Worry-FreeTM. Business Security Services. Guida dell'utente. For Small Business Security

Transcript

1 Worry-FreeTM Business Security Services For Small Business Security Guida dell'utente

2

3 Trend Micro Incorporated si riserva la facoltà di apportare modifiche al presente documento e ai prodotti/servizi ivi descritti senza preavviso. Prima dell'installazione e dell'utilizzo del software, leggere con attenzione i file readme, le note sulla versione corrente e l'ultima edizione della relativa documentazione dell'utente, che sono disponibili presso il sito di Trend Micro all'indirizzo: Trend Micro, the Trend Micro t-ball logo, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin and InterScan are trademarks or registered trademarks of Trend Micro, Incorporated. Tutti gli altri nomi di aziende o prodotti potrebbero essere marchi o marchi registrati dei rispettivi proprietari. Copyright Trend Micro Incorporated. Tutti i diritti riservati. Data di pubblicazione: Dicembre 2009 Nome del servizio e versione n.: Trend Micro Worry-Free Business Security Services 3.0 Versione documento n.: 1.03 Protetto da brevetti USA n. 5,951,698 and 7,188,369

4 La documentazione dell'utente di Trend Micro Worry-Free Business Security Services Trend Micro Client Server Security è destinata alla presentazione delle caratteristiche principali del software e alle istruzioni per l'installazione nell'ambiente di produzione dell'utente. Prima di procedere all'installazione o all'utilizzo del software, è consigliata la lettura di questa documentazione. Altre informazioni dettagliate sull'utilizzo di funzioni specifiche del software sono disponibili nella Guida in linea e nella Knowledge Base presso il sito di Trend Micro.

5 Sommario Sommario Capitolo 1: Introduzione a Worry-Free Business Security Services Panoramica di Trend Micro Worry-Free Business Security Services WFBS, WFBS-A, WFBS-SVC Scelta dell'edizione Versione completa e versione di prova Novità della versione Caratteristiche principali Trend Micro Smart Protection Network Smart Feedback Reputazione Web Reputazione dei file Smart Scan Protezione della rete Motore di scansione Vantaggi della protezione Componenti di Descrizione delle minacce Terminologia dei componenti dei prodotti Convenzioni del documento Capitolo 2: Preparazione all'installazione dell'agente Informazioni preliminari Fase 1: Pianificazione del deployment Fase 2: Installazione degli Agent Fase 3: Configurazione delle opzioni di protezione Requisiti di sistema Registrazione di WFBS-SVC Contratto di licenza e di manutenzione Lista di controllo per l'implementazione Identificazione del numero di client Pianificazione in funzione del traffico di rete Determinazione del numero di gruppi desktop e server Scelta delle opzioni di distribuzione per gli agenti Lista di controllo porte Capitolo 3: Installazione dell'agente Panoramica dell'installazione degli agenti Installazione dell'agente - Web Installazione dell'agente - Opzioni aggiuntive Verifica dell'installazione dell'agente iii

6 Sommario Verifica dell'installazione del client mediante lo script di prova EICAR Rimozione degli agenti Rimozione degli agenti con il programma di disinstallazione dell'agente Rimozione dell'agente attraverso la console Web Capitolo 4: Migrazione e aggiornamento Migrazione da altre applicazioni antivirus Migrazione da Trend Micro Anti-Spyware Migrazione da altre applicazioni antivirus Aggiornamento di Client/Server Security Agent Impedire l'aggiornamento per i client selezionati Capitolo 5: Console Web Accesso alla console Web Stato in tempo reale Sezione Stato Visualizzazione di computer e gruppi Capitolo 6: Gestione dei gruppi Panoramica dei gruppi Visualizzazione dei client in un gruppo Aggiunta dei client ai gruppi Spostamento di client Aggiunta di gruppi Rimozione dei computer e dei gruppi dalla console Web Rimozione di Client/Server Security Agent non attivi Replica delle impostazioni dei gruppi Capitolo 7: Configurazione delle impostazioni di sicurezza del gruppo Configurazione di gruppi di desktop e server Metodi di scansione Antivirus/Anti-spyware Firewall Configurazione del firewall Utilizzo delle eccezioni Firewall Modifica delle eccezioni firewall Sistema di rilevamento anti-intrusione Disattivazione del firewall Reputazione Web Controllo del comportamento Configurazione del controllo del comportamento Visualizzazione dei computer che violano i criteri di monitoraggio dei comportamenti Barre degli strumenti TrendSecure Scansione Privilegi client iv

7 Sommario Capitolo 8: Gestione delle scansioni Informazioni sulla scansione Metodi di scansione Tipi di scansione Configurazione della scansione in tempo reale Attivazione della scansione in tempo reale Scansioni pianificate Scansioni manuali Configurazione della scansione manuale e pianificata Modifica dell'elenco Approvati spyware/grayware Esclusione di file e cartelle dalle scansioni Visualizzazione di un'azione non riuscita su computer desktop e server Incidenti che richiedono il riavvio del computer Capitolo 9: Utilizzo della difesa dalle infezioni Strategia di difesa dalle infezioni Dettagli della difesa dalle infezioni Impostazioni di Avviso di infezione Capitolo 10: Gestione delle notifiche Informazioni sulle notifiche Configurazione delle soglie di allarme Personalizzazione degli avvisi di notifica Configurazione delle impostazioni di notifica Capitolo 11: Configurazione delle impostazioni globali Impostazioni globali Capitolo 12: Gestione degli aggiornamenti Informazioni sugli aggiornamenti Agenti inattivi Active Agent Informazioni su ActiveUpdate Componenti da aggiornare Aggiornamenti manuali v

8 Sommario Capitolo 13: Utilizzo dei registri e delle segnalazioni Segnalazioni Creazione di segnalazioni Modifica delle segnalazioni Interpretazione delle segnalazioni Eliminazione delle segnalazioni Registri Utilizzo delle query del registro Capitolo 14: Amministrazione WFBS-SVC Strumenti client Script di implementazione di esempio Restore Encrypted Virus Modifica della password Visualizzazione dei dettagli della licenza del prodotto Partecipazione a Smart Protection Network Worry-Free Remote Manager Appendice A: Informazioni sul client Icone del client normale...a-2 Client a 32 e 64 bit...a-5 Appendice B: Servizi Trend Micro Criteri di prevenzione delle infezioni di Trend Micro...B-2 Trend Micro IntelliScan...B-2 Trend Micro ActiveAction...B-2 Trend Micro IntelliTrap...B-3 Trend Micro Web Reputation...B-4 Appendice C: Migliori pratiche per la protezione dei client Appendice D: Risoluzione dei problemi e domande frequenti Risoluzione dei problemi... D-2 Domande frequenti (FAQ)... D-3 Dove è possibile trovare le informazioni di registrazione personali?... D-3 Registrazione... D-3 Installazione, aggiornamento e compatibilità... D-3 Come recuperare una password persa o dimenticata?... D-4 Protezione del software Intuit... D-4 Ho installato il file di pattern o il service pack più recente?...d-4 Elenco esclusione prodotti... D-4 Problemi noti... D-7 vi

9 Sommario Appendice E: Visualizzazione della guida Documentazione del prodotto...e-2 Knowledge Base...E-2 Assistenza tecnica...e-2 Come contattare Trend Micro...E-3 Invio di file sospetti a Trend Micro...E-3 Trend Micro Virus Information Center...E-4 Informazioni su TrendLabs...E-4 Appendice F: Glossario vii

10 Sommario viii

11 Capitolo 1 Introduzione a Worry-Free Business Security Services In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche chiave di Trend Micro Worry-Free Business Security Services (WFBS-SVC). Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Panoramica di Trend Micro Worry-Free Business Security Services a pagina 1-2 WFBS, WFBS-A, WFBS-SVC a pagina 1-2 Scelta dell'edizione a pagina 1-3 Novità della versione a pagina 1-3 Caratteristiche principali a pagina 1-4 Protezione della rete a pagina 1-5 Motore di scansione a pagina 1-6 Vantaggi della protezione a pagina 1-7 Componenti di a pagina 1-8 Descrizione delle minacce a pagina 1-10 Terminologia dei componenti dei prodotti a pagina 1-12 Convenzioni del documento a pagina

12 Introduzione a Worry-Free Business Security Services Panoramica di Trend Micro Worry-Free Business Security Services Trend Micro Worry-Free Business Security Services per piccoli uffici protegge PC e notebook da virus e da altre minacce Web, sia in ufficio che fuori. La funzionalità di protezione dalle minacce Web univoche interrompe qualsiasi minaccia prima che raggiunga il computer, che lo danneggi o che si impossessi in modo non autorizzato dei dati. Questa protezione dalle minacce Web, estremamente sicura, intelligente e semplice, non provoca alcuna ripercussione sulle prestazioni dei computer. È possibile gestire la protezione da una posizione centralizzata da qualsiasi luogo senza la necessità di aggiungere server, installare software appositi, configurare impostazioni o gestire aggiornamenti. Gli esperti di sicurezza di Trend Micro gestiscono e aggiornano costantemente il servizio per l'utente. Trend Micro Worry-Free Business Security Services è: Più sicuro: protezione di più PC/notebook posizionati in ufficio o fuori dall'ufficio con una singola soluzione aziendale antivirus e anti-spyware. Più intelligente: interruzione di virus e altre minacce senza la necessità di configurare impostazioni o gestire aggiornamenti. Più semplice: gestione centralizzata e verifica dello stato dei computer protetti da qualsiasi postazione (nessun server richiesto). WFBS, WFBS-A, WFBS-SVC La seguente tabella elenca le funzioni supportate da ciascuna edizione. TABELLA 1-1. Funzioni disponibili per edizioni del prodotto Caratteristiche Worry-Free Business Security Worry-Free Business Security Advanced Worry-Free Business Security Services Aggiornamento dei componenti Sì Sì Sì Antivirus/Anti-spyware Sì Sì Sì Firewall Sì Sì Sì Reputazione Web Sì Sì Sì Monitoraggio del comportamento Sì Sì Sì TrendSecure Sì Sì Sì Filtro del contenuto dei messaggi istantanei Sì Sì Sì Mail Scan (POP3) Sì Sì Sì Anti-spam (POP3) Sì Sì Sì Mail Scan (IMAP) No Sì No Anti-spam (IMAP) No Sì No Filtro del contenuto dei messaggi No Sì No Blocco allegati No Sì No Filtro URL Sì Sì No Server richiesto Sì Sì No 1-2

13 Introduzione a Worry-Free Business Security Services La seguente tabella elenca le funzioni supportate da ciascun tipo di licenza. TABELLA 1-2. Conseguenze dello stato della licenza Licenza completa Versione di prova (60 giorni) Scaduto Notifica di scadenza Sì Sì Sì Aggiornamenti dei file di pattern antivirus Sì Sì No Aggiornamenti del programma Sì Sì No Assistenza tecnica Sì No No Scansione in tempo reale* Sì Sì No *Per le licenze scadute, la scansione in tempo reale utilizza componenti non aggiornati. Nota: per aggiornare l'edizione, contattare il rappresentante di vendita Trend Micro di fiducia. Scelta dell'edizione Versione completa e versione di prova È possibile scegliere una versione completa di WFBS-SVC o una versione gratuita di prova. Versione completa: Fornita con supporto tecnico, download dei pattern antivirus, scansione in tempo reale e aggiornamenti del programma per un anno intero. È possibile rinnovare una versione completa acquistando un rinnovo di manutenzione. Versione di prova: Fornisce scansione in tempo reale e aggiornamenti per 60 giorni. È possibile effettuare l'aggiornamento da una versione di prova a una versione completa in qualsiasi momento. Periodi di proroga In caso di scadenza della licenza, è possibile usufruire di un periodo di proroga di 60 giorni per la versione completa e di 30 giorni per la versione di prova. Durante il periodo di proroga, è possibile continuare a ricevere nuovi file di pattern e aggiornamenti del motore, inoltre tutte le funzionalità potranno essere normalmente utilizzate. Al termine del periodo di proroga, non sarà più possibile effettuare l'accesso. Per le licenze complete, tutti i dati del cliente vengono eliminati dal sistema WFBS-SVC dopo dieci giorni dallo scadere del periodo di proroga. Per le licenze di prova, tutti i dati del cliente vengono eliminati dal sistema il giorno della scadenza del periodo di proroga. Novità della versione Il nome del prodotto Worry-Free Business Security Hosted (WFBS-H) è stato sostituito con Worry-Free Business Security Services (WFBS-SVC). WFBS-SVC è stato dotato di una nuova interfaccia con maggiori funzionalità rispetto a WFBS-H. WFBS-SVC include la maggior parte delle funzionalità di WFBS 6.0. Di seguito viene riportato un elenco delle nuove funzionalità di questa versione di Trend Micro Worry-Free Business Security Services: 1-3

14 Introduzione a Worry-Free Business Security Services Protezione Smart Scan Integrazione Smart Protection Network Protezione dalle minacce di esecuzione automatica USB Prevenzione delle infezioni Monitoraggio del comportamento Gestione Stato in tempo reale semplificato Miglioramento notifica Stato in tempo reale Integrazione con Worry-Free Remote Manager Altri Scansione variabile basata sul consumo di CPU Supporto per Windows 7 Caratteristiche principali Le caratteristiche di questa versione del prodotto comprendono un miglioramento nell'integrazione con Trend Micro Smart Protection Network. Trend Micro Smart Protection Network Trend Micro Smart Protection Network è un'infrastruttura di protezione dei contenuti di tipo cloud-client di ultima generazione, progettata per salvaguardare i clienti dalle minacce Web. I seguenti sono elementi essenziali di Smart Protection Network. Smart Feedback Trend Micro Smart Feedback consente la comunicazione continua tra i prodotti Trend Micro, le tecnologie e i centri di ricerca contro le minacce attivi 24 ore su 24 e 7 giorni su 7. Per ciascuna nuova minaccia identificata tramite una verifica di routine della reputazione da parte di singolo cliente vengono automaticamente aggiornati tutti i database delle minacce di Trend Micro e vengono bloccate eventuali interazioni di tale minaccia con altri clienti. Elaborando senza sosta le conoscenze sulle minacce raccolte attraverso la sua vasta rete globale di clienti e partner, Trend Micro offre una protezione automatica in tempo reale contro le più recenti minacce e garantisce una sicurezza di tipo "l'unione fa la forza", proprio come un gruppo di sorveglianti di quartiere, che coinvolge la comunità nella protezione dei cittadini. Poiché le informazioni raccolte sulle minacce sono basate sulla reputazione dell'origine della comunicazione e non sul contenuto della specifica comunicazione, la riservatezza delle informazioni personali o aziendali di un cliente è sempre tutelata. 1-4

15 Introduzione a Worry-Free Business Security Services Reputazione Web Con uno dei più estesi database di reputazione dei domini al mondo, la tecnologia Web Reputation di Trend Micro rileva la credibilità dei domini Web tramite l'assegnazione di un punteggio di reputazione basato su fattori quali l'età del sito Web, le modifiche cronologiche alla posizione del sito e le indicazioni di attività sospette scoperte tramite l'analisi del comportamento delle minacce informatiche. Questa tecnologia analizza quindi i siti e impedisce agli utenti di accedere a quelli infetti. Per aumentare l'accuratezza e ridurre l'incidenza di falsi allarmi, la tecnologia Web Reputation di Trend Micro assegna punteggi di reputazione a pagine o collegamenti specifici all'interno dei siti, invece di classificare o bloccare tutto il sito, perché spesso solo alcune parti di siti legittimi vengono infettate e le reputazioni possono cambiare in modo dinamico nel corso del tempo. Reputazione dei file La tecnologia di reputazione dei file verifica la reputazione di ciascun file a fronte di un ampio database, prima di consentirne l'accesso all'utente. Poiché le informazioni sulle minacce informatiche sono memorizzate mediante cloud, sono disponibili immediatamente a tutti gli utenti. Le reti di trasmissione dei contenuti ad elevate prestazioni garantiscono una latenza minima durante la fase di controllo. L'architettura cloud-client offre una protezione più immediata ed elimina l'obbligo dell'implementazione dei pattern, oltre a ridurre in misura significativa l'impatto complessivo del client sulle risorse. Smart Scan Trend Micro Worry-Free Business Security Services utilizza una nuova tecnologia chiamata Smart Scan. In passato, i client WFBS-SVC utilizzavano la scansione convenzionale, in base alla quale ogni client scaricava i componenti di scansione per eseguire le scansioni. Con Smart Scan, il client utilizza invece il file di pattern presente sul server Smart Scan. Per la scansione dei file vengono utilizzate soltanto le risorse del server di scansione. Protezione della rete La protezione di WFBS-SVC si compone dei seguenti componenti: La console Web: gestisce tutti gli agenti da un'unica posizione. WFBS-SVC Server: funge da host per la console Web nel data center di Trend Micro. Raccoglie e archivia i file di registro e consente di controllare le infezioni da virus/minacce informatiche. Client/Server Security Agent: un piccolo programma installato sulla macchina client che protegge i computer con Windows Vista/Windows 7/2000/XP/Server 2003/Server 2008 da virus/minacce informatiche, spyware/grayware, cavalli di Troia e altre minacce. Server di scansione: consente la scansione dei client mediante file di partner archiviati sul server, riducendo il carico di lavoro generale sul client. Console Web Si tratta di una console di gestione centralizzata basata sul Web e posizionata nei data center di Trend Micro. Utilizzare la console Web per configurare l'ambiente di protezione. La console Web consente anche di: Unire i computer desktop e portatili e i server in gruppi logici per la configurazione e la gestione simultanee. Impostare le configurazioni di scansione antivirus e anti-spyware e avviare la scansione manuale su uno o più gruppi. Ricevere notifiche e visualizzare le relazioni di registro per le attività di virus/minacce informatiche. Ricevere le notifiche e inviare gli avvisi sulle infezioni attraverso messaggi , al rilevamento delle minacce sui client. Controllare le infezioni tramite l'attivazione della prevenzione delle infezioni. 1-5

16 Introduzione a Worry-Free Business Security Services Server WFBS-SVC Il fulcro della soluzione WFBS-SVC è il server. Esso ospita la console di gestione centralizzata basata sul Web per WFBS-SVC. Insieme agli agenti, il server consente la comunicazione client-server. Il server WFBS-SVC consente di consultare le informazioni sullo stato, visualizzare gli agenti, configurare la sicurezza del sistema e aggiornare i componenti dell'agente da una posizione centralizzata. Il server contiene inoltre il database in cui vengono memorizzati i registri delle minacce informatiche segnalate dagli agenti. Client/Server Security Agent Client/Server Security Agent comunica con il server WFBS-SVC. Per fornire al server i dati più aggiornati riguardanti il client, l'agente invia i dati sullo stato degli eventi in tempo reale. Gli eventi riportati sono ad esempio il rilevamento di minacce, l'avvio e lo spegnimento dell'agente, l'avvio di una scansione e il completamento di un aggiornamento. Client/Server Security Agent offre tre metodi di scansione: in tempo reale, pianificata e manuale. È possibile configurare le impostazioni di scansione dalla console Web o dall'agente stesso. Per implementare una protezione uniforme dei desktop in tutta la rete, si consiglia di non concedere agli utenti i privilegi per la modifica delle impostazioni di scansione. Server di scansione All'interno di Smart Protection Network, WFBS-SVC fornisce la possibilità di sottoporre a scansione i client con un server di scansione. Tale server trasferisce dai client a un server di scansione il compito di sottoporre a scansione i computer client. Motore di scansione Tutti i prodotti Trend Micro si basano su un motore di scansione. Sviluppato in principio come risposta alle prime forme di virus di computer basati su file, il motore di scansione attualmente è eccezionalmente sofisticato e in grado di rilevare worm Internet, invii di posta di massa, minacce di cavalli di Troia, siti di phishing e vulnerabilità della rete, nonché virus. Il motore di scansione rileva due tipi di minacce: Attive e in circolazione: minacce attive e in circolazione su Internet. Note e controllate: virus non in circolazione e sotto controllo, sviluppati e utilizzati a scopo di ricerca. Piuttosto che eseguire la scansione di ogni singolo byte di ogni file, il motore e il file di pattern, agendo in combinazione, identificano non soltanto le caratteristiche del codice del virus, ma l'ubicazione precisa all'interno di un file in cui si nasconde il virus. Se Client/Server Security Agent rileva un virus, può rimuoverlo e ripristinare l'integrità del file. Il motore di scansione riceve in modo incrementale file di pattern aggiornati da Trend Micro (per ridurre l'ampiezza di banda). Il motore di scansione è in grado di decodificare tutti i principali formati di crittografia (incluso MIME e BinHex). Riconosce ed esegue la scansione dei comuni formati di compressione, inclusi Zip, Arj e Cab. Client/Server Security Agent consente inoltre di esaminare più livelli di compressione all'interno di un file (fino ad un massimo di sei). È importante che il motore di scansione resti aggiornato con le nuove minacce. Trend Micro garantisce l'aggiornamento costante in due modi: Tramite aggiornamenti frequenti al file di pattern dei virus Tramite aggiornamenti al software del motore richiesti da un cambiamento della natura delle minacce virali, ad esempio, un aumento di minacce miste come SQL Slammer Il motore di scansione Trend Micro è dotato di certificazione annuale da parte delle organizzazioni di sicurezza informatica internazionali, inclusa la ICSA (International Computer Security Association). 1-6

17 Introduzione a Worry-Free Business Security Services Aggiornamenti del motore di scansione Memorizzando le informazioni sui virus più sensibili al livello temporale nel file di pattern, Trend Micro è in grado di ridurre al minimo il numero di aggiornamenti del motore di scansione mantenendo al contempo la protezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuove versioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenti circostanze: Nuove tecnologie di scansione e rilevamento vengono incorporate nel software. Viene scoperto un nuovo virus potenzialmente molto dannoso. Le prestazioni di scansione vengono migliorate. Viene fornito ulteriore supporto per formati di file aggiuntivi, linguaggi script, codifica e/o formati di compressione. Per visualizzare il numero di versione più recente del motore di scansione, visitare il sito Web di Trend Micro: Vantaggi della protezione La tabella riportata di seguito descrive come i vari componenti di WFBS-SVC proteggono i computer dalle minacce. TABELLA 1-3. Vantaggi della protezione MINACCIA PROTEZIONE Virus/minaccia informatica. Virus, cavalli di Troia, worm, backdoor e rootkit Spyware/grayware. Spyware, dialer, strumenti per hacker, applicazioni per decifratura password, adware, programmi ingannevoli e keylogger. Virus/minacce informatiche e spyware/grayware trasmessi tramite messaggi e spam. Worm e virus di rete Intrusioni Siti Web e siti di phishing pericolosi Comportamento dannoso Falsi punti di accesso Contenuti espliciti o riservati in applicazioni di messaggistica istantanea Motori di scansione antivirus e antispyware con file di pattern di Client/Server Security Agent POP3 Mail Scan di Client/Server Security Agent Firewall in Client/Server Security Agent Firewall in Client/Server Security Agent Reputazione Web e TrendProtect in Client/Server Security Agent Controllo del comportamento in Client/Server Security Agent Transaction Protector in Client/Server Security Agent Filtro contenuti IM in Client/Server Security Agent 1-7

18 Introduzione a Worry-Free Business Security Services Componenti di Antivirus Motore di scansione a 32 o a 64 bit per Client/Server Security Agent: Il motore di scansione utilizza il file di pattern antivirus per rilevare virus/minacce informatiche e altre minacce alla sicurezza nei file che gli utenti aprono e/o salvano. Il motore di scansione agisce in combinazione con il file di pattern antivirus per eseguire il primo livello di rilevamento, mediante un processo denominato corrispondenza di pattern. Poiché ogni virus contiene una "firma" univoca o una stringa di caratteri riconoscibili che lo distinguono da qualsiasi altro codice, gli esperti di TrendLabs raccolgono porzioni rivelatrici inerti del codice nel file di pattern. Il motore confronta alcune parti di ogni file analizzato con i pattern del file di pattern antivirus alla ricerca di qualche corrispondenza. Pattern antivirus: file che consente ai Client/Server Security Agent di individuare le firme dei virus, le sequenze univoche di bit e byte che segnalano la presenza di un virus. Modello disinfezione virus: Utilizzato da Virus Cleanup Engine, questo modello consente di identificare cavalli di Troia, worm e spyware/grayware e i processi da essi innescati, affinché il motore di disinfezione possa eliminarli. Virus Cleanup Engine a 32 o a 64 bit: Il motore che i Cleanup Services utilizzano per ricercare e rimuovere i cavalli di Troia e i relativi processi, i worm e lo spyware/grayware. Pattern eccezioni IntelliTrap: Il pattern eccezioni utilizzato da IntelliTrap e dai motori di scansione per cercare il codice dannoso nei file compressi. Pattern IntelliTrap: Il pattern utilizzato da IntelliTrap e dai motori di scansione per cercare il codice dannoso nei file compressi. Pattern per Smart Scan Agent: file di pattern utilizzato dal client per identificare le minacce. Questo file di pattern è archiviato all'interno della macchina dell'agente. Motore feedback a 32 e a 64 bit: motore per l'invio di feedback a Trend Micro Smart Protection Network. Pattern per Smart Scan: file di pattern contenente dati specifici per i file dei computer client. Anti-spyware Motore di scansione spyware a 32 bit: motore di scansione distinto che cerca, rileva e rimuove spyware/grayware dai computer e dai server infetti eseguiti su sistemi operativi i386 (a 32 bit). Motore di scansione anti-spyware a 64 bit: analogamente al motore di scansione anti-spyware/grayware per i sistemi a 32 bit, questo motore di scansione ricerca, rileva e rimuove spyware da sistemi operativi x64 (a 64 bit). Pattern spyware: Contiene definizioni di spyware noto ed è utilizzato dai motori di scansione anti-spyware (sia 32 che 64 bit) per rilevare lo spyware/grayware sui computer e sui server durante le scansioni manuali e pianificate. Schema di monitoraggio attivo dello spyware: simile al pattern spyware, ma utilizzato dal motore di scansione per la scansione anti-spyware. Difesa dalle infezioni La difesa dalle infezioni fornisce avvisi precoci delle minacce Internet e/o di altre minacce informatiche di portata globale. La difesa dalle infezioni risponde automaticamente con misure preventive che garantiscono la sicurezza dei computer e della rete e con misure di protezione volte a identificare il problema e risanare il danno. Pattern vulnerabilità: Un file che include il database di tutte le vulnerabilità. Il pattern di vulnerabilità fornisce le istruzioni utili al motore di scansione per la ricerca delle vulnerabilità note. 1-8

19 Introduzione a Worry-Free Business Security Services Virus di rete Motore firewall comune a 32 o a 64 bit: Il firewall utilizza il motore, insieme al file di pattern per i virus di rete, per proteggere i computer dagli attacchi degli hacker e dai virus di rete. Pattern comune per firewall: Come il file di pattern per i virus, questo file consente a WFBS-SVC di identificare le impronte dei virus di rete. Transport Driver Interface (TDI) a 32 o a 64 bit: Il modulo che reindirizza il traffico di rete verso i moduli di scansione. Driver WFP a 32 o a 64 bit: Per i client Windows Vista, il firewall utilizza questo driver con il file di pattern antivirus per individuare i virus di rete. Reputazione Web Database di sicurezza di Trend Micro: Reputazione Web valuta il potenziale rischio alla sicurezza della pagina Web richiesta prima di visualizzarla. In base alla valutazione fornita dal database e al livello di sicurezza configurato, Client/Server Security Agent blocca o approva la richiesta. Motore filtro URL a 32 o a 64 bit: Il motore che effettua le ricerche nel database di sicurezza di Trend Micro per valutare la pagina. TrendProtect Database di sicurezza di Trend Micro: TrendProtect valuta il potenziale rischio alla sicurezza dei collegamenti ipertestuali visualizzati in una pagina Web. Il plug-in classifica il collegamento in base alla valutazione fornita dal database e al livello di sicurezza configurato sul plug-in del browser. Protezione del software Elenco di protezione software: non è possibile modificare o eliminare i file di programma (EXE e DLL). Per disinstallare o aggiornare un programma, è necessario rimuovere temporaneamente la protezione dalle cartelle. Monitoraggio del comportamento Driver di monitoraggio del comportamento: il driver rileva il comportamento dei processi sui client. Servizio principale monitoraggio del comportamento: CSA utilizza questo servizio per la gestione dei driver principali di monitoraggio del comportamento. Pattern implementazione dei criteri: elenco di criteri configurati sulla console di WFBS-SVC da implementare mediante gli agenti. Pattern firma digitale: Elenco delle aziende riconosciute da Trend Micro il cui software è ritenuto sicuro. Pattern configurazione monitoraggio del comportamento: Questo pattern memorizza i criteri predefiniti del controllo del comportamento. I file di questo pattern vengono ignorati da tutte le corrispondenze di criteri. Pattern rilevamento monitoraggio del comportamento: pattern che contiene le regole per il rilevamento di comportamenti sospetti delle minacce. Stato in tempo reale e notifiche Lo stato in tempo reale consente individuare velocemente lo stato della protezione per quanto riguarda la difesa dalle infezioni, antivirus, anti-spyware e da virus di rete. WFBS-SVC invia notifiche agli amministratori in caso di eventi significativi. 1-9

20 Introduzione a Worry-Free Business Security Services Descrizione delle minacce La sicurezza informatica è un settore in rapida evoluzione. Gli amministratori e gli esperti di sicurezza informatica inventano e adottano un'ampia gamma di termini e frasi per descrivere i rischi potenziali o gli incidenti indesiderati su computer e rete. Di seguito vengono analizzati alcuni dei termini e il loro significato in base a come vengono utilizzati in questo documento. Virus/minaccia informatica Un virus informatico/una minaccia informatica è un programma, ovvero un codice eseguibile, con la capacità esclusiva di riprodursi. Penetrano in qualsiasi tipo di file eseguibile e si diffondono nel momento in cui i file vengono copiati e inviati da un utente all'altro. Oltre alla moltiplicazione, alcuni virus/minacce informatiche hanno un altro elemento comune: una routine di danni che trasporta la carica distruttiva. Benché a volte si limitino a visualizzare messaggi o immagini, le cariche distruttive possono anche danneggiare file, formattare il disco rigido o causare danni di altra natura. Minaccia informatica: Le minacce informatiche sono dei software progettati per infiltrarsi o danneggiare un computer senza il consenso del proprietario. Cavalli di Troia: Un cavallo di Troia è un programma dannoso mascherato da applicazione innocua. Contrariamente ai virus e alle minacce informatiche, i cavalli di Troia non si moltiplicano ma possono essere altrettanto dannosi. Un esempio di cavallo di Troia è un'applicazione che a prima vista serve per eliminare virus/minacce informatiche dai computer ma in realtà li introduce. Worm: Un worm è un programma (o gruppo di programmi) autonomo in grado di diffondere copie funzionanti di se stesso o di suoi segmenti ad altri sistemi. La propagazione avviene in genere mediante le connessioni alla rete o gli allegati . A differenza dei virus e delle minacce informatiche, non hanno la necessità di attaccarsi a programmi host. Backdoor: Un programma backdoor è un metodo per oltrepassare i normali processi di autenticazione così da permettere l'accesso remoto a un computer e/o ottenere accesso alle informazioni rimanendo, nel frattempo, nascosto. Rootkit: Un rootkit è un insieme di programmi progettato per attaccare il controllo legittimo di un sistema operativo da parte dei suoi utenti. Solitamente un rootkit mantiene nascosta la propria installazione e tenta di evitare la rimozione provando a modificare i sistemi di protezione standard. Virus da macro: I virus da macro sono specifici di un'applicazione. Questo tipo di virus si trova all'interno di file destinati ad applicazioni come Microsoft Word (.doc) e Microsoft Excel (.xls). Possono, pertanto, essere rilevati in file con estensioni comuni ad applicazioni in grado di eseguire macro come.doc,.xls e.ppt. I virus da macro viaggiano tra i file di dati nell'applicazione e possono, se non scoperti, infettare centinaia di file. I programmi dell'agente presenti sui computer client, detti anche Client/Server Security Agent rilevano la presenza di virus/minacce informatiche durante la scansione antivirus. In presenza di virus/minacce informatiche, Trend Micro consiglia di eseguire una disinfezione. Spyware/grayware Con il termine grayware si intendono tutti quei programmi che eseguono operazioni inaspettate o non autorizzate. È un termine generico utilizzato per indicare spyware, adware, dialer, programmi ingannevoli, strumenti di accesso remoto e qualsiasi altro tipo di file e programma indesiderato. A seconda del tipo, queste minacce possono contenere codici dannosi in grado o meno di replicarsi. Spyware: Gli spyware sono dei software che si installano sul computer senza il consenso o la consapevolezza dell'utente per raccogliere o trasmettere informazioni personali. Dialer: I dialer sono necessari per collegare a Internet i computer che non dispongono di connessione a banda larga. I dialer dannosi sono progettati per collegare i computer a numeri telefonici con tariffe altissime invece che al provider di servizi Internet abituale. I provider di tali dialer dannosi riscuotono le tariffe pagate. I dialer vengono utilizzati anche per trasmettere informazioni personali e scaricare software dannoso. 1-10

21 Introduzione a Worry-Free Business Security Services Strumenti per hacker: Uno strumento per hacker è un programma o un set di programmi progettato per l'attività degli hacker. Adware: Per adware si intende il software finalizzato alla pubblicità e si riferisce a qualsiasi pacchetto software che, dopo la sua installazione o quando l'applicazione viene utilizzata, esegue, visualizza o scarica automaticamente del materiale pubblicitario su un computer. Keylogger: I keylogger sono dei software che registrano tutte le sequenze di tasti digitate dall'utente. Queste informazioni possono quindi essere recuperate da un hacker che le utilizza per i propri scopi. Bot: un bot (diminutivo di "robot") è un programma che opera come agente per un utente o per un altro programma e simula un'attività umana. I bot, una volta eseguiti, possono replicarsi, comprimersi e distribuire copie di se stessi. I bot possono essere utilizzati per coordinare un attacco automatico su computer collegati in rete. Alcune applicazioni vengono classificate da Trend Micro come spyware/grayware non perché siano dannose per il sistema su cui sono installate, ma perché potrebbero esporre il client o la rete ad attacchi da parte di minacce informatiche o hacker. Hotbar, ad esempio, è un programma che inserisce una barra degli strumenti nei browser Web. Hotbar rileva gli URL visitati dagli utenti e registra le parole o le frasi che questi immettono nei motori di ricerca. Queste informazioni vengono poi utilizzare per visualizzare messaggi pubblicitari prestabiliti, comprese le finestre a comparsa, nei bowser in uso. Poiché le informazioni raccolte da Hotbar potrebbero essere inviate a un sito di terzi e utilizzate dalle minacce informatiche o dagli hacker per raccogliere informazioni sugli utenti, Worry-Free Business Security Services impedisce che questa applicazione venga installato ed eseguita per impostazione predefinita. Se l'utente desidera eseguire Hotbar o qualsiasi altra applicazione classificata da WFBS-SVC come spyware/grayware, dovrà aggiungerla all'elenco di spyware/grayware affidabili. Impedendo l'esecuzione di applicazioni potenzialmente dannose e fornendo all'utente il controllo totale sull'elenco di spyware/grayware affidabili, WFBS-SVC garantisce che client e server eseguano sui client solo le applicazioni approvate dagli utenti. I Client/Server Security Agent sono in grado di rilevare grayware. L'azione consigliata da Trend Micro per spyware e grayware è la disinfezione. Virus di rete Un virus che si diffonde su una rete non è necessariamente un virus di rete. Solo alcune delle minacce descritte in questa sezione, come i worm, si qualificano come virus di rete. In particolare, per moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e i protocolli di posta elettronica. Per identificare e bloccare i virus di rete, il firewall utilizza un file di pattern apposito. Intrusioni Per intrusione si intende l'accesso a una rete o a un computer compiuto con la forza o senza autorizzazione. Può indicare anche il superamento della protezione di una rete o un computer. Comportamento dannoso Per comportamenti dannosi si intendono tutti quegli eventi che implicano modifiche non autorizzate al sistema operativo, alle chiavi di registro, ad altri software o a file e cartelle da parte di un software. Falsi punti di accesso Con falsi punti di accesso, detti anche Evil Twin, si intendono dei punti di accesso Wi-Fi disponibili presso diverse strutture che sembrano legittimi ma che, invece, sono stati realizzati da hacker per spiare le comunicazioni wireless. 1-11

22 Introduzione a Worry-Free Business Security Services Contenuti espliciti o riservati in applicazioni di messaggistica istantanea. Contenuti testuali espliciti o riservati all'interno di un'organizzazione che vengono trasmessi tramite applicazioni di messaggistica istantanea; ad esempio, informazioni aziendali riservate. Listener di sequenza di tasti online Un versione on-line dei keylogger. Per ulteriori informazioni, consultare Spyware/grayware a pagina Packer I packer sono degli strumenti che comprimono i programmi eseguibili. La compressione di un file eseguibile rende più difficoltoso il riconoscimento del codice in esso contenuto da parte dei normali prodotti per scansione antivirus. Un packer può contenere un cavallo di Troia o un worm. Il motore di scansione di Trend Micro è in grado di rilevare i file compressi; l'azione consigliata per questo tipo di file è la quarantena. Terminologia dei componenti dei prodotti La tabella riportata di seguito include le definizioni per i termini utilizzati nella documentazione di WFBS-SVC: TABELLA 1-4. Terminologia dei componenti dei prodotti VOCE Server WFBS-SVC Server di scansione CSA Client Console Web DESCRIZIONE Il server WFBS-SVC nel data center di Trend Micro ospita la console Web, la console di gestione centralizzata basata su Web per l'intera soluzione WFBS-SVC. Il server di scansione globale di Trend Micro esegue la scansione dei client configurati per Smart Scan. Client/Server Security Agent. Gli agenti proteggono il client sul quale sono installati. Per client si intende tutti i desktop, i computer portatili e i server in cui è installato Client/Server Security Agent. Si tratta di una console di gestione centralizzata basata sul Web che consente di gestire tutti i moduli Agent. La console Web risiede sul server WFBS-SVC. Convenzioni del documento Per facilitare l'individuazione e l'interpretazione delle informazioni, la documentazione di WFBS-SVC utilizza le convenzioni illustrate di seguito. TABELLA 1-5. Convenzioni e termini utilizzati nel documento CONVENZIONE/TERMINE MAIUSCOLO Grassetto Corsivo Carattere a spaziatura fissa Nota: DESCRIZIONE Acronimi, abbreviazioni e nomi di alcuni comandi e tasti della tastiera Menu e comandi dei menu, pulsanti dei comandi, schede, opzioni e attività Riferimenti ad altri documenti Righe di comando campione, codice del programma, URL Web, nomi di file e output programmi Note di configurazione 1-12

23 Introduzione a Worry-Free Business Security Services TABELLA 1-5. Convenzioni e termini utilizzati nel documento CONVENZIONE/TERMINE Suggerimento ATTENZIONE! Percorso di navigazione Consigli DESCRIZIONE Azioni fondamentali e opzioni di configurazione Percorso di navigazione per raggiungere una determinata schermata. Ad esempio, l'istruzione Scansioni > Scansioni manuali, indica all'utente di fare clic sull'elemento dell'interfaccia Scansioni, quindi su Scansioni manuali. 1-13

24 Introduzione a Worry-Free Business Security Services 1-14

25 Capitolo 2 Preparazione all'installazione dell'agente In questo capitolo viene indicata la procedura da adottare per creare un piano di installazione e implementazione di WFBS-SVC Trend Micro consiglia di creare un piano di installazione e di distribuzione prima di procedere all'installazione. Ciò garantisce che le funzionalità del prodotto vengano incorporate nel piano antivirus e di protezione della rete già esistente. Di seguito è riportato un elenco degli argomenti trattati in questa sezione del capitolo. Informazioni preliminari a pagina 2-2 Requisiti di sistema a pagina 2-3 Registrazione di WFBS-SVC a pagina 2-5 Contratto di licenza e di manutenzione a pagina 2-5 Lista di controllo per l'implementazione a pagina 2-6 Lista di controllo porte a pagina

26 Preparazione all'installazione dell'agente Informazioni preliminari Rivedere le seguenti fasi di installazione e implementazione. Fase 1: Pianificazione del deployment La pianificazione della distribuzione di WFBS-SVC prevede le seguenti operazioni: 1. Verifica dei requisiti di sistema. Vedere Requisiti di sistema a pagina Identificare il numero di client. Vedere Identificazione del numero di client a pagina Pianificare in funzione del traffico di rete. Vedere Pianificazione in funzione del traffico di rete a pagina Stabilire i gruppi di computer desktop e server. Vedere Determinazione del numero di gruppi desktop e server a pagina Scegliere le opzioni di installazione/implementazione per i moduli Client/Server Security Agent. Vedere Scelta delle opzioni di distribuzione per gli agenti a pagina 2-7. Fase 2: Installazione degli Agent Installare Client/Server Security Agent su tutti i server e i desktop. Questa fase prevede le seguenti operazioni: Nota: Per informazioni generali, vedere Panoramica dell'installazione degli agenti a pagina Selezionare un metodo di installazione. 2. Installare o aggiornare i moduli Agent. 3. Verificare l'installazione. 4. Provare l'installazione. Fase 3: Configurazione delle opzioni di protezione Dopo aver installato Client/Server Security Agent sui client, se necessario, personalizzare le impostazioni predefinite. Questa fase prevede le seguenti operazioni: 1. Configurare i gruppi. Consultare Panoramica dei gruppi a pagina Configurare le preferenze. Consultare Configurazione di gruppi di desktop e server a pagina

27 Preparazione all'installazione dell'agente Requisiti di sistema Per installare l'agente e utilizzare WFBS-SVC, è necessario soddisfare i requisiti descritti di seguito. Nota: Client/Server Security Agent supporta Citrix Presentation Server 4.0/4.5/5.0 e Remote Desktop. TABELLA 2-6. Voce Requisiti di sistema dell'agent Specifiche minime Console Web Browser Web Lettore PDF (per le segnalazioni) Schermo Internet Explorer 6.0 o versioni successive (a 32 e a 64 bit) Firefox 3.5 e versioni successive (Firefox è supportata solo sulla console WFBS-SVC. È necessario utilizzare Internet Explorer per scaricare il programma di installazione dell'agente) Adobe Acrobat Reader 4.0 o successiva Schermo a o più colori con risoluzione 1024x768 o maggiore Client/Server Security Agent Processore Memoria Spazio su disco Processore Intel Pentium x86 o compatibile Processore x64 con supporto per le tecnologie AMD64 e Intel 64 I requisiti della velocità del processore variano in base al sistema operativo: 1 GHz (Windows Server 2008, SBS 2008 o EBS 2008) 800 MHz (Windows Vista, Windows 7) 450 MHz (Windows 2000, SBS 2000, XP, Server 2003, SBS 2003 e Home Server) 128 MB (sistemi x86); 256 MB consigliati 600MB 2-3

28 Preparazione all'installazione dell'agente TABELLA 2-6. Voce Requisiti di sistema dell'agent Specifiche minime Sistema operativo Serie o linea Service pack o release supportati Windows 2000 Windows Small Business Server (SBS) 2000 Windows XP Home Windows XP Tablet PC Windows XP Windows Server 2003 R2 (con Storage Server 2003) Windows Server 2003 (con Storage Server 2003) Windows SBS 2003 R2 Windows SBS 2003 Windows Vista Windows Home Server Windows Server 2008 R2 Windows Server 2008 Windows SBS 2008 Windows 2008 Foundation Windows Essential Business Server (EBS) 2008 Windows 7 SP3 o SP4 Nessun service pack oppure SP1a SP2 o SP3 SP2 o SP3 SP2 o SP3 SP1 o SP2 SP1 o SP2 SP1 o SP2 SP1 o SP2 SP1 o SP2 Nessun service pack Nessun service pack SP1 o SP2 SP1 o SP2 SP1 o SP2 SP1 o SP2 Nessun service pack Nota: sono supportate, se non diversamente specificato, tutte le edizioni delle versioni a 64 bit dei sistemi operativi elencati. Browser Web (per scaricare il programma di installazione dell'agente) Schermo Internet Explorer versione 6.0 o successiva Schermo a 256 o più colori con risoluzione 800x600 o maggiore Nota: Sono supportate le schede di interfaccia di rete (NIC) Gigabit. 2-4

29 Preparazione all'installazione dell'agente Altri requisiti I client che utilizzano Smart Scan devono essere collegati a Internet. Non è possibile utilizzare Smart Scan su client non connessi. Supporto TCP/IP (Transmission Control Protocol/Internet Protocol) installato. Registrazione di WFBS-SVC Per effettuare la registrazione del prodotto, seguire le istruzioni riportate nelle rispettive schede di avvio rapido di WFBS-SVC che è possibile scaricare da In caso di dubbi sulla registrazione, consultare il sito Web di Trend Micro al seguente indirizzo: È inoltre possibile contattare il proprio rivenditore o l'assistenza di Trend Micro. Contratto di licenza e di manutenzione Al momento dell'acquisto di Trend Micro Worry-Free Business Security Services, l'utente riceve una licenza per il prodotto e un contratto di manutenzione standard. Il contratto di manutenzione standard è un contratto tra l'utente o l'organizzazione dell'utente e Trend Micro, e riguarda il diritto dell'utente a ricevere l'assistenza tecnica e gli aggiornamenti del prodotto dietro il pagamento delle tariffe fissate. Una licenza per il software Trend Micro garantisce in genere il diritto a ricevere aggiornamenti del prodotto e dei file di pattern, nonché l'assistenza tecnica generale (Manutenzione) per la durata di un (1) solo anno dalla data di acquisto. Allo scadere del primo anno, è necessario rinnovare annualmente il contratto di manutenzione secondo le tariffe di volta in volta stabilite da Trend Micro. Nota: Il contratto di manutenzione ha una scadenza, al contrario del contratto di licenza che non scade mai. Se il contratto di manutenzione scade, è possibile continuare a eseguire la scansione, ma non si può più aggiornare il file di pattern, il motore di scansione o i file di programma (nemmeno manualmente). Inoltre, si perde il diritto a ricevere l'assistenza tecnica di Trend Micro. Sessanta (60) giorni prima della scadenza del contratto di manutenzione, viene visualizzato un messaggio nella schermata Stato in tempo reale che invita a rinnovare la licenza. È possibile aggiornare il contratto di manutenzione acquistandone un rinnovo presso il proprio rivenditore, l'ufficio vendite di Trend Micro o dall'url della registrazione online di Trend Micro: Conseguenze di una licenza scaduta Quando il codice di attivazione di una versione dotata di licenza completa scade, non è più possibile scaricare gli aggiornamenti per il motore o il file di pattern. Tuttavia, al contrario di quello che avviene con il codice di attivazione di una versione di prova, quando il codice di attivazione di una versione dotata di licenza completa scade, tutte le configurazioni e le impostazioni esistenti rimangono in vigore. In questo modo, viene garantito il livello di protezione anche se per errore la licenza giunge a scadenza. 2-5

30 Preparazione all'installazione dell'agente Lista di controllo per l'implementazione Prima di implementare WFBS-SVC, controllare quanto indicato di seguito. Prestare particolare attenzione ai seguenti fattori: CSA e OneCare Non è possibile installare Client/Server Security Agent (CSA) con il client Microsoft Windows Live OneCare. Il programma disinstallazione di CSA rimuove automaticamente OneCare dai computer client. Altre applicazioni firewall Prima di installare il firewall WFBS-SVC, Trend Micro consiglia di rimuovere o disattivare qualsiasi altra applicazione firewall (compreso Internet Connection Firewall (ICF) fornito con Windows Vista, Windows XP SP2 e Windows Server 2003). Identificazione del numero di client Per client si intende un computer su cui si decide di installare Client/Server Security Agent. Sono client i computer desktop, server e portatili, compresi quelli di utenti che svolgono il telelavoro. Pianificazione in funzione del traffico di rete Quando si pianifica l'implementazione, è opportuno considerare il traffico di rete che WFBS-SVC genererà. WFBS-SVC genera traffico di rete quando il server WFBS-SVC e i client comunicano tra di loro. Il server WFBS-SVC/server di scansione genera traffico quando: Notifica ai client le modifiche alla configurazione Notifica ai client la disponibilità dei componenti aggiornati per il download Si collega al server Trend Micro ActiveUpdate per verificare la presenza di componenti aggiornati e scaricarli Esegue le scansioni sui client configurati per Smart Scan Invia feedback a Trend Micro Smart Protection Network I client generano traffico quando: Si avviano Si spengono Generazione di registri Eseguono aggiornamenti pianificati. Eseguono aggiornamenti manuali ("Aggiorna ora") Si collegano al server di scansione per Smart Scan Nota: Fatta eccezione per gli aggiornamenti e la generazione di file di registro, tutte le altre operazioni generano una quantità di traffico minima. Traffico di rete durante gli aggiornamenti dei file di pattern Il traffico di rete viene generato ogni volta che Trend Micro rende disponibile una versione aggiornata di qualsiasi componente dei prodotti. Per ridurre il traffico di rete generato durante l'aggiornamento del file di pattern, WFBS-SVC utilizza un metodo denominato aggiornamento incrementale. Anziché scaricare il file di pattern antivirus completo ogni volta che viene aggiornato, vengono scaricati solo i pattern dei virus che sono stati aggiunti dopo l'ultima release. 2-6

31 Preparazione all'installazione dell'agente WFBS-SVC utilizza agenti attivi e inattivi. L'agente attivo si aggiorna automaticamente dal server Active Update di Trend Micro attivo e genera quindi traffico Internet. Gli agenti inattivi si aggiornano automaticamente dall'agente attivo e generano quindi traffico di rete interno. Se i client vengono aggiornati regolarmente, è sufficiente che scarichino soltanto i pattern incrementali, con dimensioni tra i 5 KB e i 200 KB. Il pattern completo è di dimensioni più elevate anche se è compresso e il download richiede tempi maggiori. Trend Micro pubblica i nuovi file di pattern a cadenza giornaliera. Tuttavia, se è in circolazione un virus particolarmente dannoso, Trend Micro pubblica il nuovo file di pattern non appena è disponibile un pattern per la minaccia. Determinazione del numero di gruppi desktop e server Ciascun Client/Server Security Agent deve appartenere a un gruppo di protezione. I membri di un gruppo di protezione condividono la stessa configurazione e svolgono le stesse operazioni. Organizzando i client in gruppi, è possibile nel contempo configurare, gestire e applicare una configurazione personalizzata a un gruppo senza intervenire sulla configurazione di altri gruppi. Un gruppo di protezione di WFBS-SVC è diverso da un dominio Windows. È possibile creare vari gruppi di protezione in un unico dominio Windows. Si possono inoltre assegnare computer allo stesso gruppo di protezione da domini Windows diversi. È possibile anche raggruppare i client in base ai rispettivi reparti di appartenenza o alle funzioni assegnategli. In alternativa, si possono raggruppare i client che sono maggiormente esposti al rischio di infezioni per applicare una configurazione più sicura agli altri client. È necessario almeno un gruppo per ogni configurazione client univoca che si desidera creare. Nei piccoli uffici, è possibile configurare un solo gruppo. Scelta delle opzioni di distribuzione per gli agenti WFBS-SVC offre diverse opzioni per l'implementazione di Client/Server Security Agent. È essenziale capire quali sono le più adatte all'ambiente in uso, in base alle attività di gestione correnti e ai privilegi di account assegnati agli utenti finali. Per la distribuzione su un unico sito, gli amministratori informatici possono decidere di eseguire l'implementazione tramite Installazione remota o Impostazione script di accesso. L'implementazione di Client/Server Security Agent viene eseguita in background e il processo di installazione passa inosservato all'utente finale. Nelle organizzazioni in cui i criteri informatici vengono rigidamente applicati, si consiglia l'impostazione script di accesso. L'Impostazione script di accesso non richiede l'assegnazione di privilegi amministrativi all'utente finale. Al contrario, l'amministratore può configurare il programma di installazione con la password per un account di amministrazione. Non è necessario modificare le autorizzazioni dell'utente finale. Nota: l'installazione remota funziona solo con Windows Vista/2000/XP (solo Professional Edition) e Server Nelle organizzazioni in cui i criteri informatici sono applicati in modo meno rigido, si consiglia di installare Client/Server Security Agent mediante il semplice download dell'agente. L'amministratore invia un messaggio contenente l'istruzione per gli utenti di visitare il sito di download da cui installare Client/Server Security Agent. Con questo metodo, tuttavia, gli utenti che desiderano installare l'agente devono disporre di privilegi di amministrazione. Per ulteriori informazioni sui metodi di installazione, consultare Panoramica dell'installazione degli agenti a pagina

32 Preparazione all'installazione dell'agente Lista di controllo porte WFBS-SVC utilizza le seguenti porte predefinite. TABELLA 2-7. Lista di controllo porte PORTA ESEMPIO VALORE Client/Server Security Agent Server HTTP agente Agent broadcast

33 Capitolo 3 Installazione dell'agente Client/Server Security Agent comunica con il server WFBS-SVC. Per fornire al server i dati più aggiornati riguardanti il client, l'agente invia i dati sullo stato degli eventi in tempo reale. Gli eventi riportati sono ad esempio il rilevamento di minacce, l'avvio e lo spegnimento dell'agente, l'avvio di una scansione e il completamento di un aggiornamento. Client/Server Security Agent offre tre metodi di scansione: in tempo reale, pianificata e manuale. In questo capitolo vengono fornite le procedure necessarie per l'installazione, l'aggiornamento e la rimozione degli agenti. Esse includono: Panoramica dell'installazione degli agenti a pagina 3-2 Installazione dell'agente - Web a pagina 3-2 Installazione dell'agente - Opzioni aggiuntive a pagina 3-6 Verifica dell'installazione dell'agente a pagina 3-8 Verifica dell'installazione del client mediante lo script di prova EICAR a pagina 3-9 Rimozione degli agenti a pagina

34 Installazione dell'agente Panoramica dell'installazione degli agenti Percorso di navigazione: Computer > Aggiungi > Computer In questa sezione vengono fornite informazioni sull'installazione di Client/Server Security Agent. WFBS-SVC include due categorie di installazione dell'agente: Installazione Web: download diretto e installazione immediata dell'agente (vedere Installazione dell'agente - Web a pagina 3-2). Opzioni di installazione aggiuntive: download del programma di installazione dell'agente (vedere Installazione dell'agente - Opzioni aggiuntive a pagina 3-6) da distribuire successivamente mediante. Installazione tradizionale: download e copia del file di installazione sui computer client. Script di avvio di Windows: consente l'implementazione dell'agente mediante lo script di avvio di Windows, un'opzione avanzata utile in presenza di un numero elevato di agenti da installare. Nota: Per installare Client/Server Security Agent è necessario disporre dei privilegi di amministratore sui client. Installazione dell'agente - Web Percorso di navigazione: Computer > Aggiungi > Aggiungi computer L'installazione Web costituisce un semplice metodo di implementazione di Client/Server Security Agent. Occorre semplicemente inviare via il testo (che include l'url del file di installazione) dalla console di WFBS-SVC agli utenti. Gli utenti dei client saranno quindi in grado di scaricare il file di installazione e installare l'agente. Per poter scaricare i file di installazione di Client/Server Security Agent, gli utenti devono disporre di Microsoft Internet Explorer 6.0 o versioni successive, con un livello di sicurezza che permetta l'utilizzo dei controlli ActiveX. Nota: Per accedere a Internet, l'agente utilizza le impostazioni proxy di Internet Explorer in Strumenti > Opzioni Internet > Connessioni > Impostazioni LAN. 3-2

35 Installazione dell'agente Per distribuire agli utenti le istruzioni di installazione: 1. Dalla console di WFBS-SVC, accedere a Computer > Aggiungi > Aggiungi computer. FIGURA 3-1. Inviare questo messaggio e l'url agli utenti dei client per l'esecuzione dell'installazione Web Nota: A ciascun account WFBS-SVC viene assegnata una chiave aziendale specifica. La chiave aziendale è costituita da un set di caratteri univoco contenuto nel cookie scaricato. Questa chiave viene quindi abbinata all'agente durante la procedura di installazione. La chiave collega l'agente all'account aziendale appropriato nella console WFBS-SVC. Di conseguenza, non è possibile copiare il programma di installazione dell'agente da un computer all'altro. Per ottenere una copia del programma di installazione dell'agente da copiare da un computer all'altro, seguire le istruzioni relative ad altre opzioni di installazione (vedere Installazione dell'agente - Opzioni aggiuntive a pagina 3-6). 2. Fare clic su Utilizza predefinita per copiare l'url di download nel client di posta elettronica predefinito per inviarlo agli utenti. In alternativa fare clic su Copia testo per copiare l'url e incollarlo nel client di posta elettronica utilizzato. ATTENZIONE! Per ottenere l'url di download per la distribuzione via o per scaricare il programma di installazione dell'agente per l'installazione tradizionale o mediante script, i rivenditori devono registrare ciascuna compagnia amministrata separatamente. Se si installa l'agente utilizzando un URL o un programma di installazione errato, l'agente verrà visualizzato in relazione al cliente sbagliato e dovrà essere nuovamente installato con il programma di installazione corretto. 3-3

36 Installazione dell'agente Le istruzioni riportate di seguito sono state scritte considerando il punto di vista dell'utente finale. Per installare l'agente mediante l'installazione Web: 1. Fare clic sull'url di download contenuto nel messaggio . FIGURA 3-2. Invio dell'url di download agi utenti tramite messaggio 2. Una volta aperta la pagina Web, fare clic su Download per avviare il processo di installazione. FIGURA 3-3. Fare clic su Download per avviare il processo di installazione dell'agente 3. Nel primo avviso di protezione visualizzato, fare clic su Esegui. Non fare clic su Salva. Questo file non può essere copiato su altri computer. Per ottenere una copia del programma di installazione dell'agente che può essere spostata da un computer all'altro, consultare Installazione dell'agente - Opzioni aggiuntive a pagina

37 Installazione dell'agente FIGURA 3-4. Non fare clic su Salva nel primo avviso di protezione. Questo file non può essere utilizzato in contesti diversi dall'installazione sul computer originale da cui è stato eseguito il download 4. Nel secondo avviso di protezione visualizzato, fare nuovamente clic su Esegui. FIGURA 3-5. Fare clic su Esegui nel secondo avviso di protezione 5. Il programma di installazione dell'agente prosegue e richiede qualche istante. Quando si apre il programma di installazione dell'agente, fare clic su Avanti per iniziare l'installazione di Client/Server Security Agent. L'installazione viene avviata. Al termine dell'installazione, viene visualizzato il messaggio Installazione completata. 6. Verificare il completamento dell'installazione, controllando che l'icona di Client/Server Security Agent sia mostrata nella barra delle applicazioni di Windows. L'icona dovrebbe essere simile a una di quelle riportate di seguito. Per la scansione convenzionale: Per Smart Scan: 3-5

38 Installazione dell'agente Installazione dell'agente - Opzioni aggiuntive Percorso di navigazione: Computer > Aggiungi > Aggiungi computer Le opzioni di installazione aggiuntive includono: Installazione tradizionale: consente l'installazione di un singolo file. Script di avvio di Windows: consente l'implementazione dell'agente mediante lo script di avvio di Windows, un'opzione più efficace utile in presenza di un numero elevato di agenti da installare. Mediante il processo di download, viene scaricato per primo il file WFBS-SVC_Downloader.exe. In seguito, viene scaricato il programma di installazione dell'agente denominato WFBS-SVC_Agent_Installer.msi e un cookie contenente la chiave aziendale. Il programma di download inserisce, quindi, la chiave aziendale nel programma di installazione dell'agente per consentirne la distribuzione. ATTENZIONE! Il programma di download (WFBS-SVC_Downloader.exe) non può essere distribuito tra i computer client. Per l'implementazione degli agenti su altri computer, è possibile utilizzare solo il file WFBS-SVC_Agent_Installer.msi utilizzando la procedura di download adeguata descritta in questa sezione. Per scaricare il programma di installazione dell'agente: 1. Dalla console di WFBS-SVC, accedere a Computer > Aggiungi > Aggiungi computer. 2. Fare clic sul segno più (+) in corrispondenza di Opzioni di installazione aggiuntive per espandere la schermata. FIGURA 3-6. Scaricare il programma di installazione dell'agente per l'installazione tradizionale e mediante script 3-6

39 Installazione dell'agente 3. Una volta aperta la pagina Web, fare clic su Download per avviare il processo di download. FIGURA 3-7. Fare clic su Download per avviare il processo di download dell'agente 4. Nel primo avviso di protezione visualizzato, fare clic su Esegui. Non fare clic su Salva. Questo file è può essere utilizzato solo durante questo preciso processo di download. FIGURA 3-8. Fare clic su Esegui nel primo avviso di protezione. Non fare clic su Salva 5. Nel secondo avviso di protezione visualizzato, fare nuovamente clic su Esegui. Questa operazione consente di scaricare il programma di download dell'agente (WFBS-SVC_Downloader.exe). FIGURA 3-9. Fare clic su Esegui nel secondo avviso di protezione 3-7

40 Installazione dell'agente 6. Una volta scaricato il programma di download dell'agente, esso viene eseguito automaticamente. Fare clic su Avanti per scaricare il programma di installazione dell'agente. È ora possibile installare il file WFBS-SVC_Agent_Installer.msi su ciascun computer all'interno della stessa azienda mediante: la copia del programma di installazione su ciascun computer e l'esecuzione del file l'esecuzione del programma di installazione da una directory condivisa nella rete locale aziendale la distribuzione del programma di installazione mediante lo script di avvio di Windows ATTENZIONE! Per ottenere l'url di download per la distribuzione via o per scaricare il programma di installazione dell'agente per l'installazione tradizionale o mediante script, i rivenditori devono registrare ciascuna compagnia amministrata separatamente. Se si installa l'agente utilizzando un URL o un programma di installazione errato, l'agente verrà visualizzato in relazione al cliente sbagliato e dovrà essere nuovamente installato con il programma di installazione corretto. Per implementare l'agente WFBS-SVC utilizzando lo script di implementazione: 1. Scaricare il programma di installazione dell'agent da Computer > Aggiungi > Aggiungi computer > Opzioni di installazione aggiuntive. 2. Inserire il programma di installazione dell'agente (WFBS-SVC_Agent_Installer.msi) in una cartella (ad esempio D:\share) su uno dei server (ad esempio, MYFILESERVER). 3. Condividere la cartella (D:\condivisa) impostando le autorizzazioni adeguate per permettere a tutti gli utenti di accedere alla cartella e al programma di installazione dell'agente WFBS-SVC. 4. Scaricare lo script di implementazione di esempio da Amministrazione > Strumenti. 5. Aprire lo script di esempio (WFBS-SVC Example Deployment Script.vbs) con un editor. Modificare la prima riga. pathofwfbshinstaller="msiexec /qn /i WFBS-SVC_Agent_Installer.msi" inserendo il percorso relativo al proprio ambiente, ad esempio pathofwfbshinstaller="msiexec /qn /i \\FILESERVER\condivisa\WFBS-SVC_Agent_Installer.msi" 6. Impostare lo script di avvio del computer utilizzando il percorso in cui lo script è stato salvato, ad esempio \\MYFILESERVER\share\WFBS-SVC Example Deployment Script.vbs. Lo script di accesso utente non viene utilizzato poiché l'utente potrebbe non disporre delle autorizzazioni necessarie per l'installazione del software. Per ulteriori informazioni sulla configurazione di uno script di avvio di Windows in un controller di dominio Windows, fare riferimento ai seguenti due collegamenti: Verifica dell'installazione dell'agente Al termine dell'installazione o dell'aggiornamento, verificare che Client/Server Security Agent sia installato correttamente. Per controllare l'installazione: Individuare i collegamenti al programma Trend Micro Client/Server Security Agent nel menu Start di Windows del client su cui è in esecuzione l'agente. Verificare che Trend Micro Client/Server Security Agent sia nell'elenco Installazione applicazioni del Pannello di controllo del client. 3-8

41 Installazione dell'agente Verifica dell'installazione del client mediante lo script di prova EICAR L'istituto EICAR (European Institute for Computer Antivirus Research) ha sviluppato un virus di prova che consente di collaudare l'installazione e la configurazione. Il file consiste in un file di testo inerte il cui pattern binario è compreso nel file di pattern antivirus della maggioranza dei produttori di antivirus. Il file non è un virus e non contiene codice di programmazione. Come ottenere il file di prova EICAR È possibile scaricare il virus di prova EICAR dai seguenti indirizzi URL: In alternativa, è possibile creare un virus di prova EICAR digitando quanto segue in un file di testo da denominare eicar.com: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* prima di effettuare la prova, svuotare la cache del server cache e del browser locale. Rimozione degli agenti È possibile rimuovere gli agenti in due modi: utilizzando il programma di disinstallazione dell'agente utilizzando la console Web Rimozione degli agenti con il programma di disinstallazione dell'agente È possibile rimuovere Client/Server Security Agent utilizzando il programma di disinstallazione. Per eseguire il programma di disinstallazione dell'agent: 1. Dal menu Start di Windows, fare clic su Impostazioni > Pannello di controllo > Installazione applicazioni (o Programmi e funzionalità su Windows Vista). 2. Selezionare Trend Micro Client/Server Security Agent e fare clic su Cambia/Rimuovi. Viene visualizzata la finestra di dialogo Client/Server Security Agent Disinstallazione. 3. Fare clic su OK. Rimozione dell'agente attraverso la console Web È anche possibile rimuovere in remoto Client/Server Security Agent mediante la console Web. Per rimuovere un Agent in remoto mediante la console Web: 1. Effettuare l'accesso alla console Web. 2. Fare clic sulla scheda Computer. 3. Nella struttura Rete, selezionare innanzitutto il gruppo. Quindi, nel riquadro destro, selezionare il client da cui si desidera rimuovere l'agente. Fare clic su Rimuovi. Viene visualizzata la schermata Rimuovi computer. 4. Fare clic su OK. Per verificare che l'agente sia stato rimosso, aggiornare la schermata Computer. Il client non dovrebbe più essere visualizzato nella struttura Rete. 3-9

42 Installazione dell'agente 3-10

43 Capitolo 4 Migrazione e aggiornamento In questo capitolo vengono fornite informazioni relative all'aggiornamento dell'agente e alla migrazione da altre applicazioni antivirus. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Migrazione da altre applicazioni antivirus a pagina 4-2 Aggiornamento di Client/Server Security Agent a pagina

44 Migrazione e aggiornamento Migrazione da altre applicazioni antivirus WFBS-SVC supporta la migrazione da altre applicazioni antivirus. WFBS-SVC è in grado di eseguire la migrazione automatica del software client. Migrazione da Trend Micro Anti-Spyware Se sulla rete è presente Trend Micro Anti-Spyware, considerare i seguenti fattori: Non è necessario rimuovere il client TMASY prima di installare Client/Server Security Agent. Il programma di installazione di Client/Server Security Agent rimuove automaticamente il client TMASY se esso viene rilevato sullo stesso computer del client, e successivamente installa Client/Server Security Agent. Le impostazioni anti-spyware di Client/Server Security Agent e TMASY sono diverse. Dopo aver installato i Client/Server Security Agent, occorre configurare le impostazioni anti-spyware per renderle uguali alle precedenti impostazioni del client TMASY. Per un confronto tra le impostazioni anti-spyware di Client/Server Security Agent e TMASY, vedere la Tabella 4-1. TABELLA 4-1. Confronto tra le impostazioni anti-spyware di Client/Server Security Agent e TMASY Scansione in tempo reale CLIENT/SERVER SECURITY AGENT Attivato CLIENT TREND MICRO ANTI-SPYWARE Disattivata (monitoraggio attivo dell'applicazione) Azione predefinita Disinfetta Nega eseguibile Scansione manuale Tipo scansione Scansione completa Scansione rapida Azione predefinita Disinfetta Esegui scansione e non compiere alcuna azione (disinfezione automatica disattivata per impostazione predefinita) Esegui scansione all'avvio N.D. Attivato Controlla rete N.D. Attivato Scansione pianificata Disattivato Attivato Pianificazione della scansione Ogni lunedì Frequenza giornaliera Ora della scansione 12:30 23:00 Tipo scansione Scansione completa Scansione rapida Azione predefinita Disinfetta Esegui scansione e non compiere alcuna azione (disinfezione automatica disattivata per impostazione predefinita) 4-2

45 Migrazione e aggiornamento Migrazione da altre applicazioni antivirus La migrazione automatica dei client consiste nel sostituire il software antivirus del client esistente con il programma Client/Server Security Agent. Il programma di installazione del client rimuove automaticamente l'altro software antivirus dai computer client e lo sostituisce con Client/Server Security Agent. Per un elenco delle applicazioni client che WFBS-SVC rimuove automaticamente, vedere la Tabella 4-2. Nota: WFBS-SVC non rimuove le installazioni server, ma soltanto le installazioni client di seguito. TABELLA 4-2. Applicazioni antivirus rimovibili ALWIL Avast 4.6 NT Armour Virus Control 5.8 avast! Antivirus 4.7 CA etrust 7.1 CA etrust CA etrust InoculateIT 6.0 CA etrust InoculateIT 7,0 CA etrust ITM Agent CA etrust ITM Agent CA etrustitm Agent 8.0 CA etrustitm Server 8.0 CA etrustitm Server CA InocuLAN 5 CA InocuLAN_NT 4.53 CA InoculateIT Clients for Windows 6.0 CA itechnology igateway 4.0 CA itechnology igateway CA itechnology igateway Cheyenne AntiVirus 9x Command AntiVirus for Windows 2000/XP Command AV 4.8 Enterprise Command AV 4.9 Enterprise Command AV Standalone Command AV Enterprise Cheyenne AntiVirus NT Command AV x Command AV 4.8 Standalone Command AV 4.9 Standalone Command AV Enterprise Command AV Standalone Dr Solomon 7.77, 7.95 NT Dr. Solomon Dr.Solomon NT epoagent2000 esafe Desktop v3 epoagent1000 epoagent3000 F-Prot per Windows F-Secure 4.04 F-Secure 4.08, 4.3, 5.3, 5.4x, 5.5x F-Secure Anti-Virus 2008 F-Secure Client Security 7.10 F-Secure Client Security Protezione Internet F-Secure Client Security Scansione del traffico Web F-Secure BackWeb F-Secure Client Security Scansione F-Secure Client Security Controllo di sistema F-Secure Scanning F-Secure Internet Security 2005 F-Secure Internet Security 2008 F-Secure Internet Shield F-Secure Management Agent F-Secure Web Traffic Scan Grisoft AVG 6.0 Grisoft AVG 7,0 Hauri VMS 2.0 Kaspersky (TM) Anti-Virus 5.0 for Windows Workstation Kaspersky (TM) Anti-Virus Workstation Kaspersky (TM) Anti-Virus Personal 4.0 Kaspersky Anti-Virus 5.0 for Windows Workstations 4-3

46 Migrazione e aggiornamento TABELLA 4-2. Applicazioni antivirus rimovibili Kaspersky Anti-virus 6.0 Kaspersky Anti-Virus 6.0 for Windows Workstations Kaspersky Internet Security 7.0 LANDesk VirusProtect 5.0 McAfee Anti-Spyware Enterprise 8.0 McAfee Desktop Firewall 8.0 McAfee Internet Security 6.0 Mcafee Managed VirusScan McAfee NetShield 4.5 McAfee NetShield NT 4.03a McAfee Security Center 7 McAfee SecurityCenter McAfee SpamKiller McAfee VirusScan 4.5 McAfee VirusScan 4,51 McAfee VirusScan 6,01 McAfee VirusScan 95(1) McAfee VirusScan 95(2) McAfee VirusScan ASaP McAfee VirusScan Enterprise 7 McAfee VirusScan Enterprise 7,1 McAfee VirusScan Enterprise 8,0 McAfee VirusScan Enterprise 8,5 McAfee VirusScan Enterprise McAfee VirusScan NT McAfee VirusScan Professional 9.0 McAfee VirusScan TC McAfee WebScanX v3.1.6 Microsoft Forefront Client Security Antimalware Service NOD32 AV Norman Virus Control 5.90 Corporate Norton AntiVirus 2,0 NT Norton AntiVirus 2000 NT Norton AntiVirus 2001 NT Norton AntiVirus 2003 McAfee VirusScan (MSPlus98) Microsoft Forefront Client Security Antimalware Service Microsoft Forefront Client Security State Assessment Service Norman Virus Control Norman Virus Control 5.90 Single User Norton AntiVirus X Norton AntiVirus X Norton AntiVirus 2002 NT Norton AntiVirus 2003 cht Norton AntiVirus 2003 Professional Norton AntiVirus 2004 Norton AntiVirus 2004 Pro Norton AntiVirus 2005 Norton AntiVirus 5,0 9X Norton AntiVirus 5,31 9X Norton AntiVirus 5,32 9X Norton AntiVirus 6,524 Norton AntiVirus 7,0 NT Norton AntiVirus 7,5 NT Norton AntiVirus 8.0/8.1 NT Norton AntiVirus CE Norton AntiVirus CE 7.0 NT Norton AntiVirus CE 7.5 NT Norton AntiVirus CE 8.0 NT Norton AntiVirus 5,0 NT Norton AntiVirus 5,31 NT Norton AntiVirus 5.32 NT Norton AntiVirus 7,0 9X Norton AntiVirus 7.5 9X Norton AntiVirus 8.0/8.1 9x Norton AntiVirus 8.1 server Norton AntiVirus CE 7.0 9X Norton AntiVirus CE 7.5 9X Norton AntiVirus CE 8.0 9x Norton AntiVirus CE 8.1 server Norton AntiVirus Corporate Edition 7.0 for Windows NT Norton Internet Security 2004 Norton Internet Security 2004 JP Norton Internet Security

47 Migrazione e aggiornamento TABELLA 4-2. Applicazioni antivirus rimovibili Panda Administrator 2006 Panda Antivirus 6.0 Panda Antivirus Windows NT WS Panda AdminSecure Reports Component Panda Antivirus Local Networks Panda Communucation Agent 3.0 NT Panda CVPSecure Panda Endpoint Agent Panda FileSecure Panda FileSecure Workstation Panda Platinum 7.0 Panda Platinum Internet Security 2004/2005 Panda Titanium Antivirus 2004 Panda Titanium Antivirus 2006 Panda Titanium Antivirus 2007 ServerProtect for Windows NT Sophos Anti-Virus 9x PER Antivirus Softed ViGUARD 2004 for Windows NT Sophos Anti-Virus NT Sophos Anti-Virus NT 5.0 Sophos Anti-Virus NT 7.0 Sophos AutoUpdate Sophos AutoUpdate Sophos Remote Management System Spybot Search & Destroy 1.3/1.4 Sophos Remote Update NT Symantec AMS Server Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus x64 Symantec AntiVirus Symantec AntiVirus DE Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus x32 Symantec AntiVirus x32 Symantec AntiVirus Symantec AntiVirus x64 Symantec AntiVirus x64 Symantec AntiVirus x64 Symantec AntiVirus x64 Symantec AntiVirus Public Beta Symantec AntiVirus / / Symantec AntiVirus / / Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus CE 10.0 NT Symantec Client Firewall X Symantec Client Firewall 2004 NT Symantec Client Security Symantec Client Security Symantec Client Security Symantec Client Security Symantec Client Security Symantec Client Security 3.0 Symantec Client Security 3.0 NT Symantec Client Security 3.1 Symantec Client Security / Symantec Endpoint Protection Symantec Endpoint Protection BIT Symantec Endpoint Protection Symantec Endpoint Protection Symantec Endpoint Protection x64 Symantec Endpoint Protection Symantec Endpoint Protection x64 Symantec Endpoint Protection Symantec Endpoint Protection x64 Symantec Packager Symantec Quarantine Console Symantec Quarantine Server Tegam ViGUARD 9.25e for Windows NT The Hacker Anti-Virus 5.5 Trend Micro Anti-Spyware Client for SMB 30 Trend Micro Anti-Spyware Client for SMB

48 Migrazione e aggiornamento TABELLA 4-2. Applicazioni antivirus rimovibili Trend Micro Client/Server Messaging (CSM) 3.6 Trend Micro HouseClean Trend Micro HouseCall Pro Trend Micro Internet Security Trend Micro Internet Security 2008 Trend Micro Internet Security 2009 Trend Micro Internet Security 2009 Pro Trend Micro Internet Security 2009 x64 Trend Micro Office Scan 7.0, 8.0, 10.0 Trend Micro Internet Security 2009 Pro Trend Micro Internet Security x64 Trend Micro Pc-cillin 2004 (AV) Trend Micro Pc-cillin 2004 (TIS) Trend Micro Pc-cillin 2005 Trend Micro Pc-cillin 2006 Trend Micro Pc-cillin 2007 Trend Micro Titanium 1.0 Trend Micro Worry-Free Business Security 5.0, 5.1, 6.0 Trend PC-cillin (WinNT) Trend PC-cillin 2000(Win9X) Trend PC-cillin 2000(WinNT) Trend PC-cillin 2002 Trend PC-cillin 2003 Trend PC-cillin 6 Trend PC-cillin Trend PC-cillin Lite Trend PC-cillin Trend PC-cillin Trend PC-cillin 98 Trend PC-cillin 98 Plus(WinNT) Trend PC-cillin NT 6 V3Pro 98 Trend PC-cillin 98 Plus(Win95) Trend PC-cillin NT V3Pro 2000 Deluxe V3Pro 98 Deluxe ViRobot 2k Professional ViRobot Desktop 5.5 ViRobot Expert 4.0 ViRobot ISMS client 3.5 Virus Buster 2000 Virus Buster 2000 for NT ver Virus Buster 2000 for NT ver Virus Buster 2001 Virus Buster 98 Virus Buster 98 for NT Virus Buster NT VirusBuster VirusBuster 97 VirusBuster 97 Lite VirusBuster Lite 1.0 VirusBuster Lite

49 Migrazione e aggiornamento Aggiornamento di Client/Server Security Agent È possibile effettuare l'aggiornamento a una versione completa dell'agente da una versione precedente o da una versione di prova. Impedire l'aggiornamento per i client selezionati L'aggiornamento simultaneo di un numero elevato di client comporta un aumento significativo del traffico di rete. WFBS-SVC prevede un'opzione che consente di impedire a gruppi selezionati di eseguire l'aggiornamento alla versione corrente. Se si esegue l'aggiornamento di un numero elevato di client, Trend Micro consiglia di disattivare l'aggiornamento del programma per i gruppi di client prima di procedere e di aggiornarli in un altro momento. Per disattivare l'aggiornamento del programma: 1. Nella console Web di WFBS-SVC, selezionare Computer > {gruppo} > Configura > Privilegi client. 2. In Aggiorna impostazioni, selezionare Disattiva l'aggiornamento del programma e l'implementazione di hotfix e salvare le impostazioni. Nota: Questi client non vengono aggiornati alla versione successiva, ma continueranno a ricevere gli aggiornamenti dei componenti (come i file di pattern antivirus) per disporre di una protezione sempre aggiornata. 3. Quando si è pronti per aggiornare questi client, deselezionare la casella di controllo menzionata, salvare le impostazioni ed eseguire l'installazione dell'agente per questi client attraverso il metodo di installazione preferito. 4-7

50 Migrazione e aggiornamento 4-8

51 Capitolo 5 Console Web In questo capitolo vengono descritte le operazioni necessarie per iniziare a utilizzare WFBS-SVC. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Accesso alla console Web a pagina 5-2 Stato in tempo reale a pagina 5-3 Visualizzazione di computer e gruppi a pagina

52 Console Web Accesso alla console Web È possibile accedere alla console Web di WFBS-SVC utilizzando un browser Web e digitando l'indirizzo FIGURA 5-1. Schermata di accesso di WFBS-SVC Nella casella di testo Password, digitare la password e fare clic su Accesso. Nel browser viene visualizzata la schermata Stato in tempo reale della console Web. TABELLA 5-1. Funzioni principali della console Web Funzione Menu principale Area di configurazione Struttura di rete Barra degli strumenti Impostazioni di sicurezza Descrizione Il menu principale si trova lungo il lato superiore della console Web. Questo menu è sempre disponibile. L'area di configurazione si trova sotto le voci del menu principale. Utilizzare quest'area per selezionare le opzioni in base alla voce di menu selezionata. Nella schermata Computer, la struttura di rete mostra gruppi di desktop e server e consente la configurazione dei gruppi. Nella schermata Computer, è possibile visualizzare una barra degli strumenti con diverse icone. Se si fa clic su un client o un gruppo nella struttura di rete e successivamente si fa clic su un'icona sulla barra degli strumenti, il server WFBS-SVC esegue l'operazione corrispondente. Icone della console Web La tabella seguente descrive le icone visualizzate nella console Web e ne illustra il significato. TABELLA 5-2. Icona Icone della console Web Descrizione Icona Guida. Apre la Guida in linea. / Icona Attiva/Disattiva. Consente di attivare o disattivare determinate impostazioni. Icona di informazione. Visualizza le informazioni relative a un elemento specifico. 5-2

53 Console Web Stato in tempo reale Utilizzare la schermata Stato in tempo reale per visualizzare una panoramica delle minacce alla sicurezza per la rete. La frequenza di aggiornamento delle informazioni visualizzate nella schermata Stato in tempo reale varia in base alla sezione. In genere, la frequenza è compresa tra 1 e 10 minuti. Per aggiornare manualmente le informazioni visualizzate sullo schermo, fare clic sul collegamento Aggiorna nel browser. FIGURA 5-2. Schermata Stato in tempo reale Descrizione delle icone Le icone comunicano se è necessario eseguire un'operazione per garantire la protezione dei computer della rete. Per visualizzare altre informazioni, espandere la sezione relativa. Per visualizzare dettagli specifici, è anche possibile fare clic sulle voci presenti nella tabella. Per ulteriori informazioni su determinati client, fare clic sui collegamenti numerati presenti nelle tabelle. TABELLA 5-3. Icone dello Stato in tempo reale Icona Descrizione Normale L'applicazione delle patch è richiesta soltanto su alcuni client. Le attività di virus, spyware e altre minacce informatiche sui computer e sulla rete non costituiscono un rischio significativo. 5-3

54 Console Web TABELLA 5-3. Icone dello Stato in tempo reale Icona Descrizione Attenzione Adottare accorgimenti atti ad evitare ulteriori rischi alla rete. In genere un'icona di avviso significa che su diversi computer vulnerabili è stato rilevato un numero eccessivo di virus o di altri incidenti relativi a minacce informatiche. Quando Trend Micro emette un allarme giallo, viene visualizzato l'avviso per la Difesa dalle infezioni. Operazione richiesta L'icona di avviso indica che l'amministratore deve intervenire per risolvere un problema di sicurezza. Le informazioni visualizzate nella schermata Stato in tempo reale vengono generate dal server WFBS-SVC in base ai dati raccolti sui client. Sezione Stato Le tre sezioni seguenti della pagina di Stato in tempo reale costituiscono i principali indicatori di Trend Micro Worry-Free Business Security Services: Stato della minaccia La schermata Stato della minaccia visualizza informazioni sui seguenti elementi: Antivirus: rilevamento virus. A partire dall'incidente n. 5, l'icona di stato diventa un'icona di avviso. Se si deve intraprendere un'azione: Operazione non riuscita: Client/Server Security Agent non ha completato l'operazione richiesta. Fare clic sul collegamento numerato per visualizzare informazioni dettagliate relative ai computer sui quali Client/Server Security Agent non è stato in grado di eseguire un'azione. Scansione in tempo reale disattivata: La scansione in tempo reale è disattivata su Client/Server Security Agent. Fare clic su Attiva ora per avviare nuovamente la Scansione in tempo reale. Anti-spyware: La sezione Anti-spyware mostra i risultati della scansione spyware più recente e le voci di registro dello spyware. La colonna numero della tabella Anti-Spyware mostra i risultati dell'ultima scansione spyware. Incidenti spyware/grayware: Per ulteriori informazioni su determinati client, fare clic sui collegamenti numerati presenti nella tabella Anti-Spyware. In questa schermata è possibile trovare le informazioni riguardanti specifiche minacce spyware che infettano i client. Incidenti che richiedono il riavvio del computer: Fare clic per visualizzare i computer che non possono essere completamente disinfettati prima del riavvio. Web Reputation: siti Web potenzialmente dannosi in base alle indicazioni di Trend Micro. A partire dall'incidente n. 200, l'icona di stato diventa un'icona di avviso. Monitoraggio comportamento: violazioni dei criteri di monitoraggio del comportamento. Virus di rete: rilevamento virus di rete determinato dalle impostazioni del firewall. Difesa dalle infezioni: possibile infezione virale in rete. Per ulteriori informazioni, consultare Strategia di difesa dalle infezioni a pagina

55 Console Web Stato del sistema È possibile visualizzare le informazioni riguardanti i componenti aggiornati sui computer dove sono installati gli agenti. Aggiornamento: lo stato degli aggiornamenti dei componenti dell'agente. Suggerimento: È possibile personalizzare i parametri che attivano la visualizzazione sulla console Web di un'icona di Avviso o di Operazione richiesta, facendo clic sul collegamento Personalizza notifiche in alto nella pagina Stato in tempo reale oppure accedendo a Amministrazione > Notifiche. Smart Scan: client che non è possibile connettere al server di scansione. Potrebbe indicare un problema di rete. Stato della licenza È possibile visualizzare le informazioni sullo stato della licenza. Licenza: informazioni sullo stato delle licenze del prodotto, ovvero numero di postazioni acquistate e postazioni in uso. Visualizzazione di computer e gruppi La scheda Computer consente di gestire i computer su cui sono installati gli agenti. I computer sono disposti in gruppi per scopi di amministrazione. Quando si seleziona un gruppo dalla struttura di rete, viene visualizzata una tabella a destra in cui sono elencati tutti i computer che appartengono al gruppo selezionato. Se si fa clic sul menu Configura (dopo aver selezionato un gruppo dalla struttura), viene visualizzata l'area di configurazione per tale gruppo. La schermata Computer è suddivisa in quattro principali sezioni: Struttura di rete Tabella informazioni gruppo Barra dei menu Area di configurazione (dopo aver fatto clic su Configura) Barra dei menu Alcune tra le seguenti voci di menu possono risultare disabilitate a seconda dei gruppi selezionati. Configura: lo strumento Configura è disponibile solo quando si seleziona uno dei gruppi della struttura di rete. Questo strumento consente di configurare le impostazioni per tutti i moduli Security Agent del gruppo specificato. Tutti i computer di un gruppo condividono la stessa configurazione. Sono disponibili le opzioni seguenti: Metodo di scansione, Antivirus/Anti-spyware, Firewall, Web Reputation, Monitoraggio del comportamento, Barre degli strumenti TrendSecure, Scansione e/mail e Privilegi client. Aggiungi: lo strumento Aggiungi consente di aggiungere computer a gruppi specifici attraverso l'implementazione di Client/Server Security Agent nei computer specificati dall'utente. Aggiungi gruppo: lo strumento Aggiungi gruppo consente di aggiungere nuovi gruppi di desktop o server. Aggiungi computer: lo strumento Aggiungi computer consente di aggiungere nuovi computer a un gruppo. Rimuovi: lo strumento Rimuovi consente di eliminare gli agenti dai computer specificati dall'utente. Altri Replica impostazioni: lo strumento Replica impostazioni è disponibile solo quando si seleziona una delle voci della struttura di rete e se è presente almeno una delle voci dello stesso tipo nella struttura. Esegui scansione: esegue la scansione di tutti i computer di un gruppo. 5-5

56 Console Web Interrompi scansione: interrompe una scansione in corso. Aggiorna ora: aggiorna tutti i componenti Azzera contatori: Lo strumento Azzera contatori funziona su tutti i computer appartenenti al gruppo. Quando si fa clic, il valore presente nelle colonne Virus rilevati e Rilevato spyware della tabella informazioni di Security Agent viene portato a zero. Personalizza colonne: consente di scegliere solo le colonne che si desidera visualizzare. Altri comandi Clic con il pulsante destro del mouse: se si esegue questa azione su un gruppo, viene visualizzato il rispettivo menu sensibile al contesto. Sposta: consente di spostare i computer da un gruppo all'altro mediante il trascinamento. 5-6

57 Capitolo 6 Gestione dei gruppi Questo capitolo spiega come vengono concepiti e utilizzati i gruppi in WFBS-SVC. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Panoramica dei gruppi a pagina 6-2 Visualizzazione dei client in un gruppo a pagina 6-2 Aggiunta dei client ai gruppi a pagina 6-3 Spostamento di client a pagina 6-3 Aggiunta di gruppi a pagina 6-4 Rimozione dei computer e dei gruppi dalla console Web a pagina 6-4 Replica delle impostazioni dei gruppi a pagina

58 Gestione dei gruppi Panoramica dei gruppi In WFBS-SVC, i gruppi rappresentano un insieme di computer e server che condividono la stessa configurazione ed eseguono le stesse operazioni. Il raggruppamento dei client, consente di configurare e gestire contemporaneamente più agenti. Per facilitare la gestione, è consigliabile raggruppare i client in base ai rispettivi reparti di appartenenza o alle funzioni assegnategli. È inoltre possibile raggruppare i client che sono maggiormente esposti al rischio di infezioni per applicare una configurazione più sicura a tutti i membri del gruppo con una sola impostazione. Visualizzazione dei client in un gruppo Percorso di navigazione: Computer > {gruppo} Dalla scheda Clienti, è possibile gestire tutti i client su chi è stato installato Client/Server Security Agent e personalizzare le impostazioni di protezione per gli agenti. FIGURA 6-1. Scheda Computer che mostra i client in un gruppo La struttura di rete è un elenco espandibile di gruppi logici di client. I client vengono visualizzati in base al gruppo di appartenenza nella struttura di rete. Se si seleziona un gruppo sul lato sinistro della schermata e si fa clic su Configura, la console Web mostra una nuova area di configurazione. Se si seleziona un gruppo nella struttura di rete a sinistra, a destra viene visualizzato un elenco dei client appartenenti al gruppo. Utilizzare le informazioni riportate nella schermata per: Verificare che gli Agent stiano utilizzando i motori più recenti. Regolare le impostazioni di sicurezza in base al numero di incidenti causati da virus e spyware rilevati. Eseguire operazioni speciali sui client che presentano un conteggio insolitamente elevato. Osservare le condizioni generali della rete. Verificare il metodo di scansione selezionato per gli agenti. Da qui, è anche possibile: Configurare i gruppi: vedere Configurazione di gruppi di desktop e server a pagina 7-2. Replicare le impostazioni da un gruppo a un altro gruppo: vedere Replica delle impostazioni dei gruppi a pagina 6-5. Aggiungere nuovi gruppi: vedere Aggiunta di gruppi a pagina

59 Gestione dei gruppi Rimuovere gruppi: vedere Rimozione dei computer e dei gruppi dalla console Web a pagina 6-4. Spostare un client da un gruppo all'altro: vedere Spostamento di client a pagina 6-3. Aggiunta dei client ai gruppi Worry-Free Business Security Services prevede due metodi di l'installazione per Client/Server Security Agent (CSA). Consultare Panoramica dell'installazione degli agenti a pagina 3-2 Una volta installato l'agente sul client, l'agente inizia a inviare informazioni sulla sicurezza al server WFBS-SVC. Per impostazione predefinita, il server WFBS-SVC fa riferimento a ciascun client in base al nome del computer. È possibile spostare i client da un gruppo all'altro. Per aggiungere un client a un gruppo: 1. Dalla scheda Computer, fare clic su Aggiungi > Aggiungi computer sulla barra degli strumenti. 2. Aggiornare le informazioni riportate di seguito, in base alle necessità: Metodo Installazione Web: download diretto e installazione immediata dell'agente. Vedere Installazione dell'agente - Web a pagina 3-2 per ulteriori informazioni. Opzioni di installazione aggiuntive: download del programma di installazione dell'agente distribuibile mediante un'installazione convenzionale o lo script di avvio di Windows. Per ulteriori informazioni, consultare Installazione dell'agente - Opzioni aggiuntive a pagina Durante l'installazione dell'agente, i computer saranno aggiunti automaticamente ai gruppi del server WFBS-SVC (predefinito) o Desktop (predefinito). È possibile trascinare un computer in un altro gruppo. Spostamento di client Percorso di navigazione: Computer > {gruppo} WFBS-SVC consente di spostare i client da un gruppo all'altro. FIGURA 6-2. Trascinare i client da un gruppo all'altro. Per spostare un client da un gruppo all'altro: 1. Nella schermata Impostazioni di sicurezza, selezionare Gruppo, quindi selezionare il client. 2. Trascinare il client in un altro Gruppo. Il client acquisirà automaticamente le impostazioni del nuovo gruppo. 6-3

60 Gestione dei gruppi Aggiunta di gruppi Percorso di navigazione: Computer > Aggiungi > Aggiungi gruppi Creare gruppi per gestire in modo unitario più client. Nota: i client devono essere associati a un gruppo. un client non può risiedere al di fuori di un gruppo. FIGURA 6-3. Schermata Aggiungi gruppo Per aggiungere un gruppo: 1. Nella schermata Aggiungi gruppo, aggiornare i seguenti campi secondo le esigenze: Tipo di gruppo: selezionare Desktop o Server. Nome del gruppo Impostazioni: consente di importare le impostazioni di protezione da un gruppo esistente. 2. Fare clic su Salva. Rimozione dei computer e dei gruppi dalla console Web Percorso di navigazione: Computer > {gruppo} La funzione Rimuovi può essere utilizzata per raggiungere i seguenti obiettivi: Rimuovere l'icona del client dalla console Web: in alcune situazioni, un client potrebbe risultare inattivo, ad esempio durante la riformattazione del computer o quando l'utente disattiva Client/Server Security Agent per un periodo prolungato. In queste situazioni, potrebbe rendersi necessario eliminare l'icona del computer dalla console Web. Disinstallare Client/Server Security Agent dal client (quindi rimuovere l'icona del client dalla console Web): Finché sul server o sul computer è installato Client/Server Security Agent, esso può diventare attivo ed essere visualizzato nella console Web. Per rimuovere definitivamente un client inattivo, è necessario prima disinstallare Client/Server Security Agent. È possibile rimuovere un computer singolo o un gruppo di computer dalla console Web. ATTENZIONE! Se si rimuove l'agente da un computer, il computer potrebbe essere esposto a virus e ad altre minacce informatiche. 6-4

61 Gestione dei gruppi Per rimuovere un client o un gruppo: 1. Fare clic sul gruppo o sul computer da rimuovere. 2. Fare clic su Rimuovi nella barra degli strumenti. 3. Fare clic su OK. Nota: se si è ancora client registrati per il gruppo, non è possibile rimuoverlo. Rimuovere o disinstallare gli Agent prima di rimuovere il gruppo. Rimozione di Client/Server Security Agent non attivi Quando si utilizza il programma di disinstallazione di Client/Server Security Agent sul client per rimuovere gli agenti dal computer, il programma invia automaticamente una notifica al server WFBS-SVC. Quando il server riceve questa notifica, l'icona del client viene rimossa dalla struttura di rete per ricordare che il client non esiste più. Se invece Client/Server Security Agent viene rimosso con altri metodi, ad esempio riformattando il disco rigido del computer oppure eliminando manualmente i file del client, il server WFBS-SVC non rileva la rimozione e Client/Server Security Agent viene visualizzato come inattivo. Se un utente rimuove o disattiva l'agente per un periodo di tempo prolungato, anche il server WFBS-SVC mostra Client/Server Security Agent come inattivo. Replica delle impostazioni dei gruppi La funzione Replica impostazioni consente di copiare le impostazioni da un gruppo all'altro all'interno della rete. Le impostazioni verranno applicate a tutti i client appartenenti al gruppo di destinazione. Percorso di navigazione: Computer > {gruppo} > Altro > Replica impostazioni FIGURA 6-4. Schermata Replica impostazioni Per replicare le impostazioni da un gruppo all'altro: 1. Nella scheda Computer, selezionare il gruppo di origine dal quale replicare le impostazioni in altri gruppi. 2. Fare clic su Altri > Replica impostazioni. 3. Selezionare il gruppo di destinazione che acquisirà le impostazioni del gruppo di origine. 4. Fare clic su Salva. 6-5

62 Gestione dei gruppi 6-6

63 Capitolo 7 Configurazione delle impostazioni di sicurezza del gruppo In questo capitolo vengono descritte le modalità di configurazione delle impostazioni per la protezione della rete. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Configurazione di gruppi di desktop e server a pagina 7-2 Metodi di scansione a pagina 7-2 Antivirus/Anti-spyware a pagina 7-3 Firewall a pagina 7-3 Reputazione Web a pagina 7-9 Controllo del comportamento a pagina 7-10 Barre degli strumenti TrendSecure a pagina 7-13 Scansione a pagina 7-14 Privilegi client a pagina

64 Configurazione delle impostazioni di sicurezza del gruppo Configurazione di gruppi di desktop e server In WFBS-SVC, i gruppi rappresentano un insieme di client che condividono la stessa configurazione ed eseguono le stesse operazioni. Il raggruppamento dei client, consente di configurare e gestire contemporaneamente più client. Per ulteriori informazioni, vedere Panoramica dei gruppi a pagina 6-2. Percorso di navigazione: Computer > {gruppo} > Configura È possibile accedere a questa opzione selezionando un gruppo nella struttura di rete nella scheda Computer e scegliendo Configura: TABELLA 7-1. Opzioni di configurazione per gruppi di desktop e server Opzione Descrizione Predefinito Modalità di scansione Antivirus/Anti-spyware Firewall Reputazione Web Monitoraggio del comportamento Barre degli strumenti TrendSecure Scansione Privilegi client Consente di passare da Smart Scan alla scansione convenzionale e viceversa Consente di configurare le opzioni di scansione in tempo reale, antivirus e anti-spyware Consente di configurare le opzioni del firewall Consente l'attivazione o la disattivazione e la configurazione di un valore alto, medio o basso. Consente di configurare le opzioni per il monitoraggio del comportamento Consente di attivare Wi-Fi Advisor e la classificazione delle pagine Consente di configurare la scansione dei messaggi POP3 Consente di configurare l'accesso alle impostazioni dalla console del client Scansione convenzionale (per aggiornamento)smart Scan (per una nuova installazione) Attivata (Scansione in tempo reale) Disattivato Attivato, basso Attivato Wi-Fi Advisor: Disattivato Classificazione pagine: Disattivato Disattivato N.D. Nota: altre impostazioni client, quali il filtro dei contenuti IM, si applicano a tutti i client e sono accessibili in Amministrazione > Impostazioni globali. Metodi di scansione Percorso di navigazione: Computer > {gruppo} > Configura > Metodo di scansione WFBS-SVC dispone di due modalità di scansione: Smart Scan: il client utilizza il proprio motore di scansione ma anziché utilizzare un file di pattern locale, per identificare le minacce, si affida principalmente al file di pattern conservato sul server di scansione. Scansione convenzionale: il client utilizza il proprio motore di scansione e il file di pattern locale per identificare le minacce. Per informazioni complete, vedere il capitolo Metodi di scansione a pagina

65 Configurazione delle impostazioni di sicurezza del gruppo ATTENZIONE! I client configurati per eseguire Smart Scan devono essere in linea per collegarsi al servizio Smart Scan. I client non in linea configurati per la scansione Smart Scan sono vulnerabili alle minacce che potrebbero essere già presenti sul computer o alle minacce provenienti da dispositivi esterni. Antivirus/Anti-spyware Per informazioni complete sull'opzione Antivirus/Anti-spyware, fare riferimento al capitolo Gestione delle scansioni a pagina 8-1. Firewall Percorso di navigazione: Computer > {gruppo} > Configura > Firewall Protegge i client dagli attacchi degli hacker e dai virus di rete attraverso la creazione di una barriera tra il client e la rete. Il firewall è in grado di bloccare o consentire l'accesso a un determinato tipo di traffico di rete. Inoltre, il firewall identifica dei pattern nei pacchetti di rete che possano indicare eventuali attacchi ai client. WFBS-SVC consente di scegliere tra due opzioni di configurazione del firewall: modalità semplice e modalità avanzata. La modalità semplice attiva il firewall con le impostazioni predefinite consigliate da Trend Micro. La modalità avanzata consente invece di personalizzare le impostazioni del firewall. Suggerimento: Trend Micro consiglia di disinstallare altri firewall basati su software prima di distribuire e abilitare il firewall Trend Micro. Impostazioni predefinite del firewall in modalità semplice Il firewall è dotato di impostazioni predefinite che costituiscono una base di partenza per la strategia di protezione del client mediante firewall. Lo scopo delle impostazioni è quello di includere condizioni comuni che si verificano sui client, ad esempio, la necessità di accedere a Internet e scaricare o caricare file via FTP. Nota: Per impostazione predefinita, WFBS-SVC disattiva il firewall su tutti i nuovi gruppi e i nuovi client. TABELLA 7-2. Impostazioni predefinite del firewall Livello di protezione Basso Descrizione Traffico in entrata e in uscita (bidirezionale) consentito, bloccati solo i virus di rete. Impostazioni Sistema di prevenzione intrusioni Messaggio di avviso (invio) Stato Disattivato Disattivato 7-3

66 Configurazione delle impostazioni di sicurezza del gruppo Nome eccezione Operazione Direzione Protocollo Porta DNS Consenti Bidirezionale TCP/UDP 53 NetBIOS Consenti Bidirezionale TCP/UDP 137, 138, 139, 445 HTTPS Consenti Bidirezionale TCP 443 HTTP Consenti Bidirezionale TCP 80 Telnet Consenti Bidirezionale TCP 23 SMTP Consenti Bidirezionale TCP 25 FTP Consenti Bidirezionale TCP 21 POP3 Consenti Bidirezionale TCP 110 Filtro del traffico Il firewall monitora tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri: Direzione (in entrata o in uscita) Protocollo (TCP/UDP/ICMP) Porte di destinazione Computer di destinazione Scansione dei virus di rete Il firewall prende in considerazione tutti i pacchetti di dati per determinare se sono stati infettati da un virus di rete. Stateful Inspection Il firewall è di tipo "stateful inspection"; vale a dire che monitora tutte le connessioni al client e verifica che le transazioni siano valide. È in grado di identificare specifiche condizioni in una transazione, prevedere quale sarà la transazione seguente e rilevare la violazione delle condizioni normali. Le decisioni sulle modalità di filtro si basano quindi non soltanto su profili e criteri, ma anche sul contesto stabilito analizzando le connessioni e filtrando i pacchetti che hanno già superato il firewall. Configurazione del firewall Percorso di navigazione: Computer > {gruppo} > Configura > Firewall Il firewall è stato progettato per proteggere i computer dalle minacce provenienti da Internet. Impostazione predefinita di Trend Micro Firewall disattivato 7-4

67 Configurazione delle impostazioni di sicurezza del gruppo FIGURA 7-1. Schermata di configurazione del firewall Per configurare il firewall: 1. Nella schermata Firewall, aggiornare le seguenti opzioni, in base alle necessità: Attiva firewall: Selezionare per attivare il firewall relativo al gruppo e al percorso. Modalità semplice: Abilita il firewall con le impostazioni predefinite. La modalità semplice è stata progettata da Trend Micro per proteggere le piccole e medie imprese dalle minacce presenti su Internet. Vedere Impostazioni predefinite del firewall in modalità semplice a pagina 7-3. Modalità avanzata: Abilita il firewall con le impostazioni personalizzate. Selezionare questa modalità quando si desidera configurare manualmente le impostazioni. Vedere Opzioni avanzate del firewall a pagina 7-5 per le opzioni di configurazione. 2. Fare clic su Salva. Le modifiche diventano immediatamente attive. Opzioni avanzate del firewall Le opzioni avanzate del firewall consentono di configurare le impostazioni personalizzate del firewall per uno specifico gruppo di client. Per configurare le opzioni avanzate del firewall: 1. Nella schermata Firewall, selezionare Modalità avanzata. 2. Aggiornare le seguenti opzioni, in base alle necessità: Livello sicurezza: Il livello di sicurezza controlla le regole del traffico da implementare per le porte che non sono incluse nell'elenco delle eccezioni. Alto: blocca tutto il traffico in entrata e in uscita, ad eccezione di quello consentito dall'elenco delle eccezioni. Medio: blocca tutto il traffico in entrata e consente tutto il traffico in uscita, ad eccezione di quello consentito e bloccato nell'elenco delle eccezioni. Basso: consente tutto il traffico in entrata e in uscita, ad eccezione di quello bloccato dall'elenco delle eccezioni. Questa è l'impostazione predefinita per la modalità minima. 7-5

68 Configurazione delle impostazioni di sicurezza del gruppo Impostazioni Attiva sistema di rilevamento anti-intrusione: il sistema di rilevamento anti-intrusione consente di identificare i pattern nei pacchetti di rete che possono indicare un attacco sul computer. Per ulteriori informazioni, consultare Sistema di rilevamento anti-intrusione a pagina 7-8. Attiva messaggi avviso: quando WFBS-SVC rileva una violazione, invia una notifica al client. Eccezioni: Le porte nell'elenco delle eccezioni non vengono bloccate. Per ulteriori informazioni, consultare Utilizzo delle eccezioni Firewall a pagina Fare clic su Salva. Utilizzo delle eccezioni Firewall Percorso di navigazione: Computer > {gruppo} > Configura > Firewall > Modalità avanzata > Impostazioni dell'eccezione Le eccezioni comprendono impostazioni specifiche che consentono o bloccano tipi diversi di traffico in base a direzione, protocollo, porta e macchine. Ad esempio, durante un'infezione è possibile scegliere di bloccare tutto il traffico dei client, inclusa la porta HTTP (porta 80). Tuttavia, se comunque si desidera garantire l'accesso a Internet ai client bloccati, è possibile aggiungere il server proxy Web all'elenco delle eccezioni. Aggiunta delle eccezioni Per aggiungere un'eccezione: 1. Dalla schermata Firewall - Modalità avanzata presente nella sezione Eccezioni, fare clic su Aggiungi. 2. Aggiornare le opzioni in base alle necessità: Nome: permette di specificare un nome univoco per l'eccezione. Operazione: permette di bloccare o di consentire il traffico del protocollo, delle porte e dei client selezionati. Direzione: In entrata fa riferimento al traffico che da Internet va verso la rete in uso. In uscita fa riferimento al traffico che è indirizzato dalla rete in uso a Internet. Protocollo: Protocollo del traffico di rete relativo a questa esclusione. Porta/Intervallo porta Tutte le porte (impostazione predefinita) Intervallo Porte specificate: Separare le singole voci con delle virgole Computer Tutti gli indirizzi IP (impostazione predefinita) IP unico: indirizzo IP di un particolare client Intervallo IP 3. Fare clic su Salva. Verrà visualizzata la schermata Configurazione firewall con la nuova eccezione inclusa nell'elenco delle eccezioni. Modifica delle eccezioni Per modificare un'eccezione: 1. Nella schermata Firewall - Modalità avanzata presente nella sezione Eccezioni, selezionare l'esclusione da modificare. 2. Fare clic su Modifica. 3. Aggiornare le opzioni in base alle necessità. 4. Fare clic su Salva. 7-6

69 Configurazione delle impostazioni di sicurezza del gruppo Rimozione delle eccezioni Per rimuovere un'eccezione: 1. Nella schermata Firewall - Modalità avanzata presente nella sezione Eccezioni, selezionare l'esclusione da eliminare. 2. Fare clic su Rimuovi. Modifica delle eccezioni firewall Percorso di navigazione: Computer > {gruppo} > Configura > Firewall > Modalità avanzata > Impostazioni dell'eccezione {eccezione} > Modifica L'elenco delle eccezioni del firewall contiene voci che possono essere configurate per consentire il blocco di vari tipi di traffico di rete in base ai numeri di porta dei client e agli indirizzi IP. Durante un'infezione, il server WFBS-SVC applica le eccezioni ai criteri di Trend Micro che vengono automaticamente implementati per proteggere la rete. Per modificare un'eccezione: 1. Nella schermata Configurazione Firewall, selezionare le eccezioni che si desidera modificare. 2. Fare clic su Modifica. Si apre la schermata Modifica eccezione. 3. Modificare il nome dell'eccezione. 4. Accanto ad Azione, fare clic su una delle seguenti opzioni: Consenti il traffico di rete Blocca il traffico di rete 5. Accanto a Direzione, fare clic su In entrata o In uscita o Entrambe per selezionare il tipo di traffico a cui applicare le impostazioni dell'eccezione. 6. Selezionare il tipo di protocollo di rete dall'elenco Protocollo. Tutti (predefinito) TCP/UDP TCP UDP ICMP 7. Fare clic su una delle seguenti opzioni per specificare le porte del client: Tutte le porte (impostazione predefinita). Porte specificate: specificare le singole porte. Per separare i numeri di porta, utilizzare la virgola ",". Intervallo: immettere un intervallo di porte. 8. Nella sezione Client, selezionare gli indirizzi IP dei client da includere nell'eccezione. Ad esempio, se si seleziona Blocca il traffico di rete (in entrata e in uscita) e si immette l'indirizzo IP di un singolo computer della rete, qualsiasi client con questa eccezione tra i criteri non potrà inviare o ricevere dati da quell'indirizzo IP. Fare clic su una delle opzioni riportate di seguito. Tutti gli indirizzi IP (impostazione predefinita). IP unico: immettere il nome host o l'indirizzo IP di un client. Per risolvere il nome host del client in un indirizzo IP, fare clic su Risolvi. Intervallo IP: immettere un intervallo di indirizzi IP. 9. Fare clic su Salva. 7-7

70 Configurazione delle impostazioni di sicurezza del gruppo Sistema di rilevamento anti-intrusione Il firewall comprende anche un sistema di rilevamento anti-intrusione (IDS). L'IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco sul client. Il firewall consente di prevenire le seguenti intrusioni note: Frammento di grandi dimensioni: Questo tipo di minaccia contiene dei frammenti estremamente grandi all'interno del datagramma IP. Alcuni sistemi operativi non gestiscono in modo appropriato i grandi frammenti e possono rilevare delle eccezioni o comportarsi in altri modi indesiderati. Ping of Death: Un ping of death (abbreviato "POD") è un tipo di attacco a un computer che consiste nell'invio a un computer di un ping malformato o comunque dannoso. Solitamente un ping ha una dimensione di 64 byte (o 84 byte se si considera anche l'intestazione IP); molti sistemi non sono in grado di gestire dei ping la cui dimensione è maggiore della dimensione massima di un pacchetto IP, pari a byte. L'invio di un ping di dimensioni superiori potrebbe bloccare il computer destinatario. Conflitto ARP: Questo si verifica quando l'indirizzo IP di origine e quello di destinazione sono identici. SYN flood: Un SYN flood è una forma di attacco denial-of-service in cui chi attacca invia una serie di richieste SYN a un sistema destinatario. Frammenti sovrapposti: Questo tipo di minaccia contiene due frammenti all'interno dello stesso datagramma IP ed è dotato di offset che indicano che tali frammenti condividono la stessa posizione all'interno del datagramma. Questo potrebbe significare che il frammento A viene completamente sovrascritto dal frammento B oppure che il frammento A è parzialmente sovrascritto dal frammento B. Alcuni sistemi operativi non gestiscono in modo appropriato i frammenti sovrapposti e potrebbero sollevare delle eccezioni o comportarsi in altri modi indesiderati. Questa struttura rappresenta la base per i cosiddetti attacchi di tipo denial-of-service di teardrop. Attacco di tipo Teardrop: L'attacco di tipo Teardrop consiste nell'inviare alla macchina di destinazione dei frammenti IP con cariche distruttive sovrapposte o di grandi dimensioni. Un errore all'interno del codice di riassemblaggio della frammentazione TCP/IP di diversi sistemi operativi causa una gestione impropria dei frammenti e di conseguenza un blocco. Attacco con frammenti di dimensioni minime: Quando un qualsiasi frammento che non sia il frammento finale è di dimensioni inferiori ai 400 byte, molto probabilmente si tratta di un frammento manomesso. I frammenti piccoli possono essere utilizzati in attacchi di tipo denial-of-service o per cercare di oltrepassare le misure di sicurezza e il rilevamento. IGMP frammentato: quando un client riceve un pacchetto di protocollo di gestione di gruppo Internet (IGMP, Internet Group Management Protocol), le prestazioni del client ne possono risentire o il computer potrebbe andare in blocco rendendo necessario un riavvio di sistema. Attacco LAND: Un attacco LAND è un attacco di tipo DoS (denial-of-service) che consiste nell'invio a un computer di uno speciale pacchetto ingannevole che lo porta a comportarsi in modo indesiderato. L'attacco consiste nell'invio di un pacchetto TCP SYN ingannevole (di inizio connessione) che indica sia come origine che come destinazione un indirizzo IP host e una porta aperta. Disattivazione del firewall Percorso di navigazione: Computer > {gruppo} > Configura > Firewall Per disattivare il firewall: 1. Per disattivare il firewall del gruppo e del tipo di connessione, deselezionare la casella di controllo Attiva firewall. 2. Fare clic su Salva. 7-8

71 Configurazione delle impostazioni di sicurezza del gruppo Reputazione Web Percorso di navigazione: Computer > {gruppo} > Configura > Reputazione Web La reputazione Web migliora la protezione contro i siti Web dannosi. La reputazione Web sfrutta l'enorme database sulla sicurezza Web di Trend Micro per controllare la reputazione degli URL HTTP ai quali i client cercano di accedere o gli URL incorporati nei messaggi che tentano di contattare i siti Web. Se la reputazione Web blocca un URL e l'utente ritiene invece che l'url sia sicuro, è possibile aggiungere l'url all'elenco degli URL approvati. È possibile configurare URL approvati solo a livello globale. Per informazioni sull'aggiunta di un URL all'elenco degli URL approvati, fare riferimento a URL approvati a pagina Nel momento in cui viene effettuata una richiesta HTTP, il servizio di reputazione Web valuta i potenziali rischi per la sicurezza dell'url in questione effettuando una ricerca nel database di sicurezza Web di Trend Micro. A seconda del livello di protezione impostato, la reputazione Web può impedire l'accesso ai siti per i quali si conoscono o si sospettano minacce Web o a quelli per i quali non esistono informazioni nel database. La reputazione Web invia sia una notifica all'amministratore sia una notifica in linea all'utente riguardante le rilevazioni. Punteggio di reputazione Il "punteggio di reputazione" di un URL indica se è presente una minaccia Web o meno. Trend Micro calcola il punteggio utilizzando delle tecniche di misurazione proprietarie. Se il punteggio di un URL è compreso negli intervalli previsti per le rispettive categorie, Trend Micro lo classifica come "minaccia Web", "minaccia Web molto probabile" o "minaccia Web probabile". Trend Micro considera un URL sicuro per l'accesso solo se il suo punteggio supera una soglia predefinita. Esistono tre livelli di protezione che determinano se CSA deve consentire o bloccare l'accesso a un URL. Alto: blocca tutte le pagine fraudolente o fonte di minacce verificate fraudolente o fonte di minacce sospette associate a spam o potenzialmente compromesse Medio: blocca tutte le pagine fraudolente o fonte di minacce verificate fraudolente o fonte di minacce sospette Basso: blocca tutte le pagine fraudolente o fonte di minacce verificate FIGURA 7-2. Configurazione della reputazione Web 7-9

72 Configurazione delle impostazioni di sicurezza del gruppo Per modificare le impostazioni della reputazione Web: 1. Nella schermata Reputazione Web, aggiornare i seguenti campi in base alle esigenze: Attiva reputazione Web Livello di protezione Alto: blocca le pagine classificate come fraudolente o fonte di minacce verificate, fraudolente o fonte di minacce sospette, associate a spam o potenzialmente compromesse, pagine non classificate. Medio: blocca le pagine classificate come fraudolente o fonte di minacce verificate, fraudolente o fonte di minacce sospette. Basso: blocca tutte le pagine fraudolente o fonte di minacce verificate. 2. Per modificare l'elenco dei siti Web approvati, fare clic su URL approvati globalmente e modificare le impostazioni nella schermata Impostazioni globali. 3. Fare clic su Salva. Controllo del comportamento Gli agenti controllano costantemente i client alla ricerca di modifiche insolite al sistema operativo o al software installato. Gli amministratori (o gli utenti) possono creare degli elenchi di eccezioni per consentire a determinati programmi di funzionare pur effettuando una modifica monitorata o per bloccare completamente determinati programmi. Inoltre, l'avvio dei programmi con una firma digitale valida è sempre consentito. Per visualizzare la descrizione e il valore predefinito delle modifiche monitorate, fare riferimento alla seguente tabella. TABELLA 7-3. Modifiche possibili monitorate Modifiche monitorate Descrizione Valore predefinito Duplicazione dei file di sistema Modifica del file Hosts Modifica dei file di sistema Nuovo plug-in per Internet Explorer Modifica delle impostazioni di Internet Explorer Modifica dei criteri di protezione Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi. Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga rediretto verso siti Web infetti, inesistenti o falsificati. Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema. I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object). Molti virus e minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu. Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e di modificare le impostazioni di sistema. Chiedi se necessario Blocca sempre Blocca sempre Chiedi se necessario Blocca sempre Blocca sempre 7-10

73 Configurazione delle impostazioni di sicurezza del gruppo TABELLA 7-3. Modifiche possibili monitorate Modifiche monitorate Descrizione Valore predefinito Modifica dei criteri del firewall Caricamento di librerie di programma Modifica della shell Nuovo servizio Nuovo programma di avvio I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet. Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime. I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti. Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Chiedi se necessario Chiedi se necessario Chiedi se necessario Chiedi se necessario Chiedi se necessario Un'altra funzione di controllo del comportamento consiste nel proteggere i file EXE e DLL da eventuale eliminazione o modifica. Gli utenti che dispongono di questo privilegio possono proteggere le cartelle specifiche. Inoltre, gli utenti possono decidere di proteggere in modo unitario tutti i programmi Intuit QuickBooks. Configurazione del controllo del comportamento Percorso di navigazione: Computer > {gruppo} > Configura > Monitoraggio del comportamento Il monitoraggio del comportamento protegge i client da modifiche non autorizzate al sistema operativo, alle voci di registro, ad altri programmi, file e cartelle. 7-11

74 Configurazione delle impostazioni di sicurezza del gruppo FIGURA 7-3. Schermata Controllo del comportamento Per modificare le impostazioni di Monitoraggio del comportamento: 1. Dalla schermata Controllo del comportamento, aggiornare i seguenti campi secondo le esigenze: Attiva Monitoraggio del comportamento Attiva protezione Intuit QuickBooks : Proteggere tutti i file e le cartelle Intuit QuickBooks da modifiche non autorizzate effettuate da altri programmi. L'abilitazione di questa caratteristica non influisce sulle modifiche effettuate da dentro i programmi Intuit QuickBooks, ma impedisce solamente le modifiche effettuate da altre applicazioni non autorizzate. Sono supportati i seguenti prodotti: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online 7-12

75 Configurazione delle impostazioni di sicurezza del gruppo Modifiche possibili monitorate: selezionare Consenti sempre, Chiedi se necessario o Blocca sempre per ogni modifica monitorata. Per informazioni sulle diverse modifiche, vedere Tabella 7-3 a pagina Eccezioni: le eccezioni comprendono un Elenco Programmi approvati e un Elenco Programmi bloccati. I programmi nell'elenco Programmi approvati possono essere avviati anche se farlo viola una modifica monitorata, mentre i programmi nell'elenco Programmi bloccati non possono mai essere avviati. Percorso completo del programma: Immettere il percorso completo del programma. Separare più voci con punto e virgola (;). Fare clic su Aggiungi a Elenco Programmi approvati o su Aggiungi a Elenco Programmi bloccati. Elenco Programmi approvati: I programmi (fino a un massimo di 100) in questo elenco possono essere avviati. Fare clic sull'icona corrispondente per eliminare una voce. Elenco Programmi bloccati: I programmi (fino a un massimo di 100) in questo elenco non possono essere avviati. Fare clic sull'icona corrispondente per eliminare una voce. 2. Fare clic su Salva. Visualizzazione dei computer che violano i criteri di monitoraggio dei comportamenti Percorso di navigazione: Stato in tempo reale > Monitoraggio del comportamento > {numero di incidenti} Le informazioni visualizzate nella schermata delle violazioni ai criteri rilevate vengono generate o aggiornate ogni volta che un computer viola i criteri sul monitoraggio del comportamento. Per cancellare tutti i dati precedenti, fare clic su Reimposta. Al successivo blocco di un URL, questo viene visualizzato in questa schermata. Nome computer: Nome del computer che tenta di violare un criterio. Fare clic sul nome per visualizzare un elenco di composto da orario della violazione, programma di violazione, criterio, programma interessato e operazione eseguita sul programma di violazione. Numero di rilevamenti: Numero di violazioni. Barre degli strumenti TrendSecure TrendSecure comprende un gruppo di strumenti basati sul browser (TrendProtect e Transaction Protector) che consentono di navigare sul Web in completa sicurezza. TrendProtect avverte gli utenti se un sito Web è dannoso e legato al phishing. Transaction Protector determina la sicurezza della connessione wireless verificando l'autenticità del punto di accesso. TrendSecure aggiunge al browser una barra degli strumenti che cambia colore a seconda del grado di protezione della connessione wireless. Facendo clic sulla barra degli strumenti, si accede alle seguenti funzioni: Wi-Fi Advisor: controlla la protezione delle reti wireless sulla base della validità del loro SSIDs, dei metodi di autenticazione e dei requisiti di crittografia. Classificazione pagine: Determina il grado di sicurezza della pagina corrente. 7-13

76 Configurazione delle impostazioni di sicurezza del gruppo Percorso di navigazione: Computer > {gruppo} > Configura > Barre degli strumenti TrendSecure FIGURA 7-4. Barre degli strumenti TrendSecure - schermata In ufficio Per configurare la disponibilità degli strumenti TrendSecure: 1. Nella schermata Barre degli strumenti TrendSecure, aggiornare i seguenti campi secondo le esigenze: Attiva Wi-Fi Advisor: controlla la protezione delle reti wireless sulla base della validità del loro SSIDs, dei metodi di autenticazione e dei requisiti di crittografia. Attiva Classificazione pagine: Determina il grado di sicurezza della pagina corrente. 2. Fare clic su Salva. Nota: le barre degli strumenti TrendSecure possono essere messe a disposizione degli Agent solo dalla console Web. Gli utenti devono installare o disinstallare gli strumenti dalla console dell'agente. Scansione Il plug-in POP3 Mail Scan protegge il client in tempo reale da eventuali rischi per la protezione o spam trasmesso mediante messaggi POP3. Requisiti di POP3 Mail Scan POP3 Mail Scan supporta i client di posta elettronica elencati di seguito: Microsoft Outlook 2000, 2002 (XP), 2003 e 2007 Outlook Express 6.0 con service pack 2 (solo per Windows XP) Windows Mail (solo Microsoft Vista) Mozilla Thunderbird 1.5 e 2.0 Percorso di navigazione: Computer > {gruppo} > Configura > Scansione posta Nota: Per impostazione predefinita, lpop3 Mail Scan può analizzare solo i nuovi messaggi inviati mediante la porta 110 nella cartella della posta in arrivo e della posta indesiderata. Il protocollo POP3 protetto (SSL-POP3), utilizzato da Exchange Server 2007 per impostazione predefinita, non è supportato. 7-14

77 Configurazione delle impostazioni di sicurezza del gruppo Per modificare la disponibilità di Scansione 1. Nella schermata Scansione , aggiornare i seguenti campi secondo le esigenze: Attiva scansione in tempo reale per POP3 Attiva barra degli strumenti Trend Micro Anti-spam 2. Fare clic su Salva. Privilegi client Percorso di navigazione: Computer > {gruppo} > Configura > Privilegi client Concedere i privilegi client per consentire agli utenti di modificare le impostazioni del modulo Agent installato sul computer. Suggerimento: per implementare un criterio di protezione regolamentato in tutta l'organizzazione, Trend Micro consiglia di assegnare agli utenti dei privilegi limitati per gli utenti. Questo garantisce che gli utenti non modifichino le impostazioni di scansione o che non rimuovano Client/Server Security Agent. FIGURA 7-5. Schermata Privilegi client Per assegnare privilegi ai client: 1. Dalla schermata Privilegi client, aggiornare i seguenti campi secondo le esigenze: Antivirus/Anti-spyware Impostazioni scansione manuale Impostazioni scansione pianificata Impostazioni scansione in tempo reale Interrompi scansione pianificata 7-15

78 Configurazione delle impostazioni di sicurezza del gruppo Firewall Visualizza scheda Firewall Consenti ai client di attivare/disattivare il firewall Nota: se si consente agli utenti di attivare o disattivare il firewall, non sarà più possibile modificare queste impostazioni dalla console Web. Se non si concede agli utenti questo privilegio, sarà possibile modificare queste impostazioni dalla console Web. Le informazioni in Impostazioni firewall locale sull'agente riflettono sempre le impostazioni configurate dall'agente e non dalla console Web. Reputazione Web Modifica elenco URL approvati Monitoraggio del comportamento Visualizza scheda Monitoraggio del comportamento e consenti agli utenti di personalizzare gli elenchi: Consente agli utenti di attivare/disattivare il Monitoraggio del comportamento e configurare l'elenco eccezioni e l'elenco di protezione software. Scansione Configura la scansione in tempo reale per POP3. Aggiorna impostazioni Disattiva aggiornamento programma e implementazione hotfix. Protezione client Alto: Impedisce l'accesso alle cartelle, ai file e alle voci di registro dell'agent. Normale: Fornisce l'accesso in lettura/scrittura alle cartelle, ai file e alle voci di registro dell'agent. Nota: Se si seleziona Alto, le impostazioni per le autorizzazioni di accesso alle cartelle, ai file e alle voci di registro dell'agente vengono ricevute dalla cartella Programmi (per i client su cui è in esecuzione Windows Vista/2000/XP/Server 2003). Di conseguenza, se le impostazioni delle autorizzazioni (Impostazioni di protezione di Windows) del file Windows o della cartella Programmi sono state impostate per consentire l'accesso completo in lettura/scrittura, quando si seleziona Alto i client continuano a usufruire dell'accesso completo in lettura/scrittura alle cartelle, ai file e alle voci di registro di Client/Server Security Agent. 2. Fare clic su Salva. 7-16

79 Capitolo 8 Gestione delle scansioni In questo capitolo vengono fornite informazioni sull'utilizzo dei vari tipi di scansione per proteggere la rete e i client da virus, minacce informatiche e altre tipologie di minacce. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Informazioni sulla scansione a pagina 8-2 Metodi di scansione a pagina 8-2 Tipi di scansione a pagina 8-2 Configurazione della scansione in tempo reale a pagina 8-3 Attivazione della scansione in tempo reale a pagina 8-5 Scansioni pianificate a pagina 8-5 Scansioni manuali a pagina 8-7 Configurazione della scansione manuale e pianificata a pagina 8-8 Modifica dell'elenco Approvati spyware/grayware a pagina 8-10 Esclusione di file e cartelle dalle scansioni a pagina 8-11 Visualizzazione di un'azione non riuscita su computer desktop e server a pagina 8-12 Incidenti che richiedono il riavvio del computer a pagina

80 Gestione delle scansioni Informazioni sulla scansione WFBS-SVC mette a disposizione due metodi e tre tipi di scansione per proteggere i computer client dalle minacce Internet: Smart Scan Scansione convenzionale Scansione manuale Scansione pianificata Scansione in tempo reale. Ciascuna scansione si prefigge uno scopo e un utilizzo diverso, ma tutte sono configurate approssimativamente allo stesso modo. Metodi di scansione Percorso di navigazione: Computer > {gruppo} > Configura > Metodo di scansione I metodi di scansione disponibili sono i seguenti. Smart Scan: il client utilizza il proprio motore di scansione ma anziché utilizzare un file di pattern locale, per identificare le minacce, si affida principalmente al file di pattern conservato sul server di scansione. Scansione convenzionale: il client utilizza il proprio motore di scansione e il file di pattern locale per identificare le minacce. ATTENZIONE! I client configurati per eseguire Smart Scan devono essere in linea per collegarsi al servizio Smart Scan. I client non in linea configurati per la scansione Smart Scan sono vulnerabili alle minacce che potrebbero essere già presenti sul computer o alle minacce provenienti da dispositivi esterni. Se le scansioni client rallentano i computer su cui sono eseguite, prendere in considerazione la possibilità di passare a Smart Scan. Smart Scan è attivato per impostazione predefinita. È possibile disattivare Smart Scan per gruppi di client accedendo a Computer > {gruppo} > Configura > Metodo di scansione. Fare clic su Smart Scan o su Scansione convenzionale. Tipi di scansione Nel corso di una scansione, il motore di scansione di Trend Micro agisce in combinazione con con il file di pattern antivirus per eseguire il primo livello di rilevamento, mediante un processo denominato corrispondenza di pattern. Poiché ogni virus contiene una "firma" univoca o una stringa di caratteri riconoscibili che lo distinguono da qualsiasi altro codice, gli esperti di TrendLabs raccolgono porzioni rivelatrici inerti del codice nel file di pattern. Il motore confronta alcune parti di ogni file analizzato al pattern del file di pattern antivirus alla ricerca di qualche corrispondenza. Quando il motore di scansione individua un file contenente un virus o un'altra minaccia informatica, esegue operazioni quali la disinfezione, la quarantena, l'eliminazione o la sostituzione con testo/file. È possibile personalizzare tali operazioni al momento dell'impostazione delle operazioni di scansione. WFBS-SVC mette a disposizione tre tipi di scansione per proteggere i computer client dalle minacce Internet. Scansione in tempo reale: La scansione in tempo reale è una scansione continua e costante. Ogniqualvolta un file viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale analizza il file alla ricerca di eventuali minacce. 8-2

81 Gestione delle scansioni Scansione manuale: La scansione manuale è una scansione a richiesta. Questo tipo di scansione consente inoltre di sradicare eventuali vecchie infezioni inattive nei file per ridurre al minimo il rischio di infezione. Nel corso della scansione manuale, i moduli Agent prendono provvedimenti nei confronti delle minacce a seconda delle azioni impostate dall'amministratore (o dall'utente). Per interrompere la scansione mentre è in corso, fare clic su Interrompi scansione. Nota: il tempo impiegato per la scansione dipende dalle risorse hardware del client e dal numero di file sui quali eseguire la scansione. Scansione pianificata: Una scansione pianificata è simile a una scansione manuale; viene eseguita la scansione di tutti i file nei momenti prestabiliti e con la frequenza impostata dall'utente. Utilizzare la scansione pianificata per automatizzare le scansioni di routine dei client e per migliorare l'efficienza della gestione delle minacce. Per configurare una scansione pianificata, fare clic su Scansioni > Scansione pianificata. Per ulteriori informazioni, consultare Scansioni pianificate a pagina 5. Nota: Non confondere i tipi di scansione illustrati sopra con le modalità di scansione. Le modalità di scansione si riferiscono a Smart Scan o alla Scansione convenzionale (Metodi di scansione a pagina 8-2). Configurazione della scansione in tempo reale Percorso di navigazione: Computer > {gruppo} > Configura > Antivirus/Anti-spyware FIGURA 8-1. Computer > {gruppo} > Configura > schermata Antivirus/Anti-spyware Per configurare la scansione in tempo reale: 1. Nella scheda Destinazione della schermata Antivirus/Anti-spyware, aggiornare i seguenti campi in base alle necessità: Attiva antivirus/anti-spyware in tempo reale Selezionare un metodo: Tutti i file analizzabili: Vengono esclusi solo i file codificati o protetti da password. IntelliScan: Sottopone a scansione i file in base al tipo di file effettivo. Per ulteriori informazioni, consultare Trend Micro IntelliScan a pagina B-2. Esegue la scansione dei file con le seguenti estensioni: WFBS-SVC sottopone a scansione i file con le estensioni selezionate. Separare più voci con la virgola (,). 8-3

82 Gestione delle scansioni Selezionare una condizione: Esegui la scansione dei file creati, modificati o ricevuti Esegui la scansione dei file recuperati Esegui la scansione dei file creati o modificati Esclusioni: Esclude file specifici, cartelle o file con determinate estensioni dalla scansione. Attiva esclusioni Non eseguire la scansione delle seguenti directory: Digitare il nome della cartella da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere una cartella, selezionarla e fare clic su Elimina. Non effettua la scansione delle directory in cui sono installati i prodotti Trend Micro. Non eseguire la scansione dei seguenti file: Digitare il nome del file da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un file, selezionarlo e fare clic su Elimina. Non eseguire la scansione dei file con le seguenti estensioni: Digitare il nome dell'estensione da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un'estensione, selezionare l'estensione e fare clic su Elimina. Nota: se sui client è in esecuzione il server Microsoft Exchange, Trend Micro consiglia di escludere dalla scansione tutte le cartelle del server. Per escludere dalla scansione le cartelle del server Microsoft Exchange su base globale, accedere a Amministrazione > Impostazioni globali > Impostazioni generali di scansione e selezionare Escludi le cartelle del server Microsoft Exchange in caso di installazione su server Microsoft Exchange. Impostazioni avanzate Attiva IntelliTrap (per antivirus): IntelliTrap rileva il codice dannoso, come ad esempio i bot contenuti nei file compressi. Per ulteriori informazioni, consultare Trend Micro IntelliTrap a pagina B-3. Scansione unità collegate e cartelle condivise nella rete (per antivirus). Esegui scansione dell'unità floppy allo spegnimento del sistema (per antivirus). Esegui scansione dei livelli di file compressi (per antivirus): Selezionare il numero di livelli da sottoporre a scansione. Elenco approvati spyware/grayware (per anti-spyware): Questo elenco contiene i dettagli delle applicazioni spyware/grayware approvati. Per aggiornare l'elenco, fare clic sul collegamento. Per ulteriori informazioni, consultare Modifica dell'elenco Approvati spyware/grayware a pagina Nella scheda Operazione della schermata Antivirus/Anti-spyware, specificare come WFBS-SVC deve gestire le minacce rilevate: Per rilevamenti virus ActiveAction: Utilizzare le operazioni preconfigurate di Trend Micro per contrastare le minacce. Per ulteriori informazioni, consultare Trend Micro ActiveAction a pagina B-2. Esegue la stessa operazione per tutti i tipi di minacce Internet rilevate: Selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Operazione personalizzata per le seguenti minacce rilevate: Selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta per ogni tipo di minaccia. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Esegui backup del file prima di disinfettare: salva una copia crittografata del file infetto nella seguente directory sul client: C:\Programmi\Trend Micro\Client Server Security Agent\Backup 8-4

83 Gestione delle scansioni Per rilevamenti spyware/grayware Disinfetta: Durante la disinfezione di spyware/grayware, WFBS-SVC potrebbe eliminare le voci di registro, i file, i cookie e i collegamenti associati. Potrebbero essere rimossi anche i processi legati a spyware/grayware. Impedisci l'accesso ATTENZIONE! Se si impedisce l'accesso di spyware/grayware al client, non si rimuove la minaccia spyware/grayware dai client infetti. Impostazioni avanzate Visualizza un messaggio di avviso sul desktop o server quando viene rilevato un virus/spyware. 3. Fare clic su Salva. Consente inoltre di configurare chi riceve le notifiche quando si verifica un evento. Vedere Configurazione delle soglie di allarme a pagina Attivazione della scansione in tempo reale Per impostazione predefinita, la scansione in tempo reale è attivata sia per l'antivirus sia per l'anti-spyware. ATTENZIONE! Se si disattiva la scansione in tempo reale, i desktop e i server in uso diventano vulnerabili ai file infetti. Per attivare la scansione in tempo reale sul client: 1. Fare clic su Computer > {gruppo} > Configura. 2. Fare clic su Antivirus/Anti-spyware. 3. Fare clic su Attiva antivirus/anti-spyware in tempo reale. Il server WFBS-SVC invia una notifica a Client/Server Security Agent per l'attivazione della scansione in tempo reale. Nota: la scansione anti-spyware dipende dalla scansione antivirus in tempo reale. Di conseguenza, non è possibile attivare solo la scansione anti-spyware in tempo reale. Scansioni pianificate Percorso di navigazione: Scansioni > Scansione pianificata È possibile pianificare le scansioni per analizzare periodicamente i client al fine di individuare minacce. Suggerimento: Se si avvia una scansione manuale quando è in esecuzione una scansione pianificata, quest'ultima viene interrotta, ma verrà nuovamente eseguita in base alla relativa pianificazione. Nota: Per disattivare una scansione pianificata, deselezionare la casella di controllo in corrispondenza del nome del gruppo e fare clic su Salva. 8-5

84 Gestione delle scansioni FIGURA 8-2. Schermata Scansione pianificata In questa pagina vengono elencati tutti i gruppi della struttura di rete nella scheda Computer. Per pianificare una scansione: 1. Prima di pianificare una scansione, configurare le impostazioni della scansione. Per ulteriori informazioni, consultare Configurazione della scansione manuale e pianificata a pagina Dalla scheda Scansione pianificata, aggiornare le seguenti opzioni per ciascun gruppo, secondo le esigenze. Frequenza giornaliera: La scansione pianificata viene eseguita ogni giorno all'ora di inizio specificata. Frequenza settimanale, ogni: La scansione pianificata viene eseguita una volta alla settimana nel giorno specificato all'ora di inizio. Frequenza mensile, nel giorno: La scansione pianificata viene eseguita una volta al mese nel giorno specificato all'ora di inizio. ATTENZIONE! Se si seleziona il giorno 31 per un mese di 30 giorni, WFBS-SVC non eseguirà la scansione in tale mese. Ora di inizio: L'orario in cui dovrebbe iniziare la scansione pianificata. 3. Fare clic su Salva. Consente inoltre di configurare chi riceve le notifiche quando si verifica un evento. Vedere Configurazione delle soglie di allarme a pagina Suggerimento: Per una protezione ottimale, Trend Micro consiglia di impostare le scansioni pianificate a intervalli regolari. 8-6

85 Gestione delle scansioni Scansioni manuali Percorso di navigazione: Scansioni > Scansione manuale Nella schermata Scansione manuale sono elencati tutti i gruppi di computer. Se si fa clic su un nome di un gruppo, viene visualizzata una nuova schermata in cui è possibile configurare la scansione. La scansione manuale prevede la scansione di tutti i gruppi specificati. Per eseguire una scansione manuale, selezionare i gruppi da analizzare e gli elementi da ricercare. Fare clic su Esegui scansione per avviare la scansione e su Interrompi scansione per terminare una scansione manuale. Client/Server Security Agent utilizza le impostazioni consigliate da Trend Micro per la scansione di virus e altre minacce informatiche. Quando rileva una minaccia per la sicurezza, prende immediatamente provvedimenti in base alle impostazioni e registra le operazioni eseguite. È possibile visualizzare i risultati nella schermata Stato in tempo reale o mediante le segnalazioni o le query del registro. Per eseguire una scansione manuale: 1. Fare clic su Scansioni > Scansione manuale. 2. Configurare le impostazioni desiderate, facendo clic sul nome del gruppo (vedere Configurazione della scansione manuale e pianificata a pagina 8-8). 3. Selezionare un gruppo o i gruppi da analizzare. 4. Fare clic su Esegui scansione. Viene visualizzata la schermata Avanzamento notifica scansione. Al termine della scansione, viene visualizzata la schermata Risultati di notifica scansione. 8-7

86 Gestione delle scansioni Configurazione della scansione manuale e pianificata La configurazione delle opzioni di scansione prevede l'impostazione della Destinazione (file da analizzare) e dell'operazione (azione da intraprendere per le minacce rilevate). Percorso di navigazione: Scansioni > Scansione manuale o Scansione pianificata > {gruppo} Le scansioni pianificate per Client/Server Security Agent sono disattivate per impostazione predefinita. Se si attivano le scansioni pianificate, Trend Micro consiglia di pianificare le scansioni nelle ore non di punta per i client. Innanzitutto è necessario impostare i file di destinazione (scheda Destinazione) da analizzare, comprese le impostazioni facoltative, quindi impostare le operazioni (scheda Operazione) che Client/Server Security Agent (CSA) deve compiere nei confronti delle minacce rilevate. FIGURA 8-3. Opzioni scansione Per configurare le opzioni di scansione: 1. Nella scheda Destinazione, aggiornare i seguenti campi secondo le esigenze. File da esaminare Tutti i file analizzabili: Vengono esclusi solo i file codificati o protetti da password. IntelliScan: Sottopone a scansione i file in base al tipo di file effettivo. Per ulteriori informazioni, consultare Trend Micro IntelliScan a pagina B-2. Esegue la scansione dei file con le seguenti estensioni: WFBS-SVC sottopone a scansione i file con le estensioni selezionate. Separare più voci con la virgola (,). 8-8

87 Gestione delle scansioni Esegui scansione unità collegate e cartelle condivise nella rete. Esegui scansione dei livelli di file compressi fino a : non viene eseguita la scansione del file oltre il numero indicato. Esclusioni: Esclude file specifici, cartelle o file con determinate estensioni dalla scansione. Attiva esclusioni Non effettua la scansione delle directory in cui sono installati i prodotti Trend Micro. Esclusioni di cartelle: Digitare il nome della cartella da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere una cartella, selezionarla e fare clic su Elimina. Esclusioni di file: Digitare il nome del file da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un file, selezionarlo e fare clic su Rimuovi. Esclusioni di estensioni: Digitare il nome dell'estensione da escludere dalla scansione. Fare clic su Aggiungi. Per rimuovere un'estensione, selezionare l'estensione e fare clic su Rimuovi. Impostazioni avanzate Attiva IntelliTrap (per antivirus): IntelliTrap rileva il codice dannoso, come ad esempio i bot contenuti nei file compressi. Per ulteriori informazioni, consultare Trend Micro IntelliTrap a pagina B-3. Esegui scansione settore boot. Modifica elenco approvati spyware/grayware (per anti-spyware): Questo elenco contiene i dettagli delle applicazioni spyware/grayware approvati. Per aggiornare l'elenco, fare clic sul collegamento. Per ulteriori informazioni, consultare Modifica dell'elenco Approvati spyware/grayware a pagina Nella scheda Azione, specificare le modalità di gestione relativamente all'uso della CPU e alle minacce rilevate da parte di WFBS-SVC. Uso della CPU: impostare il valore Alto, Medio o Basso. L'impostazione predefinita è Alto per ridurre al minimo i tempi di scansione. Per rilevamenti virus ActiveAction: Utilizzare le operazioni preconfigurate di Trend Micro per contrastare le minacce. Per ulteriori informazioni, consultare Trend Micro ActiveAction a pagina B-2. Esegue la stessa operazione per tutti i tipi di minacce Internet rilevate: Selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Operazione personalizzata per le seguenti minacce rilevate: selezionare Ignora, Elimina, Rinomina, Metti in quarantena o Disinfetta per ciascun tipo di minaccia. Se si seleziona Disinfetta, impostare l'azione da eseguire in caso di minaccia non disinfettabile. Metti in quarantena è l'operazione predefinita per programmi Joke, Worm/Cavalli di Troia, e Packer. Disinfetta è l'operazione predefinita per virus e altre minacce. Ignora è l'operazione predefinita per i virus di prova. Esegui backup del file prima di disinfettare: WFBS-SVC esegue il backup della minaccia prima di disinfettare. Il file copiato mediante backup viene codificato e memorizzato nella seguente directory sul client: C:\Programmi\Trend Micro\Client Server Security Agent\Backup Per la decodifica del file, vedere Restore Encrypted Virus a pagina Per rilevamenti spyware/grayware Disinfetta: Durante la disinfezione di spyware/grayware, WFBS-SVC potrebbe eliminare le voci di registro, i file, i cookie e i collegamenti associati. Potrebbero essere rimossi anche i processi legati a spyware/grayware. Ignora: non esegue alcuna azione oltre alla registrazione dello spyware rilevato nei file di registro a scopo di valutazione 3. Fare clic su Salva. 8-9

88 Gestione delle scansioni Impostazioni predefinite per la scansione manuale consigliate da Trend Micro File da esaminare Tutti i file analizzabili: include tutti i file analizzabili. I file non analizzabili sono i file protetti da password, i file codificati o i file che eccedono le limitazioni di scansione definite dall'utente. Esamina settore boot: consente di eseguire la scansione del settore boot del disco rigido del client. Esamina file compressi fino a 2 livelli di compressione: sottopone a scansione i file compressi che contengono 1 o 2 livelli di compressione. Non effettuare la scansione delle directory in cui sono installati i prodotti Trend Micro: non esegue la scansione delle cartelle che contengono prodotti Trend Micro. Azioni sulle minacce individuate Uso della CPU: l'impostazione predefinita è Alto per ridurre al minimo i tempi di scansione. Esegue la stessa operazione per tutti i tipi di minacce Internet rilevate: disinfetta tutte le minacce o elimina la minaccia se non disinfettabile. Esegui backup del file prima di disinfettare: prima di eseguire qualsiasi azione, consente di salvare una copia dei file eliminati nella directory di backup che si trova sul client. Modifica dell'elenco Approvati spyware/grayware Alcune applicazioni vengono classificate da Trend Micro come spyware/grayware non perché siano dannose per il sistema in cui sono installate, ma perché potrebbero potenzialmente esporre il client o la rete ad attacchi da parte di minacce informatiche o hacker. Worry-Free Business Security Services comprende un elenco di applicazioni potenzialmente rischiose e, per impostazione predefinita, impedisce a queste applicazioni di venire eseguite sui client. Impedendo l'esecuzione di applicazioni potenzialmente dannose e fornendo all'utente il controllo totale sull'elenco approvati spyware/grayware, WFBS-SVC garantisce che client e server eseguano soltanto applicazioni approvate dall'utente. Se i client devono eseguire delle applicazioni che Trend Micro ha classificato come spyware/grayware, sarà necessario aggiungere il nome delle applicazioni nell'elenco approvati spyware/grayware. L'elenco Approvati spyware/grayware determina quali applicazioni spyware o grayware possono essere utilizzate dagli utenti. Per informazioni sui diversi tipi di spyware, vedere Spyware/grayware a pagina Nota: per un gruppo specifico, lo stesso elenco viene utilizzato per la scansione in tempo reale, pianificata e manuale. 8-10

89 Gestione delle scansioni Percorso di navigazione: Scansioni > {gruppo} > Destinazione > Impostazioni avanzate > Modifica elenco Approvati spyware/grayware FIGURA 8-4. Schermata Elenco Approvati spyware/grayware Per aggiornare l'elenco Approvati spyware/grayware: 1. Nella schermata Elenco Approvati spyware/grayware, aggiornare i seguenti campi in base alle necessità: Riquadro a sinistra: Applicazioni spyware o grayware riconosciute. Utilizzare i collegamenti Ricerca rapida per individuare l'applicazione spyware/grayware di cui consentire l'esecuzione. Nota: le applicazioni vengono ordinate per tipo di applicazione e quindi per nome (TipoSpyware_NomeApplicazione). Riquadro destro: Applicazioni spyware o grayware approvate. Aggiungi >: Selezionare il nome dell'applicazione nel riquadro sinistro, quindi fare clic su Aggiungi >. Per selezionare più applicazioni, tenere premuto CTRL mentre si fa clic sui nomi delle applicazioni. 2. Fare clic su Salva. Esclusione di file e cartelle dalle scansioni Per migliorare la prestazione della scansione e per ignorare i file che causano falsi allarmi, è possibile escludere determinati file e cartelle dalla scansione. I file e le cartelle aggiunti all'elenco di esclusione vengono ignorati durante la scansione manuale, la scansione in tempo reale e la scansione pianificata. Suggerimento: Il server WFBS-SVC può rilevare frequentemente applicazioni comunemente utilizzate, ad esempio Hotbar, e interpretarle come minacce. Per impedire il rilevamento di applicazioni comunemente utilizzate, aggiungere i file delle applicazioni all'elenco esclusione per tutti i tipi di scansione. Per escludere file e cartelle dalle scansioni, attenersi alle seguenti istruzioni. 1. Sul menu principale, fare clic su Computer > {gruppo} > Configura > Antivirus/Anti-spyware. 2. Fare clic sul pulsante di espansione in corrispondenza della sezione Esclusioni della pagina Antivirus/Anti-spyware. 3. In Esclusioni, verificare che la casella di controllo accanto a Attiva Esclusioni sia selezionata. 8-11

90 Gestione delle scansioni 4. Per escludere tutte le cartelle che contengono prodotti e componenti Trend Micro, selezionare la casella di controllo Non effettuare la scansione delle directory in cui sono installati i prodotti Trend Micro. 5. Per escludere directory specifiche, digitare i nomi delle directory in Immettere il percorso della directory (ad es. c:\temp\excludedir) e fare clic su Aggiungi. 6. Per escludere file specifici in base al nome file, digitare i nomi dei file o del file con il percorso completo nella sezione Immettere il nome file o il nome file con il percorso completo (ad es. ExcludeDoc.hlp; c:\temp\excldir\excludedoc.hlp) e fare clic su Aggiungi. Nota: vengono escluse anche tutte le sottodirectory contenute nel percorso di directory specificato. 7. Specificare i file da escludere in base all'estensione. Per utilizzare le estensioni specificate, selezionare le estensioni da Selezionare l'estensione file dall'elenco e fare clic su Aggiungi. Per specificare un'estensione non compresa nell'elenco, digitarla sotto alla casella di testo e fare clic su Aggiungi. Nota: i caratteri jolly come "*" non possono essere utilizzati nelle estensioni. 8. Fare clic su Salva. Visualizzazione di un'azione non riuscita su computer desktop e server Percorso di navigazione: Stato in tempo reale > Stato della minaccia > Antivirus > Operazione non riuscita Le informazioni visualizzate in questa sezione vengono generate o aggiornate ogni volta che viene eseguita una scansione in tempo reale, manuale o pianificata. Per cancellare tutti i dati precedenti, fare clic su Reimposta. Al successivo rilevamento di un virus o di una minaccia informatica, essi vengono visualizzati in questa schermata. La schermata Virus rilevati sui desktop/server contiene le seguenti informazioni: Data/Ora: data e ora dell'ultimo tentativo non riuscito di disinfettare o rimuovere il virus o la minaccia informatica. Nome computer: Nome del computer infettato con il virus o la minaccia informatica. Nome virus/minaccia informatica: Fare clic sul collegamento per visitare l'enciclopedia di virus di Trend Micro, che offre descrizioni approfondite dei virus e delle minacce informatiche, comprese le istruzioni per rimuovere manualmente gli attacchi della minaccia selezionata. Nome file: Nome del file infetto dal virus o dalla minaccia informatica. Percorso: la posizione del file. Tipo di scansione: Tipo di scansione utilizzata per rilevare il virus o la minaccia informatica. Operazione eseguita: risultati dell'azione intrapresa come risposta al virus o alla minaccia informatica rilevata. 8-12

91 Gestione delle scansioni Incidenti che richiedono il riavvio del computer Percorso di navigazione: Stato in tempo reale > Stato della minaccia > Anti-spyware > Incidenti che richiedono il riavvio del computer Client/Server Security Agent ha rilevato spyware o grayware su questi computer e ha eseguito l'azione necessaria per rimuovere il programma spyware/grayware. Per rimuovere completamente alcuni programmi spyware/grayware, è necessario riavviare il computer. Sono disponibili i comandi riportati di seguito. Esporta: Consente di esportare gli elementi della tabella in un file CSV. Reimposta: Ripristina la tabella Richiesto riavvio del computer per disinfezione spyware/grayware. Vengono ripristinate anche le informazioni della schermata Stato in tempo reale. Questa contiene le informazioni descritte di seguito. Data/Ora: indica il momento in cui Client/Server Security Agent ha eseguito il caricamento delle informazioni sul rilevamento dello spyware su Security Server. Nome computer: Nome del computer che deve essere riavviato. Nome spyware/grayware: Nome del programma spyware/grayware. Se si fa clic sul nome del programma spyware/grayware, viene aperta una nuova finestra del browser con l'enciclopedia dei virus e dello spyware di Trend Micro. Tipo di scansione: Tipo di scansione che ha rilevato il programma spyware/grayware. 8-13

92 Gestione delle scansioni 8-14

93 Capitolo 9 Utilizzo della difesa dalle infezioni In questo capitolo viene illustrata la strategia di difesa dalle infezioni e descritti i metodi di configurazione dello strumento Difesa dalle infezioni e il relativo utilizzo, al fine di proteggere le reti e i client. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Strategia di difesa dalle infezioni a pagina 9-2 Dettagli della difesa dalle infezioni a pagina 9-3 Impostazioni di Avviso di infezione a pagina

94 Utilizzo della difesa dalle infezioni Strategia di difesa dalle infezioni La difesa dalle infezioni è un componente chiave della soluzione WFBS-SVC in grado di protegge le aziende durante un'infezione causata da una minaccia di portata internazionale. La strategia di difesa dalle infezioni si basa sull'idea che le infezioni presentino un ciclo di vita. Il ciclo di vita di un'infezione si divide in tre fasi: prevenzione delle minacce, protezione dalle minacce e disinfezione delle minacce. Trend Micro contrasta ciascuna fase del ciclo con una strategia di difesa. TABELLA 9-1. Risposta di difesa dalle infezioni alle fasi del ciclo di vita delle infezioni. Fase dell'infezione Durante la prima fase di un ciclo di infezione, gli esperti antivirus di Trend Micro mettono sotto osservazione una minaccia informatica che sta attivamente circolando su Internet. In questa fase non è disponibile alcuna soluzione nota contro la minaccia. Nella seconda fase dell'infezione, i computer che sono stati colpiti dalla minaccia informatica trasmettono la minaccia ad altri computer. La minaccia comincia rapidamente a diffondersi attraverso le reti locali, causando interruzioni dell'attività e danneggiando i computer. Nella terza e ultima fase di un'infezione, la minaccia perde progressivamente di intensità, facendo registrare sempre meno incidenti. Fase di difesa dalle infezioni Prevenzione delle minacce La difesa dalle infezioni impedisce alla minaccia di attaccare i computer e la rete eseguendo le operazioni indicate nei criteri per infezioni scaricati dai server di aggiornamento di Trend Micro. Tali azioni comprendono l'invio di avvisi, il blocco delle porte e la negazione dell'accesso a cartelle e file. Protezione dalle minacce La difesa dalle infezioni protegge i computer a rischio indicando loro di scaricare i componenti e le patch più recenti. Disinfezione delle minacce La difesa dalle infezioni ripara i danni eseguendo Cleanup Services. Le altre scansioni forniscono informazioni utilizzabili dagli amministratori per prevenire minacce future. Operazioni di difesa dalle infezioni La strategia di difesa dalle infezioni è stata progettata per gestire le infezioni durante tutte le fasi del loro ciclo vitale. In base ai criteri di difesa dalle infezioni, la risposta automatica alla minaccia in genere prende misure preventive come quelle descritte di seguito. Blocco delle cartelle condivise per impedire a virus/minacce informatiche di infettare i file in esse contenuti. Blocco delle porte per impedire a virus/minacce informatiche di utilizzare le porte vulnerabili e di diffondere l'infezione sulla rete e sui client. Nota: la difesa dalle infezioni non blocca in alcun caso la porta utilizzata dal server WFBS-SVC per comunicare con i client. Divieto di accesso in scrittura a file e cartelle per impedire a virus/minacce informatiche di modificare i file. Valutazione dei client della rete per quanto riguarda le vulnerabilità che li rendono esposti alle infezioni. Implementazione dei componenti più aggiornati, come il file di pattern antivirus e il Virus Cleanup Engine. Esecuzione della disinfezione su tutti i client colpiti dalle infezioni. Se attivata, scansione dei client e delle reti ed esecuzione di operazioni per combattere le minacce rilevate. 9-2

95 Utilizzo della difesa dalle infezioni Dettagli della difesa dalle infezioni Percorso di navigazione: Stato in tempo reale > Stato della minaccia > Difesa dalle infezioni > Ulteriori info... In questa pagine vengono mostrate le informazioni complete su tutte le infezioni in corso. Dettagli sulla difesa automatica dall'infezione La sezione Dettagli sulla difesa automatica dell'infezione mostra informazioni su virus/minacce informatiche in circolazione su Internet e che potrebbero compromettere la rete e i client. In base alle informazioni sulle minacce, i criteri di difesa dalle infezioni intervengono per proteggere la rete e i client mentre Trend Micro sviluppa una soluzione (vedere Criteri di prevenzione delle infezioni di Trend Micro a pagina B-2). Questa sezione contiene le informazioni seguenti: Tipo di allarme: di colore rosso o giallo. Livello di rischio: il livello di rischio rappresentato dalla minaccia per i client e le reti in base al numero e alla severità degli incidenti dovuti a virus e a minacce informatiche. Metodo di consegna: modalità in cui viene diffusa la minaccia. Risposta automatica: fare clic per attivare/disattivare la risposta automatica. Dettagli risposta automatica: fare clic su Ulteriori info per visualizzare le azioni specifiche utilizzate dalla difesa dalle infezioni per proteggere i client dalla minaccia attuale. Stato dei desktop/server compresi nell'implementazione della difesa dalle infezioni In questa sezione viene mostrato il numero totale rispetto al numero di cliente per cui è attivato o non attivato l'avviso automatico. Fare clic sul collegamento al numero nelle colonne Attivato e Non attivato per visualizzare ulteriori informazioni su determinati computer client. Computer vulnerabili La sezione Computer vulnerabili mostra un elenco di client con vulnerabilità. Un computer vulnerabile presenta punti deboli nel proprio sistema operativo o nelle applicazioni. Molte minacce sfruttano queste vulnerabilità per causare danni o acquisire un controllo non autorizzato. Di conseguenza, le vulnerabilità rappresentano un rischio non solo per i singoli computer in cui si trovano, ma anche per gli altri computer della rete. Ricerca vulnerabilità ora Quando si fa clic su Ricerca vulnerabilità ora viene inviata a tutti i moduli Security Agent la notifica di eseguire una scansione delle vulnerabilità sui client. Dopo aver fatto clic su Ricerca vulnerabilità ora, viene visualizzata temporaneamente la schermata Avanzamento notifica scansione che mostra lo stato della notifica; la schermata viene poi sostituita dalla schermata Risultati di notifica scansione. Nella schermata Risultati di notifica scansione viene indicato se il server WFBS-SVC ha notificato correttamente un client. Eventuali notifiche non completate possono verificarsi se un client si trova non in linea o in presenza di interruzioni della rete. 9-3

96 Utilizzo della difesa dalle infezioni Impostazioni di Avviso di infezione Percorso di navigazione: Stato in tempo reale > Difesa dalle infezioni > Ulteriori info... > Impostazioni di Avviso di infezione Fare clic su questa opzione per visualizzare la pagina Amministrazione > Impostazioni globali, in cui è possibile attivare/disattivare gli avvisi di colore rosso e giallo emessi da Trend Micro. Allarmi rossi Diverse segnalazioni di infezione da ciascuna unità aziendale descrivono la rapida diffusione di una minaccia nascosta che rende necessario applicare patch a gateway e server di posta. Viene avviato il processo di soluzione Allarme rosso, il primo nel settore con tempi di esecuzione di soli 45 minuti. Una release pattern ufficiale (OPR) viene distribuita con notifica della disponibilità, vengono inviate tutte le altre notifiche rilevanti e nelle pagine dedicate allo scaricamento vengono pubblicati gli strumenti di disinfezione e le informazioni sulle vulnerabilità. Allarmi gialli Le segnalazioni sulle infezioni vengono ricevute da più unità aziendali e da chiamate all'assistenza che confermano le istanze diffuse. I server per distribuzione ricevono automaticamente un OPR (Official Pattern Release) e lo rendono disponibile per lo scaricamento. Nel caso di diffusione di minacce informatiche tramite , vengono distribuite automaticamente delle regole per il filtro dei contenuti chiamate criteri di prevenzione delle infezioni (OPP, Outbreak Prevention Policies); la loro funzione consiste nel bloccare gli allegati dei messaggi sui server che dispongono di tale funzionalità. 9-4

97 Capitolo 10 Gestione delle notifiche Questo capitolo descrive l'utilizzo delle varie opzioni di notifica. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Informazioni sulle notifiche a pagina 10-2 Configurazione delle soglie di allarme a pagina 10-3 Personalizzazione degli avvisi di notifica a pagina 10-4 Configurazione delle impostazioni di notifica a pagina

98 Gestione delle notifiche Informazioni sulle notifiche Per ridurre al minimo il tempo che gli amministratori dedicano al monitoraggio di WFBS-SVC e per garantire loro la ricezione di un preavviso riguardo alle situazioni di infezione incombente, impostare il server WFBS-SVC per l'invio di notifiche ogni volta che si verificano eventi anomali sulla rete. Le condizioni definite per le notifiche influiscono inoltre sulle soglie di allarme della schermata Stato in tempo reale (vedere Configurazione delle soglie di allarme a pagina 3). Le condizioni attivano il cambiamento dell'icona di stato da Normale ad Avviso o a Operazione richiesta. Per impostazione predefinita, tutti gli eventi elencati nella schermata delle notifiche sono selezionati e attivano l'invio da parte del server WFBS-SVC di una notifica all'amministratore del sistema. Eventi di minacce Difesa dalle infezioni: un avviso è stato annunciato da TrendLabs o sono state rilevate vulnerabilità molto gravi. Antivirus: i virus o le minacce informatiche rilevati su client superano un determinato numero, le azioni intraprese contro i virus o le minacce sono risultate inefficaci, la scansione in tempo reale è disattivata sui client. Anti-spyware: spyware/grayware rilevato sui client, compresi quelli che hanno imposto il riavvio del client infetto per rimuovere completamente la minaccia spyware/grayware. È inoltre possibile configurare la soglia di notifica relativa a spyware/grayware, ovvero il numero di incidenti spyware/grayware rilevati nel periodo di tempo specificato (un'ora per impostazione predefinita). Web Reputation: Il numero delle violazioni URL supera il numero configurato nell'arco di un certo periodo. Monitoraggio comportamento: Il numero delle violazioni dei criteri supera il numero configurato nell'arco di un certo periodo. Virus di rete: I virus di rete rilevati superano un certo numero. Eventi di sistema Smart Scan: i client configurati per Smart Scan non possono collegarsi al server Smart Scan oppure il server non è disponibile. Aggiornamento componenti: L'ultimo aggiornamento dei componenti ha superato un certo numero di giorni o i componenti aggiornati non sono stati distribuiti agli Agent in maniera sufficientemente rapida. Eventi della licenza La licenza scadrà in meno di 60 giorni (licenza completa) La licenza scadrà in meno di 14 giorni (licenza di prova) Licenza scaduta Uso di licenza postazione superiore all'80% Uso di licenza postazione superiore all'100% 10-2

99 Gestione delle notifiche Configurazione delle soglie di allarme Percorso di navigazione: Amministrazione > Notifiche > Eventi Le soglie di allarme influiscono sia sugli avvisi della Schermata in tempo reale, sia sulle di avviso. FIGURA Schermata Eventi di notifica Per configurare gli eventi di notifica: 1. Nella scheda Eventi della schermata Amministrazione, aggiornare le seguenti impostazioni in base alle necessità (fare clic su per espandere ciascun evento). selezionare gli eventi per cui si desidera ricevere notifiche. In alternativa, selezionare le caselle di controllo corrispondenti ai singoli eventi. Soglia di allarme: configurare il numero di incidenti per ciascun periodo di tempo, raggiunto il quale viene attivato un allarme. 2. Fare clic su Salva. 10-3

100 Gestione delle notifiche Personalizzazione degli avvisi di notifica Percorso di navigazione: Amministrazione > Notifiche > Eventi > {collegamento alla notifica} È possibile personalizzare la riga dell'oggetto e il corpo del messaggio per ciascuna notifica. FIGURA (Allarme rosso) Schermata Contenuto della notifica Per personalizzare il contenuto di una notifica: ATTENZIONE! Non modificare le informazioni racchiuse tra parentesi quadre. 1. Fare clic sull'evento da personalizzare. 2. Apportare le modifiche desiderate. 3. Fare clic su Salva. Configurazione delle impostazioni di notifica Percorso di navigazione: Amministrazione > Notifiche > Destinatari FIGURA Schermata Notifiche Le impostazioni di notifica prevedono unicamente l'impostazione dei campi A. Separare gli indirizzi inseriti nel campo A con un punto e virgola. 10-4

101 Capitolo 11 Configurazione delle impostazioni globali La console Web consente di configurare le impostazioni globali del server WFBS-SVC e dei desktop e server protetti da Client/Server Security Agent. 11-1

102 Configurazione delle impostazioni globali Impostazioni globali Percorso di navigazione: Amministrazione > Impostazioni globali In questa schermata è possibile configurare le impostazioni globali di WFBS-SVC. Le impostazioni dei gruppi individuali hanno la precedenza su queste impostazioni. Se non è stata configurata un'opzione particolare per un gruppo, vengono utilizzate le impostazioni globali. Ad esempio, se non è stato approvato alcun URL per un gruppo particolare, potranno essere applicati al gruppo tutti gli URL approvati presenti in questa schermata. FIGURA Scheda Desktop/Server della schermata Impostazioni globali Per configurare le impostazioni globali: 1. Dalla schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità. Prevenzione delle infezioni a pagina 11-3 Impostazioni generali di scansione a pagina 11-3 Impostazioni di scansione virus a pagina 11-3 Impostazioni di scansione spyware/grayware a pagina 11-3 URL approvati a pagina 11-4 Controllo del comportamento a pagina 11-4 Filtro contenuti IM a pagina

103 Configurazione delle impostazioni globali Impostazioni avvisi a pagina 11-4 Impostazioni Watchdog a pagina Fare clic su Salva. Prevenzione delle infezioni Sebbene possano essere disattivate, si consiglia di lasciare sempre attivate queste impostazioni in modo da usufruire della prevenzione delle infezioni. Attiva gli allarmi rossi inviati da Trend Micro Attiva gli allarmi gialli inviati da Trend Micro Impostazioni generali di scansione Dalla schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità. Escludi le cartelle del server Microsoft Exchange in caso di installazione su server Microsoft Exchange: Impedisce agli Agent installati sul server Microsoft Exchange di sottoporre a scansione le cartelle Microsoft Exchange. Escludi cartelle Microsoft Domain Controller (non applicabile a scansioni spyware/grayware Manuale e Pianificata): Impedisce agli Agent installati sul Domain Controller di sottoporre a scansione le cartelle Domain Controller. Queste cartelle memorizzano le informazioni dell'utente, i nomi utente, le password e altre informazioni. Escludi sezioni Shadow Copy: Shadow Copy o Volume Snapshot Service effettuano copie manuali o automatiche di backup o istantanee di un file o una cartella su un volume specifico. Impostazioni di scansione virus Dalla schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità. Configura le impostazioni di scansione per file compressi di grandi dimensioni: Specificare le dimensioni massime del file estratto e il numero di file nel file compresso che il modulo Agent dovrebbe sottoporre a scansione. Disinfetta file compressi: Gli Agent cercano di disinfettare i file infetti all'interno di un file compresso. Esegui scansione dei livelli OLE di file compressi: I moduli Agent sottopongono a scansione il numero specificato di livelli Object Linking and Embedding (OLE). La funzione OLE consente agli utenti di creare oggetti mediante un'applicazione e di collegarli o incorporarli in un'altra applicazione. Ad esempio, un file.xls incorporato in un file.doc. Aggiungi scansione manuale al menu dei collegamenti di Windows nei client: Aggiunge una scansione con il collegamento di Client/Server Security Agent al menu sensibile al contesto. Con questa opzione, gli utenti possono fare clic su un file o una cartella (sul desktop o in Esplora risorse di Windows) ed eseguire la scansione manuale di file o cartelle. Impostazioni di scansione spyware/grayware Dalla schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità. Esegui scansione cookie: gli agenti analizzano e rimuovono i cookie scaricati nei client durante la consultazione dei siti Web. I cookie rilevati vengono aggiunti al conteggio di spyware/grayware nella pagina Stato in tempo reale. Aggiungi rilevamenti cookie al registro spyware: Aggiunge ogni cookie dello spyware individuato nel registro spyware. 11-3

104 Configurazione delle impostazioni globali URL approvati Gli URL approvati hanno la precedenza sulle impostazioni di Reputazione Web. Vedere Reputazione Web a pagina 7-9. Dalla schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità. Attiva registri sull'uso di Client/Server Security Agent: gli agenti inviano informazioni dettagliate sugli URL visitati al server WFBS-SVC. URL da approvare: separare gli URL con il punto e virgola (;). Fare clic su Aggiungi. Nota: l'approvazione di un URL comporta l'approvazione di tutti i sottodomini corrispondenti. URL approvati: Gli URL contenuti in questo elenco non vengono bloccati. Per eliminare una voce, fare clic sull'icona del cestino corrispondente. Controllo del comportamento Il monitoraggio del comportamento protegge i client da modifiche non autorizzate al sistema operativo, alle voci di registro, ad altri programmi, file e cartelle. Attiva messaggi di attenzione per modifiche a basso rischio o il monitoraggio delle operazioni: gli agenti avvertono gli utenti delle modifiche a basso rischio o delle operazioni monitorate. Disattivare l'esecuzione automatica durante il plug-in dei dispositivi USB. Filtro contenuti IM Gli amministratori possono limitare l'utilizzo di determinate parole o frasi nelle applicazioni di messaggistica istantanea. I moduli Agent possono limitare le parole utilizzabili nelle seguenti applicazioni di messaggistica istantanea: America Online Instant Messenger (AIM) 6 (non sono supportate le build rilasciate dopo il marzo 2008) ICQ 6 (non sono supportate le build rilasciate dopo il marzo 2008) MSN Messenger 7.5, 8.1 Windows Messenger Live 8.1, 8.5 Yahoo! Messenger 8.1 Nella scheda Desktop/Server della schermata Impostazioni globali, utilizzare i seguenti campi in base alle descrizioni. Parole vietate: utilizzare questo campo per aggiungere parole o frasi vietate. È possibile inserire un massimo di 31 parole o frasi. La lunghezza massima di ogni parola o frase è di 35 caratteri (17 per i caratteri cinesi). Digitare una o più voci separate da punto e virgola (;), quindi fare clic su Aggiungi >. Elenco Parole/Frasi vietate: Le parole e le frasi riportate in questo elenco non possono essere utilizzate nelle conversazioni di messaggistica istantanea. Per eliminare una voce, fare clic sull'icona del cestino corrispondente. Impostazioni avvisi Dalla schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità. Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il file di pattern dei virus non è aggiornato da { } giorni: visualizza un'icona di avviso sui client quando il file di pattern non è aggiornato da un determinato numero di giorni. 11-4

105 Configurazione delle impostazioni globali Impostazioni Watchdog L'opzione Watchdog garantisce che Client/Server Security Agent fornisca una protezione costante ai client. Quando attivato, il servizio Watchdog controlla la disponibilità dell'agent ogni x minuti. Se l'agente non è disponibile, Watchdog tenta di riavviarlo. Suggerimento: Per garantire che Client/Server Security Agent protegga i computer client, Trend Micro consiglia di attivare il servizio Watchdog. Se Client/Server Security Agent si chiude inaspettatamente (cosa che può accadere se il client viene attaccato da un hacker), il servizio Watchdog riavvia Client/Server Security Agent. Nella scheda Desktop/Server della schermata Impostazioni globali, aggiornare i seguenti campi in base alle necessità: Attiva il servizio Watchdog dell'agent. Controlla stato client ogni {} minuti: determina la frequenza con cui il servizio Watchdog controlla lo stato del client. Se non è possibile avviare il client, ritentare { } volte: Stabilisce quante volte il servizio Watchdog deve tentare di riavviare Client/Server Security Agent. 11-5

106 Configurazione delle impostazioni globali 11-6

107 Capitolo 12 Gestione degli aggiornamenti In questo capitolo viene illustrato come utilizzare e configurare gli aggiornamenti manuali e pianificati. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Informazioni sugli aggiornamenti a pagina 12-2 Informazioni su ActiveUpdate a pagina 12-2 Componenti da aggiornare a pagina 12-3 Aggiornamenti manuali a pagina

108 Gestione degli aggiornamenti Informazioni sugli aggiornamenti WFBS-SVC facilita l'aggiornamento ai componenti più recenti mediante la ricezione automatica dei componenti aggiornati sull'agente attivo dal server Active Update di Trend Micro. Quindi, tutti gli agenti inattivi ricevono gli aggiornamenti dall'agente attivo. Per impostazione predefinita, le gli agenti vengono aggiornati ogni due ore. Gli agenti non connessi alla LAN ricevono aggiornamenti dal server Active Update di Trend Micro e non dall'agente attivo. Le impostazioni consigliate da Trend Micro per l'aggiornamento dei componenti forniscono una protezione sufficiente per aziende di piccole e medie dimensioni. Se necessario, è possibile eseguire manualmente gli aggiornamenti in qualsiasi momento per tutti i computer di un gruppo, facendo clic su Computer > {gruppo} > Altri > Aggiorna ora. Agenti inattivi Tutti gli agenti Worry-Free Business Security Services che non hanno il ruolo di Active Agent sono detti agenti inattivi. Gli agenti inattivi ricevono gli aggiornamenti dall'agente attivo. Active Agent Active Agent opera come punto di contatto tra il server WFBS-SVC e tutti gli agenti WFBS-SVC aziendali. Ha la responsabilità di: Comunicare con il server WFBS-SVC. Distribuire gli aggiornamenti e i file di pattern ad altri client. Active Agent controlla periodicamente il server Trend Micro ActiveUpdate (TMAU) alla ricerca di aggiornamenti per i componenti e i file di pattern. Qualora vi siano aggiornamenti, Active Agent li scarica e li notifica agli agenti inattivi. Agli agenti inattivi viene allocato in modo casuale un tempo compreso tra 0 secondi e 15 minuti, entro il quale dovrà essere scaricato l'aggiornamento da Active Agent. Ciò evita un eccessivo utilizzo delle risorse di sistema dell'active Agent. Mediante l'algoritmo di elezione per l'agente attivo, gli agenti WFBS-SVC di un'azienda ne designano "uno" per il ruolo di Active Agent. Se il computer che ospita l'active Agent non dovesse risultare disponibile, tutti gli altri agenti designano immediatamente un nuovo Active Agent. Informazioni su ActiveUpdate ActiveUpdate è una funzione condivisa da molti prodotti Trend Micro. Collegandosi al sito Web degli aggiornamenti di Trend Micro, ActiveUpdate consente di scaricare via Internet le versioni più recenti dei file di pattern antivirus, dei motori di scansione e dei file di programma. ActiveUpdate non interrompe i servizi di rete e non richiede il riavvio dei client. Un solo agente, l'active Agent, in una rete riceve gli aggiornamenti dal server ActiveUpdate. Tutti gli altri agenti (ovvero gli agenti inattivi) nella rete ricevono gli aggiornamenti dall'active Agent. Aggiornamenti incrementali dei file di pattern ActiveUpdate supporta gli aggiornamenti incrementali dei file di pattern. Piuttosto che scaricare l'intero file di pattern ogni volta, ActiveUpdate è in grado di scaricare solo la porzione nuova del file e di aggiungerla al file di pattern esistente. Questo efficace metodo di aggiornamento riduce in maniera significativa la larghezza di banda necessaria per l'aggiornamento del software antivirus. 12-2

109 Gestione degli aggiornamenti Componenti da aggiornare Per garantire la protezione dei client dalle ultime minacce, assicurarsi che i Client/Server Security Agent siano aggiornati con i componenti più recenti. I componenti di WFBS-SVC vengono aggiornati automaticamente o manualmente. Vedere Aggiornamenti manuali a pagina TABELLA Componenti da aggiornare COMPONENTE Antivirus Anti-spyware Reputazione Web Comportamento Monitoraggio Difesa dalle infezioni Virus di rete COMPONENTE SECONDARIO Pattern antivirus Motore di scansione virus a 32 bit Motore di scansione virus a 64 bit Modello disinfezione virus Motore disinfezione virus a 32 bit Motore disinfezione virus a 64 bit Pattern eccezioni IntelliTrap Pattern IntelliTrap Motore commenti a 32 bit Motore commenti a 64 bit Pattern Smart Scan Pattern Smart Scan Agent Motore di scansione spyware a 32 bit Motore di scansione spyware a 64 bit Pattern spyware Schema di monitoraggio attivo dello spyware Motore filtro URL a 32 bit Motore filtro URL a 64 bit Driver di monitoraggio del comportamento Servizio principale monitoraggio del comportamento Pattern implementazione dei criteri Pattern firma digitale Pattern configurazione monitoraggio del comportamento Pattern rilevamento monitoraggio del comportamento Pattern vulnerabilità Pattern comune per firewall Motore firewall comune a 32 bit Motore firewall comune a 64 bit Driver TDI a 32 bit Driver TDI a 64 bit Driver WFP a 32 bit Driver WFP a 64 bit Per informazioni dettagliate su ogni componente, vedere Componenti di a pagina

110 Gestione degli aggiornamenti Orari di aggiornamento predefiniti Per impostazione predefinita, l'active Agent in una rete scarica i componenti, se necessario, dal server ActiveUpdate di Trend Micro nei seguenti casi: Quando si installa il prodotto per la prima volta, tutti i componenti per gli agenti vengono immediatamente aggiornati. Client/Server Security Agent esegue un aggiornamento pianificato ogni 2 ore. Le impostazioni consigliate da Trend Micro per l'aggiornamento dei componenti forniscono una protezione sufficiente per aziende di piccole e medie dimensioni. Se necessario, è possibile eseguire gli aggiornamenti manuali o modificare gli aggiornamenti pianificati. Generalmente Trend Micro aggiorna il motore di scansione o il programma solo in occasione dell'uscita di una nuova versione di WFBS-SVC. Tuttavia, Trend Micro pubblica i nuovi file di pattern con frequenza regolare. Aggiornamenti manuali Percorso di navigazione: Computer > {gruppo} > Altri > Aggiorna ora L'agente impostato come Active Agent verifica i comandi inviati da WFBS-SVC. Se essi includono il comando Aggiorna ora, l'active Agent scarica l'aggiornamento dal server Active Update di Trend Micro, quindi invia una notifica di aggiornamento agli agenti inattivi. 12-4

111 Capitolo 13 Utilizzo dei registri e delle segnalazioni In questo capitolo viene descritto come utilizzare i registri e le segnalazioni per monitorare il sistema e analizzare la protezione. Di seguito è riportato un elenco degli argomenti trattati nel capitolo. Segnalazioni a pagina 13-2 Creazione di segnalazioni a pagina 13-2 Modifica delle segnalazioni a pagina 13-3 Interpretazione delle segnalazioni a pagina 13-4 Eliminazione delle segnalazioni a pagina 13-5 Registri a pagina 13-5 Utilizzo delle query del registro a pagina

112 Utilizzo dei registri e delle segnalazioni Segnalazioni Worry-Free Business Security Services consente di creare e visualizzare segnalazioni che contengono informazioni dettagliate sulle minacce rilevate. Inoltre le segnalazioni comprendono una classificazione che aiuta a identificare i computer più vulnerabili. WFBS-SVC genera segnalazioni in formato PDF. È possibile generare una query del registro mediante la schermata Rapporti. Le query del registro visualizzano informazioni su virus/minacce, spyware/grayware o URL dannosi rilevati sulla rete in uno specifico momento. Le query forniscono anche informazioni dettagliate sui nomi dei computer, delle minacce e dei file coinvolti. Inoltre elencano il tipo di scansione e l'operazione intrapresa contro la specifica minaccia. Nella schermata Rapporti, è possibile: Creare un nuovo rapporto Eliminare un rapporto esistente Generare una query del registro È possibile creare rapporti per uno specifico intervallo di tempo o fuso orario a seconda delle necessità dell'utente. Il rapporto contiene le informazioni seguenti: Ora, data e fuso orario di generazione del rapporto. Riepilogo virus/minaccia informatica. Descrive le informazioni relative alle attività, al numero degli incidenti e alla percentuale di virus/minacce informatiche. Realizza una classificazione di virus/minacce informatiche basata sul numero di incidenti e sulla percentuale. Inoltre visualizza una rappresentazione grafica delle attività. Creazione di segnalazioni Percorso di navigazione: Segnalazioni > Nuova Le segnalazioni singole forniscono un unico riepilogo. Le segnalazioni pianificate forniscono un riepilogo a cadenza regolare. FIGURA Schermata Rapporti Per creare o pianificare una segnalazione: 1. Nella schermata Segnalazioni, fare clic su Nuova. 2. Aggiornare le informazioni riportate di seguito, in base alle necessità: Nome segnalazione Pianificazione: Applicabile solo per le segnalazioni pianificate. Singola: crea la segnalazione una sola volta. 13-2

113 Utilizzo dei registri e delle segnalazioni Frequenza settimanale, ogni: la segnalazione viene generata una volta a settimana nel giorno e nell'ora specificati. Frequenza mensile, nel giorno: la segnalazione viene generata una volta al mese nel giorno e nell'ora specificati. Se si seleziona il giorno 31, per un mese di 30 giorni, WFBS-SVC non genera alcuna segnalazione per il mese indicato. Genera segnalazione alle: L'orario in cui WFBS-SVC dovrebbe generare la segnalazione. Invia segnalazione a: WFBS-SVC invia la segnalazione generata ai destinatari specificati. Separare più voci con punto e virgola (;). 3. Fare clic su Genera. Visualizzare la segnalazione dalla schermata Segnalazioni, facendo clic su PDF o sul numero di segnalazioni generate nella colonna Cronologia segnalazioni. Se si fa clic su un numero, viene visualizzata una schermata secondarie in cui è possibile visualizzare una segnalazione specifica. Per eliminare una segnalazione, dalla schermata Segnalazioni singole o Segnalazioni pianificate, selezionare la casella di controllo corrispondente alla segnalazione e fare clic su Elimina. Per modificare una segnalazione pianificata, fare clic sul nome della segnalazione nella schermata Segnalazioni e apportare le modifiche desiderate alle opzioni. FIGURA Segnalazione esemplificativa con riepilogo spyware/grayware Modifica delle segnalazioni Percorso di navigazione: Segnalazioni > {nome segnalazione} È possibile modificare le segnalazioni facendo clic sul nome della segnalazione nella schermata Segnalazioni. Per modificare una segnalazione: 1. Dalla schermata Segnalazioni, fare clic sul nome della segnalazione. 2. Aggiornare le informazioni riportate di seguito, in base alle necessità: Nome segnalazione Pianificazione: Applicabile solo per le segnalazioni pianificate. Singola: crea la segnalazione una sola volta. Frequenza settimanale, ogni: la segnalazione viene generata una volta a settimana nel giorno e nell'ora specificati. 13-3

114 Utilizzo dei registri e delle segnalazioni Frequenza mensile, nel giorno: la segnalazione viene generata una volta al mese nel giorno e nell'ora specificati. Se si seleziona il giorno 31, per un mese di 30 giorni, WFBS-SVC non genera alcuna segnalazione per il mese indicato. Genera segnalazione alle: L'orario in cui WFBS-SVC dovrebbe generare la segnalazione. Invia segnalazione a: WFBS-SVC invia la segnalazione generata ai destinatari specificati. Separare più voci con punto e virgola (;). 3. Fare clic su Salva. Per modificare una segnalazione pianificata, fare clic sul nome della segnalazione nella schermata Segnalazioni e apportare le modifiche desiderate alle opzioni. Interpretazione delle segnalazioni Le segnalazioni di WFBS-SVC contengono le informazioni seguenti. TABELLA Contenuti di una segnalazione VOCE DI SEGNALAZIONE Antivirus Anti-spyware Antivirus Virus di rete Anti-spyware DESCRIZIONE Riepilogo sui virus desktop/server Le segnalazioni sui virus mostrano informazioni dettagliate sui numeri e sui tipi di virus/minacce informatiche rilevati dal motore di scansione e sulle azioni intraprese per eliminarli. La segnalazione elenca anche i nomi dei virus e delle minacce informatiche principali. Fare clic sui nomi dei virus o delle minacce informatiche per aprire una nuova pagina del browser Web e visitare l'enciclopedia dei virus di Trend Micro, contenente ulteriori informazioni su tali virus e minacce. Riepilogo spyware/grayware per PC desktop/server La segnalazione su spyware/grayware riporta informazioni dettagliate sulle minacce spyware/grayware rilevate su client, compreso il numero di rilevamenti e di azioni intraprese da WFBS-SVC per contrastarle. La segnalazione contiene anche un grafico a torta che mostra la percentuale di ogni azione anti-spyware messa in atto. Primi 5 desktop/server con rilevamenti di virus Mostra i primi cinque computer desktop o server su cui sono stati rilevati dei virus e delle minacce informatiche. Il rilevamento di incidenti virali e di minacce informatiche frequenti sullo stesso client potrebbe indicare che tale client rappresenta un elevato rischio per la sicurezza e che potrebbe essere necessario effettuare ulteriori indagini. Primi 10 virus di rete rilevati Mostra i dieci virus di rete rilevati con maggiore frequenza dal driver di firewall comune. Fare clic sui nomi dei virus per aprire una nuova pagina del browser Web e visitare l'enciclopedia dei virus di Trend Micro, contenente ulteriori informazioni su tali virus. Primi 10 computer attaccati Elenca i computer della rete per i quali è stato rilevato il più elevato numero di incidenti virali. Primi 5 desktop/server con rilevamenti di spyware/grayware La segnalazione riporta anche le prime cinque minacce spyware/grayware individuate e i cinque desktop/server con il numero più elevato di spyware/grayware. Per ulteriori informazioni sulle minacce spyware/grayware individuate, fare clic sui nomi di spyware/grayware presenti. Si apre una nuova pagina del browser che visualizza le informazioni relative allo spyware/grayware fornite dal sito Web di Trend Micro. 13-4

115 Utilizzo dei registri e delle segnalazioni TABELLA Contenuti di una segnalazione VOCE DI SEGNALAZIONE Reputazione Web Monitoraggio del comportamento DESCRIZIONE Primi 10 computer che violano i criteri di protezione dalle minacce Web Elenco dei primi 10 client che hanno violato i criteri di Protezione dalle minacce Web. Primi 5 programmi che violano i criteri di controllo dei comportamenti Elenco dei primi cinque programmi che violano i criteri di Monitoraggio del comportamento. Primi 10 computer che violano i criteri di controllo dei comportamenti Elenca i primi dieci client che hanno violato i criteri di Monitoraggio del comportamento. Eliminazione delle segnalazioni Per eliminare un rapporto esistente: 1. Fare clic su Rapporti nella console Web. 2. Selezionare i rapporti che si desidera eliminare nella schermata Rapporti. 3. Fare clic su Elimina. ATTENZIONE! I rapporti eliminati non possono essere recuperati. Trend Micro consiglia di scaricare i rapporti prima di eliminarli. Registri WFBS-SVC mantiene aggiornati i registri su incidenti, eventi e aggiornamenti relativi a virus/minacce informatiche e spyware/grayware. Tali registri consentono di valutare le politiche di protezione della propria organizzazione e di identificare i client caratterizzati da un più elevato rischio di infezione. Utilizzare inoltre questi registri per verificare la corretta esecuzione della distribuzione degli aggiornamenti. Nota: per visualizzare i file di registro in formato CSV è possibile utilizzare applicazioni per foglio di calcolo. WFBS-SVC conserva i registri nelle seguenti categorie: Registri eventi console di gestione Registri Desktop/Server 13-5

116 Utilizzo dei registri e delle segnalazioni TABELLA Tipo di registro e contenuto TIPO (EVENTO O ELEMENTO CHE HA GENERATO L'IMMISSIONE NEL REGISTRO) CONTENUTO (TIPO DI REGISTRO DA CUI OTTENERE CONTENUTO) Eventi console di gestione Desktop/Server Scansione manuale Eventi di difesa contro le infezioni Registri virus Scansione in tempo reale Scansione manuale Scansione pianificata Disinfezione Registri spyware/grayware Scansione in tempo reale Scansione manuale Scansione pianificata Registri reputazione Web Registri di monitoraggio del comportamento Registri di aggiornamento Registri dei virus di rete Registri di difesa dalle infezioni Registri eventi Utilizzo delle query del registro Percorso di navigazione: Segnalazioni > Query del registro È possibile eseguire query di registro per raccogliere informazioni dal database di registro. La schermata Query del registro consente di impostare ed eseguire le query. È possibile esportare i risultati in formato CSV o stamparli. FIGURA Schermata Query del registro predefinita 13-6

117 Utilizzo dei registri e delle segnalazioni Per visualizzare i registri: 1. Nella schermata Query del registro, aggiornare le seguenti opzioni, in base alle necessità: Intervallo di tempo Intervallo preconfigurato Intervallo specificato: Per limitare la query a determinate date. Tipo: vedere la Tabella 13-2 a pagina 13-6 per visualizzare il contenuto di ciascun tipo di registro. Eventi console di gestione Desktop/Server Contenuto: Scansione manuale Eventi di difesa contro le infezioni 2. Fare clic su Visualizza registri. Per salvare il registro come file di valori separati da virgole (CSV), fare clic su Esporta. Per visualizzare i file CSV è possibile utilizzare un'applicazione per foglio di calcolo. FIGURA Schermata Query del registro esemplificativa 13-7