mail Scan può analizzare solo i nuovi messaggi inviati mediante la porta 110 nella cartella della posta in arrivo e della posta indesiderata. Questa funzione non supporta il POP3 protetto (SSL-POP3), utilizzato da Exchange Server 2007 per impostazione predefinita. Requisiti di POP3 Mail Scan POP3 Mail Scan supporta i client di posta elettronica elencati di seguito: Microsoft Outlook 2000, 2002 (XP), 2003 e 2007 Outlook Express 6.0 con Service Pack 2 (solo per Windows XP) Windows Mail (solo per Microsoft Vista) Mozilla Thunderbird 1.5 e 2.0 Nota: POP3 Mail Scan non è in grado di individuare i rischi alla sicurezza e lo spam nei messaggi IMAP. Per rilevare i rischi alla sicurezza e lo spam nei messaggi IMAP, utilizzare Messaging Security Agent. Requisiti della Barra degli strumenti di Anti-Spam La barra degli strumenti di Trend Micro Anti-Spam supporta i client di posta elettronica elencati di seguito: Microsoft Outlook 2000, 2002 (XP), 2003 e

111 Gestione delle impostazioni di sicurezza di base Outlook Express 6.0 con Service Pack 2 (solo per Windows XP) Windows Mail (soltanto su Windows Vista) La barra degli strumenti di Anti-Spam supporta i sistemi operativi elencati di seguito: Windows XP SP2 a 32 bit Windows Vista a 32 e a 64 bit Configurazione della scansione Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Scansione Per modificare la disponibilità di Scansione 1. Nella schermata Scansione , aggiornare i seguenti campi secondo le esigenze: Attiva scansione in tempo reale per POP3 Attiva barra degli strumenti Trend Micro Anti-spam 2. Fare clic su Salva. 5-29

112 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Privilegi client Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Privilegi client Concedere i privilegi client per consentire agli utenti di modificare le impostazioni del modulo agente installato sul computer. Suggerimento: per implementare un criterio di protezione regolamentato in tutta l'organizzazione, Trend Micro consiglia di assegnare agli utenti dei privilegi limitati. In questo modo si evita che gli utenti finali modifichino le impostazioni di scansione o chiudano Client/Server Security Agent. Configurazione dei privilegi client FIGURA 5-7. Schermata Privilegi client 5-30

113 Gestione delle impostazioni di sicurezza di base Per assegnare privilegi ai client: 1. Dalla schermata Privilegi client, aggiornare i seguenti campi secondo le esigenze: Antivirus/Anti-spyware Impostazioni scansione manuale Impostazioni scansione pianificata Impostazioni scansione in tempo reale Interrompi scansione pianificata Attiva modalità roaming Firewall Visualizza scheda Firewall Consenti ai client di attivare/disattivare il firewall Nota: se si consente agli utenti di attivare o disattivare il firewall, non sarà più possibile modificare queste impostazioni dalla console Web. Se non si concede agli utenti questo privilegio, sarà possibile modificare queste impostazioni dalla console Web. Le informazioni in Impostazioni firewall locale sull'agente riflettono sempre le impostazioni configurate dall'agente e non dalla console Web. Web Reputation Modifica elenco URL approvati Monitoraggio del comportamento Visualizza scheda Monitoraggio del comportamento e consenti agli utenti di personalizzare l'elenco: consente agli utenti di attivare/ disattivare il Monitoraggio del comportamento e configurare l'elenco eccezioni e l'elenco di protezione software. Scansione Consente di configurare la scansione in tempo reale per POP3 Impostazioni proxy Consenti di configurare le impostazioni proxy Privilegi di aggiornamento Esegui "Aggiorna ora" Attiva/Disattiva aggiornamento pianificato 5-31

114 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Aggiorna impostazioni Scarica dal server Trend Micro ActiveUpdate: quando gli utenti avviano un aggiornamento, l'agente riceve gli aggiornamenti da un'origine specificata nella schermata Origine aggiornamenti. Se l'aggiornamento non riesce, gli agenti tentano di effettuare l'aggiornamento dal Security Server. Se si seleziona Scarica dal server Trend Micro ActiveUpdate perché l'aggiornamento da Security Server non è riuscito, gli agenti tentano di eseguire l'aggiornamento dal server Trend Micro ActiveUpdate. Suggerimento: per garantire l'aggiornamento degli agenti installati su client portatili quando sono fuori sede, attivare Scarica dal server Trend Micro ActiveUpdate. Attiva aggiornamento pianificato Disattiva l'aggiornamento del programma e la distribuzione di hotfix Protezione client Alto impedisce l'accesso in scrittura alle chiavi di registro e alla cartella di installazione del client impedisce l'interruzione di processi e servizi client Normale: consente l'accesso in lettura/scrittura alle cartelle, ai file e alle voci di registro dell'agente. Nota: se si seleziona Alto, le impostazioni per le autorizzazioni di accesso alle cartelle, ai file e alle voci di registro dell'agente vengono ricevute dalla cartella Programmi (per i client che eseguono Windows Vista/2000/XP/Server 2003/Server 2003). Di conseguenza, se le impostazioni delle autorizzazioni (Impostazioni di protezione di Windows) del file Windows o della cartella Programmi sono state impostate per consentire l'accesso completo in lettura/scrittura, quando si seleziona Alto i client continuano a usufruire dell'accesso completo in lettura/ scrittura alle cartelle, ai file e alle voci di registro di Client/Server Security Agent. 2. Fare clic su Salva. 5-32

115 Gestione delle impostazioni di sicurezza di base Gestione della quarantena La directory di quarantena memorizza i file infetti. Può risiedere sul client stesso o su un altro server. Se viene specificata una directory di quarantena non valida, gli agenti utilizzano la directory di quarantena predefinita sul client: C:\Programmi\Trend Micro\Client Server Security Agent\SUSPECT La cartella predefinita nel server è: C:\Programmi\Trend Micro\Security Server\PCCSRV\Virus Nota: se CSA non riesce a inviare il file a Security Server per qualsiasi motivo (ad esempio, per problemi con la connessione di rete), il file rimane nella cartella dei file sospetti del client. L'agente tenta di inviare nuovamente il file quando esegue una nuova connessione a Security Server. Configurazione della directory di quarantena Percorso di navigazione: Impostazioni di sicurezza > Selezionare un gruppo > Configura > Metti in quarantena FIGURA 5-8. Schermata Directory di quarantena 5-33

116 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per impostare la directory di quarantena: 1. Nella schermata Directory di quarantena, aggiornare i seguenti campi in base alle esigenze: Directory di quarantena: digitare il percorso URL (Uniform Resource Locator) o UNC (Universal Naming Convention) in cui si desidera memorizzare i file infetti. Ad esempio, quarantine o \\TempServer\Quarantine. 2. Fare clic su Salva. 5-34

117 Capitolo 6 Gestione di Messaging Security Agent In questo capitolo viene illustrato Messaging Security Agent e come impostare le opzioni di scansione in tempo reale, configurare le impostazioni anti-spam, il filtro del contenuto, il blocco degli allegati e le opzioni di gestione della quarantena per i server Microsoft Exchange. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Informazioni su Messaging Security Agent a pagina 6-2 Opzioni configurabili di Messaging Security Agent a pagina 6-6 Antivirus a pagina 6-9 Anti-spam a pagina 6-15 Scansione dei contenuti a pagina 6-17 Filtro dei contenuti a pagina 6-24 Blocco allegati a pagina 6-43 Messaging Agent Quarantine a pagina 6-47 Operazioni a pagina 6-56 Aggiunta di server Microsoft Exchange alla struttura dei gruppi di protezione a pagina 6-63 Replica delle impostazioni dei server Microsoft Exchange a pagina 6-66 Aggiunta di una declinazione di responsabilità ai messaggi in uscita a pagina

118 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Informazioni su Messaging Security Agent I moduli Messaging Security Agent (MSA) proteggono i server Microsoft Exchange. Messaging Security Agent consente di evitare l'attacco delle minacce trasmesse tramite grazie alla scansione dei messaggi in entrata e in uscita dall'archivio delle caselle postali di Microsoft Exchange e dei messaggi che transitano tra il server Microsoft Exchange e le destinazioni esterne. Inoltre, Messaging Security Agent è in grado di: Ridurre lo spam Bloccare i messaggi in base al contenuto Bloccare o limitare i messaggi con allegati I moduli Messaging Security Agent possono essere installi solo sui server Microsoft Exchange. La struttura dei gruppi mostra tutti i moduli Messaging Security Agent presenti nella rete. Nota: non è possibile unire in un solo gruppo più Messaging Security Agent. È necessario amministrare e gestire ogni Messaging Security Agent singolarmente. WFBS-A utilizza Messaging Security Agent per raccogliere informazioni dai server Microsoft Exchange. Ad esempio, Messaging Security Agent segnala i rilevamenti dello spam o il completamento degli aggiornamenti dei componenti a Trend Micro Security Server. Queste informazioni vengono visualizzate nella console Web. Trend Micro Security Server utilizza anche queste informazioni per generare i registri e i rapporti circa lo stato della sicurezza nei server Microsoft Exchange. Nota: ogni minaccia rilevata genera una voce di registro/notifica. Di conseguenza, se Messaging Security Agent rileva varie minacce in un unico messaggio , vengono generate più voci di registro e notifiche. Può accadere che una stessa minaccia venga rilevata varie volte, specialmente se si utilizza la modalità cache di Outlook Quando la modalità cache è attivata, la stessa minaccia può essere rilevata sia nella cartella di coda del trasferimento che nella cartella della posta inviata o della posta in uscita. 6-2

119 Gestione di Messaging Security Agent Scansione dei messaggi da parte di Messaging Security Agent Messaging Security Agent (MSA) si avvale della sequenza riportata di seguito per sottoporre a scansione i messaggi 1. Esamina la presenza di spam (anti-spam). a. Confronta il messaggio con l'elenco di mittenti approvati/bloccati definito dall'amministratore. b. Verifica la presenza di eventi di phishing. c. Confronta il messaggio con l'elenco delle eccezioni fornito da Trend Micro. d. Confronta il messaggio con il database di definizioni di spam. e. Applica le regole della scansione euristica. 2. Verifica la presenza di violazioni alle regole di filtro dei contenuti. 3. Sottopone a scansione gli allegati che superano i parametri definiti dall'utente. 4. Verifica la presenza di virus/minacce informatiche (antivirus). 6-3

120 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Azioni MSA Gli amministratori possono configurare Messaging Security Agent in modo che esegua le operazioni in base al tipo di minaccia rappresentata da virus/minacce informatiche, cavalli di Troia e worm. Se si utilizzano le operazioni personalizzate, impostare un'azione per ciascun tipo di minaccia. TABELLA 6-1. Azione Disinfetta Azioni personalizzate di Messaging Security Agent Descrizione Rimuove il codice dannoso dal corpo e dagli allegati dei messaggi. Il rimanente testo del messaggio e qualsiasi altro file non infetto e i file disinfettati vengono consegnati ai relativi destinatari. Trend Micro consiglia di utilizzare l'azione di scansione predefinita Disinfetta per virus/minacce informatiche. In alcune circostanze, Messaging Security Agent non è in grado di disinfettare un file. Durante una scansione manuale o pianificata, Messaging Security Agent aggiorna l'archivio informazioni e sostituisce il file con quello disinfettato. Sostituisci con testo/file Metti in quarantena intero messaggio Il modulo Messaging Security Agent elimina il contenuto infetto e lo sostituisce con testo o file. Il messaggio viene consegnato al destinatario, ma il testo sostitutivo comunica che il contenuto originale era infetto ed è stato sostituito. Sposta il messaggio in una cartella ad accesso limitato, rimuovendolo dall'ambiente Microsoft Exchange come un rischio per la sicurezza. Il destinatario originale non riceverà il messaggio. Questa opzione non è disponibile per le scansioni manuali e pianificate. Consultare Configurazione delle directory di quarantena a pagina 6-48 per ulteriori informazioni sulla cartella di quarantena. 6-4

121 Gestione di Messaging Security Agent TABELLA 6-1. Azione Parte del messaggio in quarantena Elimina intero messaggio Ignora Archivio Inserisci in quarantena il messaggio nella cartella di spam lato server Inserisci in quarantena il messaggio nella cartella di spam utente Contrassegna e recapita Azioni personalizzate di Messaging Security Agent (segue) Descrizione Sposta nella cartella della quarantena solo il contenuto infetto e il destinatario riceve il messaggio privo di tale contenuto. Durante la scansione in tempo reale Messaging Security Agent elimina l'intero messaggio . Il destinatario originale non riceverà il messaggio. Questa opzione non è disponibile per le scansioni manuali e pianificate. Registra l'infezione da virus o i file dannosi nei registri dei virus ma non esegue alcuna azione. I file esclusi, codificati o protetti da password vengono consegnati al destinatario senza che sia effettuato l'aggiornamento dei registri. Sposta il messaggio nella directory di archiviazione e consegna il messaggio al destinatario originale. Messaging Security Agent invia il messaggio a Security Server per la quarantena. Messaging Security Agent invia il messaggio alla cartella dello spam dell'utente per la quarantena. Messaging Security Agent aggiunge un contrassegno alle informazioni dell'intestazione del messaggio che lo identifica come un messaggio di spam e lo consegna al destinatario originale. 6-5

122 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Scansione avanzata delle macro Il modulo Messaging Security Agent utilizza il file di pattern dei virus per individuare i codici di macro noti come dannosi durante una normale scansione. Messaging Security Agent interviene contro il codice di macro dannoso a seconda dell'operazione configurata nella schermata Antivirus. Utilizzare la scansione delle macro avanzata per ottenere maggiore protezione contro i codici di macro dannosi. La scansione avanzata delle macro è una funzionalità supplementare della normale scansione contro virus/minacce informatiche. Essa utilizza tecniche di scansione euristica per l'individuazione di virus delle macro, oppure elimina tutto il codice macro rilevato. La scansione euristica è un metodo valutativo di rilevamento dei virus che utilizza il riconoscimento dei pattern e tecnologie basate sulle regole per ricercare codice delle macro dannoso. Questo metodo risulta particolarmente efficace per il rilevamento di virus e minacce ancora non scoperti per i quali non esistono impronte virali note. Quando un codice di macro dannoso viene rilevato mediante la scansione euristica, Messaging Security Agent interviene contro il codice in base all'operazione configurata nella schermata Antivirus. Quando si seleziona Elimina tutte le macro rilevate dalla scansione avanzata delle macro, Messaging Security Agent elimina tutto il codice di macro dai file analizzati. Opzioni configurabili di Messaging Security Agent È possibile accedere ai seguenti elementi facendo clic su Configura dalla schermata Impostazioni di sicurezza: Antivirus: consente di configurare le opzioni di scansione in tempo reale per Messaging Security Agent. Anti-spam (Scansione dei contenuti): consente di impostare il livello di rilevamento dello spam, configurare l'elenco dei mittenti approvati/bloccati e impostare le operazioni per lo spam. Anti-spam ( Reputation): consente di configurare l'opzione Reputation per bloccare i messaggi da fonti di spam note o sospette. Crea inoltre esclusioni per consentire o bloccare i messaggi provenienti da altri mittenti. Filtro dei contenuti: abilita e configura il filtro dei contenuti. Blocco allegati: permette di specificare i requisiti di blocco degli allegati. 6-6

123 Gestione di Messaging Security Agent Metti in quarantena: consente di eseguire query, gestione della quarantena e impostare le directory di quarantena. Operazioni: esegue la gestione dello spam, imposta l'indirizzo interno e imposta le opzioni del programma di debug del sistema. Impostazioni predefinite di Messaging Security Agent Valutare le opzioni elencate nella tabella come supporto per ottimizzare le configurazioni di Messaging Security Agent. TABELLA 6-2. Le azioni predefinite di Trend Micro per Messaging Security Agent Opzioni di scansione Anti-spam Spam Phishing Filtro dei contenuti Filtra messaggi che soddisfano qualsiasi condizione definita Filtra messaggi che soddisfano tutte le condizioni definite Scansione in tempo reale Mettere in quarantena i messaggi nella cartella di spam dell'utente (questa è l'impostazione predefinita, se Outlook Junk o End User Quarantine sono installati) Elimina intero messaggio Metti in quarantena intero messaggio Metti in quarantena intero messaggio Scansione manuale e pianificata Non pertinente Non pertinente Sostituisci Non disponibile 6-7

124 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA 6-2. Le azioni predefinite di Trend Micro per Messaging Security Agent (segue) Opzioni di scansione Monitora il contenuto dei messaggi di particolari account . Scansione in tempo reale Metti in quarantena intero messaggio Scansione manuale e pianificata Sostituisci Crea un'eccezione per particolari account Ignora Ignora Blocco allegati Azione Altro File crittografati e protetti da password File esclusi (file oltre le limitazioni di scansione specificate) Sostituisci allegato con testo/file Ignora (quando si imposta l'azione su Ignora, i file crittografati e i file protetti da password vengono ignorati e l'evento non viene registrato) Ignora (quando si imposta l'azione su Ignora, i file o il testo dei messaggi per cui valgono le restrizioni di scansione specificate vengono ignorati e l'evento non viene registrato) Sostituisci allegato con testo/file Ignora (quando si imposta l'azione su Ignora, i file crittografati e i file protetti da password vengono ignorati e l'evento non viene registrato) Ignora (quando si imposta l'azione su Ignora, i file o il testo dei messaggi per cui valgono le restrizioni di scansione specificate vengono ignorati e l'evento non viene registrato) 6-8

125 Gestione di Messaging Security Agent Antivirus WFBS mette a disposizione tre tipi di scansione per proteggere i server Microsoft Exchange dalle minacce veicolate dai messaggi Scansione in tempo reale: la scansione in tempo reale è una scansione continua e costante. Messaging Security Agent protegge tutti i possibili punti di accesso dei virus effettuando la scansione in tempo reale di tutti i messaggi in entrata, dei messaggi SMTP, dei documenti inviati nelle cartelle pubbliche e dei file duplicati da altri server Microsoft Exchange. Quando rileva una minaccia per la sicurezza, prende automaticamente provvedimenti contro questi rischi alla sicurezza in base alle configurazioni. Messaging Security Agent esegue la scansione in tempo reale di quanto segue: Tutti i messaggi in entrata e in uscita Invii delle cartelle pubbliche Tutte le repliche da server a server La velocità della scansione in tempo reale dipende dalle impostazioni selezionate. È possibile incrementare le prestazioni delle scansioni in tempo reale specificando alcuni tipi di file vulnerabili a virus/minacce informatiche. Scansione manuale: la scansione manuale è una scansione a richiesta. La scansione manuale elimina le minacce presenti nei file del computer client e nelle caselle di posta di Microsoft Exchange. Questa scansione elimina anche eventuali vecchie infezioni così da rendere minimo il rischio di ulteriori infezioni. Durante una scansione manuale, WFBS prende provvedimenti contro le minacce in base alle azioni impostate dall'amministratore. Scansione pianificata: una scansione pianificata è simile a una scansione manuale ma effettua le scansioni di tutti i file e dei messaggi in momenti prestabiliti e con frequenze predeterminate. Utilizzare le scansioni pianificate per automatizzare le scansioni di routine dei client e per migliorare l'efficienza della gestione delle minacce. 6-9

126 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Configurazione della scansione in tempo reale per Messaging Security Agent Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Antivirus Configurare Messaging Security Agent affinché sottoponga a scansione oggetti specifici e impostare le azioni da effettuare quando identifica una minaccia alla sicurezza nei messaggi e nei file esaminati. Inoltre, configurare l'invio di notifiche da parte dell'agente quando il modulo effettua delle azioni contro i rischi alla sicurezza. Per le impostazioni predefinite, consultare la Tabella 6-2 a pagina 6-7. FIGURA 6-1. Impostazioni di sicurezza > schermata Antivirus 6-10

127 Gestione di Messaging Security Agent Per configurare la scansione in tempo reale per Messaging Security Agent: 1. Nella scheda Destinazione della schermata Antivirus, aggiornare i seguenti campi in base alle necessità: Attiva antivirus in tempo reale ATTENZIONE! La disattivazione della scansione in tempo reale rende il server Microsoft Exchange vulnerabile alle infezioni. File da esaminare IntelliScan: sottopone a scansione i file in base al tipo di file effettivo. Per ulteriori informazioni, consultare IntelliScan a pagina C-5. Tutti i file analizzabili: vengono esclusi solo i file codificati o protetti da password. Specifici tipi di file: WFBS sottopone a scansione i file con le estensioni selezionate. Separare più voci con la virgola (,). Nota: i seguenti file sono sempre di tipo.com, ASCII, TEXT, HTML e pagine Active Server. Attiva IntelliTrap: IntelliTrap rileva il codice dannoso, come ad esempio i bot contenuti nei file compressi. Per ulteriori informazioni, consultare IntelliTrap a pagina C-7. Scansione corpo del messaggio: effettua la scansione del corpo di un messaggio che potrebbe contenere delle minacce. Scansione minacce ulteriori: selezionare le altre minacce che WFBS dovrebbe analizzare. Per le definizioni delle minacce, consultare Descrizione delle minacce a pagina Esclusioni: escludere dalla scansione i messaggi che corrispondono ai seguenti criteri: Le dimensioni del corpo del messaggio superano Le dimensioni dell'allegato superano Il conteggio di file decompressi supera Le dimensioni del file decompresso superano 6-11

128 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Il numero di livelli di compressione supera Le dimensioni del file decompresso sono "n" volte quelle del file compresso 2. Dalla scheda Operazione, aggiornare i seguenti campi secondo le esigenze: Azione di rilevamento dei virus ActiveAction: utilizzare le operazioni preconfigurate di Trend Micro per contrastare le minacce. Per ulteriori informazioni, consultare ActiveAction a pagina C-5. Esegue la stessa operazione per tutti i tipi di minacce Internet rilevate: selezionare Disinfetta, Sostituisci con testo/file, Elimina intero messaggio, Ignora o Parte del messaggio in quarantena. Per ulteriori informazioni, consultare Tabella 6-1 a pagina 6-4. Specificare l'operazione per le minacce rilevate: selezionare Disinfetta, Sostituisci con testo/file, Elimina intero messaggio, Ignora, Metti in quarantena intero messaggio o Parte del messaggio in quarantena per ciascun tipo di minaccia. Per ulteriori informazioni, consultare Tabella 6-1 a pagina 6-4. Attiva operazione per comportamento di invio di posta di massa: selezionare Disinfetta, Sostituisci con testo/file, Elimina intero messaggio, Ignora o Parte del messaggio in quarantena per le minacce con comportamento di invio di posta di massa. Per ulteriori informazioni, consultare Tabella 6-1 a pagina 6-4. Impostare l'operazione secondaria per i tentativi di disinfezione non riusciti. Selezionare Sostituisci con testo/file, Elimina intero messaggio, Ignora o Parte del messaggio in quarantena. Esegui il backup del file infetto prima di disinfettare: come precauzione, effettuare il backup della minaccia prima della disinfezione per proteggere il file originale da eventuali danni. 6-12

129 Gestione di Messaging Security Agent Nota: Trend Micro consiglia di eliminare rapidamente i file sottoposti a backup una volta stabilito che il file originale non è danneggiato ed è utilizzabile. Se il file risulta danneggiato o non è più utilizzabile, è possibile inviarlo a Trend Micro per ulteriori analisi. (Anche se Messaging Security Agent ha completamente eliminato il virus mediante disinfezione, alcuni virus o minacce informatiche possono danneggiare il codice originale dei file oltre ogni possibile riparazione.) Non disinfettare i file compressi infetti al fine di ottimizzare le prestazioni: quando gli agenti rilevano una minaccia alla sicurezza in un file compresso, non disinfetta il file. Piuttosto, lo elabora come fosse una minaccia non disinfettabile. Notifiche: WFBS invia i messaggi di notifica ai destinatari selezionati. Gli amministratori possono anche disattivare l'invio di notifiche ai destinatari esterni dei mittenti di spoofing. Virus da macro: un tipo di virus codificato in una macro da applicazione e spesso incluso in un documento. Selezionare Attiva scansione avanzata delle macro e configurare quanto riportato di seguito. Livello euristico: la scansione euristica è un metodo valutativo di rilevamento dei virus. Questo metodo risulta particolarmente efficace per il rilevamento di virus e minacce ancora non scoperti per i quali non esistono impronte virali note. Elimina tutte le macro rilevate dalla scansione avanzata delle macro. Per ulteriori informazioni, consultare Scansione avanzata delle macro a pagina 6-6. Parti non analizzabili dei messaggi: impostare l'azione e la condizione di notifica per i file codificati e/o protetti da password. Per l'azione, selezionare Sostituisci con testo/file, Elimina intero messaggio, Ignora o Parte del messaggio in quarantena. Parti escluse dei messaggi: impostare l'azione e la condizione di notifica per le parti dei messaggi che sono state escluse. Per l'azione, selezionare Sostituisci con testo/file, Elimina intero messaggio, Ignora o Parte del messaggio in quarantena. 6-13

130 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Impostazione di backup: il percorso in cui salvare i file di backup. Impostazioni di sostituzione: configurare il testo e il file del testo sostitutivo. Se l'azione consiste nel sostituire con testo/file, WFBS sostituisce la minaccia con questa stringa di testo e questo file. 3. Fare clic su Salva. Consente inoltre di configurare chi riceve le notifiche quando si verifica un evento. Fare riferimento a Configurazione degli eventi per le notifiche a pagina

131 Gestione di Messaging Security Agent Anti-spam WFBS offre due sistemi per ostacolare lo spam: Reputation e Scansione dei contenuti. Reputation Reputation offre i due livelli di servizio, ovvero: Standard: il servizio standard si affida a un database in grado di identificare la reputazione di circa due miliardi di indirizzi IP. Gli indirizzi IP che vengono costantemente associati alla diffusione di messaggi di spam vengono aggiunti a un database e solo raramente rimossi. Avanzato: il livello avanzato offre un servizio DNS basato su query come il servizio standard. La base di questo servizio è il database di reputazione standard, unitamente al database di reputazione dinamico in tempo reale che blocca i messaggi provenienti da fonti note e sospette di spam. Quando viene individuato un messaggio proveniente da un indirizzo IP bloccato o sospetto, Reputation blocca il messaggio prima che questo raggiunga il gateway. Configurazione di Reputation Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Anti-spam > Reputation Consente di configurare i servizi di Reputation per bloccare i messaggi da fonti di spam note o sospette. Crea inoltre esclusioni per consentire o bloccare i messaggi provenienti da altri mittenti. 6-15

132 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore FIGURA 6-2. Schermata Reputation Per configurare la reputazione 1. Nella scheda Destinazione della schermata Reputation, aggiornare i seguenti campi in base alle necessità: Attiva anti-spam in tempo reale ( Reputation) Livello del servizio: per informazioni sui servizi disponibili, consultare Reputation a pagina Standard Avanzata Indirizzi IP approvati: i messaggi provenienti da questi indirizzi IP non vengono mai bloccati. Immettere l'indirizzo IP da approvare e fare clic su Aggiungi. Se necessario, è possibile importare un elenco di indirizzi IP da un file di testo. Per rimuovere un indirizzo IP, selezionare l'indirizzo e fare clic su Rimuovi. 6-16

133 Gestione di Messaging Security Agent Indirizzi IP bloccati: i messaggi provenienti da questi indirizzi IP vengono sempre bloccati. Immettere l'indirizzo IP da bloccare e fare clic su Aggiungi. Se necessario, è possibile importare un elenco di indirizzi IP da un file di testo. Per rimuovere un indirizzo IP, selezionare l'indirizzo e fare clic su Rimuovi. 2. Fare clic su Salva. 3. Accedere a: per visualizzare i rapporti. Per ulteriori informazioni, consultare la documentazione relativa a Reputation. Nota: Reputation è un servizio basato sul Web. Gli amministratori possono configurare il livello del servizio unicamente dalla console Web. Scansione dei contenuti La scansione dei contenuti identifica lo spam in base al contenuto del messaggio e non dall'ip di origine. Messaging Security Agent utilizza il motore anti-spam e il file dei pattern anti-spam di Trend Micro per escludere lo spam da ogni messaggio prima che venga inviato all'archivio di informazioni. Il server Microsoft Exchange non elabora la posta rifiutata indesiderata, evitando che i messaggi raggiungano le caselle postali dell'utente. Rilevamento spam Il motore di scansione anti-spam utilizza le firme spam e le regole euristiche per escludere determinati messaggi . Esegue la scansione dei messaggi e assegna a ognuno un punteggio di spamming in base all'aderenza alle regole e ai pattern del file di pattern. Messaging Security Agent confronta il punteggio di spamming con il livello di rilevamento di spam definito dall'utente. Quando il punteggio di spamming supera il livello di rilevamento, Messaging Security Agent interviene contro lo spam. Ad esempio, gli spammer utilizzano spesso nei loro messaggi una gran quantità di punti esclamativi o più punti esclamativi uno di seguito all'altro (!!!!). Quando Messaging Security Agent rileva un messaggio in cui vengono utilizzati i punti esclamativi in questo modo, aumenta il punteggio di spamming relativo al particolare messaggio

134 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Selezionare una delle opzioni di rilevamento dello spam riportate di seguito: Alto: è il livello più rigoroso di rilevamento della posta indesiderata, ma presenta maggiori possibilità di falsi allarmi. Per falsi allarmi si intendono i messaggi che Messaging Security Agent filtra come spam anche se sono di fatto messaggi legittimi. Medio: questa è l'impostazione predefinita. Messaging Security Agent monitora i messaggi adottando un livello medio di rilevamento dello spam; presenta una moderata possibilità di falsi allarmi. Basso: è il livello meno severo di rilevamento dello spam. Messaging Security Agent filtra soltanto i messaggi indesiderati più ovvi e comuni; presenta possibilità estremamente basse di falsi allarmi. Messaging Security Agent utilizza il motore anti-spam e il file dei pattern anti-spam di Trend Micro per escludere lo spam da ogni messaggio prima che venga inviato all'archivio di informazioni. Il server Microsoft Exchange non elabora la posta rifiutata indesiderata, evitando che i messaggi raggiungano le caselle postali dell'utente. Messaging Security Agent Esegue una delle seguenti operazioni sullo spam rilevato durante la scansione in tempo reale: Mette in quarantena i messaggi di spam in una cartella di quarantena spam lato server Mette in quarantena i messaggi di spam nella cartella di spam utente Elimina il messaggio di spam Contrassegna e recapita i messaggi come spam Nota: Microsoft Outlook è in grado di filtrare automaticamente e inviare i messaggi che MSA considera spam alla cartella della posta indesiderata. Phishing Un tentativo di phishing è un messaggio che si presenta come una comunicazione da parte di un'azienda affidabile e legittima. Il messaggio spinge gli utenti a fare clic su un collegamento che reindirizza il browser su un falso sito Web. All'utente viene chiesto di aggiornare le informazioni personali (password, codice fiscale e numeri di carta di credito) per spingerlo a fornire dati sensibili che possono essere utilizzati per il furto di identità. 6-18

135 Gestione di Messaging Security Agent Quando Messaging Security Agent rileva un messaggio di phishing, può eseguire le seguenti operazioni: Inserisci messaggio nella cartella di quarantena spam lato server: Messaging Security Agent invia il messaggio a Security Server per la quarantena. Elimina intero messaggio: Messaging Security Agent elimina tutto il messaggio e Microsoft Exchange non lo consegna. Contrassegna e recapita: Messaging Security Agent aggiunge un contrassegno alle informazioni dell'intestazione del messaggio che lo identifica come un messaggio di phishing e lo consegna al destinatario originale. Elenchi di mittenti approvati e bloccati Un elenco di mittenti approvati è un elenco di indirizzi affidabili. Messaging Security Agent non filtra i messaggi provenienti da questi indirizzi alla ricerca di spam, salvo il caso in cui sia attivata l'opzione Rileva tentativi di phishing. Se l'opzione Rileva tentativi di phishing è stata abilitata e Messaging Security Agent rileva un problema legato al phishing in un messaggio , il messaggio non viene consegnato anche se appartiene a un elenco dei mittenti approvati. Un elenco di mittenti bloccati è un elenco di indirizzi sospetti. Messaging Security Agent classifica sempre i messaggi provenienti da mittenti bloccati come spam ed esegue le operazioni previste. Vi sono due elenchi di mittenti approvati: uno relativo all'amministratore Microsoft Exchange e uno agli utenti finali. L'elenco dei mittenti approvati e bloccati dell'amministratore di Microsoft Exchange (schermata Anti-spam) consente di controllare la modalità con cui Messaging Security Agent tratta i messaggi destinati al server Microsoft Exchange. 6-19

136 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore L'utente finale gestisce la Cartella di spam appositamente creata durante l'installazione. Gli elenchi degli utenti finali influenzano soltanto i messaggi destinati all'archivio della casella di posta lato server di ogni singolo utente finale. Nota: gli elenchi dei mittenti approvati e bloccati su un server Microsoft Exchange prevalgono sugli elenchi di mittenti approvati e bloccati su un client. Ad esempio, il mittente utente@esempio.com è incluso nell'elenco dei mittenti bloccati dell'amministratore, ma l'utente finale ha aggiunto l'indirizzo al suo elenco dei mittenti approvati. I messaggi inviati da questo mittente arrivano nell'archivio del server Microsoft Exchange e Messaging Security Agent li contrassegna come spam ed esegue operazioni per bloccarli. Se Messaging Security Agent esegue l'azione Mettere in quarantena i messaggi nella cartella di spam utente, cercherà di consegnare il messaggio nella cartella dello spam dell'utente finale, ma il messaggio verrà invece reindirizzato alla casella della posta in arrivo dell'utente finale perché l'utente ha approvato il mittente. Nota: se si utilizza Outlook, esiste un limite in termini di dimensione per quanto riguarda la quantità e la dimensione degli indirizzi dell'elenco. Per evitare errori di sistema, Messaging Security Agent limita la quantità di indirizzi che un utente finale può includere nell'elenco dei mittenti approvati (questo limite viene calcolato in base alla lunghezza e al numero di indirizzi ). Per quanto riguarda gli elenchi di mittenti approvati e mittenti bloccati, Messaging Security Agent supporta la corrispondenza con caratteri jolly. Il carattere utilizzato è l'asterisco (*). Messaging Security Agent non supporta la corrispondenza con caratteri jolly nella parte del nome utente. Tuttavia, se si digita un modello come "*@trend.com", Messaging Security Agent continua a considerarlo come "@trend.com". È possibile utilizzare un carattere jolly solo se è: accanto a un solo punto e al primo o ultimo carattere di una stringa a sinistra di un e come primo carattere della stringa qualsiasi sezione all'inizio o alla fine di una stringa, che ha la stessa funzione di un carattere jolly 6-20

137 Gestione di Messaging Security Agent TABELLA 6-3. Indirizzo corrispondente ai caratteri jolly Modello Esempi corrispondenti Esempi non corrispondenti esempio.com *.esempio.com esempio.com.* *.esempio.com.* *.*.*.esempio.com *****.esempio.com *esempio.com esempio.com ms1.rd.esempio.com.it ms1.rd.esempio.com.it Corrisponde a "*.esempio.com" Modelli non validi Qualsiasi indirizzo diverso dal modello giovanni@ms1.esempio.com giovanni@esempio.com.it maria@esempio.com.it giovanni@esempio.com.it maria@mioesempio.com.it giorgio@esempio.comon giovanni@esempio.com giovanni@mioesempio.com.it maria@ms1.esempio.comon giovanni@esempio.com maria@ms1.esempio.com giovanni@mioesempio.com.it giovanni@esempio.com giovanni@ms1.esempio.com giovanni@trend.esempio.it 6-21

138 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Configurazione della scansione dei contenuti Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Anti-spam > Scansione dei contenuti La configurazione della scansione dei contenuti per analizzare il traffico SMTP alla ricerca di spam prevede due passaggi. Per prima cosa, selezionare un livello di rilevamento dello spam e configurare gli elenchi Mittenti approvati e Mittenti bloccati. Quindi, scegliere l'azione da compiere quando WFBS rileva dello spam. FIGURA 6-3. Schermata Scansione dei contenuti 6-22

139 Gestione di Messaging Security Agent Per configurare la scansione dei contenuti: 1. Nella scheda Destinazione della schermata Scansione dei contenuti, aggiornare i seguenti campi in base alle necessità: Attiva anti-spam in tempo reale (scansione dei contenuti) Livello rilevamento spam: per informazioni sui servizi disponibili, consultare Rilevamento spam a pagina Rileva phishing: i tentativi di phishing spingono gli utenti a fare clic su un collegamento che reindirizza il browser su un falso sito Web che ne imita uno autentico. Per informazioni, consultare Phishing a pagina Mittente approvato: i messaggi provenienti da questi indirizzi o nomi di dominio non vengono mai bloccati. Immettere gli indirizzi o i nomi di dominio da approvare e fare clic su Aggiungi. Se necessario, è possibile importare un elenco di indirizzi o di nomi di dominio da un file di testo. Per rimuovere degli indirizzi o dei nomi di dominio, selezionare l'indirizzo e fare clic su Rimuovi. Per informazioni, consultare Elenchi di mittenti approvati e bloccati a pagina Mittenti bloccati: i messaggi provenienti da questi indirizzi o nomi di dominio vengono sempre bloccati. Immettere gli indirizzi o i nomi di dominio da bloccare e fare clic su Aggiungi. Se necessario, è possibile importare un elenco di indirizzi o di nomi di dominio da un file di testo. Per rimuovere degli indirizzi o dei nomi di dominio, selezionare l'indirizzo e fare clic su Rimuovi. Per informazioni, consultare Elenchi di mittenti approvati e bloccati a pagina Nota: l'elenco Indirizzi IP bloccati ha la precedenza sulla Scansione dei contenuti. 2. Fare clic su Salva. 3. Nella scheda Operazione della schermata Scansione dei contenuti, aggiornare i seguenti campi in base alle necessità: Spam Inserisci messaggio nella cartella di quarantena spam lato server Inserisci in quarantena il messaggio nella cartella di spam utente 6-23

140 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Elimina intero messaggio Contrassegna e recapita: aggiunge il contrassegno all'oggetto del messaggio . Tentativo di phishing Inserisci messaggio nella cartella di quarantena spam lato server Elimina intero messaggio Contrassegna e recapita: aggiunge il contrassegno all'oggetto del messaggio Fare clic su Salva. Filtro dei contenuti Il filtro dei contenuti esamina i messaggi in entrata e in uscita sulla base delle regole definite dall'utente. Ogni regola contiene un elenco di parole chiave e di frasi. Il filtro del contenuto prende in considerazione l'intestazione e/o il contenuto dei messaggi confrontando il messaggio con l'elenco di parole chiave. Quando il filtro del contenuto individua una parola che corrisponde a una parola chiave, può eseguire operazioni affinché il contenuto indesiderato non venga consegnato ai client Microsoft Exchange. Messaging Security Agent invia notifiche ogniqualvolta prende provvedimenti contro contenuti indesiderati. Il filtro dei contenuti consente all'amministratore di valutare e controllare la consegna dei messaggi sulla base del testo del messaggio stesso. Può essere utilizzato per monitorare i messaggi in entrata e in uscita e per controllare la presenza di contenuto molesto, offensivo o in qualche modo riprovevole. Il filtro dei contenuti fornisce inoltre una funzione di verifica dei sinonimi che consente di estendere la portata dei criteri adottati. Ad esempio, è possibile creare regole per il controllo degli aspetti riportati di seguito. Linguaggio contenente delle molestie di natura sessuale Linguaggio con contenuti razzisti Spam incorporato nel corpo di un messaggio Nota: per impostazione predefinita, il filtro del contenuto non è attivato. 6-24

141 Gestione di Messaging Security Agent Azioni di scansione Durante l'operazione di filtro dei contenuti, se un messaggio corrisponde a una regola, è possibile configurare una qualsiasi delle seguenti azioni. Sostituisci con testo/file: sostituisce i contenuti filtrati con un file di testo. Non è possibile sostituire testo dai campi Da, A, Cc o Oggetto. Metti in quarantena intero messaggio: sposta il messaggio nella directory di quarantena. Parte del messaggio in quarantena: sposta nella cartella della quarantena solo il contenuto filtrato e il destinatario riceve il messaggio privo di tale contenuto. Elimina intero messaggio: elimina tutto il messaggio . Archivia: sposta il messaggio nella directory di archiviazione e consegna il messaggio al destinatario originale. Ignora: consegna il messaggio così come è. Nota: l'azione della quarantena non è disponibile durante le scansioni manuali o pianificate. Parole chiave In WFBS-A, le parole chiave comprendono le voci riportate di seguito e vengono utilizzate per filtrare i messaggi: Parole (pistole, bombe e così via) Numeri (1,2,3 e così via) Caratteri speciali (&,#,+ e così via) Frasi brevi (pesce blu, telefono rosso, casa grande e così via) Parole o frasi collegate con operatori logici (mele.and. arance) Parole o frasi che utilizzano espressioni regolari (.REG. a.*e corrisponde a "ace", "ape" e "avanzate", ma non a "avv", "api" o "antivirus") Importazione delle parole chiave WFBS-A può importare un elenco di parole chiave esistente da un file di testo (.txt). Le parole importate vengono visualizzate nell'elenco di parole chiave. 6-25

142 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Utilizzo degli operatori sulle parole chiave Gli operatori sono comandi in grado di unire più parole. Gli operatori possono ampliare o restringere i risultati di un criterio. Racchiudere gli operatori tra punti (.). Ad esempio, mele.and. arance e mele.not. arance Nota: l'operatore contiene un punto immediatamente prima e dopo. È presente uno spazio tra il punto finale e la parola chiave. TABELLA 6-4. Uso degli operatori OPERATORE FUNZIONAMENTO ESEMPIO qualsiasi parola chiave OR AND MSA cerca i contenuti che corrispondono alla parola MSA cerca eventuali parole chiave separate da OR Ad esempio, mela OR arancia. MSA cerca la parola mela o arancia. Se nei contenuti è presente una di queste parole, viene rilevata una corrispondenza. MSA cerca tutte le parole chiave separate da AND Ad esempio, mela AND arancia. MSA cerca sia la parola mela che la parola arancia. Se nei contenuti non sono presenti entrambe le parole, non viene rilevata alcuna corrispondenza. Immettere la parola e aggiungerla all'elenco delle parole chiave. Immettere ".OR." tra tutte le parole da includere Ad esempio, "mela OR arancia" Immettere ".AND." tra tutte le parole da includere Ad esempio, "mela AND arancia" 6-26

143 Gestione di Messaging Security Agent TABELLA 6-4. Uso degli operatori (segue) OPERATORE FUNZIONAMENTO ESEMPIO NOT WILD REG MSA esclude dalla ricerca le parole chiave che seguono NOT Ad esempio,.not. succo. MSA cerca i contenuti che non contengono la parola succo. Se il messaggio contiene "spremuta d'arancia", allora viene rilevata una corrispondenza, ma se contiene "succo d'arancia", questo non avviene. Il simbolo del carattere jolly sostituisce la parte mancante di una parola. Vengono rilevate tutte le corrispondenze con qualsiasi parola contenga la parte non sostituita dal carattere jolly. Nota. MSA non supporta l'utilizzo del carattere "?" nel comando dei caratteri jolly ".WILD.". Per specificare un'espressione regolare, aggiungere un operatore.reg. prima del modello (ad esempio,.reg. a.*e). Per ulteriori informazioni, consultare Espressioni regolari a pagina Digitare ".NOT." prima della parola che si desidera escludere Ad esempio, ".NOT. succo" Immettere ".WILD." prima delle parti della parola che si desidera includere. Ad esempio, se si desidera individuare tutte le parole che contengono "valu", è necessario digitare ".WILD.valu". Le parole Valumart, valutazione e valutario vengono considerate corrispondenze. Digitare ".REG." prima del modello della parola che si desidera rilevare. Ad esempio, ".REG. a.*e" corrisponde a: "ace", "ape" e "salmastre", ma non "avv", "api" o "antivirus" 6-27

144 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Uso efficace delle parole chiave MSA mette a disposizione degli utenti funzioni semplici e potenti per creare filtri estremamente specifici. Durante la creazione delle regole di filtro del contenuto, è importante ricordare che: Per impostazione predefinita, MSA rileva corrispondenze esatte delle parole chiave. Utilizzare le espressioni regolari per impostare MSA in modo che cerchi corrispondenze parziali delle parole chiave. Per ulteriori informazioni, fare riferimento a Espressioni regolari a pagina MSA analizza diversamente più parole chiave sulla stessa riga, più parole chiave di cui ciascuna su righe diverse e più parole chiave separate da virgola/punto/trattino/e altri segni di punteggiatura. Per ulteriori informazioni sull'uso delle parole chiave in righe diverse, vedere la Tabella 6-5. È possibile impostare MSA in modo che cerchi sinonimi delle parole chiave. TABELLA 6-5. Modalità di utilizzo delle parole chiave SITUAZIONE Due parole in una stessa riga ESEMPIO pistole bombe CORRISPONDENZA/MANCATA CORRISPONDENZA Corrispondenza: "Fare clic qui per acquistare pistole, bombe e altre armi." Due parole separate da una virgola pistole, bombe Mancata corrispondenza: "Fare clic qui per acquistare pistole e bombe." Corrispondenza: "Fare clic qui per acquistare pistole, bombe e altre armi." Mancata corrispondenza: "Fare clic qui per acquistare pistole usate, bombe nuove e altre armi." 6-28

145 Gestione di Messaging Security Agent TABELLA 6-5. Modalità di utilizzo delle parole chiave (segue) SITUAZIONE Più parole su righe multiple ESEMPIO pistole bombe armi e munizioni CORRISPONDENZA/MANCATA CORRISPONDENZA Se si seleziona Qualsiasi parola chiave specificata Corrispondenza: "Pistole in vendita" Altra corrispondenza: "Acquista pistole, bombe e altre armi." Se si seleziona Tutte le parole chiave specificate Più parole chiave sulla stessa riga pistole bombe armi munizioni Corrispondenza: "Acquista pistole bombe armi e munizioni" Mancata corrispondenza: "Acquista pistole bombe armi munizioni." Altra mancata corrispondenza: "Acquista pistole, bombe, armi e munizioni" Corrispondenza: "Acquista pistole bombe armi munizioni" Mancata corrispondenza: "Acquista munizioni per le tue pistole e armi e nuove bombe" 6-29

146 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Espressioni regolari Le espressioni regolari vengono utilizzate per effettuare la ricerca di stringhe. Consultare le seguenti tabelle per alcuni esempi di espressioni regolari. Per specificare un'espressione regolare, aggiungere un operatore ".REG." prima del modello. In Internet, sono disponibili diversi siti Web ed esercitazioni online. Uno di questi siti è PerlDoc, all'indirizzo: ATTENZIONE! Le espressioni regolari sono un potente strumento di ricerca delle stringhe. Per questo motivo, Trend Micro consiglia agli amministratori che decidono di utilizzarle di acquisire familiarità e dimestichezza con la sintassi delle espressioni regolari. Le espressioni regolari scritte con una sintassi errata possono avere un impatto decisamente negativo sulle prestazioni. Trend Micro suggerisce di cominciare con espressioni regolari semplici che non utilizzano una sintassi complessa. Quando si introducono dei nuovi criteri, utilizzare l'azione di archiviazione e osservare il modo in cui MSA gestisce i messaggi che utilizzano il criterio introdotto. Quando si è certi che il criterio non abbia conseguenze impreviste, è il momento di modificare l'azione. Consultare le seguenti tabelle per alcuni esempi di espressioni regolari. Per specificare un'espressione regolare, aggiungere un operatore ".REG." prima del modello. TABELLA 6-6. Contare e raggruppare ELEMENTO SIGNIFICATO ESEMPIO. Il punto rappresenta qualsiasi carattere salvo quello per passare a una nuova riga. * L'asterisco indica nessuna o varie occorrenze dell'elemento precedente. + Il più indica una o varie occorrenze dell'elemento precedente. do. rileva doc, dop, dos, ecc.; d.e rileva dove, dovere ecc. do* rileva d, do, doo, dooo, doooo ecc. do+ rileva do, doo, dooo, doooo ecc. ma non d 6-30

147 Gestione di Messaging Security Agent TABELLA 6-6. Contare e raggruppare (segue) ELEMENTO SIGNIFICATO ESEMPIO? Il punto interrogativo indica nessuna o una occorrenza dell'elemento precedente. ( ) Le parentesi permettono di considerare tutti i caratteri inclusi al loro interno come un'unica entità. [ ] Le parentesi quadre indicano un insieme o una serie di caratteri. [ ^ ] Il carattere accento circonflesso racchiuso tra parentesi quadre nega logicamente l'insieme o l'intervallo specificati; in tal modo la regex trova la corrispondenza tra qualsiasi carattere che non sia incluso nell'insieme o nell'intervallo. do?g rileva dg o dog ma non doog, dooog ecc. d(opo)+ rileva o dopoopo o dopoopoopo ecc. Il carattere + viene applicato alla sottostringa tra parentesi affinché la regex cerchi la d seguita da una o più occorrenze della stringa "opo". d[aeiouy]+ rileva da, de, di, do, du, dy, daa, dae, dai ecc. Il carattere + viene applicato all'insieme di caratteri tra parentesi quadre affinché la regex cerchi la d seguita da una o più occorrenze dei caratteri tra parentesi quadre [aeioy]. d[a-z] rileva da, db, dc, e così via fino a dz. L'insieme di caratteri tra parentesi quadre rappresenta la serie di tutte le lettere maiuscole comprese tra A e Z. d[^aeiouy] trova db, dc o dd, d9, d#--d seguiti da qualsiasi carattere singolo ad eccezione di una vocale. 6-31

148 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA 6-6. Contare e raggruppare (segue) ELEMENTO SIGNIFICATO ESEMPIO { } I caratteri parentesi graffa specificano un numero determinato di occorrenze dell'elemento precedente. Un singolo valore all'interno delle parentesi graffe significa che verrà individuato soltanto il numero di occorrenze specificato. Una coppia di numeri separati da una virgola rappresenta un insieme di occorrenze valide del carattere precedente. Una singola cifra seguita da una virgola significa che non esiste alcun limite superiore. da{3} trova daaa--d seguito da 3 occorrenze e non più di 3 di "a". da{2,4} trova daa, daaa, daaaa e daaaa (ma non daaaaa)--d seguiti da 2, 3 o 4 occorrenze di "a". da{4,} trova daaaa, daaaaa, daaaaaa ecc.--d seguiti da almeno 4 occorrenze di "a". TABELLA 6-7. Classi di caratteri (stenografia) ELEMENTO SIGNIFICATO ESEMPIO \d Qualsiasi carattere numerico; a livello di funzione, equivale a [0-9] o [[:digit:]]. \D Qualsiasi carattere non numerico; a livello di funzione, equivale a [^0-9] o [^[:digit:]]. \w Qualsiasi lettera, vale a dire qualsiasi carattere alfanumerico; a livello di funzione, equivale a [_A-Za-z0-9] o [_[:alnum:]]] \W Qualsiasi carattere non alfanumerico; a livello di funzione, equivale a [^_A-Za-z0-9] o [^_[:alnum:]]. \d trova 1, 12, 123 ecc. ma non 1b7--uno o più caratteri numerici. \D trova a, ab, ab& ma non 1--uno o più caratteri esclusi 0, 1, 2, 3, 4, 5, 6, 7, 8 o 9. \w trova a, ab, a1 ma non!&--una o più lettere maiuscole o minuscole o cifre ma non la punteggiatura o altri caratteri speciali. \W trova *, &, ma non ace o a1--uno o più caratteri eccetto lettere maiuscole o minuscole e cifre. 6-32

149 Gestione di Messaging Security Agent TABELLA 6-7. Classi di caratteri (stenografia) (segue) ELEMENTO SIGNIFICATO ESEMPIO \s Qualsiasi carattere spazio vuoto; spazio, nuova riga, tabulatore, spazio unificatore ecc.; a livello di funzione, equivale a [[:space]]. \S Uno spazio non vuoto; qualsiasi carattere diverso da uno spazio, da una nuova riga, da un carattere tabulatore, da uno spazio unificatore ecc.; a livello di funzione, equivale a [^[:space]]. fan\s trova "fan" seguito da un carattere spazio vuoto. Quindi la frase "Sono un fan della musica rock" avvia la regex, mentre "Siamo fans della musica rock" no. fan\s trova "fan" seguito da un carattere non spazio vuoto. Quindi la frase "Siamo fans della musica rock" avvia la regex, mentre "Sono un fan della musica rock" no. TABELLA 6-8. Classi di caratteri ELEMENTO SIGNIFICATO ESEMPIO [:alpha:] Qualsiasi carattere alfabetico.reg. [[:alpha:]] trova abc, def, xxx ma non 123 [:digit:] [:alnum:] [:space:] Qualsiasi cifra; a livello di funzione, equivale a \d Qualsiasi "lettera", vale a dire qualsiasi carattere alfanumerico; a livello di funzione, equivale a \w. Qualsiasi carattere spazio vuoto; spazio, nuova riga, carattere tabulatore, spazio unificatore ecc.; a livello di funzione, equivale a \s..reg. [[:digit:]] trova 1, 12, 123 ecc..reg. [[:alnum:]] trova abc, 123 ma non ~!@..REG. (fan)[[:space:]] trova "fan" seguito da un carattere spazio vuoto. Quindi la frase "Sono un fan della musica rock" avvia la regex, mentre "Siamo fans della musica rock" no. 6-33

150 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA 6-8. Classi di caratteri (segue) ELEMENTO SIGNIFICATO ESEMPIO [:graph:] [:print:] [:cntrl:] Qualsiasi carattere esclusi gli spazi, i caratteri di controllo e caratteri simili. Qualsiasi carattere (simile a [:graph:]) ma comprende il carattere spazio. Qualsiasi carattere di controllo (ad es. CTRL + C, CTRL + X).REG. [[:graph:]] trova 123, abc, xxx, ><", ma non lo spazio o i caratteri di controllo..reg. [[:print:]] trova 123, abc, xxx, ><" e i caratteri spazio..reg. [[:cntrl:]] trova 0x03, 0x08 ma non abc, 123,!@#. [:blank:] Caratteri spazio e tabulatore.reg. [[:blank:]] trova i caratteri spazio e tabulatore ma non 123, abc,!@# [:punct:] Caratteri punteggiatura..reg. [[:punct:]] trova ; :?! # $ % & * ' ", ecc., ma non 123, abc [:lower:] [:upper:] [:xdigit:] Qualsiasi carattere alfabetico minuscolo (Nota: selezionare l'opzione 'Attiva corrispondenza maiuscole/minuscole', altrimenti il funzionamento è identico a quello di [:alnum:]) Qualsiasi carattere alfabetico maiuscolo (Nota: selezionare l'opzione 'Attiva corrispondenza maiuscole/minuscole', altrimenti il funzionamento è identico a quello di [:alnum:]) Cifre consentite in un numero esadecimale (0-9a-fA-F)..REG. [[:lower:]] trova abc, Def, stress, Do, ecc. ma non ABC, DEF, STRESS, DO, 123,!@#..REG. [[:upper:]] trova ABC, DEF, STRESS, DO ecc. ma non abc, Def, Stress, Do, 123,!@#..REG. [[:xdigit:]] trova 0a, 7E, 0f ecc. 6-34

151 Gestione di Messaging Security Agent TABELLA 6-9. Ancoraggi di pattern ELEMENTO SIGNIFICATO ESEMPIO ^ Indica l'inizio di una stringa. ^(benché) trova qualsiasi blocco di testo che comincia con "benché". Quindi, la frase "benché io sia un fan della musica" avvia la regex mentre "Io sono un fan della musica benché" no. $ Indica la fine di una stringa. (benché)$ trova qualsiasi blocco di testo che finisce con "benché". Quindi, la frase "benché io sia un fan della musica" non avvia la regex mentre "Io sono un fan della musica benché" sì. TABELLA Sequenze di escape e stringhe letterali ELEMENTO SIGNIFICATO ESEMPIO \ Per trovare alcuni caratteri che hanno un significato particolare nelle espressioni regolari (ad esempio "+"). (1).REG. C\\C\+\+ trova 'C\C++'. (2).REG. \* trova *. (3).REG. \? trova?. \t Indica un carattere tabulatore. (pane)\t trova qualsiasi blocco di testo che contiene la sottostringa "pane" immediatamente seguita da un carattere tabulatore (ASCII 0x09). 6-35

152 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA Sequenze di escape e stringhe letterali (segue) ELEMENTO SIGNIFICATO ESEMPIO \n Indica il carattere della nuova riga. NOTA: piattaforme diverse hanno modi diversi di rappresentare il carattere di nuova riga. In Windows, una nuova riga è rappresentata da una coppia di caratteri, un ritorno a capo seguito da un salto di riga. In Unix e Linux, una nuova riga è semplicemente un salto di riga, e nei Macintosh una nuova riga è semplicemente un ritorno a capo. (pane)\n\n trova qualsiasi blocco di testo che contenga la sottostringa "pane" immediatamente seguita da due caratteri di nuova riga (ASCII 0x0A). \r Indica un carattere ritorno a capo. (pane)\r trova qualsiasi blocco di testo che contenga la sottostringa "pane" immediatamente seguita da un carattere ritorno a capo (ASCII 0x0D). \b Indica un carattere backspace. OPPURE Segnala limiti (pane)\b trova qualsiasi blocco di testo che contenga la sottostringa pane immediatamente seguita da un carattere backspace (ASCII 0x08). Un limite di parola (\b) è un punto tra due caratteri con \w da un lato e \W dall'altro (in qualsiasi ordine), ritenendo i caratteri immaginari all'inizio e alla fine della stringa corrispondenti a \W. (nelle classi di caratteri \b rappresenta il backspace piuttosto che un limite di parola). Ad esempio, la seguente espressione regolare può corrispondere al codice fiscale:.reg. \b\d{3}-\d{2}-\d{4}\b 6-36

153 Gestione di Messaging Security Agent TABELLA Sequenze di escape e stringhe letterali (segue) ELEMENTO SIGNIFICATO ESEMPIO \xhh Indica un carattere ASCII con un determinato codice esadecimale (dove hh rappresenta un valore esadecimale a due cifre). \x7e(\w){6} trova qualsiasi blocco di testo contenente una "parola" composta esattamente da sei caratteri alfanumerici preceduti da un carattere ~ (tilde). Quindi, vengono trovate le parole '~ab12cd', '~Pa3499' ma non la parola '~oops'. Uso di sintassi con espressioni complesse Una parola chiave è composta da token, cioè le più piccole unità utilizzate per individuare corrispondenze tra l'espressione e il contenuto. Un token può essere un operatore, un simbolo logico o l'operando, vale a dire l'argomento o il valore su cui agisce l'operatore. Gli operatori includono.and.,.or.,.not.,.near.,.occur.,.wild., ".(." e ".)." L'operando e l'operatore devono essere separati da uno spazio. Un operando può contenere vari token. Per ulteriori informazioni, consultare Parole chiave a pagina Esempio di espressione regolare L'esempio seguente descrive il funzionamento del filtro del contenuto delle tessere sanitarie, uno dei filtri predefiniti. [Formato].REG. \b\d{3}-\d{2}-\d{4}\b L'espressione precedente utilizza \b, un carattere backspace, seguito da \d, qualsiasi cifra, e da {x}, che indica il numero di cifre, e infine da -, il trattino. Queste espressioni trovano il numero delle tessere sanitarie. La tabella seguente descrive le stringhe che trovano l'espressione regolare esemplificativa: 6-37

154 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA Numeri che corrispondono all'espressione regolare per le tessere sanitarie.reg. \b\d{3}-\d{2}-\d{4}\b Corrisponde Non corrisponde Non corrisponde Non corrisponde Non corrisponde Se si modifica l'espressione come segue, [Formato].REG. \b\d{3}\x20\d{2}\x20\d{4}\b la nuova espressione trova questa sequenza:

155 Gestione di Messaging Security Agent Visualizzazione delle regole di filtro dei contenuti Percorso di navigazione: Impostazioni di sicurezza > Messaging Security Agent > Configura > Filtro dei contenuti Le regole dei filtri di Messaging Security Agent (MSA) sono visualizzate nella schermata Filtro dei contenuti. FIGURA 6-4. Schermata Filtro dei contenuti In questa schermata sono visualizzate informazioni riassuntive riguardanti le regole, fra cui: Regola Operazione: MSA esegue questa operazione quando individua del contenuto sconveniente. Priorità: MSA applica a turno ogni filtro in base all'ordine mostrato in questa pagina. Attivato: indica una regola attivata e indica una regola disattivata. 6-39

156 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Da qui, gli amministratori possono: Attivare/Disattivare le regole di filtro dei contenuti: selezionare Attiva filtro dei contenuti in tempo reale e fare clic su Salva. In questo modo si attivano o si disattivano tutte le regole. Per attivare o disattivare una singola regola, fare clic su o per nascondere/visualizzare lo stato della regola. Aggiungi/Modifica regole: fare riferimento a Aggiunta/Modifica delle regole di filtro dei contenuti a pagina Riordina regole: fare riferimento a Riordinamento delle regole a pagina Rimuovi regole: selezionare le regole da eliminare e fare clic su Rimuovi. Ripristina regole predefinite: vengono rimosse tutte le regole correnti e ripristinate quelle predefinite. Fare clic su Ripristina impostazioni predefinite. Aggiunta/Modifica delle regole di filtro dei contenuti Per creare una regola di filtro del contenuto, si effettua una procedura di più passaggi. Dopo avere creato la regola Messaging Security Agent (MSA) inizia a filtrare tutti i messaggi in entrata e in uscita in base alla regola. È possibile creare regole per eseguire le seguenti funzioni: Filtra messaggi che soddisfano qualsiasi condizione definita: questo tipo di regola è in grado di filtrare il contenuto da qualsiasi messaggio durante una scansione. Filtra messaggi che soddisfano tutte le condizioni definite: questo tipo di regola è in grado di filtrare il contenuto da qualsiasi messaggio durante una scansione. Monitora il contenuto dei messaggi di particolari account questo tipo di regola monitora il contenuto dei messaggi di particolari account . Le regole di monitoraggio sono simili a una regola generale di filtro dei contenuto, ad eccezione del fatto che filtrano il contenuto proveniente solo da determinati account . Creare eccezioni per particolari account . Questo tipo di regola crea un'eccezione per determinati account . Se viene creata un'eccezione per un account, l'account non viene sottoposto al filtraggio per l'individuazione di violazioni delle regole dei contenuti. 6-40

157 Gestione di Messaging Security Agent Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Filtro dei contenuti > Aggiungi/Modifica regola Per creare/modificare una regola: 1. Nella schermata Filtro dei contenuti fare clic su Aggiungi. Per modificare una regola, fare clic sul nome della regola. 2. Selezionare il tipo di regola e fare clic su Avanti. 3. Per filtrare i messaggi che soddisfano qualsiasi condizione definita: a. Assegnare un nome alla regola. b. Impostare le condizioni della scansione. c. Aggiungere le parole chiave. Includere sinonimi e/o criteri su maiuscolo/minuscolo. d. Configurare l'operazione da eseguire sul messaggio che risponde ai criteri, impostare a quali utenti inviare la notifica, archiviare il messaggio e/o impostare il testo o la stringa sostitutivi. 4. Per filtrare i messaggi che soddisfano tutte le condizioni definite: a. Assegnare un nome alla regola. b. Impostare le condizioni della scansione. c. Configurare l'operazione da eseguire sul messaggio che risponde ai criteri, impostare a quali utenti inviare la notifica, archiviare il messaggio e/o impostare il testo o la stringa sostitutivi. 5. Per monitorare il contenuto dei messaggi di particolari account a. Assegnare un nome alla regola. b. Impostare gli account da monitorare. c. Impostare le condizioni della scansione. d. Aggiungere le parole chiave. Includere sinonimi e/o criteri su maiuscolo/minuscolo. e. Configurare l'operazione da eseguire sul messaggio che risponde ai criteri, impostare a quali utenti inviare la notifica, archiviare il messaggio e/o impostare il testo o la stringa sostitutivi. 6-41

158 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 6. Per creare un elenco eccezioni per gli account a. Assegnare un nome alla regola. b. Impostare gli account da escludere. Nota: Messaging Security Agent non applica agli account di questo elenco le regole dei contenuti con una priorità inferiore a quella di questa regola. 7. Fare clic su Fine. Riordinamento delle regole MSA applica le regole di filtro del contenuto ai messaggi seguendo l'ordine della schermata di filtro del contenuto. L'ordine con cui le regole vengono applicate viene configurato dall'utente. MSA filtra tutti i messaggi in base alle regole finché una violazione non attiva un'azione che interrompe la scansione (ad esempio elimina o metti in quarantena). È possibile modificare l'ordine delle regole per ottimizzare il filtro dei contenuti. Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Filtro dei contenuti> Per modificare l'ordine delle regole di filtro del contenuto: 1. Nella schermata di Filtro dei contenuti, selezionare la casella di controllo che corrisponde alla regola di cui si vuole cambiare l'ordine. 2. Fare clic su Riordina. Viene visualizzata una casella intorno al numero d'ordine della regola. 3. Immettere nella casella un nuovo numero. Il numero d'ordine della regola viene modificato con il numero immesso e tutti gli altri numeri cambiano di conseguenza. Se si seleziona la regola numero 5 e la si cambia in regola numero 3, i numeri 1 e 2 rimangono invariati, mentre il numero 3 e i successivi aumentano di un'unità. 6-42

159 Gestione di Messaging Security Agent Blocco allegati Il Blocco allegati impedisce che gli allegati presenti nei messaggi vengano consegnati all'archivio di informazioni Microsoft Exchange. Configurare Messaging Security Agent in modo da bloccare gli allegati a seconda del tipo di allegato o del nome di allegato e quindi sostituire, mettere in quarantena o eliminare tutti i messaggi contenenti allegati corrispondenti ai criteri. Il blocco può verificarsi durante una scansione in tempo reale, manuale e pianificata, ma le operazioni di eliminazione e messa in quarantena non sono disponibili durante le scansioni manuali e pianificate. L'estensione di un allegato identifica il tipo di file, ad esempio.txt,.exe o.dll. Tuttavia, Messaging Security Agent esamina l'intestazione del file piuttosto che il nome per accertarsi del tipo di file effettivo. Spesso virus/minacce informatiche sono associati a determinati tipi di file. Configurando Messaging Security Agent affinché blocchi i file in base al tipo, è possibile ridurre il rischio per la sicurezza dei server Microsoft Exchange. In maniera analoga, attacchi specifici sono spesso associati a un determinato nome file. Suggerimento: il blocco è un ottimo metodo per controllare il diffondersi delle infezioni virali. È possibile mettere temporaneamente in quarantena tutti i tipi di file ad alto rischio o quelli il cui nome è associato a virus/minacce informatiche noti. In seguito, quando si è disponibili, esaminare con calma la cartella di quarantena e intervenire contro i file infetti. Selezione delle destinazioni del blocco È possibile bloccare gli allegati utilizzando una delle due strategie descritte di seguito. Bloccare tutti gli allegati e quindi escludere gli allegati specificati, oppure specificare tutti gli allegati da bloccare. Tutti gli allegati: Messaging Security Agent è in grado di bloccare tutti i messaggi contenenti allegati. Tuttavia, questo tipo di scansione richiede una notevole elaborazione. Perfezionare questo tipo di scansione selezionando i tipi di allegati o i nomi da escludere. 6-43

160 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Allegati specificati: quando si seleziona questo tipo di scansione, Messaging Security Agent esegue la scansione soltanto dei messaggi contenenti gli allegati identificati. Questo tipo di scansione può essere molto esclusiva ed è l'ideale per rilevare messaggi contenenti allegati sospetti che potrebbero contenere minacce. L'esecuzione di questa scansione è molto rapida quando si specifica una quantità relativamente ridotta di nomi o tipi di allegati. È possibile bloccare gli allegati in base a: Nomi degli allegati: per impostazione predefinita, Messaging Security Agent esamina l'intestazione del file piuttosto che il nome per accertarsi del tipo di file effettivo. Quando si imposta Blocco allegati in modo da ricercare nomi specifici, Messaging Security Agent rileva i tipi di allegato in base al loro nome. Tipo di allegato: Messaging Security Agent esamina l'intestazione del file piuttosto che il nome per accertarsi del tipo di file effettivo. Azioni di blocco degli allegati È possibile configurare Messaging Security Agent in modo da intervenire contro i messaggi contenenti le minacce rilevate. La seguente tabella mostra le operazioni eseguite da Messaging Security Agent. TABELLA Azione Sostituisci con testo/file Azioni di blocco degli allegati Descrizione Messaging Security Agent elimina l'allegato e lo sostituisce con un file di testo. Il messaggio viene consegnato al destinatario, ma il testo sostitutivo comunica che il contenuto originale era infetto ed è stato sostituito. Metti in quarantena intero messaggio Parte del messaggio in quarantena Elimina intero messaggio Sposta il messaggio che contiene l'allegato in una cartella ad accesso limitato. Questa azione non è disponibile per le scansioni manuali e pianificate. Sposta nella cartella della quarantena solo il contenuto filtrato e il destinatario riceve il messaggio privo di tale contenuto. Durante la scansione in tempo reale, Messaging Security Agent elimina l'intero messaggio

161 Gestione di Messaging Security Agent Configurazione del blocco degli allegati Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Blocco allegati Consente di configurare gli allegati da bloccare e di specificare quale azione va loro applicata. FIGURA 6-5. Schermata Blocco allegati Per bloccare gli allegati: 1. Nella scheda Destinazione della schermata Blocco allegati, aggiornare i seguenti campi in base alle necessità: Tutti gli allegati Tipi di allegati da escludere Nomi di allegati da escludere Allegati specificati Tipi di allegati Nomi degli allegati Blocca tipi o nomi di allegati all'interno di file.zip 6-45

162 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 2. Dalla scheda Operazione, aggiornare i seguenti campi secondo le esigenze: Selezionare un'operazione: per informazioni, consultare Tabella 6-12 a pagina Notifiche: configurare a chi deve essere notificata la restrizione. Se necessario, escludere destinatari o mittenti esterni. Impostazioni di sostituzione: configurare il testo e il file del testo sostitutivo. Se l'azione consiste nel sostituire con testo/file, WFBS sostituisce la minaccia con questa stringa di testo e questo file. 3. Fare clic su Salva. Monitoraggio in tempo reale Percorso di navigazione: Impostazioni di sicurezza > Seleziona un Messaging Security Agent > Configura > Monitoraggio in tempo reale Monitoraggio in tempo reale visualizza informazioni in tempo reale sul server Exchange selezionato e sul relativo Messaging Security Agent (MSA). Vengono visualizzate informazioni sui messaggi analizzati e sulle statistiche di protezione, compreso il numero di virus e di messaggi spam rilevati, di allegati bloccati e di violazioni dei contenuti. Il campo Messaging Security Agent è in esecuzione da permette di verificare il corretto funzionamento di MSA. Per cancellare le informazioni obsolete e iniziare a raccogliere informazioni aggiornate in tempo reale Fare clic su Reimposta per azzerare le statistiche della protezione. Fare clic su Cancella contenuto per cancellare le informazioni obsolete sui messaggi sottoposti a scansione. Per accedere al Monitoraggio in tempo reale: 1. Fare clic su Impostazioni di sicurezza. 2. Selezionare un computer su cui è installato Exchange Server. 3. Fare clic su Configura. 4. Fare clic sul collegamento Monitoraggio in tempo reale nella parte superiore destra dello schermo. 6-46

163 Gestione di Messaging Security Agent Messaging Agent Quarantine Quando Messaging Security Agent rileva una minaccia, spam, allegati con limitazioni e/o contenuti con limitazioni in messaggi , l'agente è in grado di spostare il messaggio in una cartella di quarantena. Questo processo rappresenta un'alternativa all'eliminazione del messaggio o dell'allegato e impedisce agli utenti di aprire il messaggio infetto e di diffondere la minaccia. La cartella di quarantena predefinita nel Message Security Agent è: C:\Programmi\Trend Micro\Messaging Security Client\ storage\quarantine Per aumentare la sicurezza, i file in quarantena vengono crittografati. Per aprire un file crittografato, utilizzare lo strumento Restore Encrypted Virus (VSEncode.exe). Per ulteriori informazioni sul ripristino dei file codificati da MSA, vedere Restore Encrypted Virus a pagina E-12. Gli amministratori hanno la possibilità di consultare il database di quarantena per raccogliere informazioni sui messaggi messi in quarantena. Utilizzare la cartella di Quarantena per: Ovviare alla probabilità di eliminazione permanente di messaggi importanti, qualora venissero erroneamente individuati da filtri aggressivi. Rivedere i messaggi che avviano i filtri di contenuto per determinare la gravità dell'infrazione dei criteri. Conservare le prove del possibile abuso da parte di un dipendente del sistema di messaggistica aziendale. Nota: non confondere la cartella di quarantena con la cartella di spam utente finale. La cartella di quarantena è una cartella basata su file. Tutte le volte che Messaging Security Agent mette in quarantena un messaggio , lo invia alla cartella di quarantena. La cartella di spam utente finale si trova nell'archivio informazioni della casella di posta di ciascun utente. La cartella di spam utente finale riceve soltanto i messaggi risultanti da un'operazione di quarantena anti-spam a una cartella di spam dell'utente e non quelli provenienti da operazioni di quarantena conseguenti a filtro dei contenuti, criteri antivirus/anti-spyware o criteri di blocco degli allegati. 6-47

164 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Directory di quarantena Messaging Security Agent mette in quarantena i messaggi in base alle operazioni configurate. È possibile creare una cartella di quarantena per ciascuna azione. WFBS dispone di quattro directory di quarantena, illustrate di seguito. Antivirus: mette in quarantena i messaggi che contengono virus/minacce informatiche, spyware/grayware, worm, cavalli di Troia e altre minacce dannose. Anti-spam: mette in quarantena messaggi di spam e di phishing. Blocco allegati: mette in quarantena i messaggi contenenti allegati con limitazioni. Filtro dei contenuti: mette in quarantena i messaggi contenenti contenuti con limitazioni. Configurazione delle directory di quarantena Consente di configurare le directory di quarantena nel server Microsoft Exchange. La directory di quarantena verrà esclusa dalla scansione. Nota: le directory di quarantena sono basate su file e non risiedono nell'archivio informazioni. 6-48

165 Gestione di Messaging Security Agent Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Quarantena > Directory FIGURA 6-6. Schermata Directory di quarantena Per impostare la Directory di quarantena 1. Nella schermata Directory di quarantena, impostare il percorso della directory per le seguenti cartelle di quarantena: Antivirus Anti-spam Filtro dei contenuti Blocco allegati Per ulteriori informazioni, consultare Directory di quarantena a pagina Fare clic su Salva. 6-49

166 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Consultazione delle directory di quarantena Per visualizzare le informazioni sui messaggi messi in quarantena, effettuare le query nelle directory di quarantena. Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Quarantena > Query FIGURA 6-7. Schermata Query quarantena 6-50

167 Gestione di Messaging Security Agent Per eseguire le query nelle directory di quarantena: 1. Nella schermata Query quarantena aggiornare i seguenti campi secondo le esigenze: Intervallo data/ora Da Data e ora A Data e ora Motivi della quarantena Tutti i motivi Tipi specificati: selezionare Scansione antivirus, Anti-spam, Filtro dei contenuti, Blocco allegati e/o Parti non analizzabili dei messaggi. Stato del reinvio Mai reinviato Reinviato almeno una volta Entrambe le precedenti Criteri avanzati Mittente: messaggi provenienti da mittenti specifici. Se necessario, utilizzare i caratteri jolly. Destinatario: messaggi da destinatari specifici. Se necessario, utilizzare i caratteri jolly. Oggetto: messaggi con oggetti specifici. Se necessario, utilizzare i caratteri jolly. Ordina per: configurare la condizione di ordinamento della pagina dei risultati. Schermo: numero di risultati per pagina. 2. Fare clic su Cerca. Per ulteriori informazioni, consultare Messaggi in quarantena a pagina

168 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Messaggi in quarantena Dopo avere eseguito una query, visualizzare i dettagli del messaggio e determinarne la sicurezza. Se si ritiene che un messaggio sia sicuro, inviarlo di nuovo ai destinatari originali. In caso contrario, eliminarlo. Per eseguire una query, vedere Consultazione delle directory di quarantena a pagina ATTENZIONE! La cartella di quarantena contiene i messaggi che presentano un rischio elevato di infezione. È importante prestare molta attenzione quando si maneggiano i messaggi della cartella di quarantena, per evitare di infettare accidentalmente il client. FIGURA 6-8. Schermata dei risultati Query quarantena La schermata dei risultati Query quarantena visualizza le seguenti informazioni sui messaggi: Ora della scansione Mittente Destinatario Oggetto Motivo: il motivo per cui il messaggio è stato messo in quarantena. Nome file: il nome del file allegato al messaggio che è stato bloccato. 6-52

169 Gestione di Messaging Security Agent Percorso di quarantena: il percorso della cartella di quarantena del messaggio . Gli amministratori sono in grado di decodificare il file con VSEncoder.exe (Restore Encrypted Virus a pagina E-12) e di rinominarlo con l'estensione.eml per poterlo visualizzare. ATTENZIONE! Visualizzare file infetti può diffondere l'infezione. Stato del reinvio Per reinviare un messaggio in quarantena: Nella schermata dei risultati Query quarantena, selezionare il messaggio e fare clic su. Il messaggio viene reinviato ai destinatari originali. Nota: se un messaggio messo in quarantena inviato originariamente utilizzando Microsoft Outlook viene nuovamente inviato, il destinatario potrebbe ricevere diverse copie dello stesso messaggio. Questo accade perché il motore di scansione antivirus suddivide ogni messaggio analizzato in varie sezioni. Gestione delle directory di quarantena Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Quarantena > Manutenzione Utilizzare questa funzione per eliminare manualmente o automaticamente i messaggi messi in quarantena. Questa funzione consente di eliminare tutti i messaggi, i messaggi che sono stati reinviati e i messaggi che non sono stati reinviati. 6-53

170 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore FIGURA 6-9. Schermata Manutenzione della quarantena Per mantenere le directory di quarantena: 1. Nella schermata Manutenzione della quarantena aggiornare i seguenti campi secondo le esigenze: Attiva manutenzione automatica: disponibile solo per la manutenzione automatica. File da eliminare Tutti i file in quarantena I file in quarantena che non sono mai stati reinviati. I file in quarantena che sono stati reinviati almeno una volta. Operazione: il numero di giorni per cui si desidera conservare i messaggi. Ad esempio, se la data è 21 novembre e nel campo Elimina i file selezionati più vecchi di è stato immesso il valore 10, Messaging Security Agent elimina tutti i file con data precedente all'11 novembre quando esegue l'eliminazione automatica. 2. Fare clic su Salva. 6-54

171 Gestione di Messaging Security Agent Gestione dello strumento End User Quarantine Durante l'installazione, Messaging Security Agent aggiunge una cartella, Posta indesiderata, alla casella di posta lato server di ciascun utente finale. Quando riceve messaggi indesiderati, il sistema li mette in quarantena nella cartella in base alle regole del filtro anti-spam definite da Messaging Security Agent. Gli utenti finali hanno la possibilità di visualizzare questa cartella per aprire, leggere o eliminare i messaggi sospetti. Vedere Manutenzione spam a pagina Gli utenti finali possono aprire i messaggi messi in quarantena nella cartella dello spam. Quando si apre uno di questi messaggi, nel messaggio vengono visualizzati due pulsanti: Mittente approvato e Visualizza elenco mittenti approvati. Quando si fa clic su Mittente approvato, Messaging Security Agent sposta il messaggio nella cartella della posta in arrivo e aggiunge l'indirizzo del messaggio all'elenco personale dei mittenti approvati. Se si fa clic su Visualizza elenco mittenti approvati, viene aperta un'altra schermata che consente agli utenti finali di visualizzare e modificare il loro elenco di mittenti approvati per indirizzo SMTP o dominio. Quando il server Microsoft Exchange riceve messaggi dagli indirizzi inseriti nell'elenco mittenti approvati dell'utente finale, li smista nella casella della posta in arrivo dell'utente finale, a prescindere dall'intestazione o dal contenuto del messaggio. Nota: WFBS fornisce anche agli amministratori elenchi di mittenti approvati e bloccati. Prima di prendere in considerazione l'elenco degli utenti finali, Messaging Security Agent applica quello dell'amministratore. Funzione di manutenzione di End User Quarantine La funzione di manutenzione di Messaging Security Agent esegue le seguenti operazioni programmate ogni 24 ore all'orario predefinito (2:30): Eliminazione automatica dei messaggi di spam scaduti Ricreazione della cartella di spam dopo l'avvenuta eliminazione Creazione delle cartelle di spam per account appena creati Gestione delle regole dei messaggi La funzione di manutenzione è parte integrante di Messaging Security Agent e non richiede alcuna configurazione. 6-55

172 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Operazioni Durante l'installazione, Messaging Security Agent aggiunge una cartella, Posta indesiderata, alla casella di posta lato server di ciascun utente finale. Quando riceve messaggi indesiderati, il sistema li mette in quarantena nella cartella in base alle regole del filtro anti-spam definite da Messaging Security Agent. Gli utenti finali hanno la possibilità di visualizzare questa cartella per aprire, leggere o eliminare i messaggi sospetti. In alternativa, gli amministratori possono creare la cartella "Posta indesiderata" su Microsoft Exchange. Quando l'amministratore crea un account di casella di posta, l'entità della casella di posta non viene creata immediatamente nel server Microsoft Exchange, ma verrà creata nei seguenti casi: Un utente finale accede alla casella di posta per la prima volta Il primo messaggio arriva nella casella di posta Prima che la Quarantena utente finale possa creare una cartella Posta indesiderata, è necessario che l'amministratore crei l'entità della casella di posta. Gli utenti finali possono aprire i messaggi messi in quarantena nella cartella dello spam. Quando si apre uno di questi messaggi, nel messaggio vengono visualizzati due pulsanti: Approva mittente e Visualizza elenco mittenti approvati. Se si fa clic su Mittente approvato, Messaging Security Agent sposta il messaggio dalla cartella di spam alla casella di posta di arrivo in locale, aggiunge l'indirizzo del messaggio all'elenco dei mittenti approvati e registra l'evento (l'amministratore può visualizzare un rapporto del registro in un secondo momento). Se si fa clic su Visualizza elenco mittenti approvati, viene aperta un'altra schermata che consente agli utenti finali di visualizzare e modificare il loro elenco di mittenti approvati per nome, indirizzo SMTP o dominio. Quando il server Microsoft Exchange riceve messaggi dagli indirizzi inseriti nell'elenco mittenti approvati dell'utente finale, li smista nella casella della posta in arrivo dell'utente finale, a prescindere dall'intestazione o dal contenuto del messaggio. 6-56

173 Gestione di Messaging Security Agent Impostazioni di notifica Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Operazioni > Impostazioni di notifica WFBS invia notifiche sotto forma di messaggi a vari avvisi. È possibile configurare alcune notifiche affinché si applichino solo ai messaggi interni. Definire gli indirizzi o i domini da considerare come indirizzi interni. Le definizioni personalizzate della posta interna sono utili se l'azienda dispone di almeno due domini e si desidera che i messaggi derivanti dai due domini siano considerati come posta interna. Ad esempio: esempio.com e esempio.net. I destinatari riportati nell'elenco Definizioni posta interna riceveranno i messaggi di notifica quando si seleziona la casella di controllo Non notificare a destinatari esterni in Impostazioni di notifica per Antivirus, Filtro dei contenuti e Blocco allegati. Attenzione a non confondere l'elenco Definizione posta interna con l'elenco Mittenti approvati. Per evitare che tutti i messaggi provenienti da indirizzi con domini esterni siano etichettati come spam, aggiungere gli indirizzi esterni agli elenchi Mittenti approvati per Anti-spam. 6-57

174 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore FIGURA Schermata Impostazioni di notifica Per configurare le impostazioni di notifica: 1. Nella schermata Impostazioni di notifica, aggiornare i seguenti campi secondo le esigenze: Indirizzo l'indirizzo per conto del quale WFBS invia i messaggi di notifica. Definizione posta interna Predefinita: WFBS considera i messaggi provenienti dallo stesso dominio come posta interna. Personalizzata: specificare singoli indirizzi o domini da trattare come messaggi interni. 2. Fare clic su Salva. 6-58

175 Gestione di Messaging Security Agent Manutenzione spam Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Operazioni > Manutenzione spam FIGURA Schermata Manutenzione spam Per gestire lo spam: 1. Nella schermata Manutenzione spam aggiornare i seguenti campi secondo le esigenze: Attiva strumento End User Quarantine: crea uno strumento End User Quarantine per tutte le caselle di posta presenti sul server Exchange. 6-59

176 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Suggerimento: se si seleziona questa opzione, Trend Micro consiglia di disattivare la barra degli strumenti Trend Micro Anti-Spam degli agenti per migliorare le prestazioni dei client. Fare riferimento a Gestione di POP3 Mail Scan a pagina Nota: è necessario attivare lo strumento EUQ, affinché l'azione Anti-spam > Inserisci in quarantena il messaggio nella cartella di spam utente funzioni. Crea cartella di spam ed elimina i messaggi di spamming: crea una nuova cartella di spam per ogni nuovo utente che viene aggiunto al server Exchange una volta installato lo strumento End User Quarantine. Se si fa clic su Crea cartella di spam ed elimina i messaggi di spam, viene immediatamente creata la cartella di spam per il nuovo utente. Elimina i messaggi di spamming più vecchi di: specificare il numero di giorni per conservare i messaggi di spam prima di eliminare i messaggi. Elenco eccezioni dello strumento End User Quarantine: per gli indirizzi contenuti in questo elenco non è attivato lo strumento End User Quarantine. Per aggiungere un nuovo indirizzo , digitare l'indirizzo e fare clic su Aggiungi. Per eliminare un indirizzo esistente, selezionare l'indirizzo e fare clic su Elimina. 2. Fare clic su Salva. Assistenza Trend Micro/Programma di debug Il programma di debug di Messaging Security Agent può risultare utile per la ricerca degli errori o per fornire informazioni sullo stato dei processi di Messaging Security Agent. Se si riscontrano difficoltà impreviste, è possibile utilizzare il programma di debug per creare dei report da inviare all'assistenza tecnica di Trend Micro per ulteriori analisi. 6-60

177 Gestione di Messaging Security Agent Ciascun modulo di Messaging Security inserisce messaggi nel programma, quindi registra l'azione nei file di registro al momento dell'esecuzione. È possibile inoltrare i registri allo staff tecnico di Trend Micro per facilitare le operazioni di debug del flusso effettivo del programma nell'ambiente in uso. È inoltre possibile utilizzare il programma di debug per generare registri nei seguenti moduli: Servizio principale Messaging Security Agent Server di configurazione remota di Messaging Security Agent System Watcher di Messaging Security Agent Virus Scan API (VSAPI) SMTP (Simple Mail Transport Protocol) CGI (Common Gateway Interface) Per impostazione predefinita, Messaging Security Agent conserva i registri nella seguente directory: c:\programmi\trend Micro\Messaging Security Agent\Debug Visualizzare il risultato con un qualsiasi editor di testo. 6-61

178 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Generazione di rapporti del programma di debug di sistema Percorso di navigazione: Impostazioni di sicurezza > Selezionare un Messaging Security Agent > Configura > Operazioni > Assistenza Trend Micro/Programma di debug Generare rapporti del programma di debug per aiutare l'assistenza Trend Micro a risolvere i problemi. Per generare rapporti mediante il programma di debug: FIGURA Assistenza Trend Micro/Programma di debug di sistema 1. Nella schermata Assistenza Trend Micro/Programma di debug di sistema, selezionare i moduli da monitorare: Servizio principale Messaging Security Agent Server di configurazione remota di Messaging Security Agent System Watcher di Messaging Security Agent Virus Scan API (VSAPI) SMTP (Simple Mail Transport Protocol) CGI (Common Gateway Interface) 6-62

179 Gestione di Messaging Security Agent 2. Fare clic su Applica. Il programma di debug inizia a raccogliere i dati circa i moduli selezionati. Nota: il programma di debug di Messaging Security Agent continua la raccolta dei dati di debug fino a che non si cancellano tutte le voci contrassegnate per il debug e si fa clic su Applica. Aggiunta di server Microsoft Exchange alla struttura dei gruppi di protezione Quando si aggiunge un server Microsoft Exchange, Security Server implementa Messaging Security Agent sul server Microsoft Exchange e aggiunge la relativa icona alla struttura dei gruppi di protezione. Il server Microsoft Exchange client viene aggiunto all'elenco dei computer nella schermata Impostazioni di sicurezza. Una volta installato Messaging Security Agent sul client, questo inizia a inviare informazioni sulla sicurezza a Security Server. Security Server mette a disposizione una procedura guidata passo passo che facilita l'aggiunta, l'installazione o l'aggiornamento di Messaging Security Agent su un server Microsoft Exchange. Per aggiungere un desktop o un server Microsoft Exchange: 1. Aprire la schermata Impostazioni di sicurezza. 2. Fare clic su Aggiungi. Si apre la schermata Impostazioni di sicurezza > Aggiungi computer. 3. Selezionare Server Exchange. La schermata visualizza Nome server, Account e Password. Digitare qui le informazioni. L'account deve essere un account Amministratore dominio. 4. Fare clic su Avanti. La procedura guidata di installazione visualizza una schermata diversa a seconda del tipo di installazione necessario. Installazione da zero: installazione di un server Microsoft Exchange in assenza di precedenti versioni di Messaging Security. Aggiorna: installazione di un server Microsoft Exchange in presenza di una precedente versione di Messaging Security (chiamato anche ScanMail). 6-63

180 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Nessuna installazione richiesta: aggiungere un server Microsoft Exchange nella cui struttura dei gruppi di protezione è già installato Messaging Security. Non valida: un messaggio avverte l'utente che si sono verificati problemi durante l'installazione. Rimozione dei server Microsoft Exchange dalla console Web La funzione Rimuovi può essere utilizzata per raggiungere i seguenti obiettivi: Rimuovere l'icona del server Microsoft Exchange dalla console Web In determinate situazioni, un server Microsoft Exchange potrebbe venire disattivato. In tali situazioni, potrebbe rendersi necessario eliminare l'icona del server Microsoft Exchange dalla console Web. Disinstallare Messaging Security Agent dal server Microsoft Exchange (e quindi rimuovere l'icona del server Microsoft Exchange dalla console Web). Fintanto che sul server Microsoft Exchange è installato Messaging Security Agent, quest'ultimo può attivarsi e venire visualizzato sulla console Web. Per rimuovere il server Microsoft Exchange inattivo in modo definitivo, è necessario prima disinstallare Messaging Security Agent. Nota: se alla rete sono collegati dei server Microsoft Exchange 5.5 con ScanMail 3.82, non è possibile disinstallarli dalla console Web. È possibile rimuovere un server Microsoft Exchange singolo o un gruppo di server dalla console Web. ATTENZIONE! Se si rimuove Messaging Security Agent da un computer, il server Microsoft Exchange potrebbe essere colpito da virus e altre minacce informatiche. 6-64

181 Gestione di Messaging Security Agent Per rimuovere un server Microsoft Exchange: 1. Fare clic sul server Microsoft Exchange o sul gruppo che si desidera rimuovere dalla console Web. 2. Fare clic su Rimuovi nella barra degli strumenti. a. Selezionare Rimuovi per rimuovere l'icona del client dalla console Web. b. Selezionare Disinstalla per rimuovere Messaging Security Agent dal server Microsoft Exchange selezionato e le icone dei computer dalla console Web. i. Se necessario, immettere il nome account e la password relativi al server Microsoft Exchange che si desidera rimuovere. ii. Fare clic su OK nel messaggio di avviso visualizzato per completare la disinstallazione. 3. Fare clic su Avanti. 4. Confermare l'operazione facendo clic su Applica. Nota: se si è ancora client registrati per il gruppo, non è possibile disinstallarlo. Rimuovere o disinstallare gli agenti prima di rimuovere il gruppo. 6-65

182 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Replica delle impostazioni dei server Microsoft Exchange Per risparmiare tempo e garantire l'omogeneità delle impostazioni di protezione, è possibile replicare le impostazioni da un server Microsoft Exchange all'altro. Per replicare le impostazioni: 1. Dalla schermata Impostazioni di sicurezza, scegliere il server Microsoft Exchange del quale si intendono replicare le impostazioni. 2. Fare clic su Replica. Si apre la schermata Impostazioni di sicurezza > Replica che visualizza l'origine selezionata nella schermata precedente. 3. Selezionare il server o il gruppo di server Microsoft Exchange di destinazione in cui si desidera replicare le impostazioni. 4. Fare clic su Applica. Nota: è possibile replicare le impostazioni soltanto da un server Microsoft Exchange di origine a un server Microsoft Exchange di destinazione appartenenti allo stesso dominio. 6-66

183 Gestione di Messaging Security Agent Aggiunta di una declinazione di responsabilità ai messaggi in uscita È possibile aggiungere un messaggio di declinazione di responsabilità solo ai messaggi in uscita. Per aggiungere una declinazione di responsabilità a ogni messaggio in uscita: 1. Creare un file di testo e aggiungere il testo della declinazione di responsabilità a questo file. 2. Modificare le seguenti chiavi nel registro: Prima chiave: Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Chiave: EnableDisclaimer Tipo: REG_DWORD Valore dati: 0 - disattiva, 1 - attiva Seconda chiave: Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Chiave: DisclaimerSource Tipo: REG_SZ Valore: il percorso completo del file contenente la declinazione di responsabilità. Ad esempio, C:\Data\Disclaimer.txt Nota: per impostazione predefinita, WFBS rileva se un messaggio di posta in uscita viene inviato a un dominio interno o esterno e aggiunge una declinazione di responsabilità a ogni messaggio inviato a domini esterni. L'utente può sovrascrivere l'impostazione predefinita e aggiungere una declinazione di responsabilità a ogni messaggio in uscita, fatta eccezione per i domini inclusi nelle seguenti chiavi di registro: 6-67

184 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Terza chiave: Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Chiave: InternalDomains Tipo: REG_SZ Valore: digitare i nomi dei domini da escludere. Separare le voci con un punto e virgola (;). Ad esempio: dominio1.org;dominio2.org Nota: inomi dei domini inseriti qui sono i nomi DNS dei server Exchange. 6-68

185 Capitolo 7 Utilizzo di Difesa dalle infezioni Questo capitolo illustra la strategia di difesa dalle infezioni, come configurare lo strumento Difesa dalle infezioni e come utilizzarlo per proteggere le reti e i client. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Strategia di difesa dalle infezioni a pagina 7-2 Stato attuale della difesa dalle infezioni a pagina 7-4 Minaccia potenziale a pagina 7-9 Impostazione della Difesa dalle infezioni a pagina 7-11 Configurazione delle impostazioni della valutazione delle vulnerabilità a pagina

186 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Strategia di difesa dalle infezioni La Difesa dalle infezioni è un componente chiave della soluzione WFBS in grado di protegge le aziende durante un'infezione di portata internazionale causata da una minaccia. La strategia di difesa dalle infezioni si basa sull'idea che le infezioni presentino un ciclo di vita. Il ciclo di vita di un'infezione si divide in tre fasi: prevenzione delle minacce, protezione dalle minacce e disinfezione delle minacce. Trend Micro contrasta ciascuna fase del ciclo con una strategia di difesa, chiamata Difesa dalle infezioni. TABELLA 7-1. Risposta di difesa dalle infezioni alle fasi del ciclo di vita delle infezioni Fase dell'infezione Durante la prima fase di un ciclo di infezione, gli esperti antivirus di Trend Micro mettono sotto osservazione una minaccia informatica che sta attivamente circolando su Internet. In questa fase non è disponibile alcuna soluzione nota contro la minaccia. Nella seconda fase dell'infezione, i computer che sono stati colpiti dalla minaccia informatica trasmettono la minaccia ad altri computer. La minaccia comincia rapidamente a diffondersi attraverso le reti locali, causando interruzioni dell'attività e danneggiando i computer. Nella terza e ultima fase di un'infezione, la minaccia perde progressivamente di intensità, facendo registrare sempre meno incidenti. Fase di difesa dalle infezioni Prevenzione delle minacce La difesa dalle infezioni impedisce alla minaccia di attaccare i computer e la rete eseguendo le operazioni indicate nei criteri per infezioni scaricati dai server di aggiornamento di Trend Micro. Tali azioni comprendono l'invio di avvisi, il blocco delle porte e la negazione dell'accesso a cartelle e file. Protezione dalle minacce La difesa dalle infezioni protegge i computer a rischio indicando loro di scaricare i componenti e le patch più recenti. Disinfezione delle minacce La difesa dalle infezioni ripara i danni eseguendo Cleanup Services. Le altre scansioni forniscono informazioni utilizzabili dagli amministratori per prevenire minacce future. 7-2

187 Utilizzo di Difesa dalle infezioni Operazioni di difesa dalle infezioni La strategia di difesa dalle infezioni è stata progettata per gestire le infezioni durante tutte le fasi del loro ciclo vitale. In base ai criteri di difesa dalle infezioni, la risposta automatica alla minaccia in genere prende misure preventive come quelle descritte di seguito. Blocco delle cartelle condivise per impedire a virus/minacce informatiche di infettare i file in esse contenuti. Blocco dei file con alcune estensioni sul server Microsoft Exchange Aggiunta di regole per il filtro dei contenuti a Messaging Security Agent Blocco delle porte per impedire a virus/minacce informatiche di utilizzare le porte vulnerabili e di diffondere l'infezione sulla rete e sui client Nota: la difesa dalle infezioni non blocca in alcun caso la porta utilizzata da Security Server per comunicare con i client. Divieto di accesso in scrittura a file e cartelle per impedire a virus/minacce informatiche di modificare i file. Valutazione dei client della rete per quanto riguarda le vulnerabilità che li rendono esposti alle infezioni. Implementazione dei componenti più aggiornati, come il file di pattern antivirus e il Virus Cleanup Engine. Esecuzione della disinfezione su tutti i client colpiti dalle infezioni. Scansione dei client e delle reti ed esecuzione di operazioni per combattere le minacce rilevate. 7-3

188 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Stato attuale della difesa dalle infezioni Percorso di navigazione: Difesa dall'infezione > Stato attuale Nella schermata Stato attuale, la console Web mostra e tiene traccia dello stato di un'infezione associata a virus/minacce informatiche su scala globale. Lo stato corrisponde a grandi linee al ciclo vitale dell'infezione. Durante una minaccia di infezione, la difesa dalle infezioni utilizza una strategia per proteggere i computer e le reti. Nel corso di ciascuna fase, l'applicazione aggiorna le informazioni all'interno della pagina Stato attuale. Le tre fasi della Difesa dalle infezioni: 1. Prevenzione delle minacce 2. Protezione dalle minacce 3. Disinfezione delle minacce FIGURA 7-1. Schermata Difesa dalle infezioni - nessuna minaccia 7-4

189 Utilizzo di Difesa dalle infezioni Prevenzione delle minacce La fase di prevenzione delle minacce della schermata Stato attuale fornisce informazioni sulle minacce recenti, sui client con gli avvisi attivati e sui client che sono vulnerabili alla minaccia attuale. FIGURA 7-2. Schermata Difesa dalle infezioni-fase di prevenzione delle minacce 7-5

190 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Informazioni sulle minacce La sezione Informazioni sulle minacce visualizza informazioni su virus/minacce informatiche attualmente su Internet e che potrebbero compromettere la rete e i client. In base alle informazioni sulle minacce, i criteri di difesa dalle infezioni intervengono per proteggere la rete e i client mentre Trend Micro sviluppa una soluzione (consultare Criteri di difesa dalle infezioni a pagina C-2). Per ulteriori informazioni sulla minaccia, fare clic su Guida > Informazioni sulla sicurezza; nel browser verrà visualizzato il sito Web di Trend Micro. Questa sezione contiene le informazioni seguenti: Livello di rischio: il livello di rischio rappresentato dalla minaccia per i client e le reti in base al numero e alla severità degli incidenti dovuti a virus e minacce informatiche. Dettagli risposta automatica: fare clic per visualizzare le azioni specifiche utilizzate dalla Difesa dalle infezioni per proteggere i client dalla minaccia attuale. Fare clic su Disattiva per arrestare la Risposta automatica sul lato server e sui moduli agente. Nota: dopo aver disattivato Difesa dalle infezioni, Trend Micro consiglia di selezionare l'opzione Esegui disinfezione per eliminare dai client i cavalli di Troia e tutti i relativi processi o altri tipi di codice dannoso (consultare Damage Cleanup Services a pagina C-2). Stato di avviso per i computer online Lo Stato di avviso per i computer online visualizza il totale del numero di client che presentano o meno l'avviso automatico attivato. Fare clic sul collegamento al numero sotto le colonne Attivato e Non attivato per visualizzare più informazioni su determinati computer client. Computer vulnerabili La sezione Computer vulnerabili visualizza un elenco di client che presentano vulnerabilità che li rendono soggetti alla minaccia visualizzata nella sezione Informazioni sulle minacce. 7-6

191 Utilizzo di Difesa dalle infezioni Protezione dalle minacce La fase di Protezione contro le minacce della schermata Stato attuale fornisce informazioni sullo Stato download soluzione dei componenti di aggiornamento di Trend Micro e sullo Stato implementazione soluzione di tutti i moduli Agent. FIGURA 7-3. Schermata Difesa dalle infezioni-fase di protezione Stato download soluzione Mostra un elenco di componenti che devono essere aggiornati in risposta alla minaccia elencata nella sezione Informazioni sulle minacce. Stato implementazione soluzione Visualizza il numero di agenti che presentano componenti aggiornati e non aggiornati. Fornisce inoltre collegamenti per visualizzare i client con componenti aggiornati o non aggiornati. 7-7

192 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Disinfezione delle minacce Nella fase Disinfezione delle minacce della schermata Stato attuale è visualizzato lo stato della scansione che viene eseguita dopo l'implementazione dei componenti aggiornati. Nella sezione Disinfezione delle minacce viene inoltre visualizzato lo stato dei client dopo la scansione e viene indicato se gli aggiornamenti hanno consentito di disinfettare o rimuovere i residui delle minacce. FIGURA 7-4. Schermata Difesa dalle infezioni - fase di disinfezione Nota: per far sì che venga eseguita una scansione automatica dopo l'implementazione dei nuovi componenti, è necessario configurare la relativa opzione nella schermata Difesa dalle infezioni > Impostazioni. 7-8

193 Utilizzo di Difesa dalle infezioni Stato di scansione dei computer per Fare clic sui collegamenti per visualizzare l'elenco dei client che hanno ricevuto o meno una notifica di scansione delle minacce. I client che non sono stati attivati o che sono stati scollegati dalla rete non possono ricevere le notifiche. Stato di disinfezione dei computer per In questo riquadro vengono visualizzati i risultati della scansione di disinfezione. Fare clic su Esporta per esportare queste informazioni. Minaccia potenziale Percorso di navigazione: Difesa dalle infezioni > Minaccia potenziale La schermata Minacce potenziali visualizza informazioni relative ai rischi per la sicurezza dei computer e della rete. Security Server raccoglie le informazioni sulle minacce eseguendo i servizi Valutazione vulnerabilità e Damage Cleanup Services. FIGURA 7-5. Schermata Minaccia potenziale 7-9

194 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore A differenza della schermata Minaccia corrente, che visualizza soltanto informazioni relative a una minaccia attuale, la schermata Minaccia potenziale visualizza informazioni su tutte le minacce non risolte a cui sono esposti i client e la rete. Computer vulnerabili Un computer vulnerabile presenta punti deboli nel proprio sistema operativo o nelle applicazioni. Molte minacce sfruttano queste vulnerabilità per causare danni o acquisire un controllo non autorizzato. Di conseguenza, le vulnerabilità rappresentano un rischio non solo per i singoli computer in cui si trovano, ma anche per gli altri computer della rete. Nella sezione Computer vulnerabili sono elencati tutti i client della rete caratterizzati da vulnerabilità scoperte a partire dall'ultima valutazione delle vulnerabilità. La data e ora dell'ultimo aggiornamento sono visualizzate nell'angolo superiore destro della schermata. Nella schermata Minaccia potenziale i client sono ordinati in base al livello di rischio che essi costituiscono per la rete. Il livello di rischio viene calcolato da Trend Micro e rappresenta il numero relativo e la severità delle vulnerabilità di ogni client. Quando si fa clic su Ricerca vulnerabilità ora, WFBS esegue una Valutazione delle vulnerabilità. La Valutazione delle vulnerabilità esegue il controllo delle vulnerabilità su tutti i client della rete e visualizza i risultati nella schermata Minaccia potenziale. Le Valutazioni delle vulnerabilità possono fornire le seguenti informazioni riguardanti i client della rete: Identificare le vulnerabilità in base a convenzioni di denominazione standard. Per ulteriori informazioni sulla vulnerabilità e sul modo di porvi rimedio, fare clic sul nome della vulnerabilità. Visualizzare le vulnerabilità in base a client e indirizzo IP. I risultati includono il livello di rischio che le vulnerabilità rappresentano per il client e l'intera rete. Segnalare le vulnerabilità. Segnalare le vulnerabilità associate a ciascun client e descrivere i rischi per la sicurezza che tali client rappresentano per la rete complessiva. 7-10

195 Utilizzo di Difesa dalle infezioni Attivazione di Esegui risanamento È possibile avviare una disinfezione manualmente avviando l'operazione Esegui risanamento. Per avviare la funzione Esegui risanamento: 1. Fare clic su Difesa dalle infezioni > Minaccia potenziale. 2. Fare clic sul collegamento Esegui risanamento. Per impostazione predefinita, Security Server comunica a tutti gli agenti di eseguire l'operazione Esegui risanamento. Impostazione della Difesa dalle infezioni Utilizzare la schermata Impostazioni per configurare le opzioni Difesa dalle infezioni e Valutazione delle vulnerabilità. Impostazioni della Difesa dalle infezioni WFBS avvia la Difesa dalle infezioni in risposta alle istruzioni fornite dai Criteri di difesa dalle infezioni. I criteri di difesa dalle infezioni di Trend Micro vengono elaborati e pubblicati da Trend Micro per garantire una protezione ottimale ai client e alla rete quando si verificano infezioni. Trend Micro pubblica i criteri di difesa dalle infezioni quando rileva la presenza su Internet di incidenti di frequenza e severità rilevanti relativi a virus/minacce informatiche. Per impostazione predefinita, Security Server scarica i criteri di difesa dalle infezioni dal server Trend Micro ActiveUpdate ogni 30 minuti o quando viene avviato. Nel corso della difesa dalle infezioni, Security Server applica i criteri di difesa dalle infezioni ed esegue le azioni necessarie per proteggere i client e la rete. In questa fase, le normali funzioni della rete vengono interrotte da misure particolari, come il blocco delle porte e l'inaccessibilità delle directory. Per evitare conseguenze inattese dovute all'applicazione dei criteri nel corso della difesa dalle infezioni, utilizzare le impostazioni di difesa dalle infezioni per personalizzare le relative impostazioni per i client e la rete. 7-11

196 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Allarmi rossi Diverse unità aziendali hanno riscontrato una rapida diffusione di virus/minacce informatiche. In risposta, Trend Micro ha attivato un processo di soluzione Allarme rosso di 45 minuti che consiste nell'emissione di soluzioni di prevenzione e pattern di scansione e nell'invio delle relative notifiche. Trend Micro è anche in grado di inviare degli strumenti di riparazione e informazione riguardanti le vulnerabilità e le minacce rilevate. Allarmi gialli I rapporti sulle infezioni vengono ricevute da più unità aziendali e da chiamate all'assistenza che confermano le istanze diffuse. I server per implementazione ricevono automaticamente un OPR (official pattern release) e lo rendono disponibile per il download. Nel caso di diffusione di virus/minacce tramite , vengono distribuite automaticamente delle regole per il filtro dei contenuti chiamate regole per la prevenzione delle infezioni (OPP, outbreak prevention policies); la loro funzione consiste nel bloccare gli allegati dei messaggi sui server che dispongono della funzionalità corrispondente. Impostazioni di difesa dalle infezioni consigliate Per garantire la massima protezione, vengono fornite le seguenti impostazioni: TABELLA 7-2. Impostazioni di difesa dalle infezioni consigliate Impostazione Attiva la difesa automatica dall'infezione per gli allarmi rossi emessi da Trend Micro Disattiva gli allarmi rossi dopo Disattiva gli allarmi rossi dopo l'implementazione dei componenti richiesti Scansioni desktop/server automatiche Scansioni di Microsoft Exchange automatiche Attiva la difesa automatica dalle infezioni per gli allarmi gialli emessi da Trend Micro Valore consigliato Attivata 2 giorni Attivata Attivata Attivata Disattivata 7-12

197 Utilizzo di Difesa dalle infezioni TABELLA 7-2. Impostazioni di difesa dalle infezioni consigliate (segue) Impostazione Disattiva gli allarmi gialli dopo Disattiva gli allarmi gialli dopo l'implementazione del pattern/motore richiesto Disattiva gli allarmi gialli dopo l'implementazione del pattern/motore richiesto Scansioni desktop/server automatiche Scansioni di Microsoft Exchange automatiche Eccezioni Impostazioni di download dei criteri pianificati Valore consigliato N.D. N.D. N.D. Attivata Attivata Le porte dei seguenti servizi non vengono bloccate nel corso della risposta automatica della difesa dalle infezioni: DNS NetBios HTTPS (server Web Secure) HTTP (server Web) Telnet SMTP (Simple mail protocol) FTP (File transfer protocol) Posta Internet (POP3) Frequenza: ogni 30 minuti Origine: Trend Micro ActiveUpdate Server 7-13

198 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Configurazione delle impostazioni di difesa dalle infezioni Nota: Trend Micro ha progettato le impostazioni predefinite di difesa dalle infezioni in modo tale da garantire la protezione ottimale sia per i client che per le reti. Prima di personalizzare le impostazioni di difesa dalle infezioni, esaminare con attenzione le impostazioni e modificarle solo quando si è certi delle possibili conseguenze. Percorso di navigazione: Difesa dalle infezioni > Impostazioni > scheda Difesa dalle infezioni FIGURA 7-6. Scheda Difesa dalle infezioni della schermata Impostazioni di Difesa dalle infezioni 7-14

199 Utilizzo di Difesa dalle infezioni Per configurare le impostazioni di Difesa dalle infezioni: 1. Aggiornare le seguenti opzioni, in base alle necessità: Attiva la difesa automatica dall'infezione per gli allarmi rossi emessi da Trend Micro: i criteri di Difesa dalle infezioni sono validi fino a che non si fa clic su Difesa dalle infezioni > Stato attuale > Disattiva o fino a che non viene soddisfatta una delle impostazioni di disattivazione. Quando Server Security scarica un nuovo criterio di prevenzione delle infezioni, il criterio precedente viene interrotto. Disattiva gli allarmi rossi dopo x giorni: definisce la durata della difesa dalle infezioni. Esegui scansione virus automatica dopo l'implementazione dei componenti richiesti per: Desktop/Server Server Microsoft Exchange Impostazioni allarmi gialli: configurare le opzioni degli allarmi gialli. Per ulteriori informazioni, consultare Allarmi gialli a pagina Eccezioni: le porte che non vengono bloccate nel corso della risposta automatica della difesa dalle infezioni. Per modificare le eccezioni, consultare Utilizzo delle eccezioni della difesa dalle infezioni a pagina Nota: quando si aggiunge una nuova eccezione, assicurarsi che l'opzione Attiva questa eccezione sia selezionata. Impostazioni di download dei criteri pianificati: le impostazioni per scaricare periodicamente i componenti aggiornati. Frequenza Origine: l'origine degli aggiornamenti. Trend Micro ActiveUpdate Server (impostazione predefinita) Percorso intranet contenente una copia del file corrente Altra origine di aggiornamenti: qualsiasi altra origine di aggiornamenti sul Web. 2. Fare clic su Salva. 7-15

200 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Utilizzo delle eccezioni della difesa dalle infezioni Percorso di navigazione: Difesa dalle infezioni > Impostazioni > scheda Difesa dalle infezioni Utilizzare le eccezioni per aggiungere, modificare o rimuovere porte dall'elenco di porte da escludere dal blocco. FIGURA 7-7. Sezione Eccezioni della schermata Impostazioni di Difesa dalle infezioni Per aggiungere un'eccezione: 1. Fare clic sull'icona del segno più (+) per la sezione Eccezioni. 2. Fare clic su Aggiungi. 3. Nella schermata Difesa dalle infezioni > Impostazioni > Aggiungi eccezione, aggiornare le seguenti opzioni, in base alle necessità: Attiva questa eccezione. Descrizione: una breve descrizione che consente di identificare l'eccezione. Protocollo: selezionare il protocollo al quale deve essere applicata l'eccezione. Porte: inserire un intervallo di porte o delle porte singole per l'eccezione. Separare più voci con punto e virgola (;). 4. Fare clic su Aggiungi. Per modificare un'eccezione: 1. Fare clic sull'icona del segno più (+) per la sezione Eccezioni. 2. Selezionare l'eccezione e fare clic su Modifica. 7-16

201 Utilizzo di Difesa dalle infezioni 3. Aggiornare le opzioni in base alle necessità. 4. Fare clic su Salva. Per rimuovere un'eccezione: Suggerimento: disattivare l'eccezione invece di rimuoverla. 1. Fare clic sull'icona del segno più (+) per la sezione Eccezioni. 2. Selezionare l'eccezione e fare clic su Rimuovi. 3. Fare clic su OK per confermare. Visualizzazione dei dettagli della difesa dalle infezioni automatica Percorso di navigazione: Difesa dalle infezioni > Stato corrente > Pannello prevenzione Quando si verifica un'infezione, Security Server attiva la Difesa dalle infezioni. La difesa automatica dalle infezioni evita che i computer e la rete vengano danneggiati dall'infezione in corso nel periodo di tempo critico in cui TrendLabs sta elaborando la soluzione per combattere l'infezione. Durante la difesa automatica dall'infezione, la risposta automatica esegue le seguenti operazioni. Blocco delle cartelle condivise per impedire ai virus di infettare i file in esse contenuti. Blocco delle porte per impedire ai virus di utilizzare le porte vulnerabili e infettare i file sulla rete e i client Nota: la difesa dalle infezioni non blocca in alcun caso la porta utilizzata da Security Server per comunicare con i client. Divieto di accesso in scrittura a file e cartelle per impedire ai virus di modificare i file Attivazione del blocco delle porte per bloccare allegati sospetti Attivazione del filtro dei contenuti e creazione di una regola Soddisfa tutte o Soddisfa qualsiasi per filtrare i contenuti pericolosi 7-17

202 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Configurazione delle impostazioni della valutazione delle vulnerabilità Percorso di navigazione: Difesa dalle infezioni > Impostazioni > scheda Valutazione delle vulnerabilità Le impostazioni della valutazione delle vulnerabilità determinano la frequenza e l'obiettivo delle scansioni di prevenzione delle vulnerabilità. FIGURA 7-8. Scheda Valutazione delle vulnerabilità della schermata Impostazioni di Difesa dalle infezioni 7-18

203 Utilizzo di Difesa dalle infezioni Per configurare la frequenza della Valutazione delle vulnerabilità: 1. Nella scheda Valutazione delle vulnerabilità della schermata Difesa dalle infezioni > Impostazioni, aggiornare le seguenti opzioni in base alle necessità: Attiva prevenzione delle vulnerabilità pianificata Frequenza: selezionare Frequenza giornaliera, Frequenza settimanale, Frequenza mensile. Se si seleziona Frequenza settimanale o Frequenza mensile, impostare il giorno della settimana o del mese in cui eseguire la scansione. Ora di inizio Destinazione Tutti i gruppi: analizza tutti i client presenti nella struttura di gestione dei gruppi della schermata Impostazioni di sicurezza. Gruppi specificati: limita la scansione per la valutazione delle vulnerabilità solo ai gruppi selezionati. 2. Fare clic su Salva. 7-19

204 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 7-20

205 Capitolo 8 Gestione delle scansioni In questo capitolo viene spiegato come utilizzare Smart Scan, la scansione tradizionale e le scansioni manuale e pianificata per proteggere la rete e i client da virus, minacce informatiche e altro. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Informazioni sulla scansione a pagina 8-2 Metodi di scansione a pagina 8-2 Tipi di scansione a pagina 8-3 Configurazione delle opzioni di scansione manuale e pianificata a pagina 8-3 Configurazione delle opzioni di scansione per server Microsoft Exchange a pagina 8-9 Pianificazione delle scansioni a pagina

206 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Informazioni sulla scansione WFBS-A mette a disposizione tre tipi di scansione per proteggere i computer client dalle minacce Internet: scansione manuale, pianificata e in tempo reale. Ciascuna scansione si prefigge uno scopo e un utilizzo diverso, ma tutte sono configurate approssimativamente allo stesso modo. In questo capitolo vengono descritte le scansioni manuali e pianificate. Metodi di scansione La scansione dei client viene eseguita in due modi diversi: Scansione tradizionale: il client utilizza il proprio motore di scansione e il file di pattern locale per identificare le minacce. Smart Scan: il client utilizza il proprio motore di scansione ma anziché utilizzare un file di pattern locale per identificare le minacce si affida principalmente al file di pattern conservato sul server di scansione. Nota. In questa implementazione di WFBS-A, Security Server agisce come un server di scansione. Il server di scansione è semplicemente un servizio eseguito sul Security Server. Esso viene installato automaticamente durante l'installazione del Security Server; non è necessaria un'installazione separata. Se i client sono configurati per eseguire Smart Scan, ma non possono collegarsi al servizio Smart Scan, tentano di collegarsi a Trend Micro Global Smart Scan Server. 8-2

207 Gestione delle scansioni Selezione del metodo di scansione Se le scansioni client rallentano i computer client, prendere in considerazione la possibilità di passare a Smart Scan. Smart Scan è attivato per impostazione predefinita. È possibile disattivare il server di scansione per tutti i client nella schermata Preferenze > Impostazioni globali nella sezione Impostazioni generali di scansione. Per selezionare il metodo di scansione: 1. Fare clic su Impostazioni di sicurezza, quindi su un server o sul desktop. 2. Fare clic su Configura. 3. Nella parte superiore della schermata, fare clic su Smart Scan o su Scansione convenzionale. Nota. Se i client sono configurati per Smart Scan, ma non possono collegarsi al server di scansione sulla rete, tentano di collegarsi a Trend Micro Global Smart Scan Server. Tipi di scansione WFBS-A offre i seguenti tipi di scansione: Scansione in tempo reale: una scansione continua eseguita ogni volta che gli utenti dei client scaricano, salvano, copiano, modificano o aprono un file. Scansione manuale: una scansione a richiesta che viene avviata dall'amministratore o dagli utenti del client. Scansione pianificata: una scansione avviata in orari regolari e pianificati. Per ulteriori informazioni, vedere Tipi di scansione a pagina 5-3. Configurazione delle opzioni di scansione manuale e pianificata La configurazione delle opzioni di scansione prevede l'impostazione della Destinazione (file da analizzare) e dell'operazione (operazione per le minacce rilevate). 8-3

208 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Percorso di navigazione: Scansioni > Scansione manuale o Scansione pianificata > Selezionare un gruppo 8-4

209 Gestione delle scansioni Per configurare le opzioni di scansione: 1. Dalla schermata delle opzioni di scansione relative ai gruppi, aggiornare i seguenti campi secondo le esigenze: File da esaminare Tutti i file analizzabili: vengono esclusi solo i file codificati o protetti da password. IntelliScan: sottopone a scansione i file in base al tipo di file effettivo. Per ulteriori informazioni, consultare IntelliScan a pagina C-5. Esegue la scansione dei file con le seguenti estensioni: WFBS-A sottopone a scansione i file con le estensioni selezionate. Separare più voci con la virgola (,). Scansione unità collegate e cartelle condivise nella rete Scansione file compressi: Definire il numero di livelli da sottoporre a scansione. Esclusioni: Esclusione di file specifici, cartelle o file con determinate estensioni dalla scansione. Attiva esclusioni Non effettua la scansione delle directory in cui sono installati i prodotti Trend Micro. Esclusioni di cartelle: digitare il nome della cartella da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere una cartella, selezionarla e fare clic su Elimina. Esclusioni di file: digitare il nome del file da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un file, selezionarlo e fare clic su Elimina. Esclusioni di estensioni: digitare il nome dell'estensione da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un'estensione, selezionare l'estensione e fare clic su Elimina. Impostazioni avanzate Attiva IntelliTrap (per antivirus): IntelliTrap rileva il codice dannoso, come ad esempio i bot contenuti nei file compressi. Per ulteriori informazioni, consultare IntelliTrap a pagina C

210 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Esamina settore boot (per antivirus): il settore boot contiene i dati utilizzati dai client per caricare e inizializzare il sistema operativo. Un virus del settore boot infetta tale settore in una partizione o in un disco. Elenco Approvati spyware/grayware (per anti-spyware): questo elenco contiene i dettagli delle applicazioni spyware/grayware approvate. Per aggiornare l'elenco, fare clic sul collegamento. Per ulteriori informazioni, consultare Modifica dell'elenco Approvati spyware/grayware a pagina Nella scheda Azione, specificare le modalità di gestione delle minacce rilevate da parte di WFBS-A: Uso della CPU: il tempo di attesa di Security Server tra la scansione di un file e la scansione del file successivo influisce sull'uso della CPU. Selezionare un livello di uso più basso della CPU di modo che aumenti il tempo di attesa tra la scansione di un file e l'altro e, liberando la CPU, questa possa eseguire altre operazioni. Azione di rilevamento dei virus ActiveAction: utilizzare le operazioni preconfigurate di Trend Micro per contrastare le minacce. Per ulteriori informazioni, consultare ActiveAction a pagina C-5. Stessa operazione per tutte le minacce: selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Operazione personalizzata per le seguenti minacce rilevate: selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta per ogni tipo di minaccia. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Esegui backup file esaminati prima di disinfettare: WFBS-A esegue il backup della minaccia prima di disinfettare. Il file copiato mediante backup viene codificato e memorizzato nella seguente directory sul client: C:\Programmi\Trend Micro\Client Server Security Agent\Backup Per decodificare il file, consultare Restore Encrypted Virus a pagina E-12 Azione in caso di rilevamento di spyware/grayware 8-6

211 Gestione delle scansioni Disinfetta: durante la disinfezione di spyware/grayware, WFBS-A potrebbe eliminare le voci di registro, i file, i cookie e i collegamenti associati. Potrebbero essere rimossi anche i processi legati a spyware/grayware. Ignora: crea solamente un registro delle infezioni per successive valutazioni. Per ulteriori informazioni, consultare Registri a pagina Fare clic su Salva. Consente inoltre di configurare chi riceve le notifiche quando si verifica un evento. Modifica dell'elenco Approvati spyware/grayware L'elenco Approvati spyware/grayware determina quali applicazioni spyware o grayware possono essere utilizzate dagli utenti. Solo gli amministratori possono aggiornare l'elenco. Per informazioni sui diversi tipi di spyware, consultare la sezione Spyware/Grayware a pagina Nota. Per un gruppo specifico, lo stesso elenco viene utilizzato per la scansione in tempo reale, pianificata e manuale. 8-7

212 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Percorso di navigazione: Scansioni > Scansione manuale o Scansione pianificata > Selezionare un gruppo > Impostazioni avanzate > Modifica elenco Approvati spyware/grayware FIGURA 8-1. Schermata Elenco Approvati spyware/grayware Per aggiornare l'elenco Approvati spyware/grayware: 1. Nella sezione Impostazioni avanzate, fare clic su Modifica elenco Approvati spyware/grayware. 2. Nella schermata Elenco Approvati spyware/grayware, aggiornare i seguenti campi in base alle necessità: Riquadro a sinistra: applicazioni spyware o grayware riconosciute. Utilizzare i collegamenti Cerca o Ricerca rapida per individuare l'applicazione spyware/grayware di cui consentire l'esecuzione. Nota. Le applicazioni vengono ordinate per tipo di applicazione e quindi per nome (TipoSpyware_NomeApplicazione). 8-8

213 Gestione delle scansioni Riquadro destro: applicazioni spyware o grayware approvate. Aggiungi >: Selezionare il nome dell'applicazione nel riquadro di sinistra, quindi fare clic su Aggiungi >. Per selezionare più applicazioni, tenere premuto CTRL mentre si fa clic sui nomi delle applicazioni. 3. Fare clic su Salva. Configurazione delle opzioni di scansione per server Microsoft Exchange Percorso di navigazione: Scansioni > Scansione manuale o Scansione pianificata > Espandi un server Microsoft Exchange > Antivirus/Filtro dei contenuti/blocco allegati La configurazione delle opzioni di scansione per server Microsoft Exchange prevede l'impostazione delle opzioni per Antivirus, Filtro dei contenuti e Blocco allegati. Per impostare le opzioni di scansione per server Microsoft Exchange: 1. Nelle schermate Scansione manuale o Scansione pianificata, espandere il server Microsoft Exchange da analizzare. 2. Impostare le opzioni di scansione per: Antivirus Filtro dei contenuti Blocco allegati 3. Per le Scansioni pianificate, aggiornare la pianificazione nella scheda Pianificazione. Fare riferimento a Pianificazione delle scansioni a pagina Fare clic su Esegui scansione o su Salva. 8-9

214 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Pianificazione delle scansioni Percorso di navigazione: Scansioni > Scansione pianificata > scheda Pianificazione Le scansioni pianificate consentono di eseguire la scansione periodica dei client e dei server Microsoft Exchange. Suggerimento: Trend Micro sconsiglia di pianificare una scansione e un aggiornamento nello stesso momento. In situazioni del genere, la scansione pianificata potrebbe subire interruzioni impreviste. Analogamente, se si avvia una scansione manuale quando è in esecuzione una scansione pianificata, la scansione pianificata viene interrotta. La scansione pianificata viene interrotta, ma viene eseguita di nuovo secondo la pianificazione. Nota. Per disattivare la scansione pianificata, cancellare tutte le opzioni per un gruppo specifico o per il server Microsoft Exchange e fare clic su Salva. FIGURA 8-2. Schermata Scansione pianificata 8-10

215 Gestione delle scansioni Per pianificare una scansione: 1. Prima di pianificare una scansione, configurare le impostazioni della scansione. Per ulteriori informazioni, consultare Configurazione delle opzioni di scansione manuale e pianificata a pagina 8-3 e Configurazione delle opzioni di scansione per server Microsoft Exchange a pagina Nella scheda Pianificata, aggiornare le seguenti opzioni per ogni gruppo server Microsoft Exchange in base alle necessità: Frequenza giornaliera: la scansione pianificata viene eseguita ogni giorno all'ora di inizio specificata. Frequenza settimanale, ogni: la scansione pianificata viene eseguita una volta alla settimana nel giorno e all'ora di inizio specificati. Frequenza mensile, il giorno: La scansione pianificata viene eseguita una volta al mese nel giorno e all'ora di inizio specificati. Se si seleziona il giorno 31, ma il mese in questione è di 30 giorni, WFBS-A non eseguirà la scansione dei client o dei gruppi Microsoft Exchange per quel mese. Ora di inizio: l'orario in cui dovrebbe iniziare la scansione pianificata. 3. Fare clic su Salva. Consente inoltre di configurare chi riceve le notifiche quando si verifica un evento. Fare riferimento a Configurazione degli eventi per le notifiche a pagina 9-3. Suggerimento: Per una protezione ottimale, Trend Micro consiglia di impostare le scansioni pianificate a intervalli regolari. 8-11

216 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 8-12

217 Capitolo 9 Gestione delle notifiche Questo capitolo descrive l'utilizzo delle varie opzioni di notifica. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Notifiche a pagina 9-2 Configurazione degli eventi per le notifiche a pagina 9-3 Personalizzazione degli avvisi di notifica a pagina 9-5 Configurazione delle impostazioni di notifica a pagina 9-6 Configurazione delle impostazioni di notifica dei server Microsoft Exchange a pagina

218 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Notifiche Per ridurre al minimo il tempo che gli amministratori dedicano al monitoraggio di WFBS-A e per garantire loro la ricezione di un preavviso riguardo alle situazioni di infezione incombente, impostare Security Server per l'invio di notifiche ogni volta che si verificano eventi anomali sulla rete. WFBS-A invia notifiche mediante posta elettronica, SNMP o il registro di eventi di Windows. Le condizioni definite per le notifiche influiscono sulla schermata Stato in tempo reale. Le condizioni attivano il cambiamento dell'icona di stato da Normale ad Avviso o a Operazione richiesta. Per impostazione predefinita, tutti gli eventi elencati nella schermata delle notifiche sono selezionati e attivano l'invio da parte di Security Server di una notifica all'amministratore del sistema. Eventi di minacce Difesa dalle infezioni: un avviso è stato annunciato da TrendLabs o sono state rilevate vulnerabilità molto gravi. Antivirus: i virus o le minacce informatiche rilevati su client o server Microsoft Exchange superano un certo numero, le azioni intraprese contro i virus o le minacce sono risultate inefficaci, la scansione in tempo reale è disattivata su client o server Microsoft Exchange. Anti-spyware: spyware/grayware rilevato su client, compresi quelli che hanno imposto il riavvio del client infetto per rimuovere completamente la minaccia spyware/grayware. È inoltre possibile configurare la soglia di notifica relativa a spyware/grayware, ovvero il numero di incidenti spyware/grayware rilevati nel periodo di tempo specificato (un'ora per impostazione predefinita). Anti-spam: le occorrenze di spam superano una certa percentuale del totale dei messaggi . Web Reputation: il numero delle violazioni URL supera il numero configurato nell'arco di un certo periodo. Filtro URL: il numero delle violazioni URL supera il numero configurato nell'arco di un certo periodo. Monitoraggio del comportamento: il numero delle violazioni dei criteri supera il numero configurato nell'arco di un certo periodo. Virus di rete: i virus di rete rilevati superano un certo numero. 9-2

219 Gestione delle notifiche Eventi di sistema Smart Scan: i client configurati per Smart Scan non possono collegarsi al server Smart Scan oppure il server non è disponibile. Aggiornamento componenti: l'ultimo aggiornamento dei componenti ha superato un certo numero di giorni o i componenti aggiornati non sono stati implementati agli agenti in maniera sufficientemente rapida. Eventi di sistema insoliti: lo spazio su disco restante su un qualsiasi client che esegue il sistema operativo Windows Server è inferiore al valore configurato; raggiunge livelli pericolosamente bassi. Eventi della licenza Licenza: la licenza del prodotto è scaduta, l'uso del numero di postazioni è superiore all'80% oppure l'uso del numero di postazioni è superiore al 100%. Configurazione degli eventi per le notifiche Percorso di navigazione: Preferenze > Notifiche > scheda Eventi La procedura di configurazione delle notifiche si suddivide in due passaggi: selezione degli eventi per i quali si desidera generare le notifiche e configurazione dei metodi di consegna. WFBS-A prevede tre metodi di consegna: notifiche , notifiche SNMP e registro eventi di Windows. 9-3

220 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore FIGURA 9-1. Schermata Eventi di notifica Per configurare gli eventi di notifica: 1. Nella scheda Eventi della schermata Notifiche, aggiornare i seguenti campi in base alle necessità: Eventi di minacce: selezionare la casella di controllo Tipo per ricevere le notifiche per tutti gli eventi. In alternativa, selezionare le caselle di controllo corrispondenti ai singoli eventi. Fare clic su per espandere ogni evento e configurare la soglia e/o la durata dell'evento. 2. Fare clic su Salva. 9-4

221 Gestione delle notifiche Personalizzazione degli avvisi di notifica Percorso di navigazione: Preferenze > Notifiche > Fare clic su una notifica È possibile personalizzare la riga dell'oggetto e il corpo del messaggio delle notifiche degli eventi. I destinatari riportati nell'elenco Definizioni posta interna riceveranno i messaggi di notifica quando si seleziona la casella di controllo Non notificare a destinatari esterni in Impostazioni di notifica per Antivirus, Filtro dei contenuti e Blocco allegati. Attenzione a non confondere l'elenco Definizione posta interna con l'elenco Mittenti approvati. Per evitare che tutti i messaggi provenienti da indirizzi con domini esterni siano etichettati come spam, aggiungere gli indirizzi esterni agli elenchi Mittenti approvati per Anti-spam. Uso dei token Utilizzare i seguenti token per rappresentare gli eventi di minacce rilevati sui desktop/server e sui server Exchange. I token fanno riferimento alle selezioni effettuate dall'utente nella schermata Preferenze > Notifiche. <$CSM_SERVERNAME>: nome del Security Server o del server Exchange su cui è stata rilevata la minaccia. %CV: numero di incidenti %CU: unità di tempo (minuti, ore) %CT: numero di %CU %CP: percentuale di messaggi spam sul totale dei messaggi Esempio di notifica: Trend Micro ha rilevato %CV incidenti di virus sui computer in %CT %CU. Incidenti virali numerosi e troppo frequenti potrebbero indicare una situazione di infezione in corso. Per ulteriori istruzioni fare riferimento alla schermata Stato in tempo reale su Security Server. 9-5

222 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per personalizzare il contenuto di una notifica: 1. Inserire la nuova riga dell'oggetto nel campo Oggetto. 2. Inserire il nuovo messaggio nel campo Messaggio. 3. Fare clic su Salva. Configurazione delle impostazioni di notifica Percorso di navigazione: Preferenze > Notifica > scheda Impostazioni FIGURA 9-2 Schermata Notifiche 9-6

223 Gestione delle notifiche Per configurare il metodo di consegna della notifica: 1. Nella scheda Impostazioni della schermata Notifiche, aggiornare i seguenti campi in base alle necessità: Notifica impostare gli indirizzi del mittente e dei destinatari delle notifiche. Configurare il contenuto del messaggio dalla scheda Eventi. Da A: separare gli indirizzi con il punto e virgola (;). Destinatario della notifica SNMP: SNMP è il protocollo utilizzato dagli host di rete per scambiare le informazioni utilizzate nella gestione delle reti. Per visualizzare i dati del trap SNMP, utilizzare un browser Management Information Base. Attiva notifiche SNMP Indirizzo IP: indirizzo IP del trap SNMP. Community: stringa della community SNMP. Registrazione: inviare le notifiche mediante il registro eventi di Windows Scrivi nel registro eventi di Windows Nota. È possibile utilizzare uno o tutti i metodi di notifica descritti sopra. 2. Fare clic su Salva. Configurazione delle impostazioni di notifica dei server Microsoft Exchange Percorso di navigazione: Impostazioni di sicurezza > Selezione di un server Microsoft Exchange > Configura > Operazioni > Impostazioni di notifica Consente di configurare l'indirizzo Da per le notifiche e di definire i messaggi interni. 9-7

224 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per configurare le impostazioni di notifica 1. Nella schermata Impostazioni di notifica, aggiornare i seguenti campi secondo le esigenze: Indirizzo l'indirizzo per conto del quale Worry-Free Business Security invia i messaggi di notifica. Definizione posta interna Predefinita: Worry-Free Business Security considera i messaggi provenienti dallo stesso dominio come posta interna. Personalizzata: specificare singoli indirizzi o domini da trattare come messaggi interni. 2. Fare clic su Salva. 9-8

225 Capitolo 10 Gestione delle impostazioni globali Questo capitolo descrive l'utilizzo delle impostazioni globali. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Opzioni proxy di Internet a pagina 10-2 Opzioni del server SMTP a pagina 10-4 Opzioni desktop/server a pagina 10-5 Opzioni di sistema a pagina

226 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Configurazione delle preferenze globali La console Web consente di configurare le impostazioni globali di Security Server e dei desktop e server protetti dai moduli Client/Server Security Agent. Opzioni proxy di Internet Percorso di navigazione: Preferenze > Impostazioni globali > scheda Proxy Se la rete utilizza un server proxy per la connessione a Internet, specificare le impostazioni del server proxy per i seguenti servizi: Aggiornamenti dei componenti e notifiche sulla licenza Web Reputation, Monitoraggio del comportamento, Smart Feedback, Smart Scan e Filtro URL. È possibile utilizzare le stesse impostazioni proxy per l'aggiornamento o inserire delle credenziali nuove. Nota. L'agente usa sempre lo stesso server proxy e la stessa porta utilizzati da Internet Explorer per collegarsi a Internet per i servizi Web Reputation, Monitoraggio del comportamento e Smart Protection Network. Duplicare le credenziali di accesso specificate per il servizio di aggiornamento soltanto se sui computer client Internet Explorer utilizza lo stesso server proxy e la stessa porta. 10-2

227 Gestione delle impostazioni globali FIGURA Schermata Impostazioni globali-impostazioni del server proxy Per configurare le impostazioni proxy: 1. Nella scheda Proxy della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Impostazioni per gli aggiornamenti e le notifiche sulla licenza Usa un server proxy per gli aggiornamenti e le notifiche sulla licenza Indirizzo Utilizza protocollo proxy SOCKS 4/5 Porta Autenticazione del server proxy Nome utente Password Impostazioni di Web Reputation, Monitoraggio del comportamento e Scansione intelligente Utilizzare le credenziali specificate per il proxy di aggiornamento Nome utente Password 2. Fare clic su Salva. 10-3

228 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Opzioni del server SMTP Le impostazioni del server SMTP si applicano a tutte le notifiche e a tutti i rapporti generati da WFBS-A. Percorso di navigazione: Preferenze > Impostazioni globali > scheda SMTP FIGURA Scheda SMTP della schermata Impostazioni globali Per impostare il server SMTP: 1. Nella scheda SMTP della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Server SMTP: l'indirizzo IP e il nome del server SMTP. Porta 2. Fare clic su Salva. 10-4

229 Gestione delle impostazioni globali Opzioni desktop/server Percorso di navigazione: Preferenze > Impostazioni globali > scheda Desktop/Server Le opzioni desktop/server riguardano le impostazioni globali di WFBS-A. Le impostazioni dei gruppi individuali hanno la precedenza su queste impostazioni. Se non è stata configurata un'opzione particolare per un gruppo, vengono utilizzate le opzioni desktop/server. Ad esempio, se non è stato approvato alcun URL per un gruppo particolare, potranno essere applicati al gruppo tutti gli URL approvati presenti in questa schermata. FIGURA Scheda Desktop/Server della schermata Impostazioni globali 10-5

230 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per impostare le opzioni Desktop/Server: 1. Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Location Awareness a pagina 10-6 Impostazioni generali di scansione a pagina 10-7 Impostazioni di scansione virus a pagina 10-7 Impostazioni di scansione spyware/grayware a pagina 10-8 Disattivazione del firewall a pagina 10-8 Web Reputation e URL approvati a pagina 10-9 Monitoraggio del comportamento a pagina 10-9 Filtro contenuti IM a pagina 10-9 Impostazioni avvisi a pagina Impostazioni Watchdog a pagina Disinstallazione Agent a pagina Programma Agent a pagina Fare clic su Salva. Location Awareness Location Awareness controlla le impostazioni di connessione In ufficio/fuori ufficio. Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Attivare Location Awareness: queste impostazioni incidono sulle impostazioni della connessione In ufficio/fuori ufficio di Firewall, Web Reputation, TrendSecure e Smart Scan. Informazioni sul gateway: i client e le connessioni presenti in questo elenco utilizzano le impostazioni Connessione interna durante la connessione in remoto alla rete (mediante VPN) e con l'opzione Location Awareness attivata. Indirizzo IP gateway Indirizzo MAC: l'aggiunta dell'indirizzo MAC migliora la sicurezza consentendo solo al dispositivo configurato di connettersi. Per eliminare una voce, fare clic sull'icona del cestino corrispondente. 10-6

231 Gestione delle impostazioni globali Impostazioni generali di scansione Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Disattiva servizio Smart Scan: imposta tutti i client nella modalità di scansione tradizionale. Il servizio Smart Scan non sarà disponibile finché non viene nuovamente attivato da qui. Escludi la cartella del database Security Server: impedisce agli Agent installati su Security Server di sottoporre a scansione il proprio database solo durante la scansione in tempo reale. Nota. Per impostazione predefinita, WFBS-A non esegue la scansione sul proprio database. Trend Micro consiglia di non modificare tale impostazione per evitare che il database venga danneggiato nel corso della scansione. Escludi le cartelle del server Microsoft Exchange in caso di installazione su server Microsoft Exchange: impedisce agli agenti installati sul server Microsoft Exchange di sottoporre a scansione le cartelle Microsoft Exchange. Escludi cartelle Microsoft Domain Controller: impedisce agli agenti installati sul Domain Controller di sottoporre a scansione le cartelle Domain Controller. Queste cartelle memorizzano le informazioni dell'utente, i nomi utente, le password e le informazioni importanti. Escludi sezioni Shadow Copy: Shadow Copy o Volume Snapshot Service effettuano copie manuali o automatiche di backup o istantanee di un file o una cartella su un volume specifico. Impostazioni di scansione virus Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Configura le impostazioni di scansione per file compressi di grandi dimensioni: Specificare le dimensioni massime del file estratto e il numero di file nel file compresso che l'agente dovrebbe sottoporre a scansione. Disinfetta i file compressi: gli agenti cercano di disinfettare i file infetti all'interno di un file compresso. 10-7

232 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Scansione fino a { } livelli OLE: Gli agenti sottopongono a scansione il numero specificato di livelli Object Linking and Embedding (OLE). La funzione OLE consente agli utenti di creare oggetti mediante un'applicazione e di collegarli o incorporarli in un'altra applicazione. Ad esempio, un file.xls incorporato in un file.doc. Aggiungi scansione manuale al menu dei collegamenti di Windows nei client: consente di aggiungere una scansione con il collegamento a Client/Server Security Agent al menu sensibile al contesto. Con questa opzione, gli utenti possono fare clic su un file o una cartella (sul desktop o in Esplora risorse di Windows) ed eseguire la scansione manuale di file o cartelle. Impostazioni di scansione spyware/grayware Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Esegui scansione cookie: gli agenti analizzano e rimuovono i cookie scaricati nei client durante la consultazione dei siti Web. I cookie rilevati vengono aggiunti al conteggio di spyware/grayware nella pagina Stato in tempo reale. Conta cookie nel registro spyware: aggiunge ogni cookie dello spyware individuato nel registro spyware. Disattivazione del firewall Selezionare la casella di controllo Disabilita firewall e disinstalla driver per disinstallare il firewall del client WFBS-A e rimuovere i driver ad esso associati. Eseguire questa operazione solo se i client sono protetti da un altro firewall. Nota. Se si disabilita il firewall, le impostazioni correlate non saranno disponibili fino alla riattivazione del firewall. 10-8

233 Gestione delle impostazioni globali Web Reputation e URL approvati Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Attiva registri sull'uso di CSA: gli agenti inviano informazioni dettagliate sugli URL visitati al Security Server. URL da approvare: separare più URL con il punto e virgola (;). Fare clic su Aggiungi. Nota. L'approvazione di un URL comporta l'approvazione di tutti i sottodomini corrispondenti. Elenco URL approvati: gli URL contenuti in questo elenco non vengono bloccati. Per eliminare una voce, fare clic sull'icona del cestino corrispondente. Monitoraggio del comportamento Il Monitoraggio del comportamento protegge i client da modifiche non autorizzate al sistema operativo, alle voci di registro, ad altri programmi, file e cartelle. Attiva le finestre a comparsa per modifiche a basso rischio o il monitoraggio delle operazioni: Gli agenti avvertono gli utenti delle modifiche a basso rischio o delle operazioni monitorate. Filtro contenuti IM Gli amministratori possono limitare l'utilizzo di determinate parole o frasi nelle applicazioni di messaggistica istantanea. La messaggistica istantanea è una forma di comunicazione in tempo reale tra due o più persone basata sulla digitazione di testo. Il testo viene trasmesso tramite client collegati da una rete. Gli agenti possono limitare le parole utilizzabili nelle seguenti applicazioni di messaggistica istantanea: America Online Instant Messenger (AIM) 6 (non sono supportate le build successive a marzo 2008) ICQ 6 (non sono supportate le build successive a marzo 2008) MSN Messenger 7.5,

234 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Windows Messenger Live 8.1, 8.5 Yahoo! Messenger 8.1 Nella scheda Desktop/Server della schermata Impostazioni globali, utilizzare i seguenti campi in base alle descrizioni: Parole vietate: utilizzare questo campo per aggiungere parole o frasi vietate. È possibili limitare a un massimo di 31 parole o frasi. La lunghezza massima di ogni parola o frase è di 35 caratteri (17 per i caratteri cinesi). Digitare una o più voci separate da punto e virgola (;), quindi fare clic su Aggiungi >>. Elenco di parole/frasi vietate: le parole e le frasi riportate in questo elenco non possono essere utilizzate nelle conversazioni di messaggistica istantanea. Per eliminare una voce, fare clic sull'icona del cestino corrispondente. Impostazioni avvisi Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il file di pattern dei virus non è aggiornato da { } giorni: visualizza un'icona di avviso sui client quando il file di pattern non è aggiornato da un determinato numero di giorni. Impostazioni Watchdog L'opzione Watchdog garantisce che Client/Server Security Agent fornisca una protezione costante ai client. Quando attivato, il servizio Watchdog controlla la disponibilità dell'agente ogni x minuti. Se l'agente non è disponibile, Watchdog tenta di riavviarlo. Suggerimento: Per garantire che Client/Server Security Agent protegga i computer client, Trend Micro consiglia di attivare il servizio Watchdog. Se Client/Server Security Agent si chiude inaspettatamente (evento probabile in caso di attacco al client da parte di un hacker), il servizio Watchdog riavvia Client/Server Security Agent

235 Gestione delle impostazioni globali Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Attiva il servizio Watchdog dell'agent Controlla stato client ogni {} minuti: determina la frequenza con cui il servizio Watchdog controlla lo stato del client. Se non è possibile avviare il client, ritentare { } volte: stabilisce il numero di tentativi di riavvio di Client/Server Security Agent da parte del servizio Watchdog. Disinstallazione Agent Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Consente all'utente client di disinstallare Client/Server Security Agent senza una password: consente agli utenti di disinstallare Client/Server Security Agent. Richiedi la password per consentire all'utente client di disinstallare Client/Server Security Agent: consente agli utenti di disinstallare il Client/Server Security Agent dopo che hanno fornito la password specificata. Programma Agent Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Consente agli utenti client di chiudere il programma Agent sul computer in uso senza password: consente agli utenti di chiudere il programma Client/Server Security Agent. Richiede agli utenti client di inserire una password per chiudere il programma Agent: consente agli utenti di chiudere il programma Client/Server Security Agent dopo aver inserito la password specificata

236 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Opzioni di sistema Percorso di navigazione: Preferenze > Impostazioni globali > scheda Sistema La sezione Sistema della schermata Impostazioni globali contiene opzioni che consentono di rimuovere automaticamente gli agenti inattivi, di controllare le connessioni degli agenti e di gestire la cartella di quarantena. FIGURA Scheda Sistema della schermata Impostazioni globali Per impostare le opzioni di sistema: 1. Nella scheda Sistema della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Rimozione Client/Server Security Agent inattivi a pagina Verifica dello stato della connessione tra server e client a pagina Gestione della cartella di quarantena a pagina Fare clic su Salva

237 Gestione delle impostazioni globali Rimozione Client/Server Security Agent inattivi Quando si utilizza il programma di disinstallazione Client/Server Security Agent sul client per rimuovere gli agenti da un client, il programma invia automaticamente una notifica al Security Server. Quando Security Server riceve questa notifica, l'icona del client viene rimossa dalla struttura dei gruppi di protezione per segnalare che il client non esiste più. Se invece Client/Server Security Agent viene rimosso con altri metodi, ad esempio riformattando il disco rigido del computer oppure eliminando manualmente i file del client, Security Server non rileva la rimozione di Client/Server Security Agent, che viene quindi visualizzato come inattivo. Se un utente rimuove o disattiva l'agente per un periodo di tempo prolungato, anche il Security Server mostra Client/Server Security Agent come inattivo. Per fare in modo che la struttura dei gruppi di protezione mostri soltanto i client attivi, è possibile configurare il Security Server in modo che rimuova automaticamente i Client/Server Security Agent inattivi dalla struttura dei gruppi di protezione. Per rimuovere i moduli agente inattivi: 1. Nella scheda Sistema della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Attiva la rimozione automatica di Client/Server Security Agent inattivi: consente la rimozione automatica dei client che non si sono collegati a Security Server per un determinato numero di giorni. Rimuovi automaticamente un Client/Server Security Agent se inattivo per {} giorni: indica il numero di giorni per il quale un client può essere inattivo prima di essere rimosso dalla console Web. 2. Fare clic su Salva. Verifica dello stato della connessione tra server e client WFBS-A riporta, per mezzo di icone, lo stato della connessione del client nella struttura dei gruppi di protezione. Tuttavia, alcune condizioni potrebbero impedire alla struttura dei gruppi di protezione di visualizzare correttamente lo stato della connessione del client. Se, ad esempio, il cavo della rete di un client viene involontariamente scollegato, il client non sarà in grado di notificare a Security Server di essere momentaneamente offline. Nella struttura dei gruppi di protezione il client verrà pertanto visualizzato ancora come online

238 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Dalla console Web è possibile controllare manualmente o in modo programmato la connessione tra client e server. Nota. L'opzione Verifica connessione non consente la selezione di gruppi o client specifici. Verifica la connessione a tutti i client registrati con Security Server. Per verificare lo stato della connessione tra client e server: 1. Nella scheda Sistema della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Attiva la verifica pianificata: Attiva la verifica pianificata della comunicazione tra agente e Security Server. Frequenza oraria Frequenza giornaliera Frequenza settimanale, ogni Ora di inizio: l'orario in cui dovrebbe iniziare la verifica. Verifica ora: verifica immediatamente la connessione tra l'agente e Security Server. 2. Fare clic su Salva. Gestione della cartella di quarantena Quando un agente rileva una minaccia Internet in un file e l'operazione di scansione prevista per questo tipo di minaccia è la messa in quarantena, l'agente codifica il file infetto, lo posiziona nella cartella di quarantena del client e lo invia alla cartella di quarantena di Trend Micro Security Server. WFBS-A effettua la codifica crittografica del file per evitare che possa infettare altri file. La posizione predefinita della cartella di quarantena di Client/Server Security Agent è la seguente: C:\Programmi\Trend Micro\Client Server Security Agent\SUSPECT La posizione predefinita della cartella di quarantena di Trend Micro Security Server è la seguente: 10-14

239 Gestione delle impostazioni globali C:\Programmi\Trend Micro\Security Server\PCCSRV\Virus Nota. Se l'agente non riesce a inviare il file codificato a Trend Micro Security Server per un qualsiasi motivo (ad esempio, per problemi con la connessione di rete), il file crittografato rimane nella cartella di quarantena del client. L'agente tenta di inviare nuovamente il file quando esegue una nuova connessione a Trend Micro Security Server. Per ulteriori informazioni sulla configurazione delle impostazioni di scansione o sulla modifica della posizione della cartella di quarantena, consultare Impostazioni di scansione virus a pagina Per eseguire la manutenzione delle cartelle di quarantena: 1. Nella scheda Sistema della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Capacità cartella di quarantena: le dimensioni della cartella di quarantena in MB. Dimensioni massime di un singolo file: le dimensioni massime di un solo file memorizzato nella cartella di quarantena in MB. Elimina tutti i file in quarantena: elimina tutti i file presenti nella cartella della quarantena. Se la cartella è piena e viene caricato un nuovo file, questo file non viene memorizzato. 2. Fare clic su Salva

240 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 10-16

241 Capitolo 11 Gestione degli aggiornamenti In questo capitolo viene illustrato come utilizzare e configurare gli aggiornamenti manuali e pianificati. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Aggiornamento dei componenti a pagina 11-2 Componenti da aggiornare a pagina 11-3 Aggiornamento di Security Server a pagina 11-6 Origini di aggiornamento a pagina 11-7 Aggiornamenti manuali a pagina Aggiornamenti pianificati a pagina Rollback o sincronizzazione dei componenti a pagina

242 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Aggiornamento dei componenti WFBS facilita l'aggiornamento ai componenti più recenti facendo in modo che gli agenti ricevano automaticamente i componenti aggiornati da Security Server. WFBS scarica i componenti dal server Trend Micro ActiveUpdate: Quando si installa il prodotto per la prima volta, tutti i componenti di Security Server e degli agenti vengono immediatamente aggiornati da Trend Micro ActiveUpdate Server. Ogniqualvolta viene avviato il servizio principale di WFBS, il server ActiveUpdate viene controllato per individuare aggiornamenti disponibili. Per impostazione predefinita, gli aggiornamenti pianificati vengono eseguiti ogni ora per il Security Server. Per impostazione predefinita, Messaging Security Agent esegue un aggiornamento pianificato ogni 24 ore alle ore 12:00. Per impostazione predefinita, Client/Server Security Agent esegue un aggiornamento pianificato ogni otto ore. Suggerimento: per fare in modo che i moduli Client/Server Security Agent restino aggiornati anche quando non sono connessi a Security Server, impostare i moduli Client/Server Security Agent in modo da ricevere gli aggiornamenti da un'origine alternativa (Configurazione di un'origine di aggiornamento a pagina 11-8). Si tratta di una funzionalità utile per gli utenti finali che si trovano spesso fuori sede e disconnessi dalla rete locale. Le impostazioni consigliate da Trend Micro per l'aggiornamento dei componenti forniscono una protezione sufficiente per aziende di piccole e medie dimensioni. Se necessario, è possibile eseguire gli aggiornamenti manuali o modificare gli aggiornamenti pianificati. 11-2

243 Gestione degli aggiornamenti ActiveUpdate ActiveUpdate è una funzione condivisa da molti prodotti Trend Micro. Collegandosi al sito Web degli aggiornamenti di Trend Micro, ActiveUpdate consente di scaricare via Internet le versioni più recenti dei file di pattern antivirus, dei motori di scansione e dei file di programma. ActiveUpdate non interrompe i servizi di rete e non richiede il riavvio dei client. Aggiornamenti incrementali dei file di pattern ActiveUpdate supporta gli aggiornamenti incrementali dei file di pattern. Piuttosto che scaricare l'intero file di pattern ogni volta, ActiveUpdate è in grado di scaricare solo la porzione nuova del file e aggiungerla al file di pattern esistente. Questo efficace metodo di aggiornamento riduce in maniera significativa la larghezza di banda necessaria per l'aggiornamento del software antivirus. Uso di ActiveUpdate con WFBS-A Fare clic su Server ActiveUpdate di Trend Micro nella schermata Aggiornamenti > Origine aggiornamenti per impostare Security Server in modo da utilizzare il server ActiveUpdate come origine per gli aggiornamenti manuali e pianificati dei componenti. Al momento dell'aggiornamento di un componente, Security Server esegue direttamente il polling del server ActiveUpdate. Se un nuovo componente risulta disponibile per lo scaricamento, Security Server provvede a scaricarlo dal server ActiveUpdate. Componenti da aggiornare Per garantire la continua protezione dei client contro le minacce virus più recenti, è necessario aggiornare regolarmente i componenti di WFBS. Configurare Security Server per il download dei componenti WFBS dal server ActiveUpdate. Il server ActiveUpdate fornisce i componenti più aggiornati, quali file di pattern antivirus, motori di scansione e file di programma. Dopo che il server ha scaricato tutti gli aggiornamenti disponibili, esegue automaticamente l'implementazione dei componenti aggiornati sugli agenti. WFBS prevede due metodi per aggiornare i componenti: Per aggiornare i componenti manualmente, vedere Aggiornamento manuale dei componenti a pagina

244 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per aggiornare i componenti in base a una pianificazione, vedere Pianificazione degli aggiornamenti dei componenti a pagina Se per il collegamento a Internet si utilizza un server proxy, accertarsi che le impostazioni proxy per lo scaricamento degli aggiornamenti siano corrette. Per ulteriori informazioni, vedere Opzioni proxy di Internet a pagina TABELLA Componenti da aggiornare COMPONENTE Antivirus Anti-spyware Anti-spam COMPONENTE SECONDARIO Pattern antivirus Motore di scansione virus a 32 bit Motore di scansione antivirus a 64 bit Modello disinfezione virus Motore disinfezione virus a 32 bit Motore di disinfezione antivirus a 64 bit Motore di scansione di Messaging Security Agent a 32 bit Motore di scansione di Messaging Security Agent a 64 bit Pattern eccezioni IntelliTrap Pattern IntelliTrap Motore feedback a 32 bit Motore commenti a 64 bit Pattern per Smart Scan Pattern per Smart Scan Agent Motore di scansione spyware a 32 bit Motore di scansione spyware a 64 bit Pattern spyware Schema di monitoraggio attivo dello spyware Pattern anti-spam Motore anti-spam a 32 bit Motore anti-spam a 64 bit 11-4

245 Gestione degli aggiornamenti TABELLA Componenti da aggiornare (segue) COMPONENTE Web Reputation Comportamento Monitoraggio Difesa dalle infezioni Virus di rete COMPONENTE SECONDARIO Motore filtro URL a 32 bit Motore filtro URL a 64 bit Driver del monitoraggio del comportamento Servizio principale monitoraggio del comportamento Pattern implementazione dei criteri Pattern firma digitale Pattern di configurazione monitoraggio del comportamento Pattern di disattivazione monitoraggio del comportamento Pattern vulnerabilità Pattern comune per firewall Motore firewall comune a 32 bit Motore firewall comune a 64 bit Driver TDI a 32 bit Driver Transport Driver Interface(TDI) a 64 bit Driver WFP a 32 bit Driver WFP a 64 bit Per informazioni dettagliate su ogni componente, consultare Componenti di a pagina Orari di aggiornamento predefiniti Per impostazione predefinita, WFBS scarica i componenti, se necessario, da Trend Micro ActiveUpdate Server nei seguenti casi: Quando si installa il prodotto per la prima volta, tutti i componenti di Security Server e degli agenti vengono immediatamente aggiornati da Trend Micro ActiveUpdate Server. All'avvio del master service WFBS, Security Server aggiorna i Criteri di difesa dalle infezioni. 11-5

246 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per impostazione predefinita, gli aggiornamenti pianificati vengono eseguiti ogni ora per il Security Server. Per garantire che gli agenti siano sempre aggiornati, Client/Server Security Agent esegue un aggiornamento pianificato ogni 8 ore. Le impostazioni consigliate da Trend Micro per l'aggiornamento dei componenti forniscono una protezione sufficiente per aziende di piccole e medie dimensioni. Se necessario, è possibile eseguire gli aggiornamenti manuali o modificare gli aggiornamenti pianificati. Generalmente Trend Micro aggiorna il motore di scansione o il programma solo in occasione dell'uscita di una nuova versione di WFBS. Tuttavia, Trend Micro pubblica i nuovi file di pattern con frequenza regolare. Aggiornamento di Security Server WFBS esegue automaticamente gli aggiornamenti seguenti: Quando si installa il prodotto per la prima volta, tutti i componenti di Security Server e dei client vengono immediatamente aggiornati da Trend Micro ActiveUpdate Server. Quando viene avviato WFBS, Security Server aggiorna i componenti e i criteri di difesa dalle infezioni. Per impostazione predefinita, gli aggiornamenti pianificati vengono eseguiti ogni ora. Per garantire che i client siano costantemente aggiornati, gli agenti eseguono un aggiornamento pianificato ogni 8 ore. Per configurare Trend Micro Security Server in modo che esegua gli aggiornamenti: 1. Selezionare un'origine di aggiornamento. Fare riferimento a Origini di aggiornamento a pagina Configurare Trend Micro Security Server per gli aggiornamenti manuali o pianificati. Fare riferimento a Aggiornamenti manuali a pagina e Aggiornamenti pianificati a pagina Utilizzare Privilegi client per configurare le opzioni di aggiornamento dei client. 11-6

247 Gestione degli aggiornamenti Origini di aggiornamento Nella scelta delle posizioni di aggiornamento degli agenti, tenere in considerazione l'ampiezza di banda delle sezioni della rete che si trovano tra i client e le origini di aggiornamento. La tabella seguente descrive varie opzioni di aggiornamento dei componenti e consiglia quando utilizzarle: TABELLA Opzioni origine di aggiornamento OPZIONE DI AGGIORNAMENTO Server ActiveUpdate > Trend Micro Security Server > Client Server ActiveUpdate > Trend Micro Security Server > Update Agent > Client DESCRIZIONE Trend Micro Security Server riceve i componenti aggiornati dal server ActiveUpdate (o da un'altra origine di aggiornamento) e li implementa direttamente sui client. Trend Micro Security Server riceve i componenti aggiornati dal server ActiveUpdate (o da un'altra origine di aggiornamento) e li implementa direttamente sugli Update Agent, che implementano i componenti sui client. RACCOMANDAZIONE Utilizzare questo metodo se non vi sono sezioni della rete tra Trend Micro Security Server e i client identificate come "a bassa ampiezza di banda". Utilizzare questo metodo per compensare il carico di traffico sulla rete, se non vi sono sezioni della rete tra Trend Micro Security Server e i client identificate come "a bassa ampiezza di banda". 11-7

248 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA Opzioni origine di aggiornamento (segue) OPZIONE DI AGGIORNAMENTO Server ActiveUpdate > Update Agent > Client DESCRIZIONE Gli Update Agent ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un altro Update Agent) e li implementano sui client. RACCOMANDAZIONE Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento di Update Agent da Trend Micro Security Server o da un altro Update Agent. Nella maggior parte dei casi, gli Update Agent ricevono gli aggiornamenti più velocemente da Trend Micro Security Server o da altri Update Agent che da un'origine di aggiornamento esterna. Configurazione di un'origine di aggiornamento Percorso di navigazione: Aggiornamenti > Origine FIGURA Schermata Origine di aggiornamento 11-8

249 Gestione degli aggiornamenti Per configurare un'origine di aggiornamento per Security Server: 1. Nella schermata Origine, aggiornare le seguenti opzioni in base alle necessità: Trend Micro ActiveUpdate Server: Trend Micro ActiveUpdate Server è l'impostazione predefinita di Trend Micro per quanto riguarda l'origine di download. Trend Micro carica i nuovi componenti sul server ActiveUpdate non appena questi diventano disponibili. Selezionare il server ActiveUpdate come origine se si eseguono aggiornamenti frequenti e puntuali. Nota: se si indica un'origine diversa da Trend Micro ActiveUpdate Server per la ricezione degli aggiornamenti, tutti i server che ricevono aggiornamenti devono avere accesso a tale origine. Percorso intranet contenente una copia del file corrente: scaricare i componenti da un'origine Intranet che riceve i componenti aggiornati. Inserire il percorso UNC (Universal Naming Convention) di un altro server della rete e impostare una directory di quel server di destinazione come cartella condivisa a disposizione di tutti i server che ricevono gli aggiornamenti (ad esempio, \Web\ActiveUpdate). Origine aggiornamenti alternativa: scaricare i componenti da Internet o da un'altra origine. Rendere disponibile la directory virtuale HTTP di destinazione (condivisa tramite Web) per tutti i server che ricevono gli aggiornamenti. 2. Fare clic su Salva. Utilizzo di Update Agent Percorso di navigazione: Aggiornamenti > Origine > scheda Security Agent Se si impostano sezioni della propria rete tra i client e il Trend Micro Security Server come "a bassa ampiezza di banda" o "a traffico intenso", è possibile impostare gli agenti affinché fungano da origini di aggiornamento (Update Agent) per altri agenti. Questa operazione consente di distribuire il carico dell'implementazione dei componenti su tutti gli agenti. 11-9

250 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Ad esempio, se la rete è segmentata per sede e il collegamento di rete tra i segmenti è caratterizzato da un carico di traffico pesante, Trend Micro consiglia di fare in modo che almeno un agente di ogni segmento agisca da Update Agent. Per consentire agli agenti di agire come Update Agent: 1. Nella scheda Security Agent della schermata Origine, fare clic su Aggiungi nella sezione Assegna Update Agent. 2. Dalla casella a discesa Seleziona Security Agent, selezionare uno o più agenti da impostare come Update Agent. 3. Fare clic su Salva. Per rimuovere Update Agent, selezionare la casella di controllo corrispondente a Nome computer e fare clic su Rimuovi. Nota: salvo diversamente specificato nella sezione Origini di aggiornamento alternative, tutti gli Update Agent ricevono gli aggiornamenti da Trend Micro Security Server. Per consentire agli agenti di ottenere gli aggiornamenti da un'origine di aggiornamento alternativa: 1. Dalla scheda Security Agent presente nella schermata Origine, aggiornare le seguenti opzioni in base alle necessità: Attiva origini di aggiornamento alternative Aggiorna sempre da Security Server per gli Update Agent: questo è un passaggio facoltativo per garantire che gli agenti ricevano gli aggiornamenti solo da Security Server. Nota: se questa opzione è selezionata, gli Update Agent scaricano gli aggiornamenti da Trend Micro Security Server anche se il loro indirizzo IP rientra negli intervalli specificati nella schermata Aggiungi un'origine di aggiornamento alternativa. Per utilizzare questa funzione, è necessario che Attiva origini di aggiornamento alternative sia stata selezionata. 2. Fare clic su Salva

251 Gestione degli aggiornamenti Per aggiungere origini di aggiornamento alternative: 1. Nella scheda Security Agent della schermata Origine, fare clic su Aggiungi nella sezione Origini di aggiornamento alternative. 2. Aggiornare le seguenti opzioni, in base alle necessità: IP da e IP fino a: i client i cui indirizzi IP rientrano in questo intervallo ricevono gli aggiornamenti dall'origine di aggiornamento specificata. Nota: per specificare un Client/Server Security Agent singolo, immettere l'indirizzo IP di Client/Server Security Agent nei campi IP da e IP fino a. Origine aggiornamenti Update Agent: se l'elenco a discesa non è disponibile, non è stato configurato alcun Update Agent. Specificato: il percorso a un Update Agent o a un server ActiveUpdate. 3. Fare clic su Salva. Per rimuovere un'origine di aggiornamento alternativa, selezionare la casella di controllo corrispondente a Intervallo IP e fare clic su Rimuovi. Nota: Client/Server Security Agent non specificati ricevono gli aggiornamenti automaticamente da Trend Micro Security Server

252 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Aggiornamenti manuali Percorso di navigazione: Aggiornamenti > Manuali Security Server utilizza i componenti per eseguire scansioni, identificare minacce ed effettuare disinfezioni al fine di proteggere e disinfettare i desktop e i server. È quindi essenziale che i componenti siano costantemente aggiornati. Se si fa clic su Aggiorna ora, Security Server esegue la ricerca dei componenti aggiornati. Se i componenti aggiornati sono disponibili, Security Server li scarica e inizia ad implementarli sui client. La schermata della scansione manuale contiene gli elementi elencati di seguito. Componenti: seleziona o deseleziona tutti gli elementi della schermata. Versione corrente: visualizza la versione attuale del componente. Non si tratta necessariamente della versione più recente. Ultimo aggiornamento: indica il momento in cui Security Server ha scaricato il componente più recente

253 Gestione degli aggiornamenti Aggiornamento manuale dei componenti Percorso di navigazione: Aggiornamenti > Aggiornamento manuale FIGURA Schermata Aggiornamento manuale Per aggiornare manualmente i componenti: 1. Nella schermata Aggiornamento manuale, aggiornare le seguenti opzioni, in base alle necessità: Componenti: per selezionare tutti i componenti, selezionare la casella di controllo Componenti. Per selezionare i singoli componenti, fare clic su per visualizzare i componenti da aggiornare e selezionare le caselle di controllo corrispondenti. Per informazioni su ciascun componente, consultare Componenti da aggiornare a pagina Fare clic su Aggiorna ora o Salva. Per la pianificazione degli aggiornamenti, consultare Pianificazione degli aggiornamenti dei componenti a pagina Nota: dopo che il server ha eseguito il download dei componenti aggiornati, li implementa automaticamente sui moduli agente

254 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Aggiornamenti pianificati Percorso di navigazione: Aggiornamenti > Pianificati Security Server utilizza i componenti per eseguire scansioni, identificare minacce ed effettuare disinfezioni al fine di proteggere e disinfettare i desktop e i server. È quindi essenziale che i componenti siano costantemente aggiornati. Se si fa clic su Aggiorna ora, Security Server esegue la ricerca dei componenti aggiornati. Se i componenti aggiornati sono disponibili, Security Server li scarica e inizia ad implementarli sui client. Pianificazione degli aggiornamenti dei componenti Percorso di navigazione: Aggiornamenti > Scansione pianificata > scheda Pianificazione Pianificare gli aggiornamenti per ricevere automaticamente i componenti più aggiornati e ostacolare meglio le minacce. Suggerimento: evitare di pianificare una scansione e un aggiornamento nello stesso momento. In situazioni del genere, la scansione pianificata potrebbe subire interruzioni impreviste. FIGURA Schermata Aggiornamento pianificato 11-14

255 Gestione degli aggiornamenti Per pianificare un aggiornamento: 1. Nella scheda Componenti, selezionare i componenti da aggiornare. Per selezionare tutti i componenti, selezionare la casella di controllo accanto a Componenti. 2. Nella scheda Pianificata, indicare la frequenza di aggiornamento dei componenti. 3. Fare clic su Salva. Suggerimento: in presenza di virus/minacce informatiche, Trend Micro risponde velocemente alle richieste di aggiornamento dei file di pattern antivirus (la frequenza può essere superiore a quella settimanale). Vengono aggiornati regolarmente anche il motore di scansione e altri componenti. Trend Micro consiglia di aggiornare i componenti ogni giorno (o con maggiore frequenza, in caso di virus/minacce informatiche conclamati) per essere certi che l'agente si serva dei componenti più aggiornati. Rollback o sincronizzazione dei componenti Percorso di navigazione: Aggiornamenti > Rollback Il rollback consente di riportare un file di pattern antivirus o un motore di scansione alla versione precedente. Se il file di pattern o il motore di scansione in uso non funziona correttamente, è possibile eseguire il rollback delle versioni precedenti di questi componenti. La sincronizzazione esegue l'implementazione dei componenti aggiornati su tutti gli agenti. Gli agenti utilizzano i seguenti motori di scansione: Pattern antivirus Pattern per Smart Scan Agent Motore di scansione virus a 32 bit Motore di scansione antivirus a 64 bit 11-15

256 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Il rollback di questi tipi di motore di scansione deve essere eseguito separatamente. Le procedure di rollback per entrambi i tipi di motore di scansione sono identiche. Trend Micro Security Server conserva esclusivamente la versione attuale e quella precedente del motore di scansione e gli ultimi cinque file di pattern. FIGURA Schermata Rollback Per eseguire il rollback o sincronizzare i file di pattern o i motori di scansione: Nella schermata Rollback, selezionare le seguenti opzioni, in base alle necessità: Rollback: ripristina i componenti di Security Server e dell'agente alla versione precedente. Sincronizza: esegue l'implementazione dei componenti aggiornati sugli agenti. Hotfix, patch e service pack Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch e service pack per risolvere problemi, migliorare le prestazioni del prodotto oppure aggiungere nuove funzioni. Si riporta di seguito una sintesi degli elementi che Trend Micro può pubblicare. Hot fix: un accorgimento o soluzione a un problema specifico riscontrato dagli utenti. Le soluzioni hot fix sono specifiche per determinati problemi e pertanto non vengono rilasciate a tutti i clienti. Le soluzioni hot fix Windows includono un programma di installazione. Di solito è necessario arrestare i daemon del programma, copiare il file per sovrascriverne la controparte nell'installazione e riavviare i daemon. Patch di sicurezza: hot fix per problemi di protezione adatta alla distribuzione a tutti i clienti. Le patch di sicurezza Windows includono un programma di installazione

257 Gestione degli aggiornamenti Patch: un gruppo di hot fix e patch di sicurezza che risolvono più problemi del programma. Trend Micro rende disponibili le patch regolarmente. Le patch di protezione Windows includono un programma di installazione. Service Pack: un consolidamento di hot fix, patch e miglioramenti alle funzioni significativo al punto da rappresentare un aggiornamento del prodotto. Sia i service pack Windows che non Windows includono un programma di installazione e uno script di installazione. Quando questi elementi vengono resi disponibili, l'utente viene informato dal rivenditore o dal fornitore dell'assistenza. Per informazioni sulla pubblicazione di hot-fix, patch e service pack, consultare il sito Web di Trend Micro: Tutte le release includono un file ReadMe con le informazioni necessarie per l'installazione, l'implementazione e la configurazione del prodotto. Leggere attentamente il file ReadMe prima di installare file di hot fix, patch o service pack

258 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 11-18

259 Capitolo 12 Utilizzo dei registri e dei rapporti In questo capitolo viene descritto come utilizzare i registri e i rapporti per monitorare il sistema e analizzare la protezione. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Registri a pagina 12-2 Rapporti a pagina 12-5 Gestione di registri e rapporti a pagina

260 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Registri WFBS mantiene aggiornati dei registri su incidenti, eventi e aggiornamenti relativi a virus/minacce informatiche e spyware/grayware. Tali registri consentono di valutare le politiche di protezione della propria organizzazione e di identificare i client caratterizzati da un più elevato rischio di infezione. Utilizzare inoltre questi registri per verificare la corretta esecuzione della distribuzione degli aggiornamenti. Nota: per visualizzare i file di registro in formato CSV è possibile utilizzare applicazioni per foglio di calcolo. WFBS conserva i registri nelle seguenti categorie: Registri eventi console di gestione Registri Desktop/Server Registri server Microsoft Exchange TABELLA Tipo di registro e contenuto TIPO (EVENTO O ELEMENTO CHE HA GENERATO L'IMMISSIONE NEL REGISTRO) CONTENUTO (TIPO DI REGISTRO DA CUI OTTENERE CONTENUTO) Eventi console di gestione Scansione manuale Aggiornamento Eventi di difesa contro le infezioni Eventi console 12-2

261 Utilizzo dei registri e dei rapporti TABELLA Tipo di registro e contenuto (segue) TIPO (EVENTO O ELEMENTO CHE HA GENERATO L'IMMISSIONE NEL REGISTRO) CONTENUTO (TIPO DI REGISTRO DA CUI OTTENERE CONTENUTO) Desktop/Server Server Microsoft Exchange Registri virus Scansione manuale Scansione in tempo reale Scansione pianificata Disinfezione Registri spyware/grayware Scansione manuale Scansione in tempo reale Scansione pianificata Registri Web Reputation Registri di filtro URL Registri di monitoraggio del comportamento Registri di aggiornamento Registri dei virus di rete Registri di difesa dalle infezioni Registri eventi Registri virus Registri parti non analizzabili dei messaggi Registri di blocco allegati Registri di filtro dei contenuti Registri di aggiornamento Registri di backup Registri di archivio Registri di difesa dalle infezioni Registri di eventi scansione Registro Parti non analizzabili dei messaggi 12-3

262 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Utilizzo delle query del registro Percorso di navigazione: Rapporti > Query del registro È possibile eseguire query di registro per raccogliere informazioni dal database di registro. La schermata Query del registro consente di impostare ed eseguire le query. È possibile esportare i risultati in formato CSV o stamparli. Nota: un MSA invia i registri a Security Server ogni cinque minuti (a prescindere da quando è stato generato il registro). FIGURA Schermata Query del registro predefinita Per visualizzare i registri: 1. Nella schermata Query del registro, aggiornare le seguenti opzioni, in base alle necessità: Intervallo di tempo Intervallo preconfigurato Intervallo specificato: per limitare la query a determinate date. 12-4

263 Utilizzo dei registri e dei rapporti Tipo: per visualizzare il contenuto di ogni tipo di registro, consultare la Tabella 12-1 a pagina Eventi console di gestione Desktop/Server Microsoft Exchange Server Contenuto: le opzioni a disposizione dipendono dal Tipo di registro. 2. Fare clic su Visualizza registri. Per salvare il registro come file di valori separati da virgole (CSV), fare clic su Esporta. Per visualizzare i file CSV è possibile utilizzare un'applicazione per foglio di calcolo. FIGURA Schermata Query del registro esemplificativa Rapporti Questa sezione illustra come configurare i rapporti singoli e pianificati. Rapporti singoli È possibile generare rapporti singoli per visualizzare informazioni di registro in un formato organizzato e graficamente piacevole. Rapporti pianificati I contenuti dei rapporti pianificati sono simili a quelli dei rapporti singoli, ma vengono generati all'ora e con la frequenza specificate. Per generare rapporti pianificati, selezionare i contenuti dei rapporti e salvarli come modello. All'ora e con la frequenza specificate, WFBS utilizza il modello per generare il rapporto. 12-5

264 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Interpretazione dei rapporti I rapporti di WFBS contengono le informazioni seguenti. Le informazioni visualizzate possono variare in base alle opzioni selezionate. TABELLA Contenuti di un rapporto VOCE RAPPORTO Antivirus Cronologia della difesa dalle infezioni DESCRIZIONE Riepilogo sui virus desktop/server I rapporti sui virus mostrano informazioni dettagliate sui numeri e sui tipi di virus/minacce informatiche rilevati dal motore di scansione e sulle azioni intraprese per eliminarli. Il rapporto elenca anche i nomi dei virus e delle minacce informatiche principali. Fare clic sui nomi dei virus o delle minacce informatiche per aprire una nuova pagina del browser Web e visitare l'enciclopedia dei virus di Trend Micro, contenente ulteriori informazioni su tali virus e minacce. Primi 5 desktop/server con rilevamenti di virus Mostra i primi cinque computer desktop o server su cui sono stati rilevati dei virus e delle minacce informatiche. Il rilevamento di incidenti virali e di minacce informatiche frequenti sullo stesso client potrebbe indicare che tale client rappresenta un elevato rischio per la sicurezza e che potrebbe essere necessario effettuare ulteriori indagini. Cronologia della difesa dalle infezioni Visualizza le infezioni recenti, la loro severità e identifica il virus/la minaccia informatica che causa l'infezione e la relativa modalità di trasmissione (mediante o file). 12-6

265 Utilizzo dei registri e dei rapporti TABELLA Contenuti di un rapporto (segue) VOCE RAPPORTO Anti-spyware Riepilogo anti-spam Web Reputation Categoria URL DESCRIZIONE Riepilogo spyware/grayware per PC desktop/server Il rapporto su spyware/grayware riporta informazioni dettagliate sulle minacce spyware/grayware individuate su client, compreso il numero di rilevamenti e di azioni intraprese da WFBS per contrastarle. Il rapporto contiene anche un grafico a torta che mostra la percentuale di ogni azione anti-spyware messa in atto. Primi 5 desktop/server con rilevamenti di spyware/grayware Il rapporto riporta anche le prime cinque minacce spyware/grayware individuate e i cinque desktop/server con il numero più elevato di spyware/grayware. Per ulteriori informazioni sulle minacce spyware/grayware individuate, fare clic sui nomi di spyware/grayware presenti. Si apre una nuova pagina del browser che visualizza le informazioni relative allo spyware/grayware fornite dal sito Web di Trend Micro. Riepilogo spam I riepiloghi anti-spam mostrano informazioni riguardanti il numero di casi di spam e di phishing rilevati rispetto al totale dei messaggi sottoposti a scansione. Essi elencano inoltre i falsi allarmi rilevati. Primi 10 computer che violano i criteri di Web Reputation Elenca i primi 10 client che hanno violato i criteri di Web Reputation. Primi 5 criteri delle categorie URL violati Elenca le categorie di siti Web a cui si accede con maggiore frequenza che hanno violato i criteri. Primi 10 computer che violano i criteri delle categorie URL Elenca i primi 10 computer che hanno violato i criteri di filtro URL. 12-7

266 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA Contenuti di un rapporto (segue) VOCE RAPPORTO Monitoraggio del comportamento Riepilogo filtro dei contenuti Virus di rete DESCRIZIONE Primi 5 programmi che violano i criteri di monitoraggio del comportamento Elenco dei primi cinque programmi che violano i criteri di Monitoraggio del comportamento. Primi 10 computer che violano i criteri di Monitoraggio del comportamento Elenca i primi dieci client che hanno violato i criteri di Monitoraggio del comportamento. Riepilogo filtro dei contenuti I rapporti del filtro dei contenuti mostrano informazioni sul numero totale di messaggi filtrati da Messaging Security Agent. Prime 10 regole di filtro dei contenuti violate Elenco delle prime dieci regole violate del filtro dei contenuti. Utilizzare queste informazioni per affinare le regole dei filtri. Primi 10 virus di rete rilevati Mostra i dieci virus di rete rilevati con maggiore frequenza dal driver di firewall comune. Fare clic sui nomi dei virus per aprire una nuova pagina del browser Web e visitare l'enciclopedia dei virus di Trend Micro, contenente ulteriori informazioni su tali virus. Primi 10 computer attaccati Elenca i computer della rete per i quali è stato rilevato il più elevato numero di incidenti virali. 12-8

267 Utilizzo dei registri e dei rapporti Creazione di rapporti Percorso di navigazione: Segnalazioni > Segnalazioni singole o Segnalazioni pianificate I rapporti singoli forniscono un unico riepilogo del contenuto selezionato. I rapporti pianificati forniscono un riepilogo del contenuto selezionato a cadenza regolare. FIGURA Schermata Segnalazioni 12-9

268 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per creare o pianificare un rapporto: 1. Nella schermata Segnalazioni singole o Segnalazioni pianificate, fare clic su Aggiungi. 2. Aggiornare le seguenti opzioni, in base alle necessità: Nome della segnalazione/nome modello di segnalazione: breve titolo che consente di identificare il rapporto o modello. Pianificazione: applicabile solo per i segnalazioni pianificati. Frequenza giornaliera: la scansione pianificata viene eseguita ogni giorno all'orario specificato. Frequenza settimanale, ogni: la scansione pianificata viene eseguita una volta alla settimana nel giorno e all'orario specificati. Frequenza mensile, il giorno: la scansione pianificata viene eseguita una volta al mese nel giorno e all'orario specificati. Se si seleziona il giorno 31, ma il mese in questione è di 30 giorni, WFBS non genera alcun rapporto per il mese indicato. Genera segnalazione alle: l'orario in cui WFBS dovrebbe generare il rapporto. Intervallo di tempo: limita il rapporto a determinate date. Contenuto: per selezionare tutte le minacce, selezionare la casella di controllo Seleziona tutto. Per selezionare le singole minacce, fare clic sulla casella di controllo corrispondente. Fare clic su per espandere la selezione. Invia segnalazione a: WFBS invia il rapporto generato ai destinatari specificati. Separare più voci con punto e virgola (;). Come allegato PDF Come collegamento al rapporto 3. Fare clic su Genera/Aggiungi. Visualizzare il rapporto dalla schermata Segnalazioni singole o Segnalazioni pianificate facendo clic sul nome del rapporto desiderato. Se è stata attivata l'opzione Invia segnalazione a, WFBS invia l'allegato PDF o il collegamento ai destinatari. Per eliminare un rapporto, dalla schermata Segnalazioni singole o Segnalazioni pianificate, selezionare la casella di controllo corrispondente al rapporto e fare clic su Elimina

269 Utilizzo dei registri e dei rapporti Per modificare un modello di rapporto, dalla schermata Segnalazioni pianificati fare clic sul nome del modello e aggiornare le opzioni in base alle necessità. FIGURA Rapporto esemplificativo con riepilogo di spyware/grayware 12-11

270 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Gestione di registri e rapporti Se non eliminati periodicamente, i rapporti possono accumularsi molto rapidamente. L'eliminazione dei rapporti può richiedere molto tempo e rivelarsi un'operazione estremamente noiosa. WFBS consente di automatizzare questa operazione. I rapporti si basano sui registri. Se le informazioni dei registri vengono eliminate, non è più possibile generare rapporti. Manutenzione dei rapporti Percorso di navigazione: Segnalazioni > Gestione > scheda Segnalazioni FIGURA Schermata Gestione Segnalazioni Se non eliminati, i rapporti possono accumularsi molto rapidamente. L'eliminazione dei rapporti può richiedere molto tempo e rivelarsi un'operazione estremamente noiosa. Worry-Free Business Security consente di automatizzare questa operazione. I rapporti si basano sui registri. Quando le informazioni dei registri vengono eliminate, non è più possibile generare rapporti. Da qui, è anche possibile: 12-12

271 Utilizzo dei registri e dei rapporti Manutenzione rapporti Per impostare il numero massimo di rapporti da conservare: 1. Nella scheda Segnalazioni della schermata Gestione, configurare il numero massimo di rapporti da archiviare per le seguenti opzioni: Segnalazioni singole Segnalazioni pianificate salvate in ogni modello Modelli di segnalazione 2. Fare clic su Salva. Elimina i registri automaticamente Per eliminare automaticamente i registri: 1. Nella scheda Eliminazione automatica dei registri della schermata Gestione, selezionare Tipo di registro e specificare per quanti giorni conservare i registri. 2. Fare clic su Salva. Elimina manualmente i registri Per eliminare manualmente i registri: 1. Nella scheda Eliminazione manuale dei registri della schermata Gestione, specificare per quanti giorni conservare un tipo di registro e fare clic sul pulsante Elimina corrispondente al tipo di registro. 2. Fare clic su Salva. Suggerimento: per eliminare tutti i registri, specificare 0 come numero di giorni e fare clic su Elimina

272 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Eliminazione dei registri Utilizzare la schermata Segnalazioni > Gestione per impostare per quanto tempo conservare i file di registro e pianificare una manutenzione regolare dei registri. Percorso di navigazione: Segnalazioni > Gestione > scheda Eliminazione automatica dei registri FIGURA Schermata Eliminazione automatica dei registri Per impostare Security Server in modo che elimini i registri che non rientrano in un dato intervallo temporale: 1. Fare clic su Segnalazioni > Gestione. 2. Fare clic su Eliminazione automatica dei registri. 3. Selezionare i registri da eliminare. 4. In Elimina i registri più datati di, immettere il numero di giorni per cui Security Server deve conservare i registri. 5. Fare clic su Salva. Security Server elimina i registri più datati del numero di giorni specificato nel passaggio

273 Utilizzo dei registri e dei rapporti Per eliminare manualmente un registro: 1. Fare clic su Eliminazione manuale dei registri. 2. Individuare la riga che indica il tipo di registro da eliminare. Immettere un numero nel campo accanto ai giorni per indicare un limite di tempo. 3. Fare clic su Elimina. Tutti i registri più datati rispetto al numero di giorni specificato nel passaggio 2 vengono eliminati

274 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 12-16

275 Capitolo 13 Amministrazione WFBS-A In questo capitolo viene descritta la modalità di utilizzo di ulteriori operazioni amministrative, come la visualizzazione della licenza del prodotto, l'uso di di Plug-in Manager e la disinstallazione di Security Server. Di seguito è riportato un elenco degli argomenti trattati nel presente capitolo. Modifica della password della console Web a pagina 13-2 Operazioni relative a Plug-in Manager a pagina 13-3 Visualizzazione dei dettagli della licenza del prodotto a pagina 13-4 Partecipazione a Smart Protection Network a pagina 13-6 Modifica della lingua dell'interfaccia dell'agente a pagina 13-7 Disinstallazione di Trend Micro Security Server a pagina

276 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Modifica della password della console Web Per impedire a utenti non autorizzati di modificare le impostazioni o di rimuovere il modulo agente dai client, la console Web viene protetta da password. Il programma di configurazione principale di WFBS richiede di specificare una password per la console Web. Tuttavia, è possibile modificare la password dalla console Web. Suggerimento: Trend Micro consiglia di utilizzare password sicure per la console Web. Una password sicura ha una lunghezza di almeno otto caratteri, una o più lettere maiuscole (A-Z), una o più lettere minuscole (a-z), uno o più numeri (0-9) e uno o più caratteri speciali o segni di punteggiatura (!@#$%^&,.:;?); non corrisponde mai al nome utente né lo contiene al suo interno. Non fa uso del nome di battesimo o del cognome, della data di nascita o di altri elementi facilmente riconducibili all'utente. Percorso di navigazione: Preferenze > Password FIGURA Schermata Preferenze - Password Per modificare la password della console Web: 1. Nella schermata Password, aggiornare le seguenti opzioni, in base alle necessità: Vecchia password Nuova password Conferma password: digitare nuovamente la nuova password per confermarla. 13-2

277 Amministrazione WFBS-A 2. Fare clic su Salva. Nota: se si dimentica la password della console Web, contattare l'assistenza tecnica di Trend Micro per istruzioni su come accedere nuovamente alla console Web. L'unica alternativa possibile è rimuovere e reinstallare WFBS. Fare riferimento a Disinstallazione di Trend Micro Security Server a pagina Operazioni relative a Plug-in Manager Percorso di navigazione: Preferenze > Plug-in Plug-in Manager visualizza i programmi sia per WFBS sia per i moduli agente nella console Web non appena sono disponibili. A questo punto è possibile installare e gestire i programmi dalla console Web e implementare i programmi plug-in dei client ai moduli agente. Scaricare e installare Plug-in Manager facendo clic su Plug-in Manager nel menu principale della console Web. Al termine dell'installazione, è possibile verificare la presenza di programmi plug-in disponibili. Per ulteriori informazioni, fare riferimento alla documentazione sui plug-in. 13-3

278 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Visualizzazione dei dettagli della licenza del prodotto Percorso di navigazione: Preferenze > Licenza del prodotto Dalla schermata della licenza del prodotto, è possibile rinnovare, aggiornare o visualizzare i dettagli della licenza del prodotto. FIGURA Schermata Preferenze - Licenza del prodotto La schermata Licenza del prodotto visualizza i dettagli sulla licenza. In base alle opzioni selezionate durante l'installazione, si dispone di una versione con licenza completa o di una versione di prova. In entrambi i casi la licenza dà diritto a un Contratto di manutenzione. Allo scadere del contratto di manutenzione, i client della rete disporranno di una protezione molto limitata. La schermata Licenza del prodotto permette di conoscere in anticipo la data di scadenza della licenza e di rinnovarla prima di tale data. Conseguenze di una licenza scaduta Quando il codice di attivazione di una versione dotata di licenza completa scade, non è più possibile eseguire operazioni importanti, come il download di componenti aggiornati o l'uso del servizio Web Reputation. Tuttavia, al contrario di quello che avviene con il codice di attivazione di una versione di prova, quando il codice di attivazione di una versione dotata di licenza completa scade, tutte le configurazioni e le impostazioni esistenti rimangono attive. In questo modo, viene garantito il livello di protezione anche se per errore la licenza giunge a scadenza. 13-4

279 Amministrazione WFBS-A Per rinnovare la licenza del prodotto: 1. Contattare il responsabile vendite o rivenditore aziendale di Trend Micro. Le informazioni sul rivenditore sono disponibili in: Programmi\trend micro\security server\pccsrv\ private\contact_info.ini 2. Un rappresentante Trend Micro aggiornerà le informazioni di registrazione tramite Registrazione prodotto Trend Micro. 3. Security Server interroga il server di Registrazione prodotto e riceve direttamente da esso la nuova data di scadenza. Quando si rinnova la licenza non è necessario immettere manualmente un nuovo codice di attivazione. Modifica della licenza Il codice di attivazione determina il tipo di licenza di cui si dispone. È possibile richiedere una versione di prova o con licenza completa, oppure una licenza per Worry-Free Business Security Advanced o Worry-Free Business Security. Se si desidera modificare la licenza, immettere un nuovo codice di attivazione nella schermata Licenza del prodotto. Per passare dalla versione di prova alla versione con licenza completa: 1. Fare clic su Immetti un nuovo codice. 2. Digitare il nuovo codice di attivazione nello spazio apposito. 3. Fare clic su Attiva. 13-5

280 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Partecipazione a Smart Protection Network Percorso di navigazione: Preferenze > Smart Protection Network Trend Micro Smart Feedback raccoglie continuamente informazioni sulle minacce e le analizza per assicurare una protezione migliore. La partecipazione dell'utente al programma Trend Micro Smart Feedback consente a Trend Micro di raccogliere informazioni dal computer dell'utente per individuare nuove minacce. Le informazioni raccolte da Trend Micro sono le seguenti: Checksum dei file Indirizzi Web a cui si è effettuato l'accesso Informazioni sui file, compresi dimensioni e percorsi Nome di file eseguibili Suggerimento: per proteggere i computer non è necessario partecipare al programma Smart Feedback. La partecipazione è facoltativa e ci si può ritirare in qualsiasi momento. Trend Micro consiglia di partecipare al programma Smart Feedback per consentire a Trend Micro di offrire una migliore protezione a tutti i suoi clienti. Per ulteriori informazioni su Smart Protection Network, visitare: Per attivare Trend Micro Smart Feedback: 1. Fare clic su Attiva Trend Micro Smart Feedback. 2. Per inviare informazioni su potenziali minacce per la sicurezza nei file dei computer client, selezionare la casella di controllo Feedback sul file. 3. Per permettere a Trend Micro di comprendere meglio il tipo di organizzazione in questione, selezionare il settore. 4. Fare clic su Salva. 13-6

281 Amministrazione WFBS-A Modifica della lingua dell'interfaccia dell'agente Gli amministratori possono fornire pacchetti linguistici specifici per Client/Server Security Agent in base alle impostazioni internazionali. Dopo che gli amministratori hanno installato tutti i pacchetti linguistici, gli utenti possono visualizzare l'interfaccia di Client/Server Security Agent nella lingua corrispondente alle impostazioni internazionali del sistema operativo. Nota: la lingua utilizzata per l'interfaccia dell'agente corrisponderà alla lingua configurata sul sistema operativo del client. Per fornire pacchetti linguistici: 1. Scaricare i pacchetti linguistici desiderati dai collegamenti. 2. Copiare i pacchetti linguistici in PCCSRV\Download\LangPack\ sul Security Server. 3. Riavviare i client per i quali è necessario un nuovo pacchetto linguistico. Disinstallazione di Trend Micro Security Server ATTENZIONE! La disinstallazione di Trend Micro Security Server comporta la rimozione anche del server di scansione. WFBS utilizza un programma di disinstallazione per rimuovere correttamente Trend Micro Security Server dal computer. Rimuovere il modulo agente da tutti i client prima di rimuovere Security Server. Nota: la disinstallazione di Trend Micro Security Server non comporta la rimozione dei moduli agente. Gli amministratori devono disinstallare o spostare tutti gli agenti prima di disinstallare Trend Micro Security Server. Fare riferimento a Rimozione degli agenti a pagina

282 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Per rimuovere Trend Micro Security Server: 1. Sul computer utilizzato per installare il server, fare clic su Start > Pannello di controllo > Installazione applicazioni. 2. Fare clic su Trend Micro Security Server, quindi su Modifica/Rimuovi. Viene visualizzata una schermata di conferma. 3. Fare clic su Avanti. Il programma di disinstallazione principale del server richiede la password dell'amministratore. 4. Digitare la password dell'amministratore nella casella di testo e fare clic su OK. Il programma di disinstallazione principale avvia la rimozione dei file dal server. Dopo la disinstallazione del Security Server viene visualizzato un messaggio di conferma. 5. Per chiudere il programma di disinstallazione, fare clic su OK. 13-8

283 Appendice A Elenco esclusione prodotti Trend Micro Questo elenco di esclusione dei prodotti contiene tutti i prodotti Trend Micro che vengono esclusi dalla scansione per impostazione predefinita. TABELLA A-1. Elenco esclusione prodotti Trend Micro NOME DEL PRODOTTO InterScan emanager 3.5x ScanMail emanager (Scan- Mail per Microsoft Exchange emanager) 3.11, 5.1, 5.11, 5.12 ScanMail for Lotus Notes (SMLN) emanager NT PERCORSO DI INSTALLAZIONE HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\InterScan emanager\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange emanager\currentversion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Lotus Notes\ CurrentVersion AppDir= DataDir= IniDir= A-1

284 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA A-1. Elenco esclusione prodotti Trend Micro (segue) NOME DEL PRODOTTO InterScan Web Security Suite (IWSS) InterScan WebProtect InterScan FTP VirusWall InterScan Web VirusWall InterScan VirusWall InterScan NSAPI Plug-In InterScan VirusWall PERCORSO DI INSTALLAZIONE HKEY_LOCAL_MACHINE\Software\ TrendMicro\Interscan Web Security Suite Program Directory= C:\Programmi\Trend Mircro\IWSS HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan WebProtect\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan FTP VirusWall\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan Web VirusWall\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan VirusWall\ CurrentVersion ProgramDirectory={Installation Drive}:\INTERS~1 HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan NSAPI Plug-In\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan VirusWall \ CurrentVersion ProgramDirectory= A-2

285 Elenco esclusione prodotti Trend Micro TABELLA A-1. Elenco esclusione prodotti Trend Micro (segue) NOME DEL PRODOTTO IM Security (IMS) ScanMail per Microsoft Exchange (SMEX) PERCORSO DI INSTALLAZIONE HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\IM Security\CurrentVersion HomeDir= VSQuarantineDir= VSBackupDir= FBArchiveDir= FTCFArchiveDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion TempDir= DebugDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ ScanOption\Advance QuarantineFolder= A-3

286 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA A-1. Elenco esclusione prodotti Trend Micro (segue) NOME DEL PRODOTTO ScanMail per Microsoft Exchange (SMEX) segue PERCORSO DI INSTALLAZIONE HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ ScanOption\Advance QuarantineFolder= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\ManualScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\QuarantineManager QMDir= A-4

287 Elenco esclusione prodotti Trend Micro TABELLA A-1. Elenco esclusione prodotti Trend Micro (segue) NOME DEL PRODOTTO ScanMail per Microsoft Exchange (SMEX) segue PERCORSO DI INSTALLAZIONE Ottenere il percorso al file exclusion.txt da HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion\HomeDir Passare al percorso HomeDir (ad esempio, C:\Programmi\Trend Micro\Messaging Security Agent\) Aprire exclusion.txt C:\Programmi\Trend Micro\Messaging Security Agent\Temp\ C:\Programmi\Trend Micro\Messaging Security Agent\storage\quarantine\ C:\Programmi\Trend Micro\Messaging Security Agent\storage\backup\ C:\Programmi\Trend Micro\Messaging Security Agent\storage\archive\ C:\Programmi\Trend Micro\Messaging Security Agent\SharedResPool Elenco esclusione per i server Microsoft Exchange Per impostazione predefinita, quando Client/Server Security Agent è installato su un server Microsoft Exchange (2000 o versione successiva), non esegue la scansione dei database Microsoft Exchange, dei file di registro Microsoft Exchange, delle cartelle del server virtuale o dell'unità M. L'elenco esclusione viene salvato in: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentV ersion\misc. ExcludeMicrosoftExchangeStoreFiles=C:\Programmi\Exchsrvr\mdbdat a\priv1.stm C:\Programmi\Exchsrvr\mdbdata\priv1.edb C:\Programm i\exchsrvr\mdbdata\pub1.stm C:\Programmi\Exchsrvr\mdbdata\pub1. edb A-5

288 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore ExcludeMicrosoftExchangeStoreFolders=C:\Programmi\Exchsrvr\mdbd ata\ C:\Programmi\Exchsrvr\Mailroot\vsi 1\Queue\ C:\Programmi\Exchsrvr\Mailroot\vsi 1\PickUp\ C:\Programmi\Exchsrvr\Mailroot\vsi 1\BadMail\ Per altre cartelle Microsoft Exchange consigliate, aggiungerle manualmente all'elenco di esclusione dalla scansione. Per ulteriori informazioni, fare riferimento a: A-6

289 Appendice B Informazioni sul client Questa appendice descrive i diversi tipi di client e le icone del client che vengono visualizzate nell'area di notifica. Di seguito è riportato un elenco degli argomenti trattati nell'appendice: Tipi di client a pagina B-2 Icone del client normale a pagina B-2 Location Awareness a pagina B-7 Client roaming a pagina B-7 Client a 32 e 64 bit a pagina B-9 B-1

290 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Tipi di client WFBS distingue i client in base a: Client normali o roaming Client a 32 o 64 bit I client normali sono computer fissi su cui è stato installato Client/Server Security Agent e che dispongono di una connessione di rete continua a Trend Micro Security Server. Le icone visualizzate nell'area di notifica di un client indicano lo stato del client normale. Icone del client normale Stato client di scansione tradizionale: Normale Le icone riportate di seguito indicano che i client configurati per la Scansione tradizionale non presentano anomalie. TABELLA B-1. Icona Icone per i client in condizioni normali (Scansione tradizionale) Descrizione Client normale configurato per la scansione tradizionale Scansione tradizionale in esecuzione Talvolta, il file di pattern del client potrebbe risultare obsoleto. Se viene visualizzata l'icona, il client è collegato al Security Server, ma il file di pattern più aggiornato non è stato ancora scaricato. Indicare all'utente del client di aggiornare immediatamente la protezione facendo clic con il pulsante destro del mouse sull'icona nella barra delle applicazioni e selezionando Aggiorna ora. B-2

291 Informazioni sul client Stato client di scansione tradizionale: client disconnessi da Security Server ma protetti dalla scansione in tempo reale A volte, i client si scollegano da Security Server. Se la Scansione in tempo reale è stata attivata e il servizio di scansione funziona regolarmente, i client sono comunque protetti, ma non è da escludere che utilizzino file di pattern non aggiornati o che lo diventeranno presto. I client con le icone riportate di seguito sono ancora protetti dalla scansione in tempo reale. Se vengono visualizzate le seguenti icone, verificare che Security Server sia in esecuzione e che i client siano connessi alla rete. TABELLA B-2. Icona Icone per i client disconnessi dal Security Server (Scansione tradizionale) Descrizione Scollegato da Security Server, ma la scansione in tempo reale è in esecuzione e il file di pattern è stato aggiornato al momento della disconnessione. Disconnesso da Security Server, ma con scansione in tempo reale ancora in esecuzione. Ciononostante, il file di pattern non è stato aggiornato al momento della disconnessione. Stato client di scansione tradizionale: Scansione in tempo reale non in funzione Trend Micro consiglia di attivare la scansione in tempo reale. Anche se possibile, si sconsiglia di disattivarla. Le seguenti icone vengono visualizzate sui client con scansione in tempo reale disattivata. TABELLA B-3. Icona Icone dei client con scansione in tempo reale disattivata (Scansione tradizionale) Descrizione La scansione in tempo reale è disattivata B-3

292 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA B-3. Icona Icone dei client con scansione in tempo reale disattivata (Scansione tradizionale) Descrizione La scansione in tempo reale è disattivata e il file di pattern non è aggiornato La scansione in tempo reale è disattivata e il client è scollegato da Security Server La scansione in tempo reale è disattivata, il client è scollegato da Security Server e il file di pattern non è aggiornato I client con le seguenti icone rosse sono estremamente vulnerabili perché il servizio di scansione in tempo reale è stato interrotto o non funziona correttamente. TABELLA B-4. Icona Icone dei client con scansione in tempo reale non funzionanti correttamente (scansione tradizionale) Descrizione Il servizio di scansione in tempo reale non funziona correttamente Il servizio di scansione in tempo reale non funziona correttamente e il file di pattern non è aggiornato Il servizio di scansione in tempo reale non funziona correttamente e il client è scollegato dal server Il servizio di scansione in tempo reale non funziona correttamente, il client è scollegato dal server e il file di pattern non è aggiornato Stato client di Smart Scan: Normale Se vengono visualizzate le seguenti icone, i client configurati per Smart Scan non presentano anomalie. B-4

293 Informazioni sul client TABELLA B-5. Icona Icone per i client in condizioni normali (Smart Scan) Descrizione Client normale configurato per Smart Scan Smart Scan è in esecuzione Stato client di Smart Scan: scollegato da Smart Scan Server o da Security Server La tecnologia Smart Scan si affida al server Smart Scan per proteggere i client. Se i client sono configurati per Smart Scan, ma sono scollegati dal server Smart Scan, disporranno solo del livello minimo di protezione. Se vengono visualizzate le seguenti icone, verificare che il servizio TMiCRCScanService di Smart Scan sia in esecuzione e che i client siano connessi al Security Server. TABELLA B-6. Icona Icone dei client con scansione in tempo reale disattivata (Smart Scan) Descrizione Scollegato da Scan Server ma collegato a Security Server Scollegato da Scan Server e da Security Server Stato client di Smart Scan: scansione in tempo reale non in funzione Trend Micro consiglia di attivare la scansione in tempo reale. Anche se possibile, si sconsiglia di disattivarla. Le seguenti icone vengono visualizzate sui client con scansione in tempo reale disattivata. B-5

294 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore TABELLA B-7. Icona Icone dei client con scansione in tempo reale disattivata (Smart Scan) Descrizione La scansione in tempo reale è disattivata, ma il client è collegato al server di scansione e a Security Server La scansione in tempo reale è disattivata, il client è collegato al server di scansione, ma non a Security Server La scansione in tempo reale è disattivata, il client non è collegato al server di scansione, ma è collegato a Security Server La scansione in tempo reale è disattivata e il client non è collegato né al server di scansione, né a Security Server I client con le seguenti icone rosse sono estremamente vulnerabili perché il servizio di scansione in tempo reale è stato interrotto o non funziona correttamente. TABELLA B-8. Icona Icone dei client con scansione in tempo reale non funzionanti correttamente (scansione tradizionale) Descrizione Il servizio di scansione in tempo reale non funziona correttamente, ma il client è collegato al server di scansione e a Security Server Il servizio di scansione in tempo reale non funziona correttamente, il client è collegato al server di scansione ma non a Security Server Il servizio di scansione in tempo reale non funziona correttamente, il client non è collegato al server di scansione ma è collegato a Security Server Il servizio di scansione in tempo reale non funziona correttamente e il client non è collegato né al server di scansione, né a Security Server B-6

295 Informazioni sul client Location Awareness Location Awareness consente agli amministratori di controllare le impostazioni di sicurezza in base a come il client si collega alla rete. WFBS identifica automaticamente il percorso del client in base alle informazioni sul Server Gateway di Worry-Free Business Security e controlla i siti Web a cui hanno accesso gli utenti. Le restrizioni variano a seconda dell'ubicazione dell'utente: I client normali sono computer fissi con una connessione di rete costante al Security Server. I client roaming sono computer che non mantengono sempre una connessione di rete costante Client roaming Gli amministratori possono assegnare autorizzazioni di modalità roaming ai client, permettendo così agli utenti di impostare i Client nella modalità roaming. I client che si trovano in modalità roaming, detti client roaming, sono comunque protetti; tuttavia, essi non ricevono messaggi dal server e sono in grado di eseguire aggiornamenti soltanto nelle circostanze descritte di seguito. Quando l'utente esegue l'operazione Aggiorna ora o Aggiornamento pianificato. Quando il modulo agente esegue una connessione a Trend Micro Security Server. Se si utilizza un computer per eseguire funzioni che non devono essere interrotte da comandi del server, accertarsi di assegnare al CSA di tale computer le autorizzazioni della modalità roaming. Per ulteriori informazioni sulla modifica delle autorizzazioni dei client, consultare Privilegi client a pagina B-7

296 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Lo stato di un client roaming viene indicato da icone visualizzate nella barra di sistema. Per un elenco delle icone che vengono visualizzate sul client roaming, consultare le seguenti tabelle. TABELLA B-9. ICONA Icone che appaiono in un client roaming (scansione tradizionale) DESCRIZIONE Client in modalità roaming (icona blu) La scansione in tempo reale è disattivata Il file di pattern non è aggiornato La scansione in tempo reale è disattivata e il file di pattern non è aggiornato Il servizio di scansione in tempo reale non è in esecuzione (icona rossa) Il servizio di scansione in tempo reale non è in esecuzione e il file di pattern non è aggiornato (icona rossa) Collegamento a Smart Scan Server, ma la scansione in tempo reale non è in funzione Collegamento a Smart Scan Server, ma la scansione in tempo reale è disattivata Nessun collegamento a Smart Scan Server Nessun collegamento a Smart Scan Server e scansione in tempo reale non è operativo Nessun collegamento a Smart Scan Server e scansione in tempo reale disattivata TABELLA B-10. Icone che appaiono in un client roaming (Smart Scan) ICONA Client roaming DESCRIZIONE CONNESSIONE AL SERVER DI SCANSIONE Connesso B-8

297 Informazioni sul client TABELLA B-10. Icone che appaiono in un client roaming (Smart Scan) ICONA Client roaming DESCRIZIONE CONNESSIONE AL SERVER DI SCANSIONE Disconnesso Scansione in tempo reale disattivata Connesso Scansione in tempo reale disattivata Disconnesso Il servizio di scansione in tempo reale non è in esecuzione (icona rossa) Il servizio di scansione in tempo reale non è in esecuzione (icona rossa) Connesso Disconnesso Client a 32 e 64 bit L'agente supporta i computer che utilizzano l'architettura di processore x86 e x64. Tutte le funzioni sono disponibili per questi sistemi operativi e architetture ad eccezione di Anti-rootkit. Nota: l'agente non supporta l'architettura Itanium 2 (IA-64). B-9

298 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore B-10

299 Appendice C Servizi Trend Micro La presente appendice illustra i servizi offerti da Trend Micro. Di seguito è riportato un elenco degli argomenti trattati nell'appendice: Criteri di difesa dalle infezioni a pagina C-2 Damage Cleanup Services a pagina C-2 Valutazione delle vulnerabilità a pagina C-4 IntelliScan a pagina C-5 ActiveAction a pagina C-5 IntelliTrap a pagina C-7 Reputation Services a pagina C-8 Reputazione Web a pagina C-9 C-1

300 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Criteri di difesa dalle infezioni I criteri di prevenzione delle infezioni di Trend Micro sono un insieme di impostazioni di configurazione della sicurezza predefinite consigliate da Trend Micro, applicate in risposta a un'infezione sulla rete. I criteri di difesa dalle infezioni vengono scaricati da Trend Micro in Trend Micro Security Server. Quando Trend Micro Security Server rileva un'infezione, determina il grado di infezione e implementa immediatamente le misure di sicurezza più appropriate secondo quanto indicato nei criteri di prevenzione delle infezioni virali. In base ai criteri, Risposta automatica alla minaccia esegue le seguenti misure preventive per proteggere la rete in caso di infezione: Blocco delle cartelle condivise per impedire a virus/minacce informatiche di infettare i file in esse contenuti Blocco delle porte per impedire a virus/minacce informatiche di utilizzare le porte vulnerabili e infettare i file sulla rete e i client Divieto di accesso in scrittura a file e cartelle per impedire a virus/minacce informatiche di modificare i file Visualizzazione di un messaggio di avviso sui client quando viene rilevata un'infezione Damage Cleanup Services WFBS-A utilizza Damage Cleanup Services (DCS) per proteggere il computer Windows da cavalli di Troia (o programmi cavalli di Troia) e da virus/minacce informatiche. Soluzione Damage Cleanup Services Per affrontare adeguatamente le minacce provocate da virus/minacce informatiche o spyware/grayware, i Damage Cleanup Services eseguono le seguenti operazioni: Rilevano e rimuovono le minacce Interrompono i processi creati dalle minacce Ripristinano i file di sistema modificati dalle minacce Rilevano i file e le applicazioni creati dalle minacce C-2

301 Servizi Trend Micro Per effettuare tali operazioni, DCS utilizza i seguenti componenti: Virus Cleanup Engine: il motore utilizzato dai Damage Cleanup Services per rilevare e rimuovere le minacce e i processi a esse associati. Modello disinfezione virus: utilizzato dal motore Virus Cleanup Engine, questo modello consente di identificare minacce e processi associati per consentire al motore di eliminarli. In WFBS-A, il sistema DCS viene eseguito sul client negli scenari riportati di seguito. Gli utenti eseguono una disinfezione manuale dalla console agente. Gli amministratori eseguono la funzione Esegui risanamento sul client dalla console Web. Gli utenti eseguono una scansione manuale o pianificata. Dopo la distribuzione di hot fix o patch (consultare per ulteriori informazioni). Quando il servizio WFBS-A viene riavviato (è necessario selezionare il servizio Watchdog del client WFBS-A per riavviare l'agente automaticamente se questo si interrompe inaspettatamente. Attivare tale funzione nella schermata Impostazioni client globali. Per informazioni dettagliate, consultare la sezione Impostazioni Watchdog a pagina 10-10). Poiché DCS viene eseguito automaticamente, non sarà necessario configurarlo. Gli utenti non si rendono conto che il sistema è in funzione perché viene eseguito in background (se il modulo agente è in esecuzione). Tuttavia, per completare il processo di rimozione delle minacce, WFBS-A potrebbe richiedere il riavvio del client da parte dell'utente. C-3

302 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Valutazione delle vulnerabilità La valutazione delle vulnerabilità fornisce agli amministratori di sistema la possibilità di valutare i rischi per la sicurezza sulle reti. Le informazioni raccolte durante la valutazione delle vulnerabilità rappresentano una valida guida per la risoluzione dei problemi legati alle vulnerabilità note e alla protezione delle reti. Utilizzare la valutazione delle vulnerabilità per le seguenti operazioni. Configurare operazioni di scansione di tutti i computer collegati a una rete. Le scansioni sono in grado di individuare le singole vulnerabilità o un elenco di tutte le vulnerabilità note. Eseguire operazioni manuali di valutazione o impostare l'esecuzione in base a una pianificazione. Richiedere il blocco dei computer che presentano un livello di rischio inaccettabile per la sicurezza della rete. Creare rapporti che identifichino le vulnerabilità secondo i singoli computer e che descrivano i rischi per la sicurezza rappresentati da tali computer sulla rete globale. I rapporti identificano le vulnerabilità secondo convenzioni di denominazione standard in modo che gli amministratori possano eseguire ulteriori ricerche per risolverle e proteggere la rete. Visualizzare le cronologie di valutazione e confrontare i rapporti per comprendere meglio le vulnerabilità e i fattori di rischio in evoluzione ai quali è esposta la rete. C-4

303 Servizi Trend Micro IntelliScan IntelliScan è un nuovo metodo di identificazione dei file da analizzare. Per i file eseguibili (ad esempio.exe), il tipo di file effettivo viene determinato in base al suo contenuto. Per i file non eseguibili (ad esempio.txt), il tipo di file effettivo viene determinato in base all'intestazione del file. L'utilizzo di IntelliScan offre i vantaggi illustrati di seguito. Ottimizzazione delle prestazioni: IntelliScan non influisce sulle applicazioni del client perché utilizza risorse di sistema minime. Periodo di scansione più breve: IntelliScan utilizza l'identificazione del tipo di file effettivo; sottopone a scansione solo i file che sono vulnerabili alle infezioni. Il tempo di scansione risulta quindi sensibilmente ridotto rispetto alla scansione di tutti i file. ActiveAction Virus/Minacce informatiche di tipo diverso richiedono operazioni di scansione diverse. La personalizzazione delle operazioni di scansione in base alle diverse tipologie di virus/minaccia informatica richiede una profonda conoscenza dei virus ed è in genere un compito alquanto noioso. Trend Micro utilizza ActiveAction per contrastare questi problemi. ActiveAction è un insieme di operazioni di scansione preconfigurate per virus/minacce informatiche e altri tipi di minacce. L'azione consigliata per virus/minacce informatiche è Disinfetta, mentre l'azione alternativa è Metti in quarantena. L'azione consigliata per i cavalli di Troia e per i programmi Joke è Metti in quarantena. Se non si dispone di una conoscenza approfondita delle operazioni di scansione o se non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction. C-5

304 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore L'uso di ActiveAction offre i vantaggi illustrati di seguito. Risparmio di tempo e semplicità di manutenzione: ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non è necessario dedicare tempo alla configurazione delle operazioni. Azioni di scansione aggiornabili: gli sviluppatori di virus modificano costantemente il modo in cui virus/minacce informatiche attaccano i computer. Per garantire la protezione dei client contro le più recenti minacce e i più recenti metodi di attacchi da parte di virus/minacce informatiche, le impostazioni di ActiveAction vengono aggiornate tramite i nuovi file di pattern antivirus. Impostazioni ActiveAction predefinite Le impostazioni predefinite ActiveAction per le seguenti minacce sono: TABELLA C-1. Impostazioni ActiveAction predefinite MINACCIA Potenziale virus/minaccia informatica AZIONE Nessuna operazione AZIONE PER MINACCE NON DISINFETTABILI Non pertinente Joke Metti in quarantena Non pertinente Altre minacce Disinfetta Metti in quarantena Packer Metti in quarantena Non pertinente Virus di prova Ignora Non pertinente Virus Disinfetta Metti in quarantena Worm/Cavalli di Troia Metti in quarantena Non pertinente Nota. I file di pattern futuri potrebbero richiedere un aggiornamento delle azioni predefinite. C-6

305 Servizi Trend Micro IntelliTrap IntelliTrap è la tecnologia euristica di Trend Micro utilizzata per individuare le minacce che si servono della compressione in tempo reale associata ad altre caratteristiche delle minacce informatiche, come i packer. Tra queste minacce ricordiamo virus e altre minacce informatiche, worm, cavalli di Troia, backdoor e bot. Gli sviluppatori di virus spesso cercano di aggirare il filtro di virus/minacce informatiche utilizzando diversi sistemi di compressione. IntelliTrap è una tecnologia di motore di scansione in tempo reale, basata su regole e sul riconoscimento di pattern, che è in grado di rilevare e rimuovere virus/minacce informatiche noti contenuti nei file compressi fino a sei livelli di profondità creati con uno fra 16 tipi diffusi di compressione. Quando esegue la verifica per rilevare bot e altre minacce informatiche, IntelliTrap utilizza i seguenti componenti: Motore di scansione antivirus e file di pattern di Trend Micro Pattern IntelliTrap e pattern eccezioni Tipo di file effettivo Quando è impostato sulla scansione del "tipo di file effettivo", il motore di scansione esamina l'intestazione del file piuttosto che il nome per accertarsi del tipo di file effettivo. Ad esempio, se il motore di scansione impostato in modo da analizzare tutti i file eseguibili rileva un file denominato "famiglia.gif", non presuppone che si tratti di un file di immagine. Il motore di scansione apre l'intestazione del file ed esamina il tipo di dati in esso contenuti per stabilire se il file è effettivamente un file di immagine o, ad esempio, un eseguibile denominato in tal modo per evitare il rilevamento. Questo tipo di scansione funziona in combinazione con IntelliScan per analizzare soltanto i tipi di file noti come potenzialmente dannosi. Queste tecnologie consentono di ridurre il numero totale di file che il motore di scansione deve esaminare (probabilmente una riduzione fino ai due terzi), ma tale riduzione comporta un rischio potenzialmente più elevato. C-7

306 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Ad esempio, i file.gif rappresentano un ampio volume del traffico Web complessivo, ma è improbabile che contengano virus/minacce informatiche, che lancino codice eseguibile o che eseguano qualsiasi tipo di sfruttamento delle vulnerabilità noto o potenziale. Tuttavia, non significa che siano sicuri. Almeno non completamente. Un hacker malintenzionato potrebbe assegnare a un file dannoso un nome file "sicuro" per evitare che esso venga rilevato dal motore di scansione e introdurlo così nella rete. Questo file potrebbe causare danni se rinominato ed eseguito. Suggerimento: Per il massimo livello di sicurezza, Trend Micro consiglia la scansione di tutti i file. Reputation Services La tecnologia Reputation identifica lo spam in base alla reputazione del Mail Transport Agent (MTA) di origine. In questo modo si riduce il carico di lavoro sul server WFBS-A. Con la funzione Reputation attivata, tutto il traffico SMTP viene controllato dai database IP per verificare se l'indirizzo IP di origine è affidabile o se è stato inserito in una blacklist o se è un vettore di spam noto. Reputation offre i due livelli di servizio Standard: il servizio standard si affida a un database in grado di identificare la reputazione di circa due miliardi di indirizzi IP. Gli indirizzi IP che vengono costantemente associati alla diffusione di messaggi di spam vengono aggiunti a un database e solo raramente rimossi. Avanzato: il livello avanzato offre un servizio DNS basato su query come il servizio standard. La base di questo servizio è il database di reputazione standard, unitamente al database di reputazione dinamico in tempo reale che blocca i messaggi provenienti da fonti note e sospette di spam. Quando viene individuato un messaggio proveniente da un indirizzo IP bloccato o sospetto, Reputation Services (ERS) lo blocca prima che questo raggiunga l'infrastruttura. Se il servizio ERS blocca i messaggi provenienti da un indirizzo IP che l'utente ritiene sicuro, è possibile aggiungere questo indirizzo all'elenco di indirizzi IP approvati. C-8

307 Servizi Trend Micro Reputazione Web Web Reputation impedisce l'accesso agli URL che costituiscono rischi potenziali per la sicurezza controllando tutti gli URL digitati nel database Trend Micro Web Security. In base alla posizione del client (In ufficio/fuori ufficio), configurare un livello di protezione diverso. Se Web Reputation blocca un URL e l'utente ritiene invece che l'url sia sicuro, è possibile aggiungere l'url all'elenco degli URL approvati. Per informazioni sull'aggiunta di un URL all'elenco degli URL approvati, consultare Configurazione delle impostazioni globali. Punteggio di reputazione Il punteggio di reputazione di un URL indica se è presente una minaccia Web o meno. Trend Micro calcola il punteggio utilizzando delle tecniche di misurazione proprietarie. Se il punteggio di un URL è compreso negli intervalli previsti per le diverse categorie, Trend Micro lo classifica come "minaccia Web", "minaccia Web molto probabile" o "minaccia Web probabile". Trend Micro considera un URL sicuro per l'accesso solo se il suo punteggio supera una soglia predefinita. Esistono tre livelli di protezione che determinano se CSA deve consentire o bloccare l'accesso a un URL. Alto: blocca le pagine che sono: Pagine fraudolente o fonte di minacce verificate Pagine fraudolente o fonte di minacce sospette Associate a spam o probabilmente compromesse Pagine senza classificazione Medio: blocca le pagine che sono: Pagine fraudolente o fonte di minacce verificate Pagine fraudolente o fonte di minacce sospette Basso: blocca le pagine che sono pagine fraudolente o fonte di minacce verificate C-9

308 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore C-10

309 Appendice D Migliori pratiche per la protezione dei client La presente appendice illustra alcune pratiche migliori che contribuiscono a proteggere meglio i client sulla rete. D-1

310 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Migliori pratiche È possibile intraprendere diverse azioni volte a proteggere i computer e la rete dalle minacce Internet. Trend Micro consiglia di attenersi alle seguenti istruzioni: Utilizzare le impostazioni predefinite consigliate da Trend Micro per WFBS. Per fare ciò, è necessario mantenere aggiornato il proprio sistema operativo e tutti i software con le patch più recenti. Utilizzare password complesse e raccomandarne l'uso ai propri utenti. Una password complessa deve avere una lunghezza minima di otto caratteri e contenere una combinazione di lettere maiuscole e minuscole, numeri e caratteri non alfanumerici. Non deve mai contenere informazioni personali. Cambiare le password ogni giorni. Per ridurre il numero di potenziali vulnerabilità, disabilitare tutti i programmi e servizi non necessari. Istruire gli utenti finali sulle procedure riportate di seguito: Leggere il contratto di licenza per l'utente finale (EULA) e la documentazione, forniti con le applicazioni scaricate e installate sui computer. Fare clic su No in caso di messaggi in cui si richiede l'autorizzazione per scaricare e installare software, a meno che gli utenti finali non siano certi dell'affidabilità sia del creatore del software sia del sito Web da cui lo si sta scaricando. Ignorare messaggi di natura commerciale indesiderati (spam), soprattutto se viene richiesto di fare clic su un pulsante o un collegamento. Configurare impostazioni del browser Web che assicurino un livello di sicurezza alto. Trend Micro consiglia di impostare i browser in modo che, prima di installare i comandi ActiveX, ne chiedano conferma agli utenti. Per aumentare il livello di sicurezza per Internet Explorer (IE), accedere a Strumenti > Opzioni Internet > Protezione e spostare il selettore su un livello superiore. Se l'impostazione causa dei problemi ai siti Web che si visitano, fare clic su Siti e aggiungere i siti che si desidera visitare all'elenco dei siti affidabili. Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modo che Outlook non scarichi automaticamente elementi HTML, come immagini inviate in messaggi spam. D-2

311 Migliori pratiche per la protezione dei client Proibire l'uso di servizi di condivisione di file peer-to-peer. Le minacce Internet potrebbero celarsi dietro altri tipi di file che gli utenti potrebbero scaricare, come file musicali MP3. Esaminare periodicamente il software installato sui computer della propria rete. Se si rileva un'applicazione o un file che WFBS non è in grado di identificare come minaccia Internet, inviarlo a Trend Micro: TrendLabs analizzerà i file e le applicazioni inviate. Per ulteriori informazioni sulle migliori pratiche per la sicurezza informatica, visitare il sito Web di Trend Micro e consultare la Guida per l'uso sicuro del computer e altre informazioni sulla sicurezza. D-3

312 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore D-4

313 Appendice E Utilizzo di strumenti amministrativi e strumenti client Questo capitolo descrive l'utilizzo degli strumenti amministrativi e degli strumenti client in dotazione con WFBS. Di seguito è riportato un elenco degli argomenti trattati nell'appendice: Tipi di strumenti a pagina E-2 Strumenti amministrativi a pagina E-3 Strumenti client a pagina E-11 Componenti aggiuntivi a pagina E-17 E-1

314 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Tipi di strumenti WFBS comprende un gruppo di strumenti che aiutano a eseguire varie operazioni, quali la configurazione del server e la gestione del client. Nota: non è possibile utilizzare questi strumenti dalla console Web. Per istruzioni sulle procedure di esecuzione degli strumenti, vedere le relative sezioni di seguito. Gli strumenti si suddividono in tre categorie: Strumenti amministrativi: Aiuta a configurare o gestire WFBS-A Impostazione script di accesso (autopcc.exe): automatizza l'installazione di Client/Server Security Agent. Vulnerability Scanner (TMVS.exe): individua i computer non protetti presenti sulla rete. Remote Manager Agent: Aiuta i rivenditori a gestire WFBS-A Disk Cleaner (TMDiskCleaner.exe): Identifica e rimuove i file di backup, registro e pattern per risparmiare spazio su disco. Strumenti client: consentono di migliorare le prestazioni degli Agent. Client Packager (ClnPack.exe): crea un file autoestraente contenente il programma Client/Server Security Agent e i relativi componenti. Restore Encrypted Virus (VSEncode.exe): apre i file infetti crittografati da WFBS. Touch Tool (TmTouch.exe): modifica l'indicatore data e ora su una hot fix al fine di sincronizzarla con l'orologio di sistema. Strumento Client Mover (IpXfer.exe): trasferisce i client da un Security Server a un altro. Sui server di origine e di destinazione deve essere installata la stessa versione di WFBS e lo stesso sistema operativo. E-2

315 Utilizzo di strumenti amministrativi e strumenti client Componenti aggiuntivi: questi componenti aggiuntivi per Windows Small Business Server (SBS) 2008 e Windows Essential Business (EBS) Server 2008 permettono agli amministratori di visualizzare informazioni continuamente aggiornate sulla sicurezza e sui sistemi dalle console di SBS e di EBS. Si tratta delle stesse informazioni generali visibili nella schermata Stato in tempo reale. Nota: alcuni strumenti disponibili nelle versioni precedenti di WFBS non sono disponibili in questa versione. Se tali strumenti risultano necessari, contattare l'assistenza tecnica di Trend Micro. Fare riferimento a Assistenza tecnica a pagina G-4 Strumenti amministrativi In questa sezione sono contenute informazioni sugli strumenti amministrativi di WFBS. Impostazione script di accesso Il programma Impostazione script di accesso consente di automatizzare l'installazione di Client/Server Security Agent su computer non protetti quando questi accedono alla rete. L'Impostazione script di accesso aggiunge allo script di accesso del server un programma denominato autopcc.exe. Il programma autopcc.exe esegue le funzioni riportate di seguito: Determina il sistema operativo del computer client non protetto e installa la versione adeguata di Client/Server Security Agent Aggiorna i file di pattern antivirus e i file di programma Per istruzioni sull'installazione degli agenti, fare riferimento a Installazione con Impostazione script di accesso a pagina 3-6. E-3

316 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Vulnerability Scanner Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate e di cercare i computer non protetti presenti nella rete. Vulnerability Scanner effettua il ping delle porte solitamente utilizzate dalle soluzioni antivirus per determinare se i computer sono protetti. L'applicazione Vulnerability Scanner esegue le funzioni illustrate di seguito. Effettua una scansione DHCP per monitorare la rete in caso di richieste DHCP; in questo modo, quando i computer accedono per la prima volta alla rete, la scansione della vulnerabilità può determinarne lo stato. Effettua il ping dei computer presenti nella rete per controllarne lo stato e recuperarne i nomi, le versioni della piattaforma e le descrizioni. Determina se nella rete sono state installate delle soluzioni antivirus. È in grado di rilevare la presenza di prodotti Trend Micro (compresi OfficeScan, ServerProtect for Windows NT e Linux, ScanMail for Microsoft Exchange, InterScan Messaging Security Suite e PortalProtect) e di soluzioni antivirus di terzi (comprese le applicazioni Norton AntiVirus Corporate Edition v7.5 e v7.6 e McAfee VirusScan epolicy Orchestrator). Visualizza il nome del server e la versione del file di pattern, del motore e del programma di scansione di OfficeScan e ServerProtect for Windows NT. Invia i risultati della scansione per posta elettronica. Rimane in modalità invisibile (modalità prompt dei comandi) quando in esecuzione. Installa Client/Server Security Agent in remoto su computer con sistema operativo Windows Vista/2000/XP (solo Professional)/Server 2003 (R2)) È possibile anche automatizzare Vulnerability Scanner creando delle operazioni pianificate. Per informazioni sulla procedura di automatizzazione di Vulnerability Scanner, consultare la Guida in linea di TMVS. E-4

317 Utilizzo di strumenti amministrativi e strumenti client Per eseguire Vulnerability Scanner su un computer che non sia il server, copiare sul computer la cartella TMVS dalla cartella \PCCSRV\Admin\Utility presente sul server. Nota: non è possibile installare Client/Server Security Agent con Vulnerability Scanner se il componente server di WFBS è presente sullo stesso computer. Vulnerability Scanner non installa Client/Server Security Agent sui computer su cui è già in esecuzione il componente server di WFBS. Utilizzo di Vulnerability Scanner Per configurare Vulnerability Scanner: 1. sull'unità in cui è stato installato il componente server di WFBS, aprire le seguenti directory: Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. 2. Fare clic su Settings. Viene visualizzata la schermata Settings. 3. Nel riquadro Product Query, selezionare i prodotti che si desidera controllare nella rete. Per selezionare tutti i prodotti, selezionare Check for all Trend Micro products. Se nella rete sono stati installati Trend Micro InterScan e Norton AntiVirus Corporate Edition, fare clic sulla voce Settings posta accanto al nome del prodotto per verificare il numero della porta che Vulnerability Scanner dovrà controllare. 4. In Description Retrieval Settings, fare clic sul metodo di recupero desiderato. L'opzione Recupero standard è quella più precisa, ma richiede più tempo. Facendo clic su Normal retrieval è possibile impostare Vulnerability Scanner in modo che recuperi le descrizioni del computer (se disponibili) selezionando la casella di controllo Retrieve computer descriptions when available. E-5

318 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 5. Per inviare i risultati all'utente o ad altri amministratori in modo automatico, in Alert Settings selezionare la casella di controllo results to the system Administrator, quindi fare clic su Configure per specificare le impostazioni To From SMTP server: l'indirizzo del server SMTP. Ad esempio, smtp.esempio.com. Le informazioni relative al server SMTP sono obbligatorie. Subject 6. Per visualizzare un messaggio di avviso su computer non protetti, selezionare la casella di controllo Display alert on unprotected computers. Quindi, fare clic su Customize per impostare il messaggio di avviso. Viene visualizzata la schermata Alert Message. Digitare un nuovo messaggio di avviso o accettare quello predefinito. Fare clic su OK. 7. Se si desidera salvare i risultati in un file dati con valori separati da virgola (CSV), selezionare la casella di controllo Automatically save the results to a CSV file. Per impostazione predefinita, i file CSV vengono salvati nella cartella TMVS. Se si desidera modificare la cartella predefinita per i file CSV, fare clic su Browse. Viene visualizzata la schermata Browse for folder. Cercare la cartella di destinazione desiderata sul computer o sulla rete e quindi fare clic su OK. 8. È possibile attivare la funzione che consente a Vulnerability Scanner di effettuare il ping dei computer in rete per verificarne lo stato. In Ping Settings, specificare la modalità con cui Vulnerability Scanner deve inviare i pacchetti ai computer e attendere le risposte. Accettare le impostazioni predefinite o immettere dei nuovi valori nelle caselle di testo Packet size e Timeout. 9. Per installare in remoto l'agente e inviare un registro al server, digitare il nome del server e il numero di porta. Per installare automaticamente in remoto l'agente, selezionare la casella di controllo Auto-install Client/Server Security Client on unprotected computer. 10. Fare clic su Install Account per configurare l'account. Viene visualizzata la schermata Account Information. 11. Immettere il nome utente e la password, quindi fare clic su OK. 12. Per salvare le impostazioni, fare clic su OK. Viene visualizzata la console Trend Micro Vulnerability Scanner. E-6

319 Utilizzo di strumenti amministrativi e strumenti client Per eseguire una scansione di vulnerabilità manuale su un intervallo di indirizzi IP: 1. In IP Range to Check, immettere l'intervallo degli indirizzi IP di cui si desidera verificare le soluzioni antivirus installate e i computer non protetti. Nota: vulnerability Scanner supporta soltanto gli indirizzi IP di classe B. 2. Fare clic su Start per iniziare il controllo dei computer della rete. I risultati vengono visualizzati nella tabella Results. Per eseguire Vulnerability Scanner su computer che richiedono gli indirizzi IP da un server DHCP: 1. Fare clic sulla scheda DHCP Scan nella casella Results. Viene visualizzato il pulsante DHCP Start. 2. Fare clic su DHCP Start. Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controlli di vulnerabilità sui computer mano a mano che essi si connettono alla rete. Per creare le operazioni pianificate: 1. In Scheduled Tasks, fare clic su Add/Edit. Viene visualizzata la schermata Scheduled Task. 2. Nel campo Task Name digitare il nome dell'operazione in fase di creazione. 3. In IP Address Range, immettere l'intervallo degli indirizzi IP di cui si desidera verificare le soluzioni antivirus installate e i computer non protetti. 4. Nel campo Task Schedule fare clic su una frequenza per l'operazione in fase di creazione. Le opzioni di frequenza dell'operazione sono Daily, Weekly o Monthly. Se si fa clic su Weekly, selezionare un giorno dall'elenco. Se si fa clic su Monthly, selezionare una data dall'elenco. 5. Negli elenchi Start time digitare o selezionare l'ora di inizio dell'esecuzione dell'operazione. Utilizzare il formato orario 24 ore. E-7

320 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore 6. In Settings, fare clic suuse current settings per utilizzare le impostazioni esistenti o fare clic su Modify settings. Se si fa clic su Modify settings selezionare Settings per modificare la configurazione. Per informazioni sulla configurazione delle impostazioni, fare riferimento alle parti che vanno dal Passaggio 3 al Passaggio 12 in Per configurare Vulnerability Scanner: a pagina E Per salvare le impostazioni, fare clic su OK. L'operazione creata viene visualizzata in Scheduled Tasks.. Altre impostazioni Per configurare le impostazioni riportate di seguito, è necessario modificare il file TMVS.ini: EchoNum: consente di impostare il numero di client che verranno sottoposti contemporaneamente a ping da parte di Vulnerability Scanner. ThreadNumManual: consente di impostare il numero di client che verranno contemporaneamente controllati da Vulnerability Scanner per verificare la presenza di software antivirus. ThreadNumSchedule: consente di impostare il numero di client che verranno contemporaneamente controllati da Vulnerability Scanner per verificare la presenza di software antivirus quando eseguono le operazioni pianificate. Per modificare queste impostazioni: 1. Aprire la cartella TMVS e individuare il file TMVS.ini. 2. Aprire il file TMVS.ini mediante Blocco note o un altro editor di testo. 3. Per impostare il numero di computer che verranno sottoposti contemporaneamente a ping da parte di Vulnerability Scanner, modificare il valore riportato nel campo EchoNum. Specificare un valore compreso tra 1 e 64. Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scanner effettui il ping su 60 computer alla volta. 4. Per impostare il numero di computer che Vulnerability Scanner controlla contemporaneamente per verificare la presenza di software antivirus, modificare il valore di ThreadNumManual. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumManual=60 per verificare contemporaneamente su 60 computer la presenza di software antivirus. E-8

321 Utilizzo di strumenti amministrativi e strumenti client 5. Per impostare il numero di computer che Vulnerability Scanner controlla contemporaneamente per verificare la presenza di software antivirus in caso di operazioni pianificate, modificare il valore di ThreadNumSchedule. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumSchedule=60 per verificare contemporaneamente su 60 computer la presenza di software antivirus ogni volta che Vulnerability Scanner esegue un'operazione pianificata. 6. Salvare il file TMVS.ini. Remote Manager Agent Trend Micro Worry-Free Remote Manager Agent consente ai rivenditori di gestire WFBS-A con Trend Micro Worry-Free Remote Manager (WFRM). Per i dettagli, Consultare la Guida all'installazione di WFBS-A oppure la documentazione di WFRM. Strumento Disk Cleaner Per risparmiare spazio su disco, lo strumento Disk Cleaner (TMDiskCleaner.exe) identifica ed elimina i file di backup, registro e pattern inutilizzati dalle seguenti directory: <CSA>\AU_Data\AU_Temp\* <CSA>\Reserve <SS>\PCCSRV\TEMP\* (tranne file nascosti) <SS>\PCCSRV\Web\Service\AU_Data\AU_Temp\* <SS>\PCCSRV\wss\*.log <SS>\PCCSRV\wss\AU_Data\AU_Temp\* <SS>\PCCSRV\Backup\* <SS>\PCCSRV\Virus\* (Elimina i file in quarantena più vecchi di due settimane, fatta eccezione per il file NOTVIRUS) <SS>\PCCSRV\ssaptpn.xxx (conserva solo il pattern più recente) <SS>\PCCSRV\lpt$vpn.xxx (conserva solo gli ultimi tre pattern) <SS>\PCCSRV\icrc$oth.xxx (conserva solo gli ultimi tre pattern) <SS>\DBBackup\* (conserva solo le due ultime cartelle secondarie) E-9

322 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore <MSA>\AU_Data\AU_Temp\* <MSA>\Debug\* <MSA>\engine\vsapi\latest\pattern\* Utilizzare questo strumento tramite l'interfaccia utente grafica oppure l'interfaccia della riga di comando. Per disinfettare i file inutilizzati tramite l'interfaccia grafica: 1. Sul server WFBS-A, accedere alla directory seguente: <SS>\PCCSRV\Admin\Utility\ 2. Fare doppio clic su TMDiskCleaner.exe. Viene visualizzato lo strumento Disk Cleaner di Trend Micro Worry-Free Business Security. FIGURE E-1. Disk Cleaner ATTENZIONE! Non è possibile ripristinare i file eliminati mediante l'interfaccia grafica. 3. Fare clic su Elimina file per eseguire la scansione dei i file di backup, registro e pattern inutilizzati e quindi eliminarli. E-10

323 Utilizzo di strumenti amministrativi e strumenti client Per disinfettare i file inutilizzati tramite l'interfaccia della riga di comando: 1. Sul Security Server, aprire una finestra del prompt dei comandi. (Start --> Esegui --> digitare "cmd" --> fare clic su OK) 2. Al prompt dei comandi, eseguire il seguente comando: TMDiskCleaner.exe [/hide] [/log] [/allowundo] /hide : consente di eseguire lo strumento come processo in background. /log : salva un registro dell'operazione nel file DiskClean.log, che si trova nell'attuale cartella. Nota: Il comando /log è disponibile solo quando si usa anche il comando /hide. /allowundo : consente di spostare i file nel Cestino, senza eliminarli in modo definitivo. Suggerimento: Per eseguire frequentemente lo strumento Disk Cleaner, configurare una nuova attività in Operazioni pianificate di Windows. Per ulteriori informazioni, consultare la documentazione relativa a Windows. Strumenti client In questa sezione sono contenute informazioni sugli strumenti client di WFBS. Client Packager Client Packager è uno strumento che consente di comprimere i file di installazione o di aggiornamento in un file autoestraente al fine di semplificarne l'invio tramite , CD-ROM o supporto simile. Il programma comprende anche una funzione in grado di aprire la rubrica di Microsoft Outlook e permette di inviare il file autoestraente dall'interno della console dello strumento. Per eseguire Client Packager, fare doppio clic sul file. I client WFBS installati mediante Client Packager si collegano al server in cui è stato creato il pacchetto di configurazione. E-11

324 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Restore Encrypted Virus Client/Server Security Agent e Messaging Security Agent eseguono la codifica crittografata dei file e degli allegati infetti per evitare che gli utenti aprano i file e diffondano virus e altre minacce informatiche agli altri file presenti sul client. Ogniqualvolta Client/Server Security Agent esegue il backup, mette in quarantena o rinomina un file infetto, ne esegue anche la codifica. Il file messo in quarantena viene memorizzato nella cartella \Suspect del client e inviato alla directory di quarantena. Il file di backup viene memorizzato nella cartella \Backup del client, solitamente C:\Programmi\Trend Micro\Client Server Security Agent\Backup\. Ogni volta che Messaging Security Agent esegue il backup, mette in quarantena o in archivio un messaggio o un allegato, codifica il file e lo archivia nella cartella di archivio MSA, in genere C:\Programmi\Trend Micro\Messaging Security Agent\storage\. Si possono tuttavia verificare delle situazioni in cui è necessario aprire il file anche se si sa che è infetto. Ad esempio, se un documento importante è stato infettato e si devono recuperare le informazioni in esso contenute, è necessario innanzitutto decodificarlo. Il programma Restore Encrypted Virus consente di decodificare i file infetti che si desidera aprire. Nota: per evitare che Client/Server Security Agent individui nuovamente il virus o la minaccia informatica quando si utilizza Restore Encrypted Virus, è necessario escludere dalla scansione in tempo reale la cartella nella quale si decodifica il file. ATTENZIONE! La decodifica di un file infetto può causare la diffusione di virus/minacce informatiche ad altri file. Il programma Restore Encrypted Virus necessita dei file riportati di seguito. File principale: VSEncode.exe File DLL necessario: VSAPI32.dll E-12

325 Utilizzo di strumenti amministrativi e strumenti client Uso dell'interfaccia grafica Per ripristinare i file che si trovano nella cartella dei file sospetti dalla riga di comando: 1. Accedere alla cartella nella quale si trova lo strumento (ad esempio: c:\vsencrypt) e immettere il comando VSEncode.exe /u. 2. Selezionare il file da ripristinare. 3. Fare clic su Ripristina. Uso dell'interfaccia della riga di comando Per ripristinare i file che si trovano nella cartella dei file sospetti dalla riga di comando: 1. Copiare VSEncrypt da Security Server al client: \PCCSRV\Admin\Utility\VSEncrypt. ATTENZIONE! Non copiare la cartella VSEncrypt nella cartella di WFBS. Il file VSAPI32.dll del programma Restore Encrypted Virus è in conflitto con il file VSAPI32.dll originale. 2. Aprire un prompt dei comandi e accedere al percorso in cui è stata copiata la cartella VSEncrypt. 3. Eseguire il programma Restore Encrypted Virus impostando i parametri riportati di seguito: nessun parametro: codifica i file nella cartella di quarantena. -d: decodifica i file nella cartella di quarantena. -debug: crea un registro e un'uscita di debug nella cartella principale del client. /o: i file codificati o decodificati già esistenti vengono sovrascritti. /f: {nome file}. Codifica o decodifica un unico file. /nr: non ripristina il nome file originale. E-13

326 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Ad esempio, è possibile digitare VSEncode [-d] [-debug] per decodificare i file nella cartella Quarantena e creare un registro di debug. Quando si decodifica o si codifica un file, il file decodificato o codificato viene creato nella stessa cartella. Nota: potrebbe risultare impossibile codificare o decodificare i file bloccati. Il programma Restore Encrypted Virus fornisce i registri riportati di seguito: VSEncrypt.log. Contiene i dettagli di codifica o decodifica. Questo file viene creato automaticamente nella cartella temporanea per l'utente collegato al computer (generalmente nel disco C:). VSEncDbg.log. Contiene i dettagli di debug. Questo file viene creato automaticamente nella cartella temporanea per l'utente collegato al computer (generalmente nel disco se si esegue il file VSEncode.exe con il parametro -debug. Per codificare o decodificare i file in altri percorsi: 1. Creare un file di testo e digitare l'intero percorso dei file da codificare o decodificare. Ad esempio, per codificare o decodificare i file in C:\Documenti\Reports, digitare C:\Documenti\Reports\*.* nel file di testo. Salvare quindi il file di testo con estensione INI o TXT; ad esempio, è possibile salvarlo come ForEncryption.ini sul disco: C:. 2. Nel prompt dei comandi, eseguire Restore Encrypted Virus digitando VSEncode.exe -d -i {percorso del file INI o TXT}, dove {percorso del file INI o TXT} indica la posizione e il nome file del file INI o TXT creato (ad esempio C:\ForEncryption.ini). Ripristino dei messaggi Transport Neutral Encapsulation Format Transport Neutral Encapsulation Format (TNEF) è un formato di incapsulamento dei messaggi utilizzato da Microsoft Exchange/Outlook. In genere, questo formato viene trasformato in un allegato chiamato Winmail.dat e Outlook Express lo nasconde automaticamente. Fare riferimento a Se MSA archivia questo tipo di messaggio e l'estensione del file viene modificata in.eml, Outlook Express visualizza solo il corpo del messaggio . E-14

327 Utilizzo di strumenti amministrativi e strumenti client Touch Tool Il modulo Touch Tool esegue la sincronizzazione dell'indicatore data e ora con l'indicatore data e ora di un altro file o con l'orario di sistema del computer. Se non si riesce a implementare correttamente una hot fix (un aggiornamento o una patch rilasciata da Trend Micro) su Trend Micro Security Server, utilizzare Touch Tool per modificare l'indicatore data e ora dell'hot fix. Di conseguenza WFBS interpreta l'hot fix come nuovo elemento e il server tenta nuovamente di implementarlo automaticamente. Per eseguire il Touch Tool: 1. In Trend Micro Security Server, passare alla seguente directory: \PCCSRV\Admin\Utility\Touch 2. Copiare il file TmTouch.exe nella cartella in cui si trova il file da modificare. Per sincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionare entrambi i file nella stessa posizione dello strumento Touch. 3. Aprire un prompt dei comandi e accedere al percorso dello strumento Touch. 4. Digitare i comandi seguenti: TmTouch.exe <nome_file_di_destinazione> <nome_file_di_origine> dove: <nome_file_di_destinazione> = il nome del file (ad esempio l'hot fix) di cui si desidera modificare l'indicatore data e ora <nome_file_di_origine> = il nome del file di cui si desidera replicare l'indicatore data e ora Se non si specifica un nome file di origine, lo strumento imposta l'indicatore data e ora del file di destinazione in base all'orario di sistema del computer. Nota: è possibile utilizzare il carattere jolly "*" per il campo del nome del file di destinazione, ma non per quello del nome del file di origine. 5. Per verificare se la modifica dell'indicatore data e ora è stata applicata, digitare dir nel prompt dei comandi o fare clic con il pulsante destro del mouse in Esplora risorse e selezionare Proprietà. E-15

328 Trend Micro Worry-Free Business Security Advanced Guida dell'amministratore Client Mover Se nella rete in uso sono presenti più server WFBS, è possibile avvalersi di Client Mover per trasferire i client da un server WFBS all'altro. Questo strumento si rivela particolarmente utile dopo avere aggiunto un nuovo server WFBS alla rete quando si desidera trasferire i client esistenti al nuovo server. Sui server di origine e di destinazione deve essere installata la stessa versione di WFBS e lo stesso sistema operativo. Per Client Mover è necessaria la presenza del file IPXfer.exe. Per eseguire Client Mover: 1. Sul server WFBS, accedere alla seguente directory: \PCCSRV\Admin\Utility\IpXfer. 2. Copiare il file IpXfer.exe nel client che si intende trasferire. 3. Nel client, aprire un prompt dei comandi e accedere alla cartella nella quale è stato copiato il file. 4. Eseguire Client Mover utilizzando la sintassi riportata di seguito. IpXfer.exe -s <nome_server> -p <porta_ascolto_server> -m 1 -c <porta_ascolto_client> dove: <nome_server> = il nome del server WFBS di destinazione (il server dove è stato trasferito il client) <porta_ascolto_server> = la porta di ascolto (affidabile) del server WFBS di destinazione. Per visualizzare la porta di ascolto della console Web, fare clic su Impostazioni di sicurezza. La porta di ascolto viene mostrata accanto al nome del Security Server. 1 = è necessario utilizzare il numero "1" dopo "-m" <porta_ascolto_client> = il numero di porta del client E-16

329 Utilizzo di strumenti amministrativi e strumenti client Per confermare che ora il client deve inviare le notifiche all'altro server: 1. Sul client, fare clic con il pulsante destro del mouse sull'icona di Client/Server Security Agent nell'area di notifica. 2. Selezionare Client/Server Security Agent Console. 3. Nella scheda Guida, fare clic su ulteriori info nella sezione Informazioni sul prodotto. 4. Verificare che il Security Server con cui comunica CSA sia corretto. Componenti aggiuntivi WFBS fornisce componenti aggiuntivi per Windows Small Business Server (SBS) 2008 e Windows Essential Business (EBS) Server 2008; questi componenti permettono agli amministratori di visualizzare informazioni continuamente aggiornate sulla sicurezza e sullo stato dei sistemi dalle console di SBS e di EBS. FIGURA E-2. Console di SBS con visualizzazione di informazioni sullo stato in tempo reale E-17