Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

Transcript

1 Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

2 Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Il software descritto nel presente manuale viene fornito in conformità a un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Versione della documentazione: Note legali Copyright 2008 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton e TruScan sono marchi o marchi registrati di Symantec Corporation o delle relative consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi commerciali dei rispettivi proprietari. Questi prodotti Symantec possono contenere software di terze parti per cui Symantec deve riportare l'attribuzione a tali terze parti ("Programmi di terze parti"). Alcuni dei Programmi di terze parti sono disponibili con licenze Open Source o software gratuito. Il presente Contratto di licenza non altera in alcun modo i diritti e gli obblighi previsti da tali licenze Open Source o di software gratuito. Per ulteriori informazioni sui Programmi di terze parti, vedere l'appendice dedicata alle note legali per terze parti della presente documentazione oppure leggere il file Leggimi TPIP fornito insieme al presente prodotto Symantec. Il prodotto descritto nel presente documento è distribuito in base alle condizioni di una licenza che ne limita l'utilizzo, la copia, la distribuzione e la decompilazione/decodificazione. È vietato riprodurre qualsiasi parte di questo documento tramite qualsiasi mezzo senza previo consenso scritto di Symantec Corporation e dei suoi eventuali concessori di licenza. LA DOCUMENTAZIONE È FORNITA "TAL QUALE" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, ASSICURAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UN PARTICOLARE SCOPO E INVIOLABILITÀ, SONO ESCLUSE, SALVO PER LE CLAUSOLE VESSATORIE. SYMANTEC CORPORATION NON SARÀ RESPONSABILE PER ALCUN TIPO DI DANNO INCIDENTALE O CONSEQUENZIALE COLLEGATO ALLA CONSEGNA, ALLE PRESTAZIONI O ALL'UTILIZZO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NELLA PRESENTE DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO. Il software fornito in licenza e la documentazione sono da ritenersi un software commerciale per computer come definito in FAR e soggetti a diritti limitati, come definito nella sezione FAR "Commercial Computer Software - Restricted Rights" e DFARS , "Rights in Commercial Computer Software or Commercial Computer Software Documentation", ove applicabile, e ogni regolamentazione successiva. Ogni utilizzo, modifica, versione per la riproduzione, prestazione, visualizzazione o divulgazione del software fornito in licenza e della documentazione da parte del governo degli Stati Uniti dovranno essere conformi ai termini del presente accordo.

3 Symantec Corporation Stevens Creek Blvd. Cupertino, CA 95014, Stati Uniti d'america.

4

5 Sommario Sezione 1 Introduzione Capitolo 1 Presentazione del client Symantec Informazioni sul client Informazioni sui client gestiti e non gestiti Informazioni sull'icona dell'area di notifica Aggiornamento costante della protezione del computer Informazioni sul ruolo di Symantec Security Response Aggiornamento della protezione sui client gestiti Aggiornamento della protezione sui client non gestiti Informazioni sulle politiche di sicurezza Aggiornamento della politica di sicurezza Dove ottenere ulteriori informazioni Accesso alla Guida in linea Accesso al sito Web di Symantec Security Response Capitolo 2 Risposta al client Informazioni sull'interazione del client Interventi sui file infetti Informazioni sui danni causati dai virus Informazioni sulle notifiche e gli avvisi Risposta alle notifiche relative alle applicazioni Risposta agli avvisi di sicurezza Risposta alle notifiche di Network Access Control Capitolo 3 Gestione del client Informazioni su LiveUpdate Esecuzione di LiveUpdate a intervalli pianificati Esecuzione manuale di LiveUpdate Verifica della sicurezza del computer Informazioni sulle posizioni Modifica delle posizioni Informazioni sulla protezione contro le manomissioni... 35

6 6 Sommario Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Sezione 2 Symantec Endpoint Protection Capitolo 4 Introduzione a Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer Informazioni sulla protezione antivirus e antispyware Informazioni sulla protezione dalle minacce di rete Informazioni sulla protezione proattiva dalle minacce Capitolo 5 Capitolo 6 Principi fondamentali del client Symantec Endpoint Protection Informazioni sui virus e i rischi per la sicurezza Risposta del client a virus e rischi per la sicurezza Attivazione e disattivazione dei componenti di protezione Attivazione e disattivazione della protezione antivirus e antispyware Attivazione e disattivazione della protezione dalle minacce di rete Attivazione o disattivazione della protezione proattiva dalle minacce Utilizzo del client con Centro sicurezza PC Windows Pausa e posticipo delle scansioni Gestione della protezione antivirus e antispyware Informazioni sulla protezione antivirus e antispyware Informazioni sulla scansione dei file Rilevazione di un virus o un rischio per la sicurezza da parte del client di Symantec Endpoint Protection Informazioni su Auto-Protect Informazioni su Auto-Protect e i rischi per la sicurezza Informazioni su Auto-Protect e la scansione Disattivazione della gestione di connessioni crittografate da parte di Auto-Protect Visualizzazione delle statistiche di scansione di Auto-Protect Visualizzazione dell'elenco dei rischi... 64

7 Sommario 7 Configurazione di Auto-Protect per determinare i tipi di file Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza da parte di Auto-Protect Configurazione delle impostazioni di scansione della rete Utilizzo delle scansioni antivirus e antispyware Rilevazione di virus e rischi per la sicurezza da parte del client Symantec Endpoint Protection Informazioni sui file delle definizioni Informazioni sulla scansione di file compressi Avvio delle scansioni su richiesta Configurazione della scansione antivirus e antispyware Creazione di scansioni pianificate Creazione di scansioni su richiesta e all'avvio Modifica ed eliminazione delle scansioni all'avvio, definite dall utente e pianificate Interpretazione dei risultati della scansione Informazioni sull'interazione con i valori della scansione o i risultati di Auto-Protect Invio di informazioni sulle scansioni antivirus e antispyware a Symantec Security Response Configurazione delle azioni relative a virus e rischi per la sicurezza Suggerimenti sull'assegnazione delle azioni secondarie per i virus Suggerimenti sull'assegnazione delle azioni secondarie per i rischi per la sicurezza Informazioni sulla valutazione dell'impatto dei rischi Configurazione delle notifiche relative a virus e rischi per la sicurezza Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware Informazioni sulla quarantena Informazioni sui file infettati in quarantena Informazioni sulla gestione dei file infetti in quarantena Informazioni sulla gestione di file minacciati da rischi per la sicurezza Gestione della quarantena Visualizzazione dei file e dei relativi dettagli nella quarantena Ripetizione della scansione dei file in quarantena Quando un file riparato non può essere ripristinato nella posizione originale Cancellazione di elementi di backup... 96

8 8 Sommario Eliminazione di file dalla quarantena Eliminazione automatica di file dalla quarantena Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi Capitolo 7 Capitolo 8 Gestione della protezione proattiva contro le minacce Informazioni sulle scansioni proattive delle minacce TruScan Processi e applicazioni esaminati da Scansioni proattive delle minacce TruScan Informazioni sulle eccezioni per le scansioni proattive delle minacce TruScan Informazioni sulle rilevazioni della scansione proattiva delle minacce TruScan Informazioni su come comportarsi con i falsi positivi Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan Gestione delle rilevazioni proattive delle minacce TruScan Impostazione dell'azione per la rilevazione delle applicazioni commerciali Impostazione delle azioni e dei livelli di sensibilità per rilevare Trojan horse, worm e keylogger Configurazione dei tipi di processi rilevati dalle scansioni proattive delle minacce TruScan Configurazione delle notifiche per le rilevazioni tramite scansioni proattive delle minacce TruScan Invio delle informazioni sulle scansioni proattive delle minacce TruScan a Symantec Security Response Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce Modalità di protezione del client contro gli attacchi provenienti dalla rete Visualizzazione dell'attività di rete Configurazione del firewall Informazioni sulle regole firewall Aggiunta di regole Modifica dell'ordine delle regole

9 Sommario 9 Attivazione e disattivazione delle regole Esportazione e importazione di regole Modifica ed eliminazione di regole Attivazione delle impostazioni del traffico e dello stealth di esplorazione Web Attivazione dei filtri del traffico intelligenti Attivazione della condivisione di file e stampanti in rete Blocco del traffico Configurazione delle impostazioni di prevenzione delle intrusioni Configurazione delle notifiche di prevenzione delle intrusioni Blocco e sblocco di un computer autore dell'attacco Configurazione delle impostazioni specifiche dell'applicazione Rimozione delle limitazioni da un'applicazione Sezione 3 Symantec Network Access Control Capitolo 9 Principi fondamentali di Symantec Network Access Control Informazioni su Symantec Network Access Control Funzionamento di Symantec Network Access Control Informazioni sull'aggiornamento della politica di integrità dell'host Controllo di integrità dell'host Risoluzione dei problemi del computer Visualizzazione dei registri di Symantec Network Access Informazioni sui moduli di applicazione Enforcer Configurazione del client per l'autenticazione 802.1x Riautenticazione del computer Sezione 4 Monitoraggio e registrazione Capitolo 10 Utilizzo e gestione dei registri Informazioni sui registri Visualizzazione dei registri e dei dettagli del registro Filtro delle viste del registro Gestione della dimensione del registro Configurazione dei tempi di mantenimento delle voci dei registri di protezione antivirus e antispyware e di protezione proattiva dalle minacce

10 10 Sommario Configurazione della dimensione dei registri di protezione della rete dalle minacce e dei registri di gestione client Configurazione del tempo di mantenimento per le voci del registro di protezione della rete dalle minacce e le voci del registro di gestione client Informazioni sull'eliminazione del contenuto del registro sistema della protezione antivirus e antispyware Eliminazione del contenuto dei registri di protezione dalle minacce di rete e dei registri di gestione client Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client Aggiornamento dei registri di protezione dalle minacce di rete e dei registri di gestione client Attivazione del registro pacchetti Interruzione della risposta attiva Back trace degli eventi registrati all'origine Utilizzo dei registri di gestione dei client con Symantec Network Access Control Esportazione dei dati dei registri Indice

11 Sezione 1 Introduzione Presentazione del client Symantec Risposta al client Gestione del client

12 12

13 Capitolo 1 Presentazione del client Symantec Il capitolo contiene i seguenti argomenti: Informazioni sul client Aggiornamento costante della protezione del computer Informazioni sulle politiche di sicurezza Dove ottenere ulteriori informazioni Informazioni sul client Symantec produce due prodotti per la sicurezza endpoint che possono essere utilizzati insieme o separatamente: Symantec Endpoint Protection e Symantec Network Access Control. Nel computer in uso sono stati installati uno o entrambi i prodotti software client Symantec. Se il client è stato installato dall'amministratore, i prodotti da attivare sul client sono stati specificati dallo stesso. Nota: se è stato installato soltanto uno di questi prodotti sul computer, il nome di tale prodotto compare nella barra del titolo. Quando entrambi i tipi di protezione sono attivati, sulla barra del titolo compare Symantec Endpoint Protection. Symantec Endpoint Protection protegge il computer dalle minacce e dai rischi per la sicurezza di Internet. Può effettuare le seguenti azioni: Sottoporre a scansione il computer alla ricerca di virus, minacce note e rischi per la sicurezza.

14 14 Presentazione del client Symantec Informazioni sul client Monitorare le porte alla ricerca di firme di attacco note. Monitorare i programmi in esecuzione sul computer alla ricerca di comportamenti sospetti. Vedere "Informazioni su Symantec Endpoint Protection" a pagina 39. Symantec Network Access Control assicura che le impostazioni di sicurezza del computer siano conformi alle politiche di rete. Le impostazioni di sicurezza possono comprendere le impostazioni del software, della configurazione del software, dei file delle firme, delle patch o di altri elementi. Vedere "Informazioni su Symantec Network Access Control" a pagina 141. Informazioni sui client gestiti e non gestiti L'amministratore del prodotto Symantec può installare il client come client non gestito o come client gestito dall'amministratore. Per client non gestito si intende un client Symantec di cui l'amministratore non controlla le impostazioni e le azioni. Nei client non gestiti l'utente controlla tutte le impostazioni e le azioni. In un ambiente gestito, l'amministratore utilizza Symantec Endpoint Protection Manager per monitorare, configurare e aggiornare a distanza il client. Tale server di gestione consente all'amministratore di determinare la misura in cui l'utente controlla le impostazioni e le azioni del client. Il client accede al server di gestione per determinare l'eventuale disponibilità di nuove informazioni o aggiornamenti di politica. In un ambiente gestito potrebbe non essere possibile visualizzare tutti i componenti del client o accedervi. I componenti visibili e le azioni disponibili nel client dipendono dal livello di accesso che l'amministratore ha assegnato al computer. La disponibilità delle impostazioni del client e i relativi valori possono cambiare periodicamente. Ad esempio, è possibile che un'impostazione venga modificata quando l'amministratore aggiorna la politica che controlla la protezione del client. In tutti gli ambienti il client visualizza richieste di informazioni e domande a cui è necessario rispondere. Vedere "Informazioni sull'interazione del client" a pagina 23. Informazioni sull'icona dell'area di notifica Il client utilizza un'icona dell'area di notifica per indicare se il client è on-line o non in linea e se il computer client è protetto adeguatamente. È possibile fare clic con il pulsante destro del mouse su questa icona per visualizzare i comandi utilizzati di frequente. L'icona è situata nell'angolo inferiore destro del desktop.

15 Presentazione del client Symantec Informazioni sul client 15 Nota: nei client gestiti, questa icona non compare se l'amministratore l'ha configurata in modo che non sia disponibile. In Tabella 1-1 sono visualizzate le icone di stato del client Symantec Endpoint Protection. Tabella 1-1 Icona Icone di stato di Symantec Endpoint Protection Descrizione Il client viene eseguito senza problemi. È non in linea o non gestito. I client non gestiti non sono connessi a un server di gestione. Il client viene eseguito senza problemi. È connesso a e comunica con il server di gestione. Tutti i componenti della politica di sicurezza proteggono il computer. L'icona ha l'aspetto di un puntino verde. Il client ha un problema relativamente importante. Per esempio, le definizioni antivirus possono essere obsolete. L'icona ha l'aspetto di un puntino giallo con un punto esclamativo nero. Il client non viene eseguito, presenta un problema importante o almeno un componente di protezione della politica di sicurezza è disattivato. Per esempio, la protezione antivirus e antispyware può essere disattivata. L'icona ha l'aspetto di un puntino bianco con un contorno rosso e una riga rossa in mezzo. In Tabella 1-2 sono visualizzate le icone di stato del client Symantec Network Access Control. Tabella 1-2 Icona Icone di stato di Symantec Network Access Control Descrizione Il client viene eseguito senza problemi, ha superato il controllo di integrità dell'host e ha aggiornato la politica di sicurezza. È non in linea o non gestito. I client non gestiti non sono connessi a un server di gestione. Il client viene eseguito senza problemi, ha superato il controllo di integrità dell'host e ha aggiornato la politica di sicurezza. Comunica con il server di gestione. L'icona ha l'aspetto di un puntino verde. Il client non ha superato il controllo di integrità dell'host o non ha aggiornato la politica di sicurezza. L'icona ha l'aspetto di un puntino rosso con una crocetta "x" bianca.

16 16 Presentazione del client Symantec Informazioni sul client La Tabella 1-3 descrive i comandi che sono disponibili con l'icona dell'area di notifica. Tabella 1-3 Opzione Comandi dell'icona dell'area di notifica Descrizione Apri Symantec Endpoint Protection Apre la finestra principale Apri Symantec Network Access Control Aggiorna politica Riautenticazione Richiama le politiche di sicurezza più recenti dal server Nota: questo comando è disponibile soltanto sui client gestiti. Riautentica il computer client. Nota: questo comando è disponibile soltanto quando l'amministratore configura il client come supplicant 802.1x incorporato. Questo comando non è disponibile sui client Symantec Endpoint Protection. Vedere "Riautenticazione del computer" a pagina 149. Disattiva Symantec Endpoint Protection Disattiva le protezioni di cui l'amministratore ha autorizzato la disattivazione. Dopo la disattivazione del client, il testo del comando passa da "Disattiva" a "Attiva". È possibile selezionare questo comando per attivare completamente la protezione client. Come nascondere e mostrare l'icona dell'area di notifica È possibile nascondere l'icona dell'area di notifica se necessario. Per esempio, è possibile nasconderla se è necessario più spazio nella barra delle attività di Windows. Nota: nei client gestiti non è possibile nascondere l'icona dell'area di notifica se l'amministratore ha bloccato questa funzionalità.

17 Presentazione del client Symantec Aggiornamento costante della protezione del computer 17 Per nascondere l'icona dell'area di notifica 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale della finestra di dialogo Impostazioni per la gestione client, sotto Opzioni di visualizzazione, deselezionare Mostra icona di sicurezza Symantec nell'area delle notifiche. 4 Fare clic su OK. Per mostrare l'icona dell'area di notifica 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale della finestra di dialogo Impostazioni per la gestione client, sotto Opzioni di visualizzazione, selezionare Mostra icona di sicurezza Symantec nell'area delle notifiche. 4 Fare clic su OK. Aggiornamento costante della protezione del computer I tecnici Symantec tengono traccia di ogni segnalazione di contagio dei virus informatici al fine di identificarne di nuovi. Inoltre seguono le minacce di tipo misto, i rischi per la sicurezza quali gli spyware ed altre vulnerabilità che possono essere sfruttate quando il computer si connette a Internet. Dopo l'identificazione di un rischio, i tecnici creano un profilo o firma (informazioni sul rischio) e lo memorizzano in un file di definizioni. Questo file di definizioni contiene le informazioni necessarie per rilevare, eliminare e riparare gli effetti del rischio. Quando Symantec Endpoint Protection effettua le scansioni per i virus ed i rischi per la sicurezza, ricerca tali tipi di profili. Altri elementi che il client deve mantenere aggiornati sono gli elenchi dei processi consentiti e vietati e delle firme di attacco. Gli elenchi dei processi assistono le scansioni proattive delle minacce TruScan nell'identificazione del comportamento sospetto dei programmi, anche se il client non riconosce una minaccia specifica. Le firme di attacco forniscono informazioni necessarie al sistema di prevenzione delle intrusioni per mantenere il computer al sicuro dalle intrusioni.

18 18 Presentazione del client Symantec Aggiornamento costante della protezione del computer Oltre ai file di definizioni, gli elenchi di processi e le firme di attacco, il client deve aggiornare occasionalmente i propri componenti. Tali componenti possono includere il motore di protezione antivirus e antispyware, il motore di scansione proattiva delle minacce TruScan e il firewall di protezione della rete dalle minacce. Questi aggiornamenti possono consistere in riparazioni di difetti secondari o in aggiornamenti di prodotti. Symantec rende disponibili aggiornamenti periodici. Le definizioni vengono aggiornate quotidianamente nel sito Web Symantec Security Response. Sono disponibili nuove definizioni da scaricare utilizzando LiveUpdate almeno una volta la settimana e ogni volta che si presenta la minaccia di un nuovo virus distruttivo. Nota: l'amministratore può definire la frequenza dell'aggiornamento delle definizioni nel client. Vedere "Informazioni su LiveUpdate" a pagina 31. Informazioni sul ruolo di Symantec Security Response Symantec Security Response è alla base del funzionamento di Symantec Endpoint Protection. I ricercatori di Symantec Security Response analizzano la struttura di ogni campione di virus e rischio per la sicurezza per evidenziare le caratteristiche e il comportamento che consentono di identificarlo. Grazie a queste informazioni, vengono sviluppate definizioni utilizzate dai prodotti Symantec per rilevare, eliminare e riparare gli effetti di virus e rischi per la sicurezza. Data la notevole velocità con cui si diffondono i nuovi virus, Symantec Security Response ha sviluppato strumenti software di analisi automatizzata. L'invio di file infetti dal computer a Symantec Security Response riduce significativamente il tempo che va dalla rilevazione all'analisi alla cura. Inoltre i ricercatori di Symantec Security Response ricercano e producono le tecnologie per proteggere i computer da rischi per la sicurezza, quali spyware, adware e strumenti di hacking. In Symantec Security Response viene mantenuta costantemente aggiornata un'enciclopedia che include informazioni dettagliate sui virus e sui rischi per la sicurezza. Se necessario, l'enciclopedia fornisce informazioni sulla rimozione dei rischi. L'enciclopedia si trova nel sito Web di Symantec Security Response al seguente URL:

19 Presentazione del client Symantec Informazioni sulle politiche di sicurezza 19 Aggiornamento della protezione sui client gestiti L'amministratore determina la modalità di aggiornamento delle definizioni dei virus e dei rischi per la sicurezza. Potrebbe non essere necessario eseguire alcuna operazione per ricevere le nuove definizioni. L'amministratore può impostare la funzione LiveUpdate in Symantec Endpoint Protection per assicurarsi che la protezione dai virus e dai rischi per la sicurezza sia sempre aggiornata. LiveUpdate si connette a un computer che contiene gli aggiornamenti, determina se il client deve essere aggiornato, quindi scarica e installa i file adeguati. Il computer che memorizza gli aggiornamenti può essere un server Symantec Endpoint Protection Manager interno all'azienda dell'utente. In alternativa, può essere un server di Symantec LiveUpdate a cui si accede attraverso Internet. Vedere "Informazioni su LiveUpdate" a pagina 31. Aggiornamento della protezione sui client non gestiti Gli amministratori non aggiornano la protezione sui client non gestiti. È possibile aggiornare il software ed i file di definizioni usando LiveUpdate. Se il client non gestito utilizza le impostazioni predefinite di LiveUpdate, verifica l'eventuale presenza di aggiornamenti tramite un server Symantec in Internet una volta alla settimana. È possibile cambiare la frequenza con cui LiveUpdate cerca gli aggiornamenti. È anche possibile eseguire LiveUpdate manualmente se si è al corrente di un'epidemia di virus o di un'epidemia di rischi per la sicurezza. Vedere "Informazioni su LiveUpdate" a pagina 31. Informazioni sulle politiche di sicurezza Per politica di sicurezza si intende un insieme di impostazioni di sicurezza configurate e distribuite ai client dall'amministratore di un client gestito. Le politiche di sicurezza determinano le impostazioni del client, incluse le opzioni visualizzabili a cui è possibile accedere. I client gestiti sono connessi al server di gestione e ricevono automaticamente le politiche di sicurezza più recenti. In caso di difficoltà con l'accesso alla rete, l'amministratore può fornire istruzioni per eseguire l'aggiornamento manuale in base alla politica di sicurezza. Vedere "Aggiornamento della politica di sicurezza" a pagina 20.

20 20 Presentazione del client Symantec Dove ottenere ulteriori informazioni Aggiornamento della politica di sicurezza Le impostazioni che controllano la protezione sul client sono memorizzate sul computer in un file della politica. In genere questo file della politica di sicurezza si aggiorna automaticamente. Tuttavia, l'amministratore potrebbe richiedere a un utente di aggiornare la politica di sicurezza manualmente in determinate circostanze. Nota: è possibile visualizzare il registro di sistema per verificare che l'aggiornamento della politica sia stato eseguito correttamente. Vedere "Visualizzazione dei registri e dei dettagli del registro" a pagina 159. Per aggiornare la politica di sicurezza 1 Nell'area di notifica di Windows, fare clic con il pulsante destro del mouse sull'icona del client. 2 Nel menu di scelta rapida, fare clic su Aggiorna politica. Dove ottenere ulteriori informazioni Accesso alla Guida in linea Per maggiori informazioni, è possibile accedere alla Guida in linea. È possibile ottenere ulteriori informazioni sui virus ed i rischi per la sicurezza nel sito Web di Symantec Security Response al seguente URL: Il sistema di Guida in linea del client contiene informazioni generali e procedure che consentono di mantenere il computer al sicuro da virus e rischi per la sicurezza. Nota: è possibile che l'amministratore abbia preferito non installare i file della Guida in linea. Per accedere alla Guida in linea Nella finestra principale effettuare una delle seguenti operazioni: Fare clic su? & Supporto e quindi fare clic su Guida in linea. Fare clic su? in qualsiasi finestra di dialogo. La Guida sensibile al contesto è disponibile soltanto nelle schermate in cui è possibile eseguire operazioni.

21 Presentazione del client Symantec Dove ottenere ulteriori informazioni 21 Premere F1 in qualsiasi finestra. Se è disponibile contenuto della Guida contestuale per quella finestra, viene visualizzata la Guida contestuale. Se non è disponibile contenuto della Guida contestuale, viene visualizzato l'intero sistema della Guida. Accesso al sito Web di Symantec Security Response Se si è connessi a Internet, è possibile visitare il sito Web di Symantec Security Response per visualizzare i seguenti elementi: Enciclopedia dei virus, contenente informazioni su tutti i virus conosciuti Informazioni sui virus fasulli White paper sui virus e sulle minacce virali in generale Informazioni generali e dettagliate sui rischi per la sicurezza Per accedere al sito Web di Symantec Security Response, utilizzare il seguente URL: Nel browser Internet, digitare il seguente indirizzo Web:

22 22 Presentazione del client Symantec Dove ottenere ulteriori informazioni

23 Capitolo 2 Risposta al client Il capitolo contiene i seguenti argomenti: Informazioni sull'interazione del client Interventi sui file infetti Informazioni sulle notifiche e gli avvisi Informazioni sull'interazione del client Il client funziona in background per mantenere il computer sicuro da attività nocive. A volte il client deve informare in merito a un'attività o richiedere feedback. Se Symantec Endpoint Protection è attivato nel client, è possibile che si verifichino i seguenti tipi di interazione con il client: Rilevazione di virus o rischi per la sicurezza Se Auto-Protect o una scansione rileva un virus o un rischio per la sicurezza, viene visualizzata la finestra di dialogo relativa ai risultati della rilevazione di Symantec Endpoint Protection contenente i dettagli dell'infezione. Nella finestra di dialogo viene visualizzata anche l'azione che Symantec Endpoint Protection ha eseguito per il rischio. Di solito non è necessario prendere ulteriori provvedimenti se non esaminare l'attività e chiudere la finestra di dialogo. Se necessario, è tuttavia possibile intervenire. Vedere "Interventi sui file infetti" a pagina 24.

24 24 Risposta al client Interventi sui file infetti Notifiche relative alle applicazioni Quando un programma del computer cerca di accedere a una rete, Symantec Endpoint Protection potrebbe chiedere se concedere o negare il permesso. Vedere "Risposta alle notifiche relative alle applicazioni" a pagina 26. Avvisi di sicurezza Symantec Endpoint Protection informa quando blocca un programma o quando rileva un attacco contro il computer. Vedere "Risposta agli avvisi di sicurezza" a pagina 29. Se Symantec Network Access Control è attivato nel client, potrebbe venire visualizzato un messaggio di Network Access Control. Questo messaggio compare quando le impostazioni di sicurezza non si conformano agli standard che l'amministratore ha configurato. Vedere "Risposta alle notifiche di Network Access Control" a pagina 30. Interventi sui file infetti Per impostazione predefinita, Auto-Protect è sempre in esecuzione nel computer. Per i client non gestiti viene eseguita una scansione Active Scan generata automaticamente quando si avvia il computer. Per i client gestiti, l'amministratore di solito configura una scansione completa da eseguire almeno una volta ogni settimana. Auto-Protect visualizza una finestra di dialogo dei risultati quando rileva un pericolo. Quando vengono eseguite le scansioni, viene visualizzata una finestra di dialogo per mostrarne i risultati. Per i client gestiti, l'amministratore potrebbe disattivare questi tipi di notifiche. Se si ricevono questi tipi di notifiche, potrebbe essere necessario intervenire su un file infettato. Le opzioni predefinite di Auto-Protect e di tutti i tipi di scansione sono di ripulire un file infettato dal virus quando viene rilevato. Se non è possibile ripulire un file, il client registra il problema e sposta il file infettato in quarantena. La quarantena locale è una posizione speciale che è riservata ai file infetti e ai relativi effetti secondari sul sistema. Per i rischi per la sicurezza, il client mette in quarantena i file infettati e rimuove o ripara i relativi effetti secondari. Il client registra la rilevazione se non può riparare il file.

25 Risposta al client Interventi sui file infetti 25 Nota: in quarantena il virus non può diffondersi. Quando il client sposta un file in quarantena, non è possibile accedere al file. Quando Symantec Endpoint Protection ripara un file infettato da virus, non è necessario prendere ulteriori provvedimenti per proteggere il computer. Se il client mette in quarantena un file minacciato da un rischio per la sicurezza e quindi lo rimuove e lo ripara, non è necessario prendere provvedimenti supplementari. Potrebbe non essere necessario intervenire su un file ma si potrebbe desiderare di effettuare un'ulteriore operazione sul file. Ad esempio, si potrebbe decidere di eliminare un file riparato perché si preferisce sostituirlo con la versione originale del file stesso. È possibile utilizzare le notifiche per intervenire immediatamente sul file. È anche possibile utilizzare la vista del registro o la quarantena per intervenire sul file successivamente. Vedere "Interpretazione dei risultati della scansione" a pagina 78. Vedere "Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce" a pagina 165. Vedere "Informazioni sulla quarantena" a pagina 92. Per intervenire su un file infetto 1 Eseguire una delle seguenti operazioni: Nella finestra di dialogo di avanzamento della scansione, selezionare i file desiderati al termine della scansione. Nella finestra di dialogo dei risultati, selezionare i file desiderati. Nel client, nella barra laterale, fare clic su Visualizza registri e accanto a Protezione antivirus e antispyware, fare clic su Visualizza registri. Nella vista del registro, selezionare i file desiderati. 2 Fare clic con il pulsante destro del mouse sul file o sui file, quindi selezionare una delle seguenti opzioni. Si noti che, in alcuni casi, il client potrebbe non essere in grado di effettuare l'azione selezionata. Annulla azione intrapresa: annulla l'azione intrapresa. Ripulisci (solo virus): rimuove il virus dal file. Elimina definitivamente: elimina il file infetto e i relativi effetti secondari. Per i rischi per la sicurezza, utilizzare con prudenza questa azione. In alcuni casi, se si eliminano i rischi per la sicurezza è possibile che un'applicazione non funzioni più.

26 26 Risposta al client Informazioni sulle notifiche e gli avvisi Sposta in quarantena: mette i file infettati in quarantena. Per i rischi per la sicurezza, il client cerca anche di rimuovere o riparare gli effetti secondari. Proprietà: visualizza informazioni sul virus o sul rischio per la sicurezza. Informazioni sui danni causati dai virus Se Symantec Endpoint Protection trova un'infezione poco dopo che si verifica, il file infettato potrebbe essere completamente utilizzabile dopo che il client lo pulisce. In alcuni casi, tuttavia, Symantec Endpoint Protection può pulire un file infettato già danneggiato da un virus. Ad esempio, Symantec Endpoint Protection potrebbe trovare un virus che danneggia un file di documento. Symantec Endpoint Protection rimuove il virus ma non può riparare il danno all'interno del file infettato. Informazioni sulle notifiche e gli avvisi È possibile vedere vari tipi di notifiche sul computer. Queste notifiche solitamente descrivono una situazione ed indicano come il client cerca di risolvere il problema. È possibile vedere i seguenti tipi di notifiche: Notifiche relative alle applicazioni Avvisi di sicurezza Risposta alle notifiche relative alle applicazioni È possibile vedere una notifica che chiede se si desidera consentire l'esecuzione di un'applicazione o di un servizio. Questo tipo di notifica compare per uno dei seguenti motivi: L'applicazione chiede di accedere alla connessione di rete. Un'applicazione con accesso alla connessione di rete è stata aggiornata. Il client ha eseguito un cambio di utente tramite Cambio rapido utente. L'amministratore ha aggiornato il software client. È possibile vedere il seguente tipo di messaggio, che viene visualizzato quando un'applicazione o un servizio cerca di accedere al computer: Internet Explorer (IEXPLORE.EXE) sta tentando di connettersi a utilizzando la porta remota 80 (HTTP - World Wide Web). Consentire l'accesso in rete al programma?

27 Risposta al client Informazioni sulle notifiche e gli avvisi 27 Per rispondere alle applicazioni che cercano di accedere alla rete 1 Nella finestra di messaggio fare clic su Dettagli. È possibile visualizzare maggiori informazioni sulla connessione e sull'applicazione, quali il nome del file, il numero di versione ed il percorso. 2 Se si desidera che l'opzione selezionata venga mantenuta la prossima volta che l'applicazione cerca di accedere alla connessione di rete, fare clic su Memorizza la risposta e non visualizzare più questo messaggio. 3 Eseguire una delle seguenti operazioni: Per permettere all'applicazione di accedere alla connessione di rete, fare clic su Sì. Fare clic su Sì soltanto se si riconosce l'applicazione e si è sicuri di volerne consentire l'accesso alla connessione di rete. In caso di dubbi sull'accesso dell'applicazione alla connessione di rete, rivolgersi all'amministratore. Per bloccare l'applicazione dall'accesso alla connessione di rete, fare clic su No. La Tabella 2-1 mostra come è possibile rispondere alle notifiche che richiedono di permettere o bloccare un'applicazione. Tabella 2-1 Notifiche di autorizzazione applicazioni Se si fa clic su Sì Sì No No Se si seleziona la casella di controllo "Memorizza la risposta " Sì No Sì No Il client Consente l'accesso all'applicazione e non visualizza la richiesta di nuovo. Consente l'accesso all'applicazione e ripete la domanda ogni volta. Blocca l'applicazione e non ripete la domanda. Blocca l'applicazione e ripete la domanda ogni volta. È anche possibile cambiare l'azione dell'applicazione nel campo Applicazioni in esecuzione o nell'elenco delle applicazioni. Vedere "Configurazione delle impostazioni specifiche dell'applicazione" a pagina 135.

28 28 Risposta al client Informazioni sulle notifiche e gli avvisi Notifiche di modifiche applicazione Occasionalmente potrebbe essere visualizzato un messaggio che indica che un'applicazione è stata modificata. "Il programma Telnet è stato modificato dall'ultima apertura. È possibile che sia stato aggiornato di recente. Consentirne l'accesso in rete?" L'applicazione che è elencata nel messaggio precedente cerca di accedere alla connessione di rete. Il client riconosce il nome dell'applicazione, tuttavia alcune impostazioni dell'applicazione sono cambiate dall'ultima volta che è stata utilizzata nel client. Molto probabilmente, il prodotto è stato aggiornato di recente. Ogni nuova versione di un prodotto utilizza un'impronta del file diversa da quella utilizzata nella versione precedente. Il client rileva che l'impronta del file è cambiata. Notifiche di Cambio rapido utente Se si utilizza Windows Vista o XP, è possibile vedere una delle seguenti notifiche: "Impossibile visualizzare l'interfaccia utente. Se si utilizza la funzione Cambio rapido utente di Windows XP, assicurarsi che tutti gli altri utenti siano disconnessi da Windows, disconnettersi da Windows e quindi rieseguire l'accesso. Se si utilizzano i Servizi terminal, l'interfaccia utente non è supportata." o Symantec Endpoint Protection non era in esecuzione e verrà avviato, Tuttavia Symantec Endpoint Protection non è in grado di visualizzare l'interfaccia utente. Se si utilizza la funzione Cambio rapido utente di Windows XP, assicurarsi che tutti gli altri utenti siano disconnessi da Windows, disconnettersi da Windows e quindi rieseguire l'accesso. Se si utilizzano i Servizi terminal, l'interfaccia utente non è supportata." Cambio rapido utente è una funzione di Windows che permette di cambiare utente rapidamente senza doversi disconnettere dal sistema. Più utenti possono condividere simultaneamente un computer e possono accedere al sistema e disconnettersi senza chiudere le applicazioni in esecuzione. Una di queste finestre compare se si cambia utente tramite la funzione Cambio rapido utente. Per rispondere ad un messaggio relativo al cambio rapido utente, seguire le istruzioni nella finestra di dialogo.

29 Risposta al client Informazioni sulle notifiche e gli avvisi 29 Risposta alle notifiche di aggiornamento automatico Se il software client è aggiornato automaticamente, è possibile vedere la seguente notifica: Symantec Endpoint Protection ha verificato che una nuova versione del software è disponibile in Symantec Endpoint Protection Manager. Scaricarla? Per rispondere ad una notifica di aggiornamento automatico 1 Eseguire una delle seguenti operazioni: Per scaricare immediatamente il software, fare clic su Scarica ora. Per visualizzare un promemoria dopo l'intervallo di tempo specificato, fare clic su Visualizza in seguito. 2 Se compare un messaggio dopo l'inizio del processo di installazione del software aggiornato, fare clic su OK. Risposta agli avvisi di sicurezza Gli avvisi di sicurezza mostrano una notifica sopra l'icona dell'area di notifica. È necessario solo confermare l'avvenuta lettura del messaggio facendo clic su OK. Le notifiche compaiono per uno dei seguenti motivi: Messaggi di applicazioni bloccate Un'applicazione che è stata avviata dal computer è stata bloccata in conformità con le regole impostate dall'amministratore. Per esempio, è possibile vedere il messaggio seguente: L'applicazione Internet Explorer è stata bloccata, il nome del file è IEXPLORE.EXE. Queste notifiche indicano che il client ha bloccato il traffico specificato come non attendibile. Se il client è configurato per bloccare tutto il traffico, queste notifiche compaiono frequentemente. Se il client è configurato per permettere tutto il traffico, queste notifiche non compaiono.

30 30 Risposta al client Informazioni sulle notifiche e gli avvisi Intrusioni Contro il computer è stato avviato un attacco e un avviso informa l'utente della situazione o fornisce istruzioni su come gestire l'attacco. Per esempio, è possibile vedere il messaggio seguente: Traffico dall'indirizzo IP bloccato dal 10/10/2006 alle 15:37:58 al 10/10/2006 alle 15:47:58. Attacco scansione porte registrato. L'amministratore potrebbe aver disattivato le notifiche di prevenzione delle intrusioni nel computer client. Per vedere i tipi di attacchi rilevati dal client è possibile permettere al client di visualizzare le notifiche di prevenzione delle intrusioni. Vedere "Configurazione delle notifiche di prevenzione delle intrusioni" a pagina 133. Risposta alle notifiche di Network Access Control Se il client Symantec Network Access Control non è conforme alle politiche di sicurezza potrebbe non essere in grado di accedere alla rete. In questo caso potrebbe venire visualizzato un messaggio che informa che Symantec Enforcer ha bloccato il traffico perché il controllo di integrità dell'host non è stato superato. L'amministratore di rete potrebbe aver aggiunto del testo a questo messaggio per suggerire le azioni possibili per risolvere il problema. Dopo aver chiuso la finestra di messaggio, aprire il client per vedere se sono visualizzate procedure suggerite per ripristinare l'accesso di rete. Per rispondere alle notifiche di Network Access Control 1 Seguire tutte le procedure suggerite che compaiono nella finestra di messaggio. 2 Nella finestra di messaggio, fare clic su OK.

31 Capitolo 3 Gestione del client Il capitolo contiene i seguenti argomenti: Informazioni su LiveUpdate Esecuzione di LiveUpdate a intervalli pianificati Esecuzione manuale di LiveUpdate Verifica della sicurezza del computer Informazioni sulle posizioni Modifica delle posizioni Informazioni sulla protezione contro le manomissioni Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Informazioni su LiveUpdate LiveUpdate ottiene gli aggiornamenti della protezione e del programma usando la connessione Internet. Gli aggiornamenti del programma rappresentano piccoli miglioramenti apportati al prodotto installato. Non costituiscono un aggiornamento del prodotto, che è invece una nuova versione del prodotto completo. Gli aggiornamenti del programma sono creati solitamente per estendere la compatibilità dell'hardware o del sistema operativo, per risolvere un problema di prestazioni o per correggere errori del programma. Gli aggiornamenti ai programmi vengono rilasciati quando necessario.

32 32 Gestione del client Esecuzione di LiveUpdate a intervalli pianificati Nota: alcuni aggiornamenti del programma potrebbero richiedere il riavvio del computer dopo l'installazione. LiveUpdate automatizza il reperimento e l'installazione degli aggiornamenti del programma individuando e scaricando i file da un sito Internet, installandoli ed eliminando i file residui dal computer. Gli aggiornamenti della protezione sono i file che mantengono i prodotti Symantec aggiornati con la tecnologia di protezione dalle minacce più recente. Gli aggiornamenti di protezione che si ricevono dipendono da quali prodotti sono installati sul computer. Per impostazione predefinita, LiveUpdate viene eseguito automaticamente ad intervalli pianificati. In base alle impostazioni di sicurezza è possibile eseguire manualmente LiveUpdate. È anche possibile disattivare LiveUpdate o cambiarne la pianificazione. Esecuzione di LiveUpdate a intervalli pianificati È possibile pianificare l'esecuzione automatica di LiveUpdate a intervalli pianificati. Per eseguire LiveUpdate a intervalli pianificati 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni per la gestione client, fare clic su Aggiornamenti pianificati. 4 Nella scheda Aggiornamenti pianificati, selezionare Attiva aggiornamenti automatici. 5 Nella casella di gruppo Frequenza, selezionare se eseguire aggiornamenti quotidiani, settimanali o mensili. 6 Nella casella di gruppo Quando, selezionare il giorno o la settimana e l'ora in cui si desidera eseguire gli aggiornamenti. 7 Nella casella di gruppo Opzioni eventi non eseguiti selezionare Continuare a cercare e quindi specificare il numero delle ore o dei giorni per cui il client dovrebbe processare nuovamente un evento mancante. 8 Nella casella di gruppo Opzioni esecuzione casuale, selezionare Orario di iniziocasuale(+o-) e quindi specificare il numero delle ore o dei giorni prima o dopo l'aggiornamento pianificato. Questa procedura imposta un intervallo di tempo casuale durante il quale l'aggiornamento ha inizio. 9 Fare clic su OK.

33 Gestione del client Esecuzione manuale di LiveUpdate 33 Esecuzione manuale di LiveUpdate È possibile aggiornare il software e i file delle definizioni usando LiveUpdate. LiveUpdate recupera i nuovi file delle definizioni da un sito Symantec e quindi sostituisce i vecchi file delle definizioni. I prodotti Symantec utilizzano informazioni aggiornate per proteggere il computer dalle nuove minacce rilevate. Symantec fornisce queste informazioni tramite LiveUpdate. Per ricevere gli aggiornamenti utilizzando LiveUpdate Nel client, nella barra laterale, fare clic su LiveUpdate. LiveUpdate si connette al server Symantec, cerca gli aggiornamenti disponibili, quindi li scarica e li installa automaticamente. Verifica della sicurezza del computer È possibile verificare l'efficacia della risposta del computer a minacce e virus esterni sottoponendolo a scansione. Questa scansione è una misura importante che è possibile prendere per assicurare che il computer sia protetto da possibili intrusi. I risultati possono aiutare l'utente ad impostare le varie opzioni del client per proteggere il computer dagli attacchi. Per verificare la sicurezza del computer 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Fare clic su Strumenti > Prova sicurezza di rete. 4 Nel sito Web di Symantec Security Check, effettuare una delle operazioni seguenti: Per cercare le minacce on-line, fare clic su Scansione "Security Risk". Per cercare virus, fare clic su Scansione dei virus. 5 Nella finestra di dialogo Contratto di licenza, fare clic su Accetto, quindi su Avanti. Se si è fatto clic su Scansione dei virus nel punto 4, fare clic su Accetto, quindi su Avanti. Per arrestare in qualunque momento la scansione, fare clic su Interrompi. 6 Quando la scansione è finita, chiudere la finestra di dialogo.

34 34 Gestione del client Informazioni sulle posizioni Informazioni sulle posizioni Una posizione fa riferimento a una politica di sicurezza che è basata sull'ambiente di rete. Ad esempio, se si effettua la connessione alla rete dell'ufficio da casa con il portatile, l'amministratore può impostare una posizione denominata Casa. Se si utilizza il portatile in ufficio, è possibile usare una posizione denominata Ufficio. Altre posizioni possono corrispondere a VPN, sede secondaria o hotel. Il client passa da una posizione all'altra perché le esigenze di impiego e di sicurezza possono differire fra i vari ambienti di rete. Ad esempio, quando il portatile si connette alla rete dell'ufficio, il client potrebbe utilizzare un set restrittivo di politiche configurate dall'amministratore. Quando si connette alla rete domestica, tuttavia, il client potrebbe utilizzare un set di politiche che danno l'accesso ad altre opzioni di configurazione. L'amministratore programma e configura il client di conseguenza in modo che tenga automaticamente conto di queste differenze. Nota: In un ambiente gestito, è possibile cambiare le posizioni solo se l'amministratore ha consentito l'accesso necessario. Modifica delle posizioni Se necessario è possibile modificare una posizione. Ad esempio, potrebbe essere necessario passare a una posizione che consenta a un collega di accedere ai file del proprio computer. L'elenco delle posizioni disponibili è basato sulle politiche di sicurezza e sulla rete attiva del computer. Nota: in base alle politiche di sicurezza disponibili, è possibile o meno avere accesso a più di una posizione. Potrebbe accadere che facendo clic su una posizione non si acceda a essa. Ciò significa che la configurazione di rete non è adatta a tale posizione. Ad esempio, una posizione denominata Ufficio può essere disponibile soltanto quando viene rilevata la rete locale dell'ufficio (LAN). Se al momento non ci si trova in tale rete, non è possibile passare a quella posizione. Per cambiare una posizione 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale, sotto Opzioni posizione, selezionare la posizione a cui si desidera passare. 4 Fare clic su OK.

35 Gestione del client Informazioni sulla protezione contro le manomissioni 35 Informazioni sulla protezione contro le manomissioni La protezione contro le manomissioni fornisce una protezione in tempo reale per le applicazioni Symantec. Contrasta gli attacchi di software nocivo, ad esempio worm, Trojan horse, virus e rischi per la sicurezza. È possibile impostare la protezione contro le manomissioni per intraprendere le azioni seguenti: Bloccare i tentativi di manomissione e registrare l'evento Registrare l'evento di manomissione senza interferire con esso La protezione contro le manomissioni è attivata sia per i client gestiti che per i client non gestiti, eccetto nel caso in cui l'amministratore abbia modificato le impostazioni predefinite. Quando Protezione contro le manomissioni rileva un tentativo di manomissione, l'azione che esegue per impostazione predefinita è la registrazione dell'evento nel registro di protezione dalle manomissioni. È possibile configurare Protezione contro le manomissioni in modo che visualizzi una notifica nel computer quando rileva un tentativo di manomissione. È possibile personalizzare il messaggio. Protezione contro le manomissioni non notifica all'utente i tentativi di manomissione a meno che non sia attivata tale funzionalità. Se si utilizza un client non gestito, è possibile modificare le impostazioni di Protezione contro le manomissioni. Se si utilizza un client gestito, è possibile modificare queste impostazioni se l'amministratore lo consente. Le prime volte che si utilizza Symantec Endpoint Protection è consigliabile non modificare l'azione predefinita Registra soltanto ed eseguire il monitoraggio dei registri una volta alla settimana. Quando si è sicuri che non sono presenti falsi positivi, impostare Protezione contro le manomissioni su Blocca e registra. Nota: se contro i rischi per la sicurezza si utilizza un programma di scansione di terze parti che rileva adware e spyware indesiderati e fornisce protezione contro di essi, in genere la scansione incide sui processi Symantec. Se si attiva Protezione contro le manomissioni mentre si esegue una scansione di terze parti per la rilevazione di rischi per la sicurezza, Protezione contro le manomissioni genera numerose notifiche e voci di registro. È consigliabile lasciare sempre attivata Protezione contro le manomissioni e utilizzare il filtro del registro se il numero degli eventi generati è troppo elevato.

36 36 Gestione del client Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Attivazione, disattivazione e configurazione di Protezione contro le manomissioni È possibile attivare o disattivare Protezione contro le manomissioni. Se Protezione contro le manomissioni è attivata, è possibile scegliere i provvedimenti che deve prendere quando rileva un tentativo di manomissione del software Symantec. È anche possibile fare in modo che Protezione contro le manomissioni visualizzi un messaggio per inviare una notifica sui tentativi di manomissione. Per personalizzare il messaggio, utilizzare le variabili predefinite che Protezione contro le manomissioni sostituirà con le informazioni appropriate. Per informazioni sulle variabili predefinite, fare clic su? nella scheda Protezione contro le manomissioni. Per attivare o disattivare Protezione contro le manomissioni 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Protezione contro le manomissioni, selezionare o deselezionare Proteggi il software di protezione Symantec da manomissioni o arresti. 4 Fare clic su OK. Per configurare Protezione contro le manomissioni 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Sulla scheda Protezione contro le manomissioni, nella casella di controllo Azioni da intraprendere se un'applicazione cerca di manomettere o arrestare il software di protezione Symantec, fare clic su Blocca e registra l'evento o Registra solo l'evento. 4 Per ricevere una notifica quando Protezione contro le manomissioni rileva un comportamento sospetto, selezionare l'opzione Visualizza un messaggio di notifica quando vengono rilevate manomissioni. Se si attivano questi messaggi di notifica, si potrebbero ricevere notifiche relative sia ai processi di Windows che a quelli di Symantec. 5 Per personalizzare il messaggio visualizzato, aggiornare il testo nel campo del messaggio. 6 Fare clic su OK.

37 Sezione 2 Symantec Endpoint Protection Introduzione a Symantec Endpoint Protection Principi fondamentali del client Symantec Endpoint Protection Gestione della protezione antivirus e antispyware Gestione della protezione proattiva contro le minacce Gestione della protezione della rete dalle minacce

38 38

39 Capitolo 4 Introduzione a Symantec Endpoint Protection Il capitolo contiene i seguenti argomenti: Informazioni su Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer Informazioni su Symantec Endpoint Protection È possibile installare Symantec Endpoint Protection come installazione indipendente o come installazione gestita dall'amministratore. In una installazione autonoma il software di Symantec Endpoint Protection non è gestito da un amministratore, pertanto è un client indipendente. Se è l'utente a gestire il computer, è necessario che questo sia di uno dei seguenti tipi: Computer indipendente non connesso a una rete, quale un computer di casa o un portatile. Il computer deve includere un'installazione Symantec Endpoint Protection che utilizza impostazioni di opzioni predefinite o preimpostate dall'amministratore. Computer remoto che si connette alla rete aziendale e che deve soddisfare i requisiti di sicurezza prima della connessione. Le impostazioni predefinite per Symantec Endpoint Protection garantiscono la protezione antivirus e antispyware, la protezione proattiva contro le minacce e la protezione della rete dalle minacce.. È possibile regolare le impostazioni predefinite per adattarle alle necessità dell'azienda, ottimizzare le prestazioni del sistema e disattivare le opzioni che non si applicano.

40 40 Introduzione a Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer Se un amministratore gestisce il computer, alcune opzioni possono essere bloccate o non disponibili, a seconda della politica di sicurezza dell'amministratore. Quest'ultimo esegue le scansioni sul computer e può impostare scansioni pianificate. L'amministratore può fornire suggerimenti relativi alle attività da eseguire per l'utilizzo di Symantec Endpoint Protection. Come Symantec Endpoint Protection protegge il computer Symantec Endpoint Protection fornisce una politica di sicurezza che contiene vari tipi di protezioni per il computer. I seguenti tipi di protezione funzionano insieme per proteggere il computer dai rischi: Protezione antivirus e antispyware Protezione della rete dalle minacce Protezione proattiva dalle minacce Informazioni sulla protezione antivirus e antispyware La protezione antivirus e antispyware assicura che il computer sia protetto dai virus e dai rischi per la sicurezza noti. I virus individuati e rimossi tempestivamente dal computer non possono diffondersi in altri file provocando danni. Gli effetti dei rischi per la sicurezza e dei virus possono essere riparati. Quando il client Symantec Endpoint Protection rileva un virus o un rischio per la sicurezza, per impostazione predefinita notifica la rilevazione. Per non visualizzare l avviso, l'utente o l'amministratore può configurare il client per la gestione automatica dei rischi. La protezione antivirus e antispyware fornisce scansioni basate su firme ed include quanto segue: Scansioni Auto-Protect Auto-Protect viene eseguito costantemente e assicura la protezione del computer in tempo reale mediante il monitoraggio del computer. Auto-Protect cerca i virus e i rischi per la sicurezza quando un file viene eseguito o aperto. Cerca inoltre i virus e rischi per la sicurezza quando si apportano modifiche a un file. Ad esempio, è possibile rinominare, salvare, spostare o copiare un file tra cartelle. Scansioni pianificate, all'avvio e su richiesta

41 Introduzione a Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer 41 L'utente o l'amministratore può configurare altre scansioni da eseguire nel computer. Queste scansioni cercano firme di virus residue in file infetti. Cercano anche le firme dei rischi per la sicurezza nei file e nelle informazioni di sistema infettati. L'utente o l'amministratore può avviare le scansioni per controllare sistematicamente che nei file del computer non siano presenti virus e rischi per la sicurezza. I rischi per la sicurezza potrebbero includere adware o spyware. Informazioni sulla protezione dalle minacce di rete Il client Symantec Endpoint Protection fornisce un firewall personalizzabile che protegge il computer dall'intrusione e dall'uso improprio se nocivo o involontario. Rileva e identifica le scansioni note delle porte e altri attacchi comuni. A sua volta, il firewall autorizza o blocca selettivamente i vari servizi di rete, applicazioni, porte e componenti. Comprende diversi tipi di regole firewall di protezione e di impostazioni di sicurezza che consentono di proteggere i computer client dal traffico di rete che può causare danni. La protezione dalle minacce di rete fornisce un firewall e firme di prevenzione delle intrusioni che impediscono gli attacchi di intrusioni e il contenuto nocivo. Il firewall autorizza o blocca il traffico in base a vari criteri. Le regole firewall determinano se il computer autorizza o blocca un'applicazione o un servizio in entrata o in uscita che cerca di accedere al computer attraverso la connessione di rete. Le regole firewall autorizzano o bloccano sistematicamente le applicazioni in entrata o in uscita nonché il traffico proveniente da o diretto a indirizzi IP e porte specifici. Le impostazioni di sicurezza rilevano e identificano gli attacchi comuni, inviano messaggi di dopo un attacco, visualizzano messaggi personalizzabili ed effettuano altre attività di sicurezza correlate. Informazioni sulla protezione proattiva dalle minacce La protezione proattiva dalle minacce include le scansioni proattive delle minacce TruScan, che assicurano che il computer sia protetto dagli attacchi zero-day di minacce sconosciute. Queste scansioni utilizzano l'euristica per analizzare la struttura del programma, il relativo comportamento e altri attributi alla ricerca di caratteristiche simili a virus. In molti casi può proteggere dalle minacce rappresentate dai worm di distribuzione di massa e dai virus delle macro. È possibile trovare worm e virus delle macro prima di aggiornare le definizioni dei rischi per la sicurezza e dei virus. Le scansioni proattive delle minacce cercano minacce basate su script in formato HTML, VBScript e JavaScript. Le scansioni proattive delle minacce rilevano anche applicazioni commerciali che possono essere utilizzate per scopi nocivi. Queste applicazioni commerciali includono i programmi di controllo remoti o i keylogger.

42 42 Introduzione a Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer È possibile configurare le scansioni proattive delle minacce per la messa in quarantena delle minacce rilevate. È possibile ripristinare manualmente gli elementi che sono stati messi in quarantena durante le scansioni. Il client può anche ripristinare automaticamente gli elementi in quarantena.

43 Capitolo 5 Principi fondamentali del client Symantec Endpoint Protection Il capitolo contiene i seguenti argomenti: Informazioni sui virus e i rischi per la sicurezza Risposta del client a virus e rischi per la sicurezza Attivazione e disattivazione dei componenti di protezione Utilizzo del client con Centro sicurezza PC Windows Pausa e posticipo delle scansioni Informazioni sui virus e i rischi per la sicurezza Il client di Symantec Endpoint Protection può eseguire la scansione per i virus e i rischi per la sicurezza, quali spyware o adware. Tali rischi possono mettere il computer, così come una rete, a rischio. Le scansioni antivirus e antispyware rilevano anche rootkit di livello kernel. I rootkit sono tutti i programmi che cercano di nascondersi dal sistema operativo del computer e potrebbero essere utilizzati per attività nocive. Per impostazione predefinita tutte le scansioni antivirus e antispyware, incluse le scansioni di Auto-Protect, ricercano virus, Trojan horse, worm e tutte le categorie di rischi per la sicurezza. La Tabella 5-1 descrive i tipi di virus e di rischi per la sicurezza.

44 44 Principi fondamentali del client Symantec Endpoint Protection Informazioni sui virus e i rischi per la sicurezza Tabella 5-1 Virus e rischi per la sicurezza Rischio Virus Descrizione Codice o programmi che creano una copia di sé stessi e la associano a un altro programma o documento durante l'esecuzione. Quando viene eseguito un programma infetto o si apre un documento contenente un virus delle macro, il programma contenente il virus si attiva. Il virus può quindi propagarsi ad altri programmi e documenti. Generalmente, i virus recapitano un carico detto "payload", come la visualizzazione di un messaggio in una determinata data. Alcuni virus danneggiano in modo specifico i dati alterando programmi, eliminando file o riformattando dischi. Bot nocivi per Internet Worm Trojan horse Minacce di tipo misto o blended Adware Programmi che eseguono attività automatizzate in Internet per scopi nocivi. I bot possono essere utilizzati per automatizzare gli attacchi ai computer o per raccogliere informazioni dai siti Web. Programmi che si replicano senza infettare altri programmi. Alcuni worm si diffondono copiando sé stessi da disco a disco, mentre altri si replicano solo nella memoria rallentando la velocità del computer. Programmi contenenti codice mascherato o nascosto, ad esempio in giochi o utilità apparentemente normali. Minacce che combinano le caratteristiche di virus, worm, Trojan horse per individuare le vulnerabilità di server e Internet e avviare, trasmettere o diffondere un attacco. Le minacce blended usano metodi e tecniche diverse per diffondersi rapidamente e causare danni diffusi nella rete. Programmi stand-alone o aggiunti in grado di raccogliere segretamente informazioni personali tramite Internet e inviarle a un altro computer. Gli adware possono registrare le abitudini di navigazione degli utenti e inviare contenuti pubblicitari. Gli adware vengono scaricati dai siti Web, in genere come shareware o freeware, ad insaputa degli utenti oppure inviati con messaggi di o da software di messaggistica immediata. Spesso un adware viene scaricato inavvertitamente accettando un Contratto di licenza per l'utente finale da un programma di software. Dialer Strumenti di hacking Programmi che utilizzano un computer, senza autorizzazione dell'utente o a sua insaputa, per collegarsi, tramite Internet, a un numero a pagamento o a un sito FTP e addebitare le spese telefoniche. Programmi utilizzati da un hacker per ottenere l'accesso non autorizzato al computer dell'utente. Ad esempio, uno strumento di hacking è un programma che controlla la pressione dei tasti, tiene traccia delle singole battute e le registra per inviarle all'hacker, che può quindi eseguire scansioni sulle porte o ricercare i punti vulnerabili. Gli strumenti di hacking possono inoltre essere utilizzati per creare virus.

45 Principi fondamentali del client Symantec Endpoint Protection Informazioni sui virus e i rischi per la sicurezza 45 Rischio Programmi scherzo Altro Programmi di accesso remoto Spyware Descrizione Programmi che alterano o interrompono il funzionamento di un computer in modo sorprendente o preoccupante. Ad esempio, è possibile che da un sito Web, da un messaggio di o da un programma di messaggistica immediata venga scaricato un programma di questo tipo Può quindi allontanare il cestino dal mouse quando l'utente cerca di eliminarlo. Può inoltre far sì che i clic del mouse ottengano l'effetto opposto. Qualsiasi altra categoria di rischi per la sicurezza che non corrisponde alle definizioni precise di virus, Trojan horse, worm, o di altre categorie di rischi per la sicurezza. Programmi che consentono l'accesso tramite Internet da un altro computer, al fine di raccogliere informazioni, o di attaccare o alterare il computer di un utente. È possibile che si installi un programma legittimo di accesso remoto. Un processo può installare questo tipo di applicazione all'insaputa dell'utente. Il programma può quindi essere utilizzato per fini pericolosi con o senza la modifica del programma originale di accesso remoto. Programmi stand-alone in grado di controllare segretamente l'attività del sistema, rilevare password e altre informazioni riservate e inviarle a un altro computer. Gli spyware vengono scaricati dai siti Web, in genere come shareware o freeware, ad insaputa degli utenti oppure inviati con messaggi di o da software di messaggistica immediata. Spesso uno spyware viene scaricato inavvertitamente accettando un Contratto di licenza per l'utente finale da un programma di software. Trackware Applicazioni stand-alone o aggiunte che tengono traccia del percorso di navigazione di un utente su Internet e inviano le informazioni al sistema di destinazione. Ad esempio, è possibile che da un sito Web, da un messaggio di o da un programma di messaggistica immediata venga scaricata un'applicazione che raccoglie informazioni riservate sul comportamento dell'utente. Per impostazione predefinita, le scansioni antivirus e antispyware fanno quanto segue: Rilevano, rimuovono e riparano gli effetti distruttivi di virus, worm, Trojan horse e minacce di tipo blended. Rilevano, rimuovono e riparano gli effetti distruttivi dei rischi per la sicurezza quali adware, dialer, strumenti di hacking, programmi scherzo, programmi di accesso remoto, spyware, trackware e altri. Sul sito Web di Symantec Security Response sono disponibili informazioni aggiornate sulle minacce e sui rischi per la sicurezza. Il sito contiene inoltre esaurienti informazioni di riferimento, ad esempio white paper e informazioni dettagliate sui virus e i rischi per la sicurezza. La Figura 5-1 mostra informazioni relative a uno strumento di hacking e su come Symantec Security Response suggerisce di gestirlo.

46 46 Principi fondamentali del client Symantec Endpoint Protection Risposta del client a virus e rischi per la sicurezza Figura 5-1 Descrizione dei rischi per la sicurezza di Symantec Security Response Risposta del client a virus e rischi per la sicurezza Il client protegge i computer da virus e rischi per la sicurezza indipendentemente dalla loro origine. I computer vengono protetti dai virus e dai rischi per la sicurezza che si diffondono tramite i dischi rigidi, i dischi floppy e altri elementi che prevedono l'utilizzo delle reti. I computer sono protetti anche dai virus e dai rischi per la sicurezza che si diffondono tramite gli allegati dei messaggi o in altri modi. Ad esempio, un rischio per la sicurezza può autoinstallarsi sul computer all'insaputa dell'utente quando questi accede a Internet.

47 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione 47 I file all'interno di altri file compressi vengono analizzati e ripuliti da virus e rischi per la sicurezza. Non sono necessari altri programmi o modifiche alle opzioni per i virus provenienti da Internet. Auto-Protect esegue automaticamente la scansione dei file di documento e di programma non compressi quando vengono scaricati. Quando il client rileva un virus, per impostazione predefinita cerca di pulire il virus dal file infetto. Il client cerca anche di riparare gli effetti del virus. Se il client pulisce il file, il rischio viene completamente rimosso dal computer. Se il client non può pulire il file, il file infetto viene messo in quarantena. Il virus non può diffondersi dall'area di quarantena. Quando il computer viene aggiornato con le nuove definizioni virus, il client verifica automaticamente l'area di quarantena. È possibile sottoporre di nuovo a scansione gli elementi nell'area di quarantena. Le definizioni più recenti potrebbero pulire o riparare i file precedentemente messi in quarantena. Nota: è possibile che l'amministratore scelga di eseguire automaticamente la scansione dei file nell'area di quarantena. Per impostazione predefinita, in presenza di rischi per la sicurezza il client mette in quarantena i file infetti. Il client ripristina anche lo stato precedente delle informazioni di sistema modificate dal rischio per la sicurezza. Alcuni rischi per la sicurezza non possono essere rimossi completamente senza causare il malfunzionamento di un altro programma presente sul computer, ad esempio un browser Web. Le impostazioni antivirus e antispyware potrebbero non essere in grado di gestire automaticamente il rischio. In quel caso, il client richiede la conferma dell'utente prima di interrompere un processo o riavviare il computer. In alternativa, è possibile impostare solo l'azione di registrazione per i rischi per la sicurezza. Quando il software client rileva un rischio per la sicurezza, include un collegamento a Symantec Security Response nella finestra di scansione. Nel sito Web di Symantec Security Response è possibile ottenere ulteriori informazioni relative a tale rischio per la sicurezza. L'amministratore di sistema può inoltre inviare un messaggio personalizzato. Attivazione e disattivazione dei componenti di protezione È possibile attivare o disattivare le protezioni nel computer. Se una o più protezioni sono disattivate, la barra di stato nella parte superiore della pagina di stato indica che la protezione è disattivata. È possibile fare clic

48 48 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione sull'opzione Correggi per attivare tutte le protezioni disattivate o attivare separatamente le singole protezioni. Attivazione e disattivazione della protezione antivirus e antispyware Se le impostazioni predefinite delle opzioni non sono state modificate, Auto-Protect viene caricato all'avvio del computer in modo da proteggerlo da virus e rischi per la sicurezza. Auto-Protect controlla i programmi per il virus e i rischi per la sicurezza mentre vengono eseguiti. Esegue inoltre il monitoraggio di eventuali attività che possono indicare la presenza di virus o rischi per la sicurezza. Quando viene rilevato un virus, un'attività simile a virus (un evento che potrebbe essere il risultato dell'attività di un virus) o un rischio per la sicurezza, l'utente riceve un avviso da Auto-Protect. È possibile attivare o disattivare Auto-Protect per i file e i processi oppure per i messaggi di Internet e per le applicazioni di groupware. Negli ambienti gestiti, l'amministratore può bloccare queste impostazioni. Casi in cui può risultare utile disattivare Auto-Protect In alcuni casi è possibile che venga segnalata un'attività simile a virus che l'utente riconosce come non pericolosa. Per esempio, è possibile ricevere un avviso quando si installano nuove applicazioni. Se si prevede di installare altre applicazioni, per fare in modo che gli avvisi non vengano visualizzati è possibile disattivare temporaneamente Auto-Protect. Assicurarsi di riattivarlo al termine dell'operazione in modo da garantire la protezione del computer. Se si disattiva Auto-Protect, altri tipi di scansioni (pianificate o di avvio) vengono comunque eseguite se sono state configurate dall'utente o dall'amministratore. L'amministratore può bloccare completamente la disattivazione Auto-Protect. In alternativa, l'amministratore può specificare che è possibile disattivare temporaneamente Auto-Protect, ma che Auto-Protect verrà riattivato automaticamente dopo un periodo di tempo specificato. Informazioni su Auto-Protect e lo stato della protezione antivirus e antispyware Le impostazioni di Auto-Protect determinano lo stato della protezione antivirus e antispyware nel client e nell'area di notifica di Windows. Quando qualsiasi tipo di Auto-Protect è disattivato, lo stato della protezione antivirus e antispyware appare in rosso nella pagina di stato. L'icona di client compare come uno scudo completo nella barra delle applicazioni, nell'angolo inferiore destro del desktop di Windows. In alcune configurazioni,

49 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione 49 l'icona non compare. Quando si fa clic con il pulsante destro del mouse sull'icona, un segno di spunta compare accanto a Attiva Auto-Protect se Auto-Protect per i file e i processi è attivato. Quando si disattiva Auto-Protect per i file e i processi, l'icona del client appare come un segno universale, un cerchio rosso con una barra diagonale. Un puntino verde compare nell'icona quando è attivato Auto-Protect per file system, anche se Auto-Protect per l' è disattivato. Attivazione o disattivazione di Auto-Protect per file system È possibile attivare o disattivare il monitoraggio di Auto-Protect per file system a meno che l'amministratore blocchi l'impostazione. Per attivare o disattivare Auto-Protect per file system dalla barra delle applicazioni Nel desktop di Windows, nell'area di notifica, fare clic con il pulsante destro del mouse sull'icona del client e quindi eseguire una delle seguenti operazioni: Fare clic su Attiva Symantec Endpoint Protection. Fare clic su Disattiva Symantec Endpoint Protection. Per attivare o disattivare Auto-Protect per file system dal client Nel client, nella pagina Stato, accanto a Protezione antivirus e antispyware, eseguire una delle seguenti operazioni: Fare clic su Opzioni > Attiva protezione antivirus e antispyware. Fare clic su Opzioni > Disattiva protezione antivirus e antispyware. Attivazione o disattivazione di Auto-Protect per l' È possibile attivare o disattivare Auto-Protect per l' di Internet, di Microsoft Outlook o di Lotus Notes. L'amministratore potrebbe bloccare queste impostazioni. Per attivare o disattivare Auto-Protect per l' 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Eseguire una delle seguenti operazioni: Nella scheda Auto-Protect per l' Internet, selezionare o deselezionare Attiva Auto-Protect per l' Internet. Nella scheda Auto-Protect per Outlook, selezionare o deselezionare Attiva Auto-Protect per Microsoft Outlook.

50 50 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione Nella scheda Auto-Protect per Notes, selezionare o deselezionare Attiva Auto-Protect per Lotus Notes. 4 Fare clic su OK. Attivazione e disattivazione della protezione dalle minacce di rete In alcuni casi può essere opportuno disattivare la protezione dalle minacce di rete. Ad esempio, è possibile che si desideri installare un'applicazione che potrebbe essere bloccata dal client. L'amministratore può avere impostato i seguenti limiti su quando e per quanto tempo è possibile disattivare la protezione: Il client autorizza tutto il traffico o solo il traffico in uscita. Durata della disattivazione della protezione. Quante volte è possibile disattivare la protezione prima di riavviare il client. Se l'utente può disattivare la protezione, può riattivarla in qualunque momento. L'amministratore può anche attivare e disattivare la protezione in qualunque momento, anche se questa operazione sovrascrive lo stato impostato per la protezione dall'utente. Vedere "Informazioni sulla gestione della protezione della rete dalle minacce" a pagina 111. Vedere "Blocco e sblocco di un computer autore dell'attacco" a pagina 134. Per attivare o disattivare la protezione dalle minacce di rete Nel client, nella pagina Stato, accanto a Protezione della rete dalle minacce, eseguire una di seguenti azioni: Fare clic su Opzioni> Attiva protezione dalle minacce di rete. Fare clic su Opzioni> Disattiva protezione dalle minacce di rete. Attivazione o disattivazione della protezione proattiva dalle minacce La protezione proattiva dalle minacce è attivata quando sono attivate entrambe le impostazioni Ricerca Trojan e worm e Ricerca keylogger. Se una delle due impostazioni è disattivata, il client indica lo stato di protezione proattiva contro le minacce come disattivato. Vedere "Informazioni sulle scansioni proattive delle minacce TruScan" a pagina 99. Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare clic su?.

51 Principi fondamentali del client Symantec Endpoint Protection Utilizzo del client con Centro sicurezza PC Windows 51 Per attivare o disattivare la protezione proattiva dalle minacce Nel client, nella pagina Stato, accanto a Protezione proattiva dalle minacce, eseguire una delle seguenti operazioni: Fare clic su Opzioni > Attiva protezione proattiva dalle minacce. Fare clic su Opzioni > Disattiva protezione proattiva dalle minacce. Utilizzo del client con Centro sicurezza PC Windows Se si utilizza Centro sicurezza PC Windows (WSC) in Windows XP con Service Pack 2 per monitorare lo stato della sicurezza, è possibile visualizzare lo stato di Symantec Endpoint Protection in WSC. Nella Tabella 5-2 è incluso un reporting sullo stato della protezione in Centro sicurezza PC Windows. Tabella 5-2 Reporting sullo stato della protezione in Centro sicurezza PC Windows Condizione del prodotto Symantec Symantec Endpoint Protection non è installato Symantec Endpoint Protection è installato con protezione completa Symantec Endpoint Protection è installato ma le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec Endpoint Protection è installato ma Auto-Protect del file system non è attivato Symantec Endpoint Protection è installato, Auto-Protect del file system non è attivato e le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec Endpoint Protection è installato e Rtvscan è stato disattivato manualmente Stato della protezione NON TROVATO (rosso) ATTIVATO (verde) NON AGGIORNATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) Nella Tabella 5-3 è incluso un reporting sullo stato del firewall Symantec Endpoint Protection in Centro sicurezza PC Windows.

52 52 Principi fondamentali del client Symantec Endpoint Protection Pausa e posticipo delle scansioni Tabella 5-3 Reporting dello stato del firewall in Centro sicurezza PC Windows Condizione del prodotto Symantec Il firewall Symantec non è installato Il firewall Symantec è installato e attivato Il firewall Symantec è installato ma non attivato Il firewall Symantec non è installato o attivato, ma è installato e attivato un firewall di terze parti Stato del firewall NON TROVATO (rosso) ATTIVATO (verde) DISATTIVATO (rosso) ATTIVATO (verde) Nota: in Symantec Endpoint Protection, Windows Firewall è disattivato per impostazione predefinita. Se esistono più firewall attivati, Centro sicurezza PC riferisce che sono installati e attivati più firewall. Pausa e posticipo delle scansioni La funzione Pausa consente di sospendere in qualsiasi momento una scansione e di riprenderla successivamente. È possibile sospendere qualsiasi scansione avviata. L'amministratore di rete determina se l'utente può sospendere una scansione pianificata dall'amministratore stesso. Per le scansioni pianificate avviate dall'amministratore di rete, è anche possibile che l'utente sia autorizzato a posticipare la scansione. Se l'amministratore ha attivato la funzione di posticipo, è possibile ritardare una scansione pianificata dall'amministratore per un determinato intervallo di tempo. Quando viene ripresa l'esecuzione, la scansione viene riavviata dall'inizio. Sospendere la scansione per riattivarla dopo un'interruzione temporanea. Utilizzare la funzione di posticipo per ritardare la scansione di un periodo più lungo. Seguire le seguenti procedure per interrompere una scansione che l'utente o l'amministratore ha avviato. Se il pulsante Sospendi la scansione non è disponibile, l'amministratore di rete ha disattivato la funzione di pausa. Nota: se si sospende una scansione mentre è in corso la scansione di un file compresso, potrebbero essere necessari parecchi minuti per rispondere alla richiesta di pausa.

53 Principi fondamentali del client Symantec Endpoint Protection Pausa e posticipo delle scansioni 53 Per sospendere una scansione 1 Durante l'esecuzione della scansione, nella finestra di dialogo della scansione fare clic sull'icona di pausa. Se la scansione è stata avviata dall'utente, essa si arresta nel punto raggiunto e la finestra di dialogo di scansione rimane aperta fino a quando la scansione non viene riavviata. Se la scansione è stata avviata dall'amministratore, viene visualizzata la finestra di dialogo Pausa scansione pianificata. 2 Nella finestra di dialogo Pausa scansione pianificata, fare clic su Pausa. La scansione pianificata dall'amministratore viene interrotta e la finestra di dialogo di scansione rimane visualizzata finché non viene riavviata la scansione. 3 Nella finestra di dialogo di scansione, fare clic sull'icona di avvio per continuare la scansione.