Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

Transcript

1 Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

2 Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Il software descritto nel presente manuale viene fornito in conformità a un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Versione della documentazione: Note legali Copyright 2008 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton e TruScan sono marchi o marchi registrati di Symantec Corporation o delle relative consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi commerciali dei rispettivi proprietari. Questi prodotti Symantec possono contenere software di terze parti per cui Symantec deve riportare l'attribuzione a tali terze parti ("Programmi di terze parti"). Alcuni dei Programmi di terze parti sono disponibili con licenze Open Source o software gratuito. Il presente Contratto di licenza non altera in alcun modo i diritti e gli obblighi previsti da tali licenze Open Source o di software gratuito. Per ulteriori informazioni sui Programmi di terze parti, vedere l'appendice dedicata alle note legali per terze parti della presente documentazione oppure leggere il file Leggimi TPIP fornito insieme al presente prodotto Symantec. Il prodotto descritto nel presente documento è distribuito in base alle condizioni di una licenza che ne limita l'utilizzo, la copia, la distribuzione e la decompilazione/decodificazione. È vietato riprodurre qualsiasi parte di questo documento tramite qualsiasi mezzo senza previo consenso scritto di Symantec Corporation e dei suoi eventuali concessori di licenza. LA DOCUMENTAZIONE È FORNITA "TAL QUALE" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, ASSICURAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UN PARTICOLARE SCOPO E INVIOLABILITÀ, SONO ESCLUSE, SALVO PER LE CLAUSOLE VESSATORIE. SYMANTEC CORPORATION NON SARÀ RESPONSABILE PER ALCUN TIPO DI DANNO INCIDENTALE O CONSEQUENZIALE COLLEGATO ALLA CONSEGNA, ALLE PRESTAZIONI O ALL'UTILIZZO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NELLA PRESENTE DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO. Il software fornito in licenza e la documentazione sono da ritenersi un software commerciale per computer come definito in FAR e soggetti a diritti limitati, come definito nella sezione FAR "Commercial Computer Software - Restricted Rights" e DFARS , "Rights in Commercial Computer Software or Commercial Computer Software Documentation", ove applicabile, e ogni regolamentazione successiva. Ogni utilizzo, modifica, versione per la riproduzione, prestazione, visualizzazione o divulgazione del software fornito in licenza e della documentazione da parte del governo degli Stati Uniti dovranno essere conformi ai termini del presente accordo.

3 Symantec Corporation Stevens Creek Blvd. Cupertino, CA 95014, Stati Uniti d'america.

4

5 Sommario Sezione 1 Introduzione Capitolo 1 Presentazione del client Symantec Informazioni sul client Informazioni sui client gestiti e non gestiti Informazioni sull'icona dell'area di notifica Aggiornamento costante della protezione del computer Informazioni sul ruolo di Symantec Security Response Aggiornamento della protezione sui client gestiti Aggiornamento della protezione sui client non gestiti Informazioni sulle politiche di sicurezza Aggiornamento della politica di sicurezza Dove ottenere ulteriori informazioni Accesso alla Guida in linea Accesso al sito Web di Symantec Security Response Capitolo 2 Risposta al client Informazioni sull'interazione del client Interventi sui file infetti Informazioni sui danni causati dai virus Informazioni sulle notifiche e gli avvisi Risposta alle notifiche relative alle applicazioni Risposta agli avvisi di sicurezza Risposta alle notifiche di Network Access Control Capitolo 3 Gestione del client Informazioni su LiveUpdate Esecuzione di LiveUpdate a intervalli pianificati Esecuzione manuale di LiveUpdate Verifica della sicurezza del computer Informazioni sulle posizioni Modifica delle posizioni Informazioni sulla protezione contro le manomissioni... 35

6 6 Sommario Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Sezione 2 Symantec Endpoint Protection Capitolo 4 Introduzione a Symantec Endpoint Protection Informazioni su Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer Informazioni sulla protezione antivirus e antispyware Informazioni sulla protezione dalle minacce di rete Informazioni sulla protezione proattiva dalle minacce Capitolo 5 Capitolo 6 Principi fondamentali del client Symantec Endpoint Protection Informazioni sui virus e i rischi per la sicurezza Risposta del client a virus e rischi per la sicurezza Attivazione e disattivazione dei componenti di protezione Attivazione e disattivazione della protezione antivirus e antispyware Attivazione e disattivazione della protezione dalle minacce di rete Attivazione o disattivazione della protezione proattiva dalle minacce Utilizzo del client con Centro sicurezza PC Windows Pausa e posticipo delle scansioni Gestione della protezione antivirus e antispyware Informazioni sulla protezione antivirus e antispyware Informazioni sulla scansione dei file Rilevazione di un virus o un rischio per la sicurezza da parte del client di Symantec Endpoint Protection Informazioni su Auto-Protect Informazioni su Auto-Protect e i rischi per la sicurezza Informazioni su Auto-Protect e la scansione Disattivazione della gestione di connessioni crittografate da parte di Auto-Protect Visualizzazione delle statistiche di scansione di Auto-Protect Visualizzazione dell'elenco dei rischi... 64

7 Sommario 7 Configurazione di Auto-Protect per determinare i tipi di file Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza da parte di Auto-Protect Configurazione delle impostazioni di scansione della rete Utilizzo delle scansioni antivirus e antispyware Rilevazione di virus e rischi per la sicurezza da parte del client Symantec Endpoint Protection Informazioni sui file delle definizioni Informazioni sulla scansione di file compressi Avvio delle scansioni su richiesta Configurazione della scansione antivirus e antispyware Creazione di scansioni pianificate Creazione di scansioni su richiesta e all'avvio Modifica ed eliminazione delle scansioni all'avvio, definite dall utente e pianificate Interpretazione dei risultati della scansione Informazioni sull'interazione con i valori della scansione o i risultati di Auto-Protect Invio di informazioni sulle scansioni antivirus e antispyware a Symantec Security Response Configurazione delle azioni relative a virus e rischi per la sicurezza Suggerimenti sull'assegnazione delle azioni secondarie per i virus Suggerimenti sull'assegnazione delle azioni secondarie per i rischi per la sicurezza Informazioni sulla valutazione dell'impatto dei rischi Configurazione delle notifiche relative a virus e rischi per la sicurezza Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware Informazioni sulla quarantena Informazioni sui file infettati in quarantena Informazioni sulla gestione dei file infetti in quarantena Informazioni sulla gestione di file minacciati da rischi per la sicurezza Gestione della quarantena Visualizzazione dei file e dei relativi dettagli nella quarantena Ripetizione della scansione dei file in quarantena Quando un file riparato non può essere ripristinato nella posizione originale Cancellazione di elementi di backup... 96

8 8 Sommario Eliminazione di file dalla quarantena Eliminazione automatica di file dalla quarantena Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi Capitolo 7 Capitolo 8 Gestione della protezione proattiva contro le minacce Informazioni sulle scansioni proattive delle minacce TruScan Processi e applicazioni esaminati da Scansioni proattive delle minacce TruScan Informazioni sulle eccezioni per le scansioni proattive delle minacce TruScan Informazioni sulle rilevazioni della scansione proattiva delle minacce TruScan Informazioni su come comportarsi con i falsi positivi Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan Gestione delle rilevazioni proattive delle minacce TruScan Impostazione dell'azione per la rilevazione delle applicazioni commerciali Impostazione delle azioni e dei livelli di sensibilità per rilevare Trojan horse, worm e keylogger Configurazione dei tipi di processi rilevati dalle scansioni proattive delle minacce TruScan Configurazione delle notifiche per le rilevazioni tramite scansioni proattive delle minacce TruScan Invio delle informazioni sulle scansioni proattive delle minacce TruScan a Symantec Security Response Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce Modalità di protezione del client contro gli attacchi provenienti dalla rete Visualizzazione dell'attività di rete Configurazione del firewall Informazioni sulle regole firewall Aggiunta di regole Modifica dell'ordine delle regole

9 Sommario 9 Attivazione e disattivazione delle regole Esportazione e importazione di regole Modifica ed eliminazione di regole Attivazione delle impostazioni del traffico e dello stealth di esplorazione Web Attivazione dei filtri del traffico intelligenti Attivazione della condivisione di file e stampanti in rete Blocco del traffico Configurazione delle impostazioni di prevenzione delle intrusioni Configurazione delle notifiche di prevenzione delle intrusioni Blocco e sblocco di un computer autore dell'attacco Configurazione delle impostazioni specifiche dell'applicazione Rimozione delle limitazioni da un'applicazione Sezione 3 Symantec Network Access Control Capitolo 9 Principi fondamentali di Symantec Network Access Control Informazioni su Symantec Network Access Control Funzionamento di Symantec Network Access Control Informazioni sull'aggiornamento della politica di integrità dell'host Controllo di integrità dell'host Risoluzione dei problemi del computer Visualizzazione dei registri di Symantec Network Access Informazioni sui moduli di applicazione Enforcer Configurazione del client per l'autenticazione 802.1x Riautenticazione del computer Sezione 4 Monitoraggio e registrazione Capitolo 10 Utilizzo e gestione dei registri Informazioni sui registri Visualizzazione dei registri e dei dettagli del registro Filtro delle viste del registro Gestione della dimensione del registro Configurazione dei tempi di mantenimento delle voci dei registri di protezione antivirus e antispyware e di protezione proattiva dalle minacce

10 10 Sommario Configurazione della dimensione dei registri di protezione della rete dalle minacce e dei registri di gestione client Configurazione del tempo di mantenimento per le voci del registro di protezione della rete dalle minacce e le voci del registro di gestione client Informazioni sull'eliminazione del contenuto del registro sistema della protezione antivirus e antispyware Eliminazione del contenuto dei registri di protezione dalle minacce di rete e dei registri di gestione client Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client Aggiornamento dei registri di protezione dalle minacce di rete e dei registri di gestione client Attivazione del registro pacchetti Interruzione della risposta attiva Back trace degli eventi registrati all'origine Utilizzo dei registri di gestione dei client con Symantec Network Access Control Esportazione dei dati dei registri Indice

11 Sezione 1 Introduzione Presentazione del client Symantec Risposta al client Gestione del client

12 12

13 Capitolo 1 Presentazione del client Symantec Il capitolo contiene i seguenti argomenti: Informazioni sul client Aggiornamento costante della protezione del computer Informazioni sulle politiche di sicurezza Dove ottenere ulteriori informazioni Informazioni sul client Symantec produce due prodotti per la sicurezza endpoint che possono essere utilizzati insieme o separatamente: Symantec Endpoint Protection e Symantec Network Access Control. Nel computer in uso sono stati installati uno o entrambi i prodotti software client Symantec. Se il client è stato installato dall'amministratore, i prodotti da attivare sul client sono stati specificati dallo stesso. Nota: se è stato installato soltanto uno di questi prodotti sul computer, il nome di tale prodotto compare nella barra del titolo. Quando entrambi i tipi di protezione sono attivati, sulla barra del titolo compare Symantec Endpoint Protection. Symantec Endpoint Protection protegge il computer dalle minacce e dai rischi per la sicurezza di Internet. Può effettuare le seguenti azioni: Sottoporre a scansione il computer alla ricerca di virus, minacce note e rischi per la sicurezza.

14 14 Presentazione del client Symantec Informazioni sul client Monitorare le porte alla ricerca di firme di attacco note. Monitorare i programmi in esecuzione sul computer alla ricerca di comportamenti sospetti. Vedere "Informazioni su Symantec Endpoint Protection" a pagina 39. Symantec Network Access Control assicura che le impostazioni di sicurezza del computer siano conformi alle politiche di rete. Le impostazioni di sicurezza possono comprendere le impostazioni del software, della configurazione del software, dei file delle firme, delle patch o di altri elementi. Vedere "Informazioni su Symantec Network Access Control" a pagina 141. Informazioni sui client gestiti e non gestiti L'amministratore del prodotto Symantec può installare il client come client non gestito o come client gestito dall'amministratore. Per client non gestito si intende un client Symantec di cui l'amministratore non controlla le impostazioni e le azioni. Nei client non gestiti l'utente controlla tutte le impostazioni e le azioni. In un ambiente gestito, l'amministratore utilizza Symantec Endpoint Protection Manager per monitorare, configurare e aggiornare a distanza il client. Tale server di gestione consente all'amministratore di determinare la misura in cui l'utente controlla le impostazioni e le azioni del client. Il client accede al server di gestione per determinare l'eventuale disponibilità di nuove informazioni o aggiornamenti di politica. In un ambiente gestito potrebbe non essere possibile visualizzare tutti i componenti del client o accedervi. I componenti visibili e le azioni disponibili nel client dipendono dal livello di accesso che l'amministratore ha assegnato al computer. La disponibilità delle impostazioni del client e i relativi valori possono cambiare periodicamente. Ad esempio, è possibile che un'impostazione venga modificata quando l'amministratore aggiorna la politica che controlla la protezione del client. In tutti gli ambienti il client visualizza richieste di informazioni e domande a cui è necessario rispondere. Vedere "Informazioni sull'interazione del client" a pagina 23. Informazioni sull'icona dell'area di notifica Il client utilizza un'icona dell'area di notifica per indicare se il client è on-line o non in linea e se il computer client è protetto adeguatamente. È possibile fare clic con il pulsante destro del mouse su questa icona per visualizzare i comandi utilizzati di frequente. L'icona è situata nell'angolo inferiore destro del desktop.

15 Presentazione del client Symantec Informazioni sul client 15 Nota: nei client gestiti, questa icona non compare se l'amministratore l'ha configurata in modo che non sia disponibile. In Tabella 1-1 sono visualizzate le icone di stato del client Symantec Endpoint Protection. Tabella 1-1 Icona Icone di stato di Symantec Endpoint Protection Descrizione Il client viene eseguito senza problemi. È non in linea o non gestito. I client non gestiti non sono connessi a un server di gestione. Il client viene eseguito senza problemi. È connesso a e comunica con il server di gestione. Tutti i componenti della politica di sicurezza proteggono il computer. L'icona ha l'aspetto di un puntino verde. Il client ha un problema relativamente importante. Per esempio, le definizioni antivirus possono essere obsolete. L'icona ha l'aspetto di un puntino giallo con un punto esclamativo nero. Il client non viene eseguito, presenta un problema importante o almeno un componente di protezione della politica di sicurezza è disattivato. Per esempio, la protezione antivirus e antispyware può essere disattivata. L'icona ha l'aspetto di un puntino bianco con un contorno rosso e una riga rossa in mezzo. In Tabella 1-2 sono visualizzate le icone di stato del client Symantec Network Access Control. Tabella 1-2 Icona Icone di stato di Symantec Network Access Control Descrizione Il client viene eseguito senza problemi, ha superato il controllo di integrità dell'host e ha aggiornato la politica di sicurezza. È non in linea o non gestito. I client non gestiti non sono connessi a un server di gestione. Il client viene eseguito senza problemi, ha superato il controllo di integrità dell'host e ha aggiornato la politica di sicurezza. Comunica con il server di gestione. L'icona ha l'aspetto di un puntino verde. Il client non ha superato il controllo di integrità dell'host o non ha aggiornato la politica di sicurezza. L'icona ha l'aspetto di un puntino rosso con una crocetta "x" bianca.

16 16 Presentazione del client Symantec Informazioni sul client La Tabella 1-3 descrive i comandi che sono disponibili con l'icona dell'area di notifica. Tabella 1-3 Opzione Comandi dell'icona dell'area di notifica Descrizione Apri Symantec Endpoint Protection Apre la finestra principale Apri Symantec Network Access Control Aggiorna politica Riautenticazione Richiama le politiche di sicurezza più recenti dal server Nota: questo comando è disponibile soltanto sui client gestiti. Riautentica il computer client. Nota: questo comando è disponibile soltanto quando l'amministratore configura il client come supplicant 802.1x incorporato. Questo comando non è disponibile sui client Symantec Endpoint Protection. Vedere "Riautenticazione del computer" a pagina 149. Disattiva Symantec Endpoint Protection Disattiva le protezioni di cui l'amministratore ha autorizzato la disattivazione. Dopo la disattivazione del client, il testo del comando passa da "Disattiva" a "Attiva". È possibile selezionare questo comando per attivare completamente la protezione client. Come nascondere e mostrare l'icona dell'area di notifica È possibile nascondere l'icona dell'area di notifica se necessario. Per esempio, è possibile nasconderla se è necessario più spazio nella barra delle attività di Windows. Nota: nei client gestiti non è possibile nascondere l'icona dell'area di notifica se l'amministratore ha bloccato questa funzionalità.

17 Presentazione del client Symantec Aggiornamento costante della protezione del computer 17 Per nascondere l'icona dell'area di notifica 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale della finestra di dialogo Impostazioni per la gestione client, sotto Opzioni di visualizzazione, deselezionare Mostra icona di sicurezza Symantec nell'area delle notifiche. 4 Fare clic su OK. Per mostrare l'icona dell'area di notifica 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale della finestra di dialogo Impostazioni per la gestione client, sotto Opzioni di visualizzazione, selezionare Mostra icona di sicurezza Symantec nell'area delle notifiche. 4 Fare clic su OK. Aggiornamento costante della protezione del computer I tecnici Symantec tengono traccia di ogni segnalazione di contagio dei virus informatici al fine di identificarne di nuovi. Inoltre seguono le minacce di tipo misto, i rischi per la sicurezza quali gli spyware ed altre vulnerabilità che possono essere sfruttate quando il computer si connette a Internet. Dopo l'identificazione di un rischio, i tecnici creano un profilo o firma (informazioni sul rischio) e lo memorizzano in un file di definizioni. Questo file di definizioni contiene le informazioni necessarie per rilevare, eliminare e riparare gli effetti del rischio. Quando Symantec Endpoint Protection effettua le scansioni per i virus ed i rischi per la sicurezza, ricerca tali tipi di profili. Altri elementi che il client deve mantenere aggiornati sono gli elenchi dei processi consentiti e vietati e delle firme di attacco. Gli elenchi dei processi assistono le scansioni proattive delle minacce TruScan nell'identificazione del comportamento sospetto dei programmi, anche se il client non riconosce una minaccia specifica. Le firme di attacco forniscono informazioni necessarie al sistema di prevenzione delle intrusioni per mantenere il computer al sicuro dalle intrusioni.

18 18 Presentazione del client Symantec Aggiornamento costante della protezione del computer Oltre ai file di definizioni, gli elenchi di processi e le firme di attacco, il client deve aggiornare occasionalmente i propri componenti. Tali componenti possono includere il motore di protezione antivirus e antispyware, il motore di scansione proattiva delle minacce TruScan e il firewall di protezione della rete dalle minacce. Questi aggiornamenti possono consistere in riparazioni di difetti secondari o in aggiornamenti di prodotti. Symantec rende disponibili aggiornamenti periodici. Le definizioni vengono aggiornate quotidianamente nel sito Web Symantec Security Response. Sono disponibili nuove definizioni da scaricare utilizzando LiveUpdate almeno una volta la settimana e ogni volta che si presenta la minaccia di un nuovo virus distruttivo. Nota: l'amministratore può definire la frequenza dell'aggiornamento delle definizioni nel client. Vedere "Informazioni su LiveUpdate" a pagina 31. Informazioni sul ruolo di Symantec Security Response Symantec Security Response è alla base del funzionamento di Symantec Endpoint Protection. I ricercatori di Symantec Security Response analizzano la struttura di ogni campione di virus e rischio per la sicurezza per evidenziare le caratteristiche e il comportamento che consentono di identificarlo. Grazie a queste informazioni, vengono sviluppate definizioni utilizzate dai prodotti Symantec per rilevare, eliminare e riparare gli effetti di virus e rischi per la sicurezza. Data la notevole velocità con cui si diffondono i nuovi virus, Symantec Security Response ha sviluppato strumenti software di analisi automatizzata. L'invio di file infetti dal computer a Symantec Security Response riduce significativamente il tempo che va dalla rilevazione all'analisi alla cura. Inoltre i ricercatori di Symantec Security Response ricercano e producono le tecnologie per proteggere i computer da rischi per la sicurezza, quali spyware, adware e strumenti di hacking. In Symantec Security Response viene mantenuta costantemente aggiornata un'enciclopedia che include informazioni dettagliate sui virus e sui rischi per la sicurezza. Se necessario, l'enciclopedia fornisce informazioni sulla rimozione dei rischi. L'enciclopedia si trova nel sito Web di Symantec Security Response al seguente URL:

19 Presentazione del client Symantec Informazioni sulle politiche di sicurezza 19 Aggiornamento della protezione sui client gestiti L'amministratore determina la modalità di aggiornamento delle definizioni dei virus e dei rischi per la sicurezza. Potrebbe non essere necessario eseguire alcuna operazione per ricevere le nuove definizioni. L'amministratore può impostare la funzione LiveUpdate in Symantec Endpoint Protection per assicurarsi che la protezione dai virus e dai rischi per la sicurezza sia sempre aggiornata. LiveUpdate si connette a un computer che contiene gli aggiornamenti, determina se il client deve essere aggiornato, quindi scarica e installa i file adeguati. Il computer che memorizza gli aggiornamenti può essere un server Symantec Endpoint Protection Manager interno all'azienda dell'utente. In alternativa, può essere un server di Symantec LiveUpdate a cui si accede attraverso Internet. Vedere "Informazioni su LiveUpdate" a pagina 31. Aggiornamento della protezione sui client non gestiti Gli amministratori non aggiornano la protezione sui client non gestiti. È possibile aggiornare il software ed i file di definizioni usando LiveUpdate. Se il client non gestito utilizza le impostazioni predefinite di LiveUpdate, verifica l'eventuale presenza di aggiornamenti tramite un server Symantec in Internet una volta alla settimana. È possibile cambiare la frequenza con cui LiveUpdate cerca gli aggiornamenti. È anche possibile eseguire LiveUpdate manualmente se si è al corrente di un'epidemia di virus o di un'epidemia di rischi per la sicurezza. Vedere "Informazioni su LiveUpdate" a pagina 31. Informazioni sulle politiche di sicurezza Per politica di sicurezza si intende un insieme di impostazioni di sicurezza configurate e distribuite ai client dall'amministratore di un client gestito. Le politiche di sicurezza determinano le impostazioni del client, incluse le opzioni visualizzabili a cui è possibile accedere. I client gestiti sono connessi al server di gestione e ricevono automaticamente le politiche di sicurezza più recenti. In caso di difficoltà con l'accesso alla rete, l'amministratore può fornire istruzioni per eseguire l'aggiornamento manuale in base alla politica di sicurezza. Vedere "Aggiornamento della politica di sicurezza" a pagina 20.

20 20 Presentazione del client Symantec Dove ottenere ulteriori informazioni Aggiornamento della politica di sicurezza Le impostazioni che controllano la protezione sul client sono memorizzate sul computer in un file della politica. In genere questo file della politica di sicurezza si aggiorna automaticamente. Tuttavia, l'amministratore potrebbe richiedere a un utente di aggiornare la politica di sicurezza manualmente in determinate circostanze. Nota: è possibile visualizzare il registro di sistema per verificare che l'aggiornamento della politica sia stato eseguito correttamente. Vedere "Visualizzazione dei registri e dei dettagli del registro" a pagina 159. Per aggiornare la politica di sicurezza 1 Nell'area di notifica di Windows, fare clic con il pulsante destro del mouse sull'icona del client. 2 Nel menu di scelta rapida, fare clic su Aggiorna politica. Dove ottenere ulteriori informazioni Accesso alla Guida in linea Per maggiori informazioni, è possibile accedere alla Guida in linea. È possibile ottenere ulteriori informazioni sui virus ed i rischi per la sicurezza nel sito Web di Symantec Security Response al seguente URL: Il sistema di Guida in linea del client contiene informazioni generali e procedure che consentono di mantenere il computer al sicuro da virus e rischi per la sicurezza. Nota: è possibile che l'amministratore abbia preferito non installare i file della Guida in linea. Per accedere alla Guida in linea Nella finestra principale effettuare una delle seguenti operazioni: Fare clic su? & Supporto e quindi fare clic su Guida in linea. Fare clic su? in qualsiasi finestra di dialogo. La Guida sensibile al contesto è disponibile soltanto nelle schermate in cui è possibile eseguire operazioni.

21 Presentazione del client Symantec Dove ottenere ulteriori informazioni 21 Premere F1 in qualsiasi finestra. Se è disponibile contenuto della Guida contestuale per quella finestra, viene visualizzata la Guida contestuale. Se non è disponibile contenuto della Guida contestuale, viene visualizzato l'intero sistema della Guida. Accesso al sito Web di Symantec Security Response Se si è connessi a Internet, è possibile visitare il sito Web di Symantec Security Response per visualizzare i seguenti elementi: Enciclopedia dei virus, contenente informazioni su tutti i virus conosciuti Informazioni sui virus fasulli White paper sui virus e sulle minacce virali in generale Informazioni generali e dettagliate sui rischi per la sicurezza Per accedere al sito Web di Symantec Security Response, utilizzare il seguente URL: Nel browser Internet, digitare il seguente indirizzo Web:

22 22 Presentazione del client Symantec Dove ottenere ulteriori informazioni

23 Capitolo 2 Risposta al client Il capitolo contiene i seguenti argomenti: Informazioni sull'interazione del client Interventi sui file infetti Informazioni sulle notifiche e gli avvisi Informazioni sull'interazione del client Il client funziona in background per mantenere il computer sicuro da attività nocive. A volte il client deve informare in merito a un'attività o richiedere feedback. Se Symantec Endpoint Protection è attivato nel client, è possibile che si verifichino i seguenti tipi di interazione con il client: Rilevazione di virus o rischi per la sicurezza Se Auto-Protect o una scansione rileva un virus o un rischio per la sicurezza, viene visualizzata la finestra di dialogo relativa ai risultati della rilevazione di Symantec Endpoint Protection contenente i dettagli dell'infezione. Nella finestra di dialogo viene visualizzata anche l'azione che Symantec Endpoint Protection ha eseguito per il rischio. Di solito non è necessario prendere ulteriori provvedimenti se non esaminare l'attività e chiudere la finestra di dialogo. Se necessario, è tuttavia possibile intervenire. Vedere "Interventi sui file infetti" a pagina 24.

24 24 Risposta al client Interventi sui file infetti Notifiche relative alle applicazioni Quando un programma del computer cerca di accedere a una rete, Symantec Endpoint Protection potrebbe chiedere se concedere o negare il permesso. Vedere "Risposta alle notifiche relative alle applicazioni" a pagina 26. Avvisi di sicurezza Symantec Endpoint Protection informa quando blocca un programma o quando rileva un attacco contro il computer. Vedere "Risposta agli avvisi di sicurezza" a pagina 29. Se Symantec Network Access Control è attivato nel client, potrebbe venire visualizzato un messaggio di Network Access Control. Questo messaggio compare quando le impostazioni di sicurezza non si conformano agli standard che l'amministratore ha configurato. Vedere "Risposta alle notifiche di Network Access Control" a pagina 30. Interventi sui file infetti Per impostazione predefinita, Auto-Protect è sempre in esecuzione nel computer. Per i client non gestiti viene eseguita una scansione Active Scan generata automaticamente quando si avvia il computer. Per i client gestiti, l'amministratore di solito configura una scansione completa da eseguire almeno una volta ogni settimana. Auto-Protect visualizza una finestra di dialogo dei risultati quando rileva un pericolo. Quando vengono eseguite le scansioni, viene visualizzata una finestra di dialogo per mostrarne i risultati. Per i client gestiti, l'amministratore potrebbe disattivare questi tipi di notifiche. Se si ricevono questi tipi di notifiche, potrebbe essere necessario intervenire su un file infettato. Le opzioni predefinite di Auto-Protect e di tutti i tipi di scansione sono di ripulire un file infettato dal virus quando viene rilevato. Se non è possibile ripulire un file, il client registra il problema e sposta il file infettato in quarantena. La quarantena locale è una posizione speciale che è riservata ai file infetti e ai relativi effetti secondari sul sistema. Per i rischi per la sicurezza, il client mette in quarantena i file infettati e rimuove o ripara i relativi effetti secondari. Il client registra la rilevazione se non può riparare il file.

25 Risposta al client Interventi sui file infetti 25 Nota: in quarantena il virus non può diffondersi. Quando il client sposta un file in quarantena, non è possibile accedere al file. Quando Symantec Endpoint Protection ripara un file infettato da virus, non è necessario prendere ulteriori provvedimenti per proteggere il computer. Se il client mette in quarantena un file minacciato da un rischio per la sicurezza e quindi lo rimuove e lo ripara, non è necessario prendere provvedimenti supplementari. Potrebbe non essere necessario intervenire su un file ma si potrebbe desiderare di effettuare un'ulteriore operazione sul file. Ad esempio, si potrebbe decidere di eliminare un file riparato perché si preferisce sostituirlo con la versione originale del file stesso. È possibile utilizzare le notifiche per intervenire immediatamente sul file. È anche possibile utilizzare la vista del registro o la quarantena per intervenire sul file successivamente. Vedere "Interpretazione dei risultati della scansione" a pagina 78. Vedere "Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce" a pagina 165. Vedere "Informazioni sulla quarantena" a pagina 92. Per intervenire su un file infetto 1 Eseguire una delle seguenti operazioni: Nella finestra di dialogo di avanzamento della scansione, selezionare i file desiderati al termine della scansione. Nella finestra di dialogo dei risultati, selezionare i file desiderati. Nel client, nella barra laterale, fare clic su Visualizza registri e accanto a Protezione antivirus e antispyware, fare clic su Visualizza registri. Nella vista del registro, selezionare i file desiderati. 2 Fare clic con il pulsante destro del mouse sul file o sui file, quindi selezionare una delle seguenti opzioni. Si noti che, in alcuni casi, il client potrebbe non essere in grado di effettuare l'azione selezionata. Annulla azione intrapresa: annulla l'azione intrapresa. Ripulisci (solo virus): rimuove il virus dal file. Elimina definitivamente: elimina il file infetto e i relativi effetti secondari. Per i rischi per la sicurezza, utilizzare con prudenza questa azione. In alcuni casi, se si eliminano i rischi per la sicurezza è possibile che un'applicazione non funzioni più.

26 26 Risposta al client Informazioni sulle notifiche e gli avvisi Sposta in quarantena: mette i file infettati in quarantena. Per i rischi per la sicurezza, il client cerca anche di rimuovere o riparare gli effetti secondari. Proprietà: visualizza informazioni sul virus o sul rischio per la sicurezza. Informazioni sui danni causati dai virus Se Symantec Endpoint Protection trova un'infezione poco dopo che si verifica, il file infettato potrebbe essere completamente utilizzabile dopo che il client lo pulisce. In alcuni casi, tuttavia, Symantec Endpoint Protection può pulire un file infettato già danneggiato da un virus. Ad esempio, Symantec Endpoint Protection potrebbe trovare un virus che danneggia un file di documento. Symantec Endpoint Protection rimuove il virus ma non può riparare il danno all'interno del file infettato. Informazioni sulle notifiche e gli avvisi È possibile vedere vari tipi di notifiche sul computer. Queste notifiche solitamente descrivono una situazione ed indicano come il client cerca di risolvere il problema. È possibile vedere i seguenti tipi di notifiche: Notifiche relative alle applicazioni Avvisi di sicurezza Risposta alle notifiche relative alle applicazioni È possibile vedere una notifica che chiede se si desidera consentire l'esecuzione di un'applicazione o di un servizio. Questo tipo di notifica compare per uno dei seguenti motivi: L'applicazione chiede di accedere alla connessione di rete. Un'applicazione con accesso alla connessione di rete è stata aggiornata. Il client ha eseguito un cambio di utente tramite Cambio rapido utente. L'amministratore ha aggiornato il software client. È possibile vedere il seguente tipo di messaggio, che viene visualizzato quando un'applicazione o un servizio cerca di accedere al computer: Internet Explorer (IEXPLORE.EXE) sta tentando di connettersi a utilizzando la porta remota 80 (HTTP - World Wide Web). Consentire l'accesso in rete al programma?

27 Risposta al client Informazioni sulle notifiche e gli avvisi 27 Per rispondere alle applicazioni che cercano di accedere alla rete 1 Nella finestra di messaggio fare clic su Dettagli. È possibile visualizzare maggiori informazioni sulla connessione e sull'applicazione, quali il nome del file, il numero di versione ed il percorso. 2 Se si desidera che l'opzione selezionata venga mantenuta la prossima volta che l'applicazione cerca di accedere alla connessione di rete, fare clic su Memorizza la risposta e non visualizzare più questo messaggio. 3 Eseguire una delle seguenti operazioni: Per permettere all'applicazione di accedere alla connessione di rete, fare clic su Sì. Fare clic su Sì soltanto se si riconosce l'applicazione e si è sicuri di volerne consentire l'accesso alla connessione di rete. In caso di dubbi sull'accesso dell'applicazione alla connessione di rete, rivolgersi all'amministratore. Per bloccare l'applicazione dall'accesso alla connessione di rete, fare clic su No. La Tabella 2-1 mostra come è possibile rispondere alle notifiche che richiedono di permettere o bloccare un'applicazione. Tabella 2-1 Notifiche di autorizzazione applicazioni Se si fa clic su Sì Sì No No Se si seleziona la casella di controllo "Memorizza la risposta " Sì No Sì No Il client Consente l'accesso all'applicazione e non visualizza la richiesta di nuovo. Consente l'accesso all'applicazione e ripete la domanda ogni volta. Blocca l'applicazione e non ripete la domanda. Blocca l'applicazione e ripete la domanda ogni volta. È anche possibile cambiare l'azione dell'applicazione nel campo Applicazioni in esecuzione o nell'elenco delle applicazioni. Vedere "Configurazione delle impostazioni specifiche dell'applicazione" a pagina 135.

28 28 Risposta al client Informazioni sulle notifiche e gli avvisi Notifiche di modifiche applicazione Occasionalmente potrebbe essere visualizzato un messaggio che indica che un'applicazione è stata modificata. "Il programma Telnet è stato modificato dall'ultima apertura. È possibile che sia stato aggiornato di recente. Consentirne l'accesso in rete?" L'applicazione che è elencata nel messaggio precedente cerca di accedere alla connessione di rete. Il client riconosce il nome dell'applicazione, tuttavia alcune impostazioni dell'applicazione sono cambiate dall'ultima volta che è stata utilizzata nel client. Molto probabilmente, il prodotto è stato aggiornato di recente. Ogni nuova versione di un prodotto utilizza un'impronta del file diversa da quella utilizzata nella versione precedente. Il client rileva che l'impronta del file è cambiata. Notifiche di Cambio rapido utente Se si utilizza Windows Vista o XP, è possibile vedere una delle seguenti notifiche: "Impossibile visualizzare l'interfaccia utente. Se si utilizza la funzione Cambio rapido utente di Windows XP, assicurarsi che tutti gli altri utenti siano disconnessi da Windows, disconnettersi da Windows e quindi rieseguire l'accesso. Se si utilizzano i Servizi terminal, l'interfaccia utente non è supportata." o Symantec Endpoint Protection non era in esecuzione e verrà avviato, Tuttavia Symantec Endpoint Protection non è in grado di visualizzare l'interfaccia utente. Se si utilizza la funzione Cambio rapido utente di Windows XP, assicurarsi che tutti gli altri utenti siano disconnessi da Windows, disconnettersi da Windows e quindi rieseguire l'accesso. Se si utilizzano i Servizi terminal, l'interfaccia utente non è supportata." Cambio rapido utente è una funzione di Windows che permette di cambiare utente rapidamente senza doversi disconnettere dal sistema. Più utenti possono condividere simultaneamente un computer e possono accedere al sistema e disconnettersi senza chiudere le applicazioni in esecuzione. Una di queste finestre compare se si cambia utente tramite la funzione Cambio rapido utente. Per rispondere ad un messaggio relativo al cambio rapido utente, seguire le istruzioni nella finestra di dialogo.

29 Risposta al client Informazioni sulle notifiche e gli avvisi 29 Risposta alle notifiche di aggiornamento automatico Se il software client è aggiornato automaticamente, è possibile vedere la seguente notifica: Symantec Endpoint Protection ha verificato che una nuova versione del software è disponibile in Symantec Endpoint Protection Manager. Scaricarla? Per rispondere ad una notifica di aggiornamento automatico 1 Eseguire una delle seguenti operazioni: Per scaricare immediatamente il software, fare clic su Scarica ora. Per visualizzare un promemoria dopo l'intervallo di tempo specificato, fare clic su Visualizza in seguito. 2 Se compare un messaggio dopo l'inizio del processo di installazione del software aggiornato, fare clic su OK. Risposta agli avvisi di sicurezza Gli avvisi di sicurezza mostrano una notifica sopra l'icona dell'area di notifica. È necessario solo confermare l'avvenuta lettura del messaggio facendo clic su OK. Le notifiche compaiono per uno dei seguenti motivi: Messaggi di applicazioni bloccate Un'applicazione che è stata avviata dal computer è stata bloccata in conformità con le regole impostate dall'amministratore. Per esempio, è possibile vedere il messaggio seguente: L'applicazione Internet Explorer è stata bloccata, il nome del file è IEXPLORE.EXE. Queste notifiche indicano che il client ha bloccato il traffico specificato come non attendibile. Se il client è configurato per bloccare tutto il traffico, queste notifiche compaiono frequentemente. Se il client è configurato per permettere tutto il traffico, queste notifiche non compaiono.

30 30 Risposta al client Informazioni sulle notifiche e gli avvisi Intrusioni Contro il computer è stato avviato un attacco e un avviso informa l'utente della situazione o fornisce istruzioni su come gestire l'attacco. Per esempio, è possibile vedere il messaggio seguente: Traffico dall'indirizzo IP bloccato dal 10/10/2006 alle 15:37:58 al 10/10/2006 alle 15:47:58. Attacco scansione porte registrato. L'amministratore potrebbe aver disattivato le notifiche di prevenzione delle intrusioni nel computer client. Per vedere i tipi di attacchi rilevati dal client è possibile permettere al client di visualizzare le notifiche di prevenzione delle intrusioni. Vedere "Configurazione delle notifiche di prevenzione delle intrusioni" a pagina 133. Risposta alle notifiche di Network Access Control Se il client Symantec Network Access Control non è conforme alle politiche di sicurezza potrebbe non essere in grado di accedere alla rete. In questo caso potrebbe venire visualizzato un messaggio che informa che Symantec Enforcer ha bloccato il traffico perché il controllo di integrità dell'host non è stato superato. L'amministratore di rete potrebbe aver aggiunto del testo a questo messaggio per suggerire le azioni possibili per risolvere il problema. Dopo aver chiuso la finestra di messaggio, aprire il client per vedere se sono visualizzate procedure suggerite per ripristinare l'accesso di rete. Per rispondere alle notifiche di Network Access Control 1 Seguire tutte le procedure suggerite che compaiono nella finestra di messaggio. 2 Nella finestra di messaggio, fare clic su OK.

31 Capitolo 3 Gestione del client Il capitolo contiene i seguenti argomenti: Informazioni su LiveUpdate Esecuzione di LiveUpdate a intervalli pianificati Esecuzione manuale di LiveUpdate Verifica della sicurezza del computer Informazioni sulle posizioni Modifica delle posizioni Informazioni sulla protezione contro le manomissioni Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Informazioni su LiveUpdate LiveUpdate ottiene gli aggiornamenti della protezione e del programma usando la connessione Internet. Gli aggiornamenti del programma rappresentano piccoli miglioramenti apportati al prodotto installato. Non costituiscono un aggiornamento del prodotto, che è invece una nuova versione del prodotto completo. Gli aggiornamenti del programma sono creati solitamente per estendere la compatibilità dell'hardware o del sistema operativo, per risolvere un problema di prestazioni o per correggere errori del programma. Gli aggiornamenti ai programmi vengono rilasciati quando necessario.

32 32 Gestione del client Esecuzione di LiveUpdate a intervalli pianificati Nota: alcuni aggiornamenti del programma potrebbero richiedere il riavvio del computer dopo l'installazione. LiveUpdate automatizza il reperimento e l'installazione degli aggiornamenti del programma individuando e scaricando i file da un sito Internet, installandoli ed eliminando i file residui dal computer. Gli aggiornamenti della protezione sono i file che mantengono i prodotti Symantec aggiornati con la tecnologia di protezione dalle minacce più recente. Gli aggiornamenti di protezione che si ricevono dipendono da quali prodotti sono installati sul computer. Per impostazione predefinita, LiveUpdate viene eseguito automaticamente ad intervalli pianificati. In base alle impostazioni di sicurezza è possibile eseguire manualmente LiveUpdate. È anche possibile disattivare LiveUpdate o cambiarne la pianificazione. Esecuzione di LiveUpdate a intervalli pianificati È possibile pianificare l'esecuzione automatica di LiveUpdate a intervalli pianificati. Per eseguire LiveUpdate a intervalli pianificati 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni per la gestione client, fare clic su Aggiornamenti pianificati. 4 Nella scheda Aggiornamenti pianificati, selezionare Attiva aggiornamenti automatici. 5 Nella casella di gruppo Frequenza, selezionare se eseguire aggiornamenti quotidiani, settimanali o mensili. 6 Nella casella di gruppo Quando, selezionare il giorno o la settimana e l'ora in cui si desidera eseguire gli aggiornamenti. 7 Nella casella di gruppo Opzioni eventi non eseguiti selezionare Continuare a cercare e quindi specificare il numero delle ore o dei giorni per cui il client dovrebbe processare nuovamente un evento mancante. 8 Nella casella di gruppo Opzioni esecuzione casuale, selezionare Orario di iniziocasuale(+o-) e quindi specificare il numero delle ore o dei giorni prima o dopo l'aggiornamento pianificato. Questa procedura imposta un intervallo di tempo casuale durante il quale l'aggiornamento ha inizio. 9 Fare clic su OK.

33 Gestione del client Esecuzione manuale di LiveUpdate 33 Esecuzione manuale di LiveUpdate È possibile aggiornare il software e i file delle definizioni usando LiveUpdate. LiveUpdate recupera i nuovi file delle definizioni da un sito Symantec e quindi sostituisce i vecchi file delle definizioni. I prodotti Symantec utilizzano informazioni aggiornate per proteggere il computer dalle nuove minacce rilevate. Symantec fornisce queste informazioni tramite LiveUpdate. Per ricevere gli aggiornamenti utilizzando LiveUpdate Nel client, nella barra laterale, fare clic su LiveUpdate. LiveUpdate si connette al server Symantec, cerca gli aggiornamenti disponibili, quindi li scarica e li installa automaticamente. Verifica della sicurezza del computer È possibile verificare l'efficacia della risposta del computer a minacce e virus esterni sottoponendolo a scansione. Questa scansione è una misura importante che è possibile prendere per assicurare che il computer sia protetto da possibili intrusi. I risultati possono aiutare l'utente ad impostare le varie opzioni del client per proteggere il computer dagli attacchi. Per verificare la sicurezza del computer 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Fare clic su Strumenti > Prova sicurezza di rete. 4 Nel sito Web di Symantec Security Check, effettuare una delle operazioni seguenti: Per cercare le minacce on-line, fare clic su Scansione "Security Risk". Per cercare virus, fare clic su Scansione dei virus. 5 Nella finestra di dialogo Contratto di licenza, fare clic su Accetto, quindi su Avanti. Se si è fatto clic su Scansione dei virus nel punto 4, fare clic su Accetto, quindi su Avanti. Per arrestare in qualunque momento la scansione, fare clic su Interrompi. 6 Quando la scansione è finita, chiudere la finestra di dialogo.

34 34 Gestione del client Informazioni sulle posizioni Informazioni sulle posizioni Una posizione fa riferimento a una politica di sicurezza che è basata sull'ambiente di rete. Ad esempio, se si effettua la connessione alla rete dell'ufficio da casa con il portatile, l'amministratore può impostare una posizione denominata Casa. Se si utilizza il portatile in ufficio, è possibile usare una posizione denominata Ufficio. Altre posizioni possono corrispondere a VPN, sede secondaria o hotel. Il client passa da una posizione all'altra perché le esigenze di impiego e di sicurezza possono differire fra i vari ambienti di rete. Ad esempio, quando il portatile si connette alla rete dell'ufficio, il client potrebbe utilizzare un set restrittivo di politiche configurate dall'amministratore. Quando si connette alla rete domestica, tuttavia, il client potrebbe utilizzare un set di politiche che danno l'accesso ad altre opzioni di configurazione. L'amministratore programma e configura il client di conseguenza in modo che tenga automaticamente conto di queste differenze. Nota: In un ambiente gestito, è possibile cambiare le posizioni solo se l'amministratore ha consentito l'accesso necessario. Modifica delle posizioni Se necessario è possibile modificare una posizione. Ad esempio, potrebbe essere necessario passare a una posizione che consenta a un collega di accedere ai file del proprio computer. L'elenco delle posizioni disponibili è basato sulle politiche di sicurezza e sulla rete attiva del computer. Nota: in base alle politiche di sicurezza disponibili, è possibile o meno avere accesso a più di una posizione. Potrebbe accadere che facendo clic su una posizione non si acceda a essa. Ciò significa che la configurazione di rete non è adatta a tale posizione. Ad esempio, una posizione denominata Ufficio può essere disponibile soltanto quando viene rilevata la rete locale dell'ufficio (LAN). Se al momento non ci si trova in tale rete, non è possibile passare a quella posizione. Per cambiare una posizione 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale, sotto Opzioni posizione, selezionare la posizione a cui si desidera passare. 4 Fare clic su OK.

35 Gestione del client Informazioni sulla protezione contro le manomissioni 35 Informazioni sulla protezione contro le manomissioni La protezione contro le manomissioni fornisce una protezione in tempo reale per le applicazioni Symantec. Contrasta gli attacchi di software nocivo, ad esempio worm, Trojan horse, virus e rischi per la sicurezza. È possibile impostare la protezione contro le manomissioni per intraprendere le azioni seguenti: Bloccare i tentativi di manomissione e registrare l'evento Registrare l'evento di manomissione senza interferire con esso La protezione contro le manomissioni è attivata sia per i client gestiti che per i client non gestiti, eccetto nel caso in cui l'amministratore abbia modificato le impostazioni predefinite. Quando Protezione contro le manomissioni rileva un tentativo di manomissione, l'azione che esegue per impostazione predefinita è la registrazione dell'evento nel registro di protezione dalle manomissioni. È possibile configurare Protezione contro le manomissioni in modo che visualizzi una notifica nel computer quando rileva un tentativo di manomissione. È possibile personalizzare il messaggio. Protezione contro le manomissioni non notifica all'utente i tentativi di manomissione a meno che non sia attivata tale funzionalità. Se si utilizza un client non gestito, è possibile modificare le impostazioni di Protezione contro le manomissioni. Se si utilizza un client gestito, è possibile modificare queste impostazioni se l'amministratore lo consente. Le prime volte che si utilizza Symantec Endpoint Protection è consigliabile non modificare l'azione predefinita Registra soltanto ed eseguire il monitoraggio dei registri una volta alla settimana. Quando si è sicuri che non sono presenti falsi positivi, impostare Protezione contro le manomissioni su Blocca e registra. Nota: se contro i rischi per la sicurezza si utilizza un programma di scansione di terze parti che rileva adware e spyware indesiderati e fornisce protezione contro di essi, in genere la scansione incide sui processi Symantec. Se si attiva Protezione contro le manomissioni mentre si esegue una scansione di terze parti per la rilevazione di rischi per la sicurezza, Protezione contro le manomissioni genera numerose notifiche e voci di registro. È consigliabile lasciare sempre attivata Protezione contro le manomissioni e utilizzare il filtro del registro se il numero degli eventi generati è troppo elevato.

36 36 Gestione del client Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Attivazione, disattivazione e configurazione di Protezione contro le manomissioni È possibile attivare o disattivare Protezione contro le manomissioni. Se Protezione contro le manomissioni è attivata, è possibile scegliere i provvedimenti che deve prendere quando rileva un tentativo di manomissione del software Symantec. È anche possibile fare in modo che Protezione contro le manomissioni visualizzi un messaggio per inviare una notifica sui tentativi di manomissione. Per personalizzare il messaggio, utilizzare le variabili predefinite che Protezione contro le manomissioni sostituirà con le informazioni appropriate. Per informazioni sulle variabili predefinite, fare clic su? nella scheda Protezione contro le manomissioni. Per attivare o disattivare Protezione contro le manomissioni 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Protezione contro le manomissioni, selezionare o deselezionare Proteggi il software di protezione Symantec da manomissioni o arresti. 4 Fare clic su OK. Per configurare Protezione contro le manomissioni 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Sulla scheda Protezione contro le manomissioni, nella casella di controllo Azioni da intraprendere se un'applicazione cerca di manomettere o arrestare il software di protezione Symantec, fare clic su Blocca e registra l'evento o Registra solo l'evento. 4 Per ricevere una notifica quando Protezione contro le manomissioni rileva un comportamento sospetto, selezionare l'opzione Visualizza un messaggio di notifica quando vengono rilevate manomissioni. Se si attivano questi messaggi di notifica, si potrebbero ricevere notifiche relative sia ai processi di Windows che a quelli di Symantec. 5 Per personalizzare il messaggio visualizzato, aggiornare il testo nel campo del messaggio. 6 Fare clic su OK.

37 Sezione 2 Symantec Endpoint Protection Introduzione a Symantec Endpoint Protection Principi fondamentali del client Symantec Endpoint Protection Gestione della protezione antivirus e antispyware Gestione della protezione proattiva contro le minacce Gestione della protezione della rete dalle minacce

38 38

39 Capitolo 4 Introduzione a Symantec Endpoint Protection Il capitolo contiene i seguenti argomenti: Informazioni su Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer Informazioni su Symantec Endpoint Protection È possibile installare Symantec Endpoint Protection come installazione indipendente o come installazione gestita dall'amministratore. In una installazione autonoma il software di Symantec Endpoint Protection non è gestito da un amministratore, pertanto è un client indipendente. Se è l'utente a gestire il computer, è necessario che questo sia di uno dei seguenti tipi: Computer indipendente non connesso a una rete, quale un computer di casa o un portatile. Il computer deve includere un'installazione Symantec Endpoint Protection che utilizza impostazioni di opzioni predefinite o preimpostate dall'amministratore. Computer remoto che si connette alla rete aziendale e che deve soddisfare i requisiti di sicurezza prima della connessione. Le impostazioni predefinite per Symantec Endpoint Protection garantiscono la protezione antivirus e antispyware, la protezione proattiva contro le minacce e la protezione della rete dalle minacce.. È possibile regolare le impostazioni predefinite per adattarle alle necessità dell'azienda, ottimizzare le prestazioni del sistema e disattivare le opzioni che non si applicano.

40 40 Introduzione a Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer Se un amministratore gestisce il computer, alcune opzioni possono essere bloccate o non disponibili, a seconda della politica di sicurezza dell'amministratore. Quest'ultimo esegue le scansioni sul computer e può impostare scansioni pianificate. L'amministratore può fornire suggerimenti relativi alle attività da eseguire per l'utilizzo di Symantec Endpoint Protection. Come Symantec Endpoint Protection protegge il computer Symantec Endpoint Protection fornisce una politica di sicurezza che contiene vari tipi di protezioni per il computer. I seguenti tipi di protezione funzionano insieme per proteggere il computer dai rischi: Protezione antivirus e antispyware Protezione della rete dalle minacce Protezione proattiva dalle minacce Informazioni sulla protezione antivirus e antispyware La protezione antivirus e antispyware assicura che il computer sia protetto dai virus e dai rischi per la sicurezza noti. I virus individuati e rimossi tempestivamente dal computer non possono diffondersi in altri file provocando danni. Gli effetti dei rischi per la sicurezza e dei virus possono essere riparati. Quando il client Symantec Endpoint Protection rileva un virus o un rischio per la sicurezza, per impostazione predefinita notifica la rilevazione. Per non visualizzare l avviso, l'utente o l'amministratore può configurare il client per la gestione automatica dei rischi. La protezione antivirus e antispyware fornisce scansioni basate su firme ed include quanto segue: Scansioni Auto-Protect Auto-Protect viene eseguito costantemente e assicura la protezione del computer in tempo reale mediante il monitoraggio del computer. Auto-Protect cerca i virus e i rischi per la sicurezza quando un file viene eseguito o aperto. Cerca inoltre i virus e rischi per la sicurezza quando si apportano modifiche a un file. Ad esempio, è possibile rinominare, salvare, spostare o copiare un file tra cartelle. Scansioni pianificate, all'avvio e su richiesta

41 Introduzione a Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer 41 L'utente o l'amministratore può configurare altre scansioni da eseguire nel computer. Queste scansioni cercano firme di virus residue in file infetti. Cercano anche le firme dei rischi per la sicurezza nei file e nelle informazioni di sistema infettati. L'utente o l'amministratore può avviare le scansioni per controllare sistematicamente che nei file del computer non siano presenti virus e rischi per la sicurezza. I rischi per la sicurezza potrebbero includere adware o spyware. Informazioni sulla protezione dalle minacce di rete Il client Symantec Endpoint Protection fornisce un firewall personalizzabile che protegge il computer dall'intrusione e dall'uso improprio se nocivo o involontario. Rileva e identifica le scansioni note delle porte e altri attacchi comuni. A sua volta, il firewall autorizza o blocca selettivamente i vari servizi di rete, applicazioni, porte e componenti. Comprende diversi tipi di regole firewall di protezione e di impostazioni di sicurezza che consentono di proteggere i computer client dal traffico di rete che può causare danni. La protezione dalle minacce di rete fornisce un firewall e firme di prevenzione delle intrusioni che impediscono gli attacchi di intrusioni e il contenuto nocivo. Il firewall autorizza o blocca il traffico in base a vari criteri. Le regole firewall determinano se il computer autorizza o blocca un'applicazione o un servizio in entrata o in uscita che cerca di accedere al computer attraverso la connessione di rete. Le regole firewall autorizzano o bloccano sistematicamente le applicazioni in entrata o in uscita nonché il traffico proveniente da o diretto a indirizzi IP e porte specifici. Le impostazioni di sicurezza rilevano e identificano gli attacchi comuni, inviano messaggi di dopo un attacco, visualizzano messaggi personalizzabili ed effettuano altre attività di sicurezza correlate. Informazioni sulla protezione proattiva dalle minacce La protezione proattiva dalle minacce include le scansioni proattive delle minacce TruScan, che assicurano che il computer sia protetto dagli attacchi zero-day di minacce sconosciute. Queste scansioni utilizzano l'euristica per analizzare la struttura del programma, il relativo comportamento e altri attributi alla ricerca di caratteristiche simili a virus. In molti casi può proteggere dalle minacce rappresentate dai worm di distribuzione di massa e dai virus delle macro. È possibile trovare worm e virus delle macro prima di aggiornare le definizioni dei rischi per la sicurezza e dei virus. Le scansioni proattive delle minacce cercano minacce basate su script in formato HTML, VBScript e JavaScript. Le scansioni proattive delle minacce rilevano anche applicazioni commerciali che possono essere utilizzate per scopi nocivi. Queste applicazioni commerciali includono i programmi di controllo remoti o i keylogger.

42 42 Introduzione a Symantec Endpoint Protection Come Symantec Endpoint Protection protegge il computer È possibile configurare le scansioni proattive delle minacce per la messa in quarantena delle minacce rilevate. È possibile ripristinare manualmente gli elementi che sono stati messi in quarantena durante le scansioni. Il client può anche ripristinare automaticamente gli elementi in quarantena.

43 Capitolo 5 Principi fondamentali del client Symantec Endpoint Protection Il capitolo contiene i seguenti argomenti: Informazioni sui virus e i rischi per la sicurezza Risposta del client a virus e rischi per la sicurezza Attivazione e disattivazione dei componenti di protezione Utilizzo del client con Centro sicurezza PC Windows Pausa e posticipo delle scansioni Informazioni sui virus e i rischi per la sicurezza Il client di Symantec Endpoint Protection può eseguire la scansione per i virus e i rischi per la sicurezza, quali spyware o adware. Tali rischi possono mettere il computer, così come una rete, a rischio. Le scansioni antivirus e antispyware rilevano anche rootkit di livello kernel. I rootkit sono tutti i programmi che cercano di nascondersi dal sistema operativo del computer e potrebbero essere utilizzati per attività nocive. Per impostazione predefinita tutte le scansioni antivirus e antispyware, incluse le scansioni di Auto-Protect, ricercano virus, Trojan horse, worm e tutte le categorie di rischi per la sicurezza. La Tabella 5-1 descrive i tipi di virus e di rischi per la sicurezza.

44 44 Principi fondamentali del client Symantec Endpoint Protection Informazioni sui virus e i rischi per la sicurezza Tabella 5-1 Virus e rischi per la sicurezza Rischio Virus Descrizione Codice o programmi che creano una copia di sé stessi e la associano a un altro programma o documento durante l'esecuzione. Quando viene eseguito un programma infetto o si apre un documento contenente un virus delle macro, il programma contenente il virus si attiva. Il virus può quindi propagarsi ad altri programmi e documenti. Generalmente, i virus recapitano un carico detto "payload", come la visualizzazione di un messaggio in una determinata data. Alcuni virus danneggiano in modo specifico i dati alterando programmi, eliminando file o riformattando dischi. Bot nocivi per Internet Worm Trojan horse Minacce di tipo misto o blended Adware Programmi che eseguono attività automatizzate in Internet per scopi nocivi. I bot possono essere utilizzati per automatizzare gli attacchi ai computer o per raccogliere informazioni dai siti Web. Programmi che si replicano senza infettare altri programmi. Alcuni worm si diffondono copiando sé stessi da disco a disco, mentre altri si replicano solo nella memoria rallentando la velocità del computer. Programmi contenenti codice mascherato o nascosto, ad esempio in giochi o utilità apparentemente normali. Minacce che combinano le caratteristiche di virus, worm, Trojan horse per individuare le vulnerabilità di server e Internet e avviare, trasmettere o diffondere un attacco. Le minacce blended usano metodi e tecniche diverse per diffondersi rapidamente e causare danni diffusi nella rete. Programmi stand-alone o aggiunti in grado di raccogliere segretamente informazioni personali tramite Internet e inviarle a un altro computer. Gli adware possono registrare le abitudini di navigazione degli utenti e inviare contenuti pubblicitari. Gli adware vengono scaricati dai siti Web, in genere come shareware o freeware, ad insaputa degli utenti oppure inviati con messaggi di o da software di messaggistica immediata. Spesso un adware viene scaricato inavvertitamente accettando un Contratto di licenza per l'utente finale da un programma di software. Dialer Strumenti di hacking Programmi che utilizzano un computer, senza autorizzazione dell'utente o a sua insaputa, per collegarsi, tramite Internet, a un numero a pagamento o a un sito FTP e addebitare le spese telefoniche. Programmi utilizzati da un hacker per ottenere l'accesso non autorizzato al computer dell'utente. Ad esempio, uno strumento di hacking è un programma che controlla la pressione dei tasti, tiene traccia delle singole battute e le registra per inviarle all'hacker, che può quindi eseguire scansioni sulle porte o ricercare i punti vulnerabili. Gli strumenti di hacking possono inoltre essere utilizzati per creare virus.

45 Principi fondamentali del client Symantec Endpoint Protection Informazioni sui virus e i rischi per la sicurezza 45 Rischio Programmi scherzo Altro Programmi di accesso remoto Spyware Descrizione Programmi che alterano o interrompono il funzionamento di un computer in modo sorprendente o preoccupante. Ad esempio, è possibile che da un sito Web, da un messaggio di o da un programma di messaggistica immediata venga scaricato un programma di questo tipo Può quindi allontanare il cestino dal mouse quando l'utente cerca di eliminarlo. Può inoltre far sì che i clic del mouse ottengano l'effetto opposto. Qualsiasi altra categoria di rischi per la sicurezza che non corrisponde alle definizioni precise di virus, Trojan horse, worm, o di altre categorie di rischi per la sicurezza. Programmi che consentono l'accesso tramite Internet da un altro computer, al fine di raccogliere informazioni, o di attaccare o alterare il computer di un utente. È possibile che si installi un programma legittimo di accesso remoto. Un processo può installare questo tipo di applicazione all'insaputa dell'utente. Il programma può quindi essere utilizzato per fini pericolosi con o senza la modifica del programma originale di accesso remoto. Programmi stand-alone in grado di controllare segretamente l'attività del sistema, rilevare password e altre informazioni riservate e inviarle a un altro computer. Gli spyware vengono scaricati dai siti Web, in genere come shareware o freeware, ad insaputa degli utenti oppure inviati con messaggi di o da software di messaggistica immediata. Spesso uno spyware viene scaricato inavvertitamente accettando un Contratto di licenza per l'utente finale da un programma di software. Trackware Applicazioni stand-alone o aggiunte che tengono traccia del percorso di navigazione di un utente su Internet e inviano le informazioni al sistema di destinazione. Ad esempio, è possibile che da un sito Web, da un messaggio di o da un programma di messaggistica immediata venga scaricata un'applicazione che raccoglie informazioni riservate sul comportamento dell'utente. Per impostazione predefinita, le scansioni antivirus e antispyware fanno quanto segue: Rilevano, rimuovono e riparano gli effetti distruttivi di virus, worm, Trojan horse e minacce di tipo blended. Rilevano, rimuovono e riparano gli effetti distruttivi dei rischi per la sicurezza quali adware, dialer, strumenti di hacking, programmi scherzo, programmi di accesso remoto, spyware, trackware e altri. Sul sito Web di Symantec Security Response sono disponibili informazioni aggiornate sulle minacce e sui rischi per la sicurezza. Il sito contiene inoltre esaurienti informazioni di riferimento, ad esempio white paper e informazioni dettagliate sui virus e i rischi per la sicurezza. La Figura 5-1 mostra informazioni relative a uno strumento di hacking e su come Symantec Security Response suggerisce di gestirlo.

46 46 Principi fondamentali del client Symantec Endpoint Protection Risposta del client a virus e rischi per la sicurezza Figura 5-1 Descrizione dei rischi per la sicurezza di Symantec Security Response Risposta del client a virus e rischi per la sicurezza Il client protegge i computer da virus e rischi per la sicurezza indipendentemente dalla loro origine. I computer vengono protetti dai virus e dai rischi per la sicurezza che si diffondono tramite i dischi rigidi, i dischi floppy e altri elementi che prevedono l'utilizzo delle reti. I computer sono protetti anche dai virus e dai rischi per la sicurezza che si diffondono tramite gli allegati dei messaggi o in altri modi. Ad esempio, un rischio per la sicurezza può autoinstallarsi sul computer all'insaputa dell'utente quando questi accede a Internet.

47 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione 47 I file all'interno di altri file compressi vengono analizzati e ripuliti da virus e rischi per la sicurezza. Non sono necessari altri programmi o modifiche alle opzioni per i virus provenienti da Internet. Auto-Protect esegue automaticamente la scansione dei file di documento e di programma non compressi quando vengono scaricati. Quando il client rileva un virus, per impostazione predefinita cerca di pulire il virus dal file infetto. Il client cerca anche di riparare gli effetti del virus. Se il client pulisce il file, il rischio viene completamente rimosso dal computer. Se il client non può pulire il file, il file infetto viene messo in quarantena. Il virus non può diffondersi dall'area di quarantena. Quando il computer viene aggiornato con le nuove definizioni virus, il client verifica automaticamente l'area di quarantena. È possibile sottoporre di nuovo a scansione gli elementi nell'area di quarantena. Le definizioni più recenti potrebbero pulire o riparare i file precedentemente messi in quarantena. Nota: è possibile che l'amministratore scelga di eseguire automaticamente la scansione dei file nell'area di quarantena. Per impostazione predefinita, in presenza di rischi per la sicurezza il client mette in quarantena i file infetti. Il client ripristina anche lo stato precedente delle informazioni di sistema modificate dal rischio per la sicurezza. Alcuni rischi per la sicurezza non possono essere rimossi completamente senza causare il malfunzionamento di un altro programma presente sul computer, ad esempio un browser Web. Le impostazioni antivirus e antispyware potrebbero non essere in grado di gestire automaticamente il rischio. In quel caso, il client richiede la conferma dell'utente prima di interrompere un processo o riavviare il computer. In alternativa, è possibile impostare solo l'azione di registrazione per i rischi per la sicurezza. Quando il software client rileva un rischio per la sicurezza, include un collegamento a Symantec Security Response nella finestra di scansione. Nel sito Web di Symantec Security Response è possibile ottenere ulteriori informazioni relative a tale rischio per la sicurezza. L'amministratore di sistema può inoltre inviare un messaggio personalizzato. Attivazione e disattivazione dei componenti di protezione È possibile attivare o disattivare le protezioni nel computer. Se una o più protezioni sono disattivate, la barra di stato nella parte superiore della pagina di stato indica che la protezione è disattivata. È possibile fare clic

48 48 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione sull'opzione Correggi per attivare tutte le protezioni disattivate o attivare separatamente le singole protezioni. Attivazione e disattivazione della protezione antivirus e antispyware Se le impostazioni predefinite delle opzioni non sono state modificate, Auto-Protect viene caricato all'avvio del computer in modo da proteggerlo da virus e rischi per la sicurezza. Auto-Protect controlla i programmi per il virus e i rischi per la sicurezza mentre vengono eseguiti. Esegue inoltre il monitoraggio di eventuali attività che possono indicare la presenza di virus o rischi per la sicurezza. Quando viene rilevato un virus, un'attività simile a virus (un evento che potrebbe essere il risultato dell'attività di un virus) o un rischio per la sicurezza, l'utente riceve un avviso da Auto-Protect. È possibile attivare o disattivare Auto-Protect per i file e i processi oppure per i messaggi di Internet e per le applicazioni di groupware. Negli ambienti gestiti, l'amministratore può bloccare queste impostazioni. Casi in cui può risultare utile disattivare Auto-Protect In alcuni casi è possibile che venga segnalata un'attività simile a virus che l'utente riconosce come non pericolosa. Per esempio, è possibile ricevere un avviso quando si installano nuove applicazioni. Se si prevede di installare altre applicazioni, per fare in modo che gli avvisi non vengano visualizzati è possibile disattivare temporaneamente Auto-Protect. Assicurarsi di riattivarlo al termine dell'operazione in modo da garantire la protezione del computer. Se si disattiva Auto-Protect, altri tipi di scansioni (pianificate o di avvio) vengono comunque eseguite se sono state configurate dall'utente o dall'amministratore. L'amministratore può bloccare completamente la disattivazione Auto-Protect. In alternativa, l'amministratore può specificare che è possibile disattivare temporaneamente Auto-Protect, ma che Auto-Protect verrà riattivato automaticamente dopo un periodo di tempo specificato. Informazioni su Auto-Protect e lo stato della protezione antivirus e antispyware Le impostazioni di Auto-Protect determinano lo stato della protezione antivirus e antispyware nel client e nell'area di notifica di Windows. Quando qualsiasi tipo di Auto-Protect è disattivato, lo stato della protezione antivirus e antispyware appare in rosso nella pagina di stato. L'icona di client compare come uno scudo completo nella barra delle applicazioni, nell'angolo inferiore destro del desktop di Windows. In alcune configurazioni,

49 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione 49 l'icona non compare. Quando si fa clic con il pulsante destro del mouse sull'icona, un segno di spunta compare accanto a Attiva Auto-Protect se Auto-Protect per i file e i processi è attivato. Quando si disattiva Auto-Protect per i file e i processi, l'icona del client appare come un segno universale, un cerchio rosso con una barra diagonale. Un puntino verde compare nell'icona quando è attivato Auto-Protect per file system, anche se Auto-Protect per l' è disattivato. Attivazione o disattivazione di Auto-Protect per file system È possibile attivare o disattivare il monitoraggio di Auto-Protect per file system a meno che l'amministratore blocchi l'impostazione. Per attivare o disattivare Auto-Protect per file system dalla barra delle applicazioni Nel desktop di Windows, nell'area di notifica, fare clic con il pulsante destro del mouse sull'icona del client e quindi eseguire una delle seguenti operazioni: Fare clic su Attiva Symantec Endpoint Protection. Fare clic su Disattiva Symantec Endpoint Protection. Per attivare o disattivare Auto-Protect per file system dal client Nel client, nella pagina Stato, accanto a Protezione antivirus e antispyware, eseguire una delle seguenti operazioni: Fare clic su Opzioni > Attiva protezione antivirus e antispyware. Fare clic su Opzioni > Disattiva protezione antivirus e antispyware. Attivazione o disattivazione di Auto-Protect per l' È possibile attivare o disattivare Auto-Protect per l' di Internet, di Microsoft Outlook o di Lotus Notes. L'amministratore potrebbe bloccare queste impostazioni. Per attivare o disattivare Auto-Protect per l' 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Eseguire una delle seguenti operazioni: Nella scheda Auto-Protect per l' Internet, selezionare o deselezionare Attiva Auto-Protect per l' Internet. Nella scheda Auto-Protect per Outlook, selezionare o deselezionare Attiva Auto-Protect per Microsoft Outlook.

50 50 Principi fondamentali del client Symantec Endpoint Protection Attivazione e disattivazione dei componenti di protezione Nella scheda Auto-Protect per Notes, selezionare o deselezionare Attiva Auto-Protect per Lotus Notes. 4 Fare clic su OK. Attivazione e disattivazione della protezione dalle minacce di rete In alcuni casi può essere opportuno disattivare la protezione dalle minacce di rete. Ad esempio, è possibile che si desideri installare un'applicazione che potrebbe essere bloccata dal client. L'amministratore può avere impostato i seguenti limiti su quando e per quanto tempo è possibile disattivare la protezione: Il client autorizza tutto il traffico o solo il traffico in uscita. Durata della disattivazione della protezione. Quante volte è possibile disattivare la protezione prima di riavviare il client. Se l'utente può disattivare la protezione, può riattivarla in qualunque momento. L'amministratore può anche attivare e disattivare la protezione in qualunque momento, anche se questa operazione sovrascrive lo stato impostato per la protezione dall'utente. Vedere "Informazioni sulla gestione della protezione della rete dalle minacce" a pagina 111. Vedere "Blocco e sblocco di un computer autore dell'attacco" a pagina 134. Per attivare o disattivare la protezione dalle minacce di rete Nel client, nella pagina Stato, accanto a Protezione della rete dalle minacce, eseguire una di seguenti azioni: Fare clic su Opzioni> Attiva protezione dalle minacce di rete. Fare clic su Opzioni> Disattiva protezione dalle minacce di rete. Attivazione o disattivazione della protezione proattiva dalle minacce La protezione proattiva dalle minacce è attivata quando sono attivate entrambe le impostazioni Ricerca Trojan e worm e Ricerca keylogger. Se una delle due impostazioni è disattivata, il client indica lo stato di protezione proattiva contro le minacce come disattivato. Vedere "Informazioni sulle scansioni proattive delle minacce TruScan" a pagina 99. Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare clic su?.

51 Principi fondamentali del client Symantec Endpoint Protection Utilizzo del client con Centro sicurezza PC Windows 51 Per attivare o disattivare la protezione proattiva dalle minacce Nel client, nella pagina Stato, accanto a Protezione proattiva dalle minacce, eseguire una delle seguenti operazioni: Fare clic su Opzioni > Attiva protezione proattiva dalle minacce. Fare clic su Opzioni > Disattiva protezione proattiva dalle minacce. Utilizzo del client con Centro sicurezza PC Windows Se si utilizza Centro sicurezza PC Windows (WSC) in Windows XP con Service Pack 2 per monitorare lo stato della sicurezza, è possibile visualizzare lo stato di Symantec Endpoint Protection in WSC. Nella Tabella 5-2 è incluso un reporting sullo stato della protezione in Centro sicurezza PC Windows. Tabella 5-2 Reporting sullo stato della protezione in Centro sicurezza PC Windows Condizione del prodotto Symantec Symantec Endpoint Protection non è installato Symantec Endpoint Protection è installato con protezione completa Symantec Endpoint Protection è installato ma le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec Endpoint Protection è installato ma Auto-Protect del file system non è attivato Symantec Endpoint Protection è installato, Auto-Protect del file system non è attivato e le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec Endpoint Protection è installato e Rtvscan è stato disattivato manualmente Stato della protezione NON TROVATO (rosso) ATTIVATO (verde) NON AGGIORNATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) Nella Tabella 5-3 è incluso un reporting sullo stato del firewall Symantec Endpoint Protection in Centro sicurezza PC Windows.

52 52 Principi fondamentali del client Symantec Endpoint Protection Pausa e posticipo delle scansioni Tabella 5-3 Reporting dello stato del firewall in Centro sicurezza PC Windows Condizione del prodotto Symantec Il firewall Symantec non è installato Il firewall Symantec è installato e attivato Il firewall Symantec è installato ma non attivato Il firewall Symantec non è installato o attivato, ma è installato e attivato un firewall di terze parti Stato del firewall NON TROVATO (rosso) ATTIVATO (verde) DISATTIVATO (rosso) ATTIVATO (verde) Nota: in Symantec Endpoint Protection, Windows Firewall è disattivato per impostazione predefinita. Se esistono più firewall attivati, Centro sicurezza PC riferisce che sono installati e attivati più firewall. Pausa e posticipo delle scansioni La funzione Pausa consente di sospendere in qualsiasi momento una scansione e di riprenderla successivamente. È possibile sospendere qualsiasi scansione avviata. L'amministratore di rete determina se l'utente può sospendere una scansione pianificata dall'amministratore stesso. Per le scansioni pianificate avviate dall'amministratore di rete, è anche possibile che l'utente sia autorizzato a posticipare la scansione. Se l'amministratore ha attivato la funzione di posticipo, è possibile ritardare una scansione pianificata dall'amministratore per un determinato intervallo di tempo. Quando viene ripresa l'esecuzione, la scansione viene riavviata dall'inizio. Sospendere la scansione per riattivarla dopo un'interruzione temporanea. Utilizzare la funzione di posticipo per ritardare la scansione di un periodo più lungo. Seguire le seguenti procedure per interrompere una scansione che l'utente o l'amministratore ha avviato. Se il pulsante Sospendi la scansione non è disponibile, l'amministratore di rete ha disattivato la funzione di pausa. Nota: se si sospende una scansione mentre è in corso la scansione di un file compresso, potrebbero essere necessari parecchi minuti per rispondere alla richiesta di pausa.

53 Principi fondamentali del client Symantec Endpoint Protection Pausa e posticipo delle scansioni 53 Per sospendere una scansione 1 Durante l'esecuzione della scansione, nella finestra di dialogo della scansione fare clic sull'icona di pausa. Se la scansione è stata avviata dall'utente, essa si arresta nel punto raggiunto e la finestra di dialogo di scansione rimane aperta fino a quando la scansione non viene riavviata. Se la scansione è stata avviata dall'amministratore, viene visualizzata la finestra di dialogo Pausa scansione pianificata. 2 Nella finestra di dialogo Pausa scansione pianificata, fare clic su Pausa. La scansione pianificata dall'amministratore viene interrotta e la finestra di dialogo di scansione rimane visualizzata finché non viene riavviata la scansione. 3 Nella finestra di dialogo di scansione, fare clic sull'icona di avvio per continuare la scansione.

54 54 Principi fondamentali del client Symantec Endpoint Protection Pausa e posticipo delle scansioni Per posticipare una scansione pianificata dall'amministratore 1 Nella finestra di dialogo della scansione in corso, fare clic su Sospendi la scansione. 2 Nella finestra di dialogo Pausa scansione pianificata, fare clic su Posticipo di 1 ora oppure su Posticipo di 3 ore. Il periodo di posticipo della scansione consentito viene specificato dall'amministratore. Quando la pausa raggiunge il limite, la scansione viene riavviata dall'inizio. L'amministratore specifica per quante volte l'utente può posticipare la scansione pianificata prima che la funzione venga disattivata.

55 Capitolo 6 Gestione della protezione antivirus e antispyware Il capitolo contiene i seguenti argomenti: Informazioni sulla protezione antivirus e antispyware Informazioni su Auto-Protect Utilizzo delle scansioni antivirus e antispyware Configurazione della scansione antivirus e antispyware Interpretazione dei risultati della scansione Invio di informazioni sulle scansioni antivirus e antispyware a Symantec Security Response Configurazione delle azioni relative a virus e rischi per la sicurezza Configurazione delle notifiche relative a virus e rischi per la sicurezza Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware Informazioni sulla quarantena Gestione della quarantena Informazioni sulla protezione antivirus e antispyware Il client di Symantec Endpoint Protection include le impostazioni antivirus e antispyware predefinite adeguate alla maggior parte degli utenti. È possibile modificare le impostazioni per personalizzarle per la rete di sicurezza. È possibile

56 56 Gestione della protezione antivirus e antispyware Informazioni sulla protezione antivirus e antispyware personalizzare le impostazioni delle politiche per scansioni Auto-Protect, pianificate, all'avvio e su richiesta. Di seguito sono elencate alcune impostazioni antivirus e antispyware: Elementi da sottoporre a scansione Operazioni da eseguire se viene rilevato un virus o un rischio per la sicurezza Informazioni sulla scansione dei file Le scansioni antivirus e antispyware analizzano tutti i tipi di file per impostazione predefinita. Anche le scansioni pianificate, all'avvio e su richiesta esaminano tutti i tipi di file per impostazione predefinita. È possibile scegliere di eseguire la scansione dei file in base all'estensione, ma viene ridotta la protezione da virus e da rischi per la sicurezza. Se si selezionano le estensioni dei file da sottoporre a scansione, Auto-Protect può determinare il tipo di file anche se un virus cambia l'estensione. Vedere "Configurazione di Auto-Protect per determinare i tipi di file" a pagina 64. È inoltre possibile scegliere di escludere file specifici dalla scansione. Ad esempio, i file che non attivano avvisi di virus durante la scansione possono essere esclusi dalle scansioni successive. Utilizzo di un unico file per la posta in arrivo nell'applicazione di posta elettronica Se l'applicazione di posta elettronica memorizza tutti i messaggi di in un singolo file, è necessario creare un'eccezione centralizzata per escludere il file della posta in arrivo dalle scansioni. Le applicazioni di posta elettronica che memorizzano tutti i messaggi di in un singolo file della posta in arrivo includono Outlook Express, Eudora, Mozilla o Netscape. Il client potrebbe essere configurato per mettere in quarantena un virus rilevato. Se il client rileva il virus nel file della posta in arrivo, mette in quarantena l'intera casella della posta in arrivo. Se il client mette in quarantena la casella della posta in arrivo, non è possibile accedere alla posta elettronica. In genere non è consigliabile escludere file dalle scansioni. Tuttavia, quando si esclude il file della posta in arrivo dalle scansioni, il client può ancora rilevare eventuali virus quando si aprono i messaggi di . Se il client trova un virus quando viene aperto un messaggio , può mettere in quarantena o eliminare il messaggio in condizioni di sicurezza. È possibile escludere il file configurando un'eccezione centralizzata.

57 Gestione della protezione antivirus e antispyware Informazioni sulla protezione antivirus e antispyware 57 Vedere "Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware" a pagina 90. Informazioni sulla scansione in base all'estensione Il client può sottoporre a scansione i file del computer in base alle estensioni. È possibile scegliere fra i tipi di estensione di file riportati di seguito. File di documento File di programma Includono i documenti di Microsoft Word e Microsoft Excel e i file modello a essi associati. Il client cerca le infezioni da virus macro nei file di documento. Includono i file delle librerie di collegamento dinamico (.dll), i file batch (.bat), i file di comando (.com), i file eseguibili (.exe) e altri file di programma. Il client cerca infezioni da virus di file nei file di programma. Per aggiungere estensioni di file all'elenco delle scansioni di Auto-Protect 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Auto-Protect per file system della finestra di dialogo Impostazioni di protezione antivirus e antispyware,, sotto Tipi di file, fare clic su Selezionati. 4 Fare clic su Estensioni. 5 Nella casella di testo, digitare l'estensione da aggiungere e quindi fare clic su Aggiungi. 6 Ripetere il passaggio 5 in base alle proprie esigenze, quindi fare clic su OK. 7 Fare clic su OK. Per aggiungere estensioni di file all'elenco delle scansioni per scansioni su richiesta, pianificate o all'avvio 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Fare clic con il pulsante destro del mouse sulla scansione per cui si desidera aggiungere estensioni di file, quindi selezionare Modifica. Le modifiche si applicano solo alla scansione specifica selezionata. 3 Nella scheda Opzioni di scansione, sotto Tipi di file, selezionare Estensioni selezionate, quindi fare clic su Estensioni. 4 Digitare l'estensione da aggiungere, quindi fare clic su Aggiungi.

58 58 Gestione della protezione antivirus e antispyware Informazioni sulla protezione antivirus e antispyware 5 Ripetere il passaggio 4 in base alle proprie esigenze, quindi fare clic su OK. 6 Fare clic su OK. Informazioni sulla scansione di tutti i tipi di file È possibile eseguire la scansione di tutti i file presenti nel computer, indipendentemente dall'estensione. La scansione di tutti i tipi di file garantisce la protezione più completa. Richiede tuttavia più tempo della scansione in base all'estensione, sebbene offra una maggiore protezione da virus e rischi per la sicurezza. Informazioni sull'esclusione di elementi dalle scansioni È possibile configurare il client per escludere un rischio per la sicurezza dalle scansioni. In alcuni casi si potrebbe volere escludere un rischio dalla scansione. Ad esempio, si potrebbe avere bisogno di un particolare adware nel proprio lavoro. Il client potrebbe non consentire tale adware. Se la politica di sicurezza dell'azienda consente quell'adware, è possibile escludere tale rischio dalle scansioni. Il client potrebbe contrassegnare un file come infettato ma il file non contiene un virus. Ciò può verificarsi se una particolare definizione dei virus è stata progettata per l'individuazione di tutte le varianti possibili di un virus. Poiché la definizione dei virus deve essere necessariamente ampia, è possibile che un file non infetto venga indicato come file infetto. Se le scansioni antivirus e antispyware continuano a segnalare un file pulito come infettato, è possibile escludere il file dalle scansioni. Le esclusioni rappresentano gli elementi che non si ritiene opportuno sottoporre a scansione. La politica di sicurezza aziendale potrebbe consentire di eseguire il software che il client segnala come rischio. In tal caso è possibile escludere le cartelle che contengono il software. Le eccezioni centralizzate si utilizzano per escludere alcuni elementi dalle scansioni. L'eccezione si applica a tutte le scansioni antivirus e antispyware eseguite. Anche l'amministratore potrebbe configurare delle eccezioni. Le eccezioni definite dall'amministratore hanno la precedenza sulle eccezioni definite dall'utente. Vedere "Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware" a pagina 90. Avvertimento: impostare le esclusioni con particolare attenzione. Se un file escluso da una scansione viene infettato da un virus, su di esso non verrà eseguita alcuna azione di pulizia. Ciò può costituire un pericolo per la sicurezza del computer.

59 Gestione della protezione antivirus e antispyware Informazioni sulla protezione antivirus e antispyware 59 Informazioni su come impedire le infezioni da virus macro Il client rileva e rimuove automaticamente la maggior parte dei virus delle macro di Excel e di Microsoft Word. Quando si eseguono regolarmente scansioni pianificate, è possibile proteggere il computer dalle infezioni da virus macro. Anche Auto-Protect cerca ed elimina regolarmente tutti i virus delle macro che rileva. Per impedire in modo ottimale le infezioni da virus macro, effettuare le seguenti operazioni: Attivare Auto-Protect. Auto-Protect esamina costantemente i file a cui si accede o che vengono modificati. Eseguire Auto-Protect per l' , se disponibile. Proteggere i file del modello globale disattivando le macro automatiche. Rilevazione di un virus o un rischio per la sicurezza da parte del client di Symantec Endpoint Protection Quando virus e rischi per la sicurezza infettano i file, il client risponde ai diversi tipi di rischi in modi diversi. Per ciascun tipo di rischio, il client utilizza una prima azione e quindi applica una seconda azione se la prima non riesce. Per impostazione predefinita, quando il client rileva un virus, cerca in primo luogo di eliminare il virus dal file infetto. Se il client non riesce a pulire il file, registra il problema e sposta il file infetto in quarantena. Per impostazione predefinita, quando il client rileva un rischio per la sicurezza, mette in quarantena il rischio. Prova inoltre a rimuovere o riparare tutte le modifiche apportate dal rischio per la sicurezza. Se il client non riesce a mettere in quarantena un rischio per la sicurezza, registra il rischio senza intervenire ulteriormente. Nota: in quarantena il rischio non può diffondersi. Quando un client sposta un file in quarantena, non è possibile accedere al file. Il client può inoltre annullare le modifiche apportate agli elementi messi in quarantena. Per ogni tipo di scansione è possibile modificare le impostazioni di gestione di virus e rischi per la sicurezza da parte del client. È possibile impostare diverse azioni per ogni categoria di rischio e per i diversi rischi per la sicurezza.

60 60 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect Nota: in alcuni casi, può capitare di installare inavvertitamente un applicazione che include un rischio per la sicurezza quale un adware o uno spyware. Se Symantec ha determinato che mettere in quarantena il rischio non causa problemi al computer, il client mette in quarantena il rischio. Se il client mette in quarantena il rischio immediatamente, la relativa azione può determinare uno stato di instabilità del computer. Il client attende invece il completamento dell'installazione dell'applicazione prima di mettere in quarantena il rischio, quindi ripara gli effetti del rischio. Informazioni su Auto-Protect Auto-Protect rappresenta la miglior difesa contro gli attacchi dei virus. Ogni volta che si accede, si copia, si salva, si sposta o si apre un file, Auto-Protect lo esamina per controllare che non sia infetto da un virus. Auto-Protect sottopone a scansione tutte le estensioni di file che contengono codice eseguibile e tutti i file.doc ed.exe. Auto-Protect può determinare il tipo di file anche se un virus ne cambia l'estensione. Ad esempio, un virus potrebbe cambiare un'estensione di file con una che differisce dalle estensioni di file configurate in Auto-Protect per la scansione. È possibile attivare o disattivare Auto-Protect se l'amministratore non blocca l'impostazione. Vedere "Attivazione e disattivazione della protezione antivirus e antispyware" a pagina 48. Informazioni su Auto-Protect e i rischi per la sicurezza Per impostazione predefinita Auto-Protect esegue le azioni riportate di seguito: Scansione dei rischi per la sicurezza, quali adware e spyware Quarantena dei file infetti Rimozione o riparazione degli effetti secondari dei rischi per la sicurezza È possibile disattivare la scansione dei rischi per la sicurezza in Auto-Protect. Vedere "Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza da parte di Auto-Protect " a pagina 65. Se Auto-Protect rileva un processo che scarica di continuo un rischio per la sicurezza nel computer, visualizza una notifica e registra la rilevazione. (Auto-Protect deve essere configurato per l'invio di notifiche.) Se il processo continua a scaricare lo stesso rischio per la sicurezza, vengono visualizzate nel computer più notifiche e Auto-Protect registra più eventi. Per impedire la

61 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect 61 visualizzazione di più notifiche e la registrazione di più eventi, Auto-Protect interrompe automaticamente l'invio di notifiche relative al rischio per la sicurezza dopo tre rilevazioni. Auto-Protect interrompe anche la registrazione dell'evento dopo tre rilevazioni. In alcune circostanze Auto-Protect non interrompe l'invio di notifiche e la registrazione degli eventi di rischio per la sicurezza. Auto-Protect continua a inviare notifiche e a registrare eventi quando si verifica una delle seguenti circostanze: Nei computer client l'utente o l'amministratore ha disattivato il blocco dell'installazione dei rischi per la sicurezza (attivato per impostazione predefinita). L'azione per il tipo di rischio per la sicurezza scaricato dal processo è impostata su Non intervenire. Informazioni su Auto-Protect e la scansione Auto-Protect sottopone a scansione anche i client di dei groupware supportati. Tale protezione viene fornita per i seguenti client di Lotus Notes 4.5x, 4.6, 5.0 e 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet) Client di Microsoft Exchange 5.0 e 5.5 Nota: Auto-Protect funziona solo nei client supportati non nei server di . La protezione antivirus e antispyware prevede anche la scansione Auto-Protect di ulteriori programmi di Internet attraverso il controllo di tutto il traffico che utilizza i protocolli di comunicazione POP3 o SMTP. È possibile configurare il software client per sottoporre alla scansione dei rischi i messaggi in entrata e in uscita. Le scansioni dell' in uscita contribuiscono a impedire la diffusione delle minacce che si avvalgono dei client di per replicarsi e distribuirsi attraverso una rete. Nota: la scansione dell' Internet non è supportata per i computer con sistemi a 64 bit.

62 62 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect Per le scansioni dell' di Microsoft Exchange e di Lotus Notes, Auto-Protect sottopone a scansione soltanto gli allegati che sono associati all' . Per la scansione dei messaggi di Internet che utilizzano i protocolli SMTP o POP3, Auto-Protect sottopone a scansione i seguenti elementi: Il corpo del messaggio Qualsiasi allegato al messaggio Quando si apre un messaggio con un allegato, l'allegato viene immediatamente scaricato nel computer e sottoposto a scansione quando si verificano le seguenti condizioni: Si utilizza un client Microsoft Exchange client o Microsoft Outlook con interfaccia MAPI. Auto-Protect è attivato per l' . In caso di connessioni lente, lo scaricamento di messaggi con allegati di grandi dimensioni può influire sulle prestazioni del sistema di posta. Gli utenti che ricevono regolarmente allegati di grandi dimensioni possono disattivare questa funzione. Vedere "Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza da parte di Auto-Protect " a pagina 65. Nota: se viene rilevato un virus all'apertura del messaggio, quest ultimo verrà aperto solo al termine della scansione di Auto-Protect, che potrebbe richiedere alcuni istanti. La scansione dell' non supporta i seguenti client di Client IMAP Client AOL basata su Web come Hotmail, Yahoo! Mail e GMAIL Disattivazione della gestione di connessioni crittografate da parte di Auto-Protect È possibile inviare e ricevere attraverso un collegamento protetto. Per impostazione predefinita, Auto-Protect per Internet supporta la crittografia di password ed su connessioni SMTP e POP3. Se si utilizzano connessioni POP3 o SMTP con SSL (Secure Sockets Layer), il client rileva le connessioni protette ma non sottopone a scansione i messaggi crittografati.

63 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect 63 Anche se Auto-Protect non sottopone a scansione l' che utilizza connessioni protette, continua a proteggere i computer dai rischi presenti negli allegati. Auto-Protect esegue la scansione degli allegati quando l'allegato viene salvato nel disco rigido. Nota: per motivi di prestazione, Auto-Protect per l' Internet con protocollo POP3 non è supportato nei sistemi operativi server. Se necessario, la gestione dei messaggi di crittografati può essere disattivata. Quando queste opzioni sono disattivate, Auto-Protect sottopone a scansione i messaggi non crittografati inviati o ricevuti ma blocca i messaggi crittografati. Se si attivano le opzioni e si prova a inviare i messaggi crittografati, Auto-Protect li blocca finché non si riavvia l'applicazione di . Nota: se si disattivano le connessioni crittografate per Auto-Protect, la modifica non ha effetto fino a quando non si effettua nuovamente l'accesso a Windows. Per far sì che la modifica abbia effetto immediatamente, disconnettersi dal sistema ed effettuare di nuovo l'accesso. Per disattivare la gestione di connessioni crittografate da parte di Auto-Protect 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Fare clic su Configura impostazioni accanto a Protezione antivirus e antispyware. 3 Nella scheda Auto-Protect per l' Internet fare clic su Avanzate. 4 Sotto Impostazioni di connessione, deselezionare il Consenti connessioni POP3 crittografate e Consenti connessioni SMTP crittografate. 5 Fare clic su OK. Visualizzazione delle statistiche di scansione di Auto-Protect In Statistiche di scansione Auto-Protect viene visualizzato lo stato dell'ultima scansione di Auto-Protect, il nome dell'ultimo file analizzato e le informazioni sulle infezioni da virus e sui rischi per la sicurezza. Per visualizzare le statistiche di scansione di Auto-Protect Nel client, alla pagina di stato, accanto a Protezione antivirus e antispyware, fare clic su Opzioni > Visualizza statistiche Auto-Protect per File System.

64 64 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect Visualizzazione dell'elenco dei rischi È possibile visualizzare i rischi attuali rilevati dalla protezione antivirus e antispyware. L'elenco corrisponde alle attuali definizioni dei virus. Per visualizzare l'elenco dei rischi Nel client, alla pagina Stato, accanto a Protezione antivirus e antispyware, fare clic su Opzioni > Visualizza elenco minacce. Configurazione di Auto-Protect per determinare i tipi di file Auto-Protect è preimpostato per eseguire la scansione di tutti i file. Se eseguita solo sui file con le estensioni selezionate, la scansione potrebbe venire completata più rapidamente. Ad esempio, è possibile sottoporre a scansione soltanto le seguenti estensioni:.exe.com.dll.doc.xls In genere i virus attaccano soltanto determinati tipi di file. Se si esegue la scansione dei file con le estensioni selezionate, tuttavia, si ottiene una protezione minore in quanto Auto-Protect non esamina tutti i file. L'elenco predefinito di estensioni riporta i file generalmente a rischio di infezioni da virus. Auto-Protect sottopone a scansione le estensioni di file che contengono il codice eseguibile e tutti i file.doc e.exe. Può inoltre determinare il tipo di file anche se un virus ne cambia l'estensione. Ad esempio, esamina i file.doc anche se un virus ne cambia l'estensione. È necessario configurare Auto-Protect per sottoporre a scansione tutti i tipi di file per assicurarsi che il computer abbia la massima protezione da virus e rischi per la sicurezza. Per configurare Auto-Protect per determinare i tipi di file 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 In una scheda Auto-Protect qualsiasi, sotto Tipi di file, eseguire una delle seguenti operazioni:

65 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect 65 Fare clic su Tutti i tipi per eseguire la scansione di tutti i file. Fare clic su Selezionati per eseguire esclusivamente la scansione dei file corrispondenti alle estensioni elencate, quindi fare clic su Estensioni per modificare l'elenco predefinito delle estensioni di file. 4 Se si è scelto Selezionati, selezionare o deselezionare l'opzione Determina i tipi di file in base all'esame del contenuto. 5 Fare clic su OK. Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza da parte di Auto-Protect Per impostazione predefinita, Auto-Protect esegue le seguenti azioni: Ricerca i rischi per la sicurezza quali adware e spyware Mette in quarantena i file infettati Cerca di rimuovere o riparare gli effetti dei rischi per la sicurezza Quando il blocco dell'installazione di un rischio per la sicurezza non influisce sulla stabilità di un computer, Auto-Protect lo effettua per impostazione predefinita. Se Symantec determina che il blocco di un rischio per la sicurezza potrebbe compromettere la stabilità del computer, Auto-Protect consente l'installazione del rischio. Inoltre, Auto-Protect prende immediatamente i provvedimenti che sono stati configurati per il rischio. Di tanto in tanto, tuttavia, è possibile che si abbia la necessità di disattivare la ricerca dei rischi per la sicurezza nelle scansioni di file di Auto-Protect e quindi di riattivarla. Potrebbe essere necessario disattivare anche il blocco dei rischi per la sicurezza, allo scopo di controllare il momento in cui Auto-Protect reagisce a determinati rischi per la sicurezza. Nota: l'amministratore potrebbe bloccare queste impostazioni. Per disattivare o attivare la scansione e il blocco dei rischi per la sicurezza da parte di Auto-Protect 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Auto-Protect per file system, sotto Opzioni, eseguire una delle seguenti operazioni: Selezionare o deselezionare l'opzione Ricerca rischi per la sicurezza.

66 66 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect Selezionare o deselezionare l'opzione Blocca l'installazione di rischi per la sicurezza. Selezionare o deselezionare l'opzione Esegui scansioni di file su unità di rete. 4 Fare clic su OK. Configurazione delle impostazioni di scansione della rete La configurazione delle scansioni della rete include le seguenti opzioni: Affidabilità dei file nei computer remoti che eseguono Auto-Protect. Utilizzo di una cache per memorizzare un record dei file sottoposti a scansione da Auto-Protect da una rete. Per impostazione predefinita, Auto-Protect esegue la scansione dei file durante la scrittura degli stessi dal computer a un computer remoto. Auto-Protect esamina inoltre i file quando vengono scritti da un computer remoto al computer. Durante la lettura dei file in un computer remoto, tuttavia, Auto-Protect potrebbe non eseguire la scansione dei file. Per impostazione predefinita, Auto-Protect considera affidabili le versioni remote di Auto-Protect. Se l'opzione di affidabilità è attivata su entrambi i computer, Auto-Protect locale controlla le impostazioni Auto-Protect del computer remoto. Se nelle impostazioni di Auto-Protect remoto è specificato un livello di sicurezza elevato quanto quello delle impostazioni locali, Auto-Protect locale considera affidabile Auto-Protect remoto. In questo caso non sottopone a scansione i file che legge dal computer remoto. Il computer locale considera già eseguita la scansione dei file da parte di Auto-Protect. Nota: Auto-Protect locale esamina sempre i file copiati da un computer remoto. L'opzione di affidabilità è attivata per impostazione predefinita. Se si disattiva tale opzione, si potrebbero riscontrare prestazioni di rete più scadenti. Per disattivare l'affidabilità nelle versioni remote di Auto-Protect 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Fare clic su Configura impostazioni accanto a Protezione antivirus e antispyware. 3 Nella scheda Auto-Protect per file system, fare clic su Avanzate. 4 Nella finestra di dialogo Opzioni avanzate di Auto-Protect, sotto Opzioni avanzate aggiuntive, fare clic su Rete.

67 Gestione della protezione antivirus e antispyware Informazioni su Auto-Protect 67 5 Sotto Impostazioni di scansione di rete, deselezionare Considera sicuri i file su computer remoti che eseguono Auto-Protect. 6 Fare clic su OK fino a quando non viene visualizzata nuovamente la finestra principale. È possibile configurare il computer per l'utilizzo di una cache di rete. La cache di rete memorizza un record dei file che Auto-Protect ha sottoposto a scansione da un computer remoto. Se si utilizza una cache di rete, si evita che Auto-Protect esegua la scansione dello stesso file più di una volta. Impedendo più scansioni dello stesso file, è possibile migliorare le prestazioni del sistema. È possibile non solo impostare il numero di file (voci) di cui si desidera eseguire la scansione e la memorizzazione con Auto-Protect, ma anche il tempo che deve trascorrere prima che le voci vengano rimosse dalla cache. Allo scadere del tempo impostato, le voci vengono rimosse. Auto-Protect esegue quindi la scansione dei file se vengono nuovamente richiesti al computer remoto. Per configurare una cache di rete 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Auto-Protect per file system della finestra di dialogo Impostazioni antivirus e antispyware, fare clic su Avanzate. 4 Nella finestra di dialogo Opzioni avanzate di Auto-Protect, sotto Opzioni avanzate aggiuntive, fare clic su Rete. 5 Nella finestra di dialogo Impostazioni di scansione di rete, selezionare o deselezionare Cache di rete. 6 Se è stata attivata la cache di rete, utilizzare le impostazioni predefinite o effettuare una delle azioni seguenti: Utilizzare le frecce o digitare il numero di file (voci) di cui si desidera eseguire la scansione e la memorizzazione con Auto-Protect. Digitare il numero di secondi di mantenimento delle voci nella cache prima che questa venga rimossa. 7 Fare clic su OK fino a quando non viene visualizzata nuovamente la finestra principale.

68 68 Gestione della protezione antivirus e antispyware Utilizzo delle scansioni antivirus e antispyware Utilizzo delle scansioni antivirus e antispyware Auto-Protect è la difesa più potente contro infezioni da virus e rischi per la sicurezza. Oltre ad Auto-Protect, la protezione antivirus e antispyware include diversi tipi di scansioni per offrire ulteriore protezione. Nella Tabella 6-1 sono descritte le scansioni disponibili Tabella 6-1 Tipo Scansione personalizzata Active Scan Scansioni disponibili Descrizione Consente di eseguire in qualsiasi momento la scansione di file, cartelle, unità disco o di tutto il computer. L'utente seleziona le aree del computer per le quali eseguire una scansione. Esegue rapidamente la scansione della memoria e delle posizioni soggette ad attacchi frequenti da parte di virus e rischi per la sicurezza. Scansione completa Scansione pianificata Scansione all'avvio Definita dall utente Esegue la scansione dell'intero computer, inclusi il settore di avvio e la memoria di sistema. Per la scansione delle unità di rete è necessario immettere una password. Viene eseguita in base alla frequenza specificata, senza l'intervento dell'utente. Viene eseguita ogni volta che si avvia il computer e si esegue l'accesso. Esegue la scansione di gruppi di file specificati in qualsiasi momento. Se è attivato Auto-Protect, una scansione Active Scan quotidiana e una singola scansione pianificata settimanale di tutti i file forniscono una protezione sufficiente. Se il computer è soggetto ad attacchi frequenti di virus, considerare la possibilità di aggiungere una scansione completa all'avvio o una scansione pianificata quotidiana. È inoltre possibile configurare la frequenza delle scansioni per la ricerca di comportamenti sospetti anziché di rischi noti. Vedere "Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan" a pagina 103.

69 Gestione della protezione antivirus e antispyware Utilizzo delle scansioni antivirus e antispyware 69 Rilevazione di virus e rischi per la sicurezza da parte del client Symantec Endpoint Protection Le infezioni da virus in un computer vengono impedite mediante la scansione del settore di avvio, della memoria e dei file alla ricerca di virus e rischi per la sicurezza. Il motore di scansione utilizza le firme dei virus e dei rischi per la sicurezza che si trovano nei file delle definizioni. Il motore di scansione ricerca in modo approfondito tutti i virus noti che si trovano all'interno dei file eseguibili. Le scansioni antivirus e antispyware cercano nelle parti eseguibili dei file di documento per trovare i virus macro. È possibile eseguire una scansione su richiesta oppure pianificarne l'esecuzione quando non si utilizza il computer. Nella Tabella 6-2 vengono descritti i componenti del computer che il client sottopone a scansione. Tabella 6-2 Componente Memoria del computer Settore di avvio Unità a dischetto Componenti del computer sottoposti a scansione dal client Descrizione Il client cerca nella memoria del computer. Qualsiasi virus di file, del settore di avvio o di macro può risiedere nella memoria. I virus residenti in memoria si sono autoreplicati nella memoria del computer. Un virus può restare nascosto nella memoria fino a quando non si verifica un evento di attivazione, dopodiché può diffondersi su un dischetto floppy presente nella relativa unità oppure sull'hard disk. Se un virus è nella memoria, non può essere ripulito. Tuttavia, è possibile rimuoverlo riavviando il computer, quando viene chiesto di eseguire questa operazione. Il client cerca nel settore di avvio del computer per verificare la presenza di virus di avvio. Vengono controllati due elementi: le tabelle di partizione e il record di avvio principale. Un modo comune con cui si diffonde un virus è tramite dischi floppy. Un disco floppy potrebbe rimanere in un'unità disco quando si avvia o si spegne il computer. Quando una scansione inizia, il client cerca nel settore di avvio e nelle tabelle di partizione del disco floppy che si trova nell'unità disco. Quando si spegne il computer viene chiesto di rimuovere il disco per impedire una possibile infezione.

70 70 Gestione della protezione antivirus e antispyware Utilizzo delle scansioni antivirus e antispyware Componente File selezionati Descrizione Il client sottopone a scansione singoli file. Nella maggior parte dei casi, è possibile scegliere i file sui quali eseguire la scansione. Il software client utilizza la scansione basata su profili per cercare tracce di virus all'interno dei file. Le tracce dei virus sono dette profili o firme. Ciascun file viene confrontato con firme innocue contenute in un file delle definizioni dei virus, in modo da identificare virus specifici. Alla rilevazione di un virus, per impostazione predefinita viene eseguito un tentativo di pulizia del file. Se non è possibile ripulire il file, quest ultimo viene messo in quarantena per impedire ulteriori infezioni del computer. Le scansioni basate su profili vengono eseguite anche per ricercare segni di rischi per la sicurezza all'interno di file e chiavi di registro. Se viene rilevato un rischio per la sicurezza, per impostazione predefinita i file infetti vengono messi in quarantena e gli effetti del rischio riparati. Se non riesce a mettere in quarantena i file, il client registra il tentativo. Informazioni sui file delle definizioni I file dei virus includono parti di codice che quando vengono esaminate in dettaglio risultano caratterizzate da determinati profili. È possibile rintracciare tali profili nei file infettati. I profili sono chiamati anche firme. Anche ai rischi per la sicurezza, come adware e spyware, sono associate firme riconoscibili. I file delle definizioni contengono un elenco di firme di virus note, senza il codice nocivo del virus, e di firme note per i rischi per la sicurezza. Il software di scansione cerca all'interno dei file del computer per identificare le firme note incluse nei file delle definizioni. L'individuazione di una corrispondenza indica che il file è infetto. Il file delle definizioni viene utilizzato per determinare il virus che ha causato l infezione e per ripararne gli effetti secondari. Se trova un rischio per la sicurezza, il client utilizza i file delle definizioni per mettere in quarantena il rischio e per riparare i relativi effetti secondari. Nuovi virus e rischi per la sicurezza vengono introdotti frequentemente nella comunità di computer. È necessario assicurarsi che i file delle definizioni del computer siano aggiornati. È necessario assicurarsi che il client possa rilevare e ripulire anche il virus e i rischi per la sicurezza più recenti.

71 Gestione della protezione antivirus e antispyware Utilizzo delle scansioni antivirus e antispyware 71 Informazioni sulla scansione di file compressi Le scansioni antivirus e antispyware sottopongono a scansione i file compressi. Ad esempio, vengono sottoposti a scansione i file.zip. L'amministratore può specificare la scansione fino a un massimo di 10 livelli per i file compressi contenenti altri file compressi. Per i tipi di scansione di file compressi supportati, contattare l'amministratore. Se Auto-Protect è attivato, tutti i file all'interno di un file compresso sono sottoposti a scansione. Avvio delle scansioni su richiesta È possibile eseguire la scansione manuale alla ricerca di virus e rischi per la sicurezza quali adware e spyware, in qualunque momento. Selezionare un qualsiasi elemento da analizzare, ad esempio un singolo file, un disco floppy o l'intero computer. Le scansioni su richiesta includono la scansione Active Scan e la scansione completa. È inoltre possibile creare una scansione personalizzata da eseguire su richiesta. Vedere "Creazione di scansioni su richiesta e all'avvio" a pagina 75. Per ulteriori informazioni sulle opzioni di questa procedura, è possibile fare clic su?. Per avviare una scansione da Windows Nella finestra Risorse del computer o Esplora risorse, fare clic con il pulsante destro del mouse su un file, cartella o unità disco, quindi scegliere Scansione alla ricerca di virus. Questa funzionalità non è supportata nei sistemi operativi a 64 bit. Per avviare una scansione dal client Eseguire una delle seguenti operazioni: Nel client, alla pagina Stato, accanto a Protezione antivirus e antispyware, fare clic su Opzioni > Esegui Active Scan. Nel client, nella barra laterale, fare clic su Ricerca minacce. Eseguire una delle seguenti operazioni: Sotto Active Scan, fare clic su Active Scan. Sotto Scansione completa, fare clic su Scansione completa. Nell'elenco delle scansioni, fare clic con il pulsante destro del mouse su una scansione, quindi scegliere Esegui scansione ora. Viene avviata la scansione. Viene visualizzata una finestra di avanzamento in cui è indicato lo stato della scansione e i risultati.

72 72 Gestione della protezione antivirus e antispyware Configurazione della scansione antivirus e antispyware Configurazione della scansione antivirus e antispyware È possibile configurare diversi tipi di scansione per proteggere il computer da virus e rischi per la sicurezza. Creazione di scansioni pianificate Le scansioni pianificate sono componenti importanti della protezione contro le minacce e i rischi per la sicurezza. È necessario pianificare una scansione da eseguire almeno una volta alla settimana per assicurare l'assenza di virus e rischi per la sicurezza dal computer. Quando si crea una nuova scansione, questa viene visualizzata nell'elenco delle scansioni della finestra Ricerca minacce. Nota: se l'amministratore ha creato una scansione pianificata per l'utente, questa viene visualizzata nell'elenco delle scansioni della finestra Ricerca minacce. Quando viene eseguita la scansione pianificata, il computer deve essere acceso e i servizi di Symantec Endpoint Protection caricati. Per impostazione predefinita, i servizi di Symantec Endpoint Protection vengono caricati all'avvio del computer. Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare clic su?. Per creare una scansione pianificata 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Fare clic su Crea nuova scansione. 3 Nella finestra di dialogo Elementi da sottoporre a scansione, selezionare uno dei seguenti tipi di scansione da pianificare: Attiva Completa sottopone a scansione le zone del computer più comunemente infettate da virus e rischi per la sicurezza. sottopone a scansione l'intero computer per rilevare virus e rischi per la sicurezza. Personalizzata sottopone a scansione le zone selezionate del computer per rilevare virus e rischi per la sicurezza. 4 Fare clic su Avanti.

73 Gestione della protezione antivirus e antispyware Configurazione della scansione antivirus e antispyware 73 5 Se si sceglie Personalizzata, selezionare le caselle di controllo appropriate per specificare i percorsi da sottoporre a scansione. Ai simboli seguenti corrispondono le descrizioni riportate: Il file, l'unità disco o la cartella non è selezionato. Se l'elemento è un'unità disco o una cartella, anche le cartelle e i file in esse contenuti non sono selezionati. È selezionato il singolo file o la singola cartella. È selezionata la singola cartella o unità. Sono selezionati anche tutti gli elementi contenuti nella cartella o nell unità. La singola cartella o unità non è selezionata, ma sono selezionati uno o più elementi al suo interno. 6 Fare clic su Avanti. 7 Nella finestra di dialogo Opzioni di scansione, è possibile effettuare una delle azioni seguenti: Modificare le impostazioni predefinite relative agli elementi sottoposti a scansione. Per impostazione predefinita viene eseguita una scansione di tutti i file. Specificare come risponde il client se viene rilevato un virus o un rischio per la sicurezza. Per impostazione predefinita, il client rimuove il virus dai file infettati e ripara tutti gli effetti secondari. Se non riesce a rimuovere il virus, mette in quarantena il file. Per impostazione predefinita, il client mette in quarantena i rischi per la sicurezza e rimuove o ripara tutti gli effetti secondari. Se il client non riesce a mettere in quarantena e riparare il rischio, registra l'evento. 8 Sotto Miglioramenti di scansione, selezionare le posizioni desiderate. 9 Fare clic su Avanzate. 10 Impostare una delle seguenti opzioni: Opzioni file compressi Opzioni di backup Opzioni di dialogo Opzioni ottimizzazione

74 74 Gestione della protezione antivirus e antispyware Configurazione della scansione antivirus e antispyware Opzioni di migrazione archivi 11 Sotto Opzioni di dialogo, nell'elenco a discesa, fare clic su Mostra avanzamento scansione, quindi su OK. 12 Nella finestra di dialogo Opzioni di scansione è possibile anche modificare le seguenti opzioni: Azioni Notifiche Eccezioni centralizzate modifica la prima e la seconda azione da intraprendere quando vengono trovati virus e rischi per la sicurezza. crea un messaggio da visualizzare quando viene trovato un virus o un rischio per la sicurezza. È anche possibile configurare se venire notificati prima dell'esecuzione delle azioni di rimedio. crea un'eccezione per la rilevazione di un rischio per la sicurezza. 13 Fare clic su Avanti. 14 Nella finestra di dialogo Quando eseguire la scansione, fare clic su A orari specificati, quindi su Avanti. 15 Nella finestra di dialogo Pianifica, specificare la frequenza e quando eseguire la scansione. 16 Fare clic su Avanzate. 17 Nella finestra di dialogo Opzioni di pianificazione avanzate, effettuare le seguenti operazioni: Selezionare Riprova scansioni non eseguite e quindi nel campo Numero massimo di giorni di attesa prima di riprovare a eseguire la scansione, specificare un valore. È ad esempio possibile stabilire che una sessione settimanale di scansione venga eseguita solo se rientra nei tre giorni successivi al momento programmato per l'evento non eseguito. Selezionare o deselezionare Esegui la scansione anche quando nessun utente ha eseguito l'accesso. Le scansioni definite dall'utente vengono sempre eseguite se l'utente ha effettuato l'accesso, indipendentemente da questa impostazione. Per i client gestiti, l'amministratore potrebbe modificare la priorità di queste impostazioni.

75 Gestione della protezione antivirus e antispyware Configurazione della scansione antivirus e antispyware Fare clic su OK. 19 Nella finestra di dialogo Pianifica, fare clic su Avanti. 20 Nella finestra di dialogo Nome scansione, digitare un nome e una descrizione per la scansione. Ad esempio, denominare la scansione Venerdì mattina 21 Fare clic su Fine. Informazioni sulla creazione di più scansioni pianificate Se nello stesso computer vengono pianificate più scansioni e le scansioni iniziano alla stessa ora, queste vengono eseguite in sequenza. Dopo che una scansione finisce ne inizia un'altra. Ad esempio, è possibile pianificare tre scansioni separate da eseguire nel computer alle ore Ogni scansione viene eseguita su un'unità differente. La prima scansione viene eseguita sull'unità C, la seconda sull'unità D e la terza sull'unità E. In questo esempio, una soluzione migliore consiste nel creare una scansione pianificata delle unità C, D ed E. Creazione di scansioni su richiesta e all'avvio Oltre alla scansione pianificata, alcuni utenti preferiscono eseguire un'ulteriore scansione ogni volta che avviano o accedono al computer. Spesso, la scansione all'avvio viene impostata in modo da esaminare solo le cartelle critiche e a rischio di infezione elevato, ad esempio la cartella di Windows e le cartelle contenenti i modelli di Microsoft Word e Microsoft Excel. Nota: se si creano più scansioni all'avvio, queste vengono eseguite in sequenza, nell'ordine in cui sono state create. La protezione antivirus e antispyware comprende anche una scansione all'avvio detta Active Scan generata automaticamente. La scansione generata automaticamente controlla i punti di infezione comuni del computer ogni volta che un utente accede al computer. È possibile modificare questa scansione nello stesso modo in cui è possibile configurare la scansione su richiesta. Tuttavia, non è possibile disattivare le scansioni dei file nella memoria e degli altri punti di infezione comuni del computer. Se si esegue regolarmente la scansione di uno stesso gruppo di file o cartelle, è possibile creare una scansione su richiesta limitata a tali elementi. In qualunque momento è possibile verificare rapidamente che i file e le cartelle specificati sono esenti da virus e rischi per la sicurezza. Le scansioni su richiesta devono essere iniziate manualmente.

76 76 Gestione della protezione antivirus e antispyware Configurazione della scansione antivirus e antispyware Vedere "Avvio delle scansioni su richiesta" a pagina 71. Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare clic su?. Per creare una scansione di avvio o su richiesta 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Fare clic su Crea nuova scansione. 3 Fare clic su Avanti. 4 Nella finestra di dialogo Elementi da sottoporre a scansione, selezionare uno di seguenti tipi di scansioni da pianificare: Active Completa Personalizzata 5 Fare clic su Avanti. 6 Se si seleziona Personalizzata nella finestra di dialogo di selezione dei file, selezionare i file e la cartella da esaminare. Ai simboli seguenti corrispondono le descrizioni riportate: Il file, l'unità disco o la cartella non è selezionato. Se l'elemento è un'unità disco o una cartella, anche le cartelle e i file in esse contenuti non sono selezionati. È selezionato il singolo file o la singola cartella. È selezionata la singola cartella o unità. Sono selezionati anche tutti gli elementi contenuti nella cartella o nell unità. La singola cartella o unità non è selezionata, ma sono selezionati uno o più elementi al suo interno. 7 Fare clic su Avanti. 8 Nella finestra di dialogo Opzioni di scansione è possibile effettuare le azioni seguenti: Modificare le impostazioni predefinite relative agli elementi sottoposti a scansione. Per impostazione predefinita viene eseguita una scansione di tutti i file.

77 Gestione della protezione antivirus e antispyware Configurazione della scansione antivirus e antispyware 77 Specificare come risponde il client se viene rilevato un virus o un rischio per la sicurezza. Per impostazione predefinita, il client rimuove il virus dai file infettati e ripara tutti gli effetti secondari. Se non può rimuovere il virus, il client mette in quarantena il file. Per impostazione predefinita, il client mette in quarantena i rischi per la sicurezza e rimuove o ripara tutti gli effetti secondari. Se il client non riesce a mettere in quarantena e riparare il rischio, il client registra l'evento. 9 Sotto Miglioramenti di scansione, selezionare le posizioni desiderate. 10 Fare clic su Avanzate. 11 Nella finestra di dialogo Opzioni di scansione avanzate, è possibile impostare le seguenti opzioni: Opzioni file compressi Opzioni di backup Opzioni di dialogo Opzioni ottimizzazione Opzioni di migrazione archivi 12 Sotto Opzioni di dialogo, nell'elenco a discesa, fare clic su Mostra avanzamento scansione e fare clic su OK. 13 Dopo aver impostato tutte le opzioni avanzate, fare clic su OK. 14 È anche possibile modificare le seguenti opzioni: Azioni: modifica la prima e la seconda azione da intraprendere quando vengono trovati virus e rischi per la sicurezza. Notifiche: crea un messaggio da visualizzare quando viene trovato un virus o un rischio per la sicurezza. È anche possibile configurare se venire notificati prima dell'esecuzione delle azioni di rimedio. Eccezioni centralizzate: crea le eccezioni per la scansione. 15 Una volta terminata la configurazione delle opzioni di scansione, fare clic su OK. 16 Nella finestra di dialogo Quando eseguire la scansione, eseguire una delle seguenti azioni: Fare clic su Su richiesta. Fare clic su All'avvio.

78 78 Gestione della protezione antivirus e antispyware Interpretazione dei risultati della scansione 17 Nella finestra di dialogo Opzioni scansione, fare clic su Avanti. 18 Digitare un nome e una descrizione per la scansione. Ad esempio, denominare la scansione Scansione1 19 Fare clic su Fine. Modifica ed eliminazione delle scansioni all'avvio, definite dall utente e pianificate È possibile modificare ed eliminare le scansioni all'avvio, definite dall utente e pianificate esistenti. Alcune opzioni potrebbero non essere disponibili se non è possibile configurarle per un particolare tipo di scansione. Per modificare una scansione 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Nell'elenco di scansioni, fare clic con il pulsante destro del mouse sulla scansione da modificare, quindi fare clic su Modifica. 3 Eseguire le modifiche desiderate nelle schede Elementi da sottoporre a scansione, Opzioni e Generale. Per le scansioni pianificate, è anche possibile modificare la pianificazione. 4 Fare clic su OK. Per eliminare una scansione 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Nell'elenco di scansioni, fare clic con il pulsante destro del mouse sulla scansione da eliminare, quindi fare clic su Elimina. 3 Nella finestra di dialogo Conferma eliminazione, fare clic su Sì. Interpretazione dei risultati della scansione Ogni volta che viene eseguita una scansione su richiesta, pianificata, all'avvio o definita dall'utente, per impostazione predefinita il software client visualizza una finestra di dialogo per indicare l'avanzamento della scansione. Inoltre, Auto-Protect può visualizzare una finestra di dialogo di risultati ogni volta che rileva un virus o un rischio per la sicurezza. È possibile disattivare queste notifiche. In una rete a gestione centralizzata è possibile che la finestra di dialogo di avanzamento della scansione non venga visualizzata nel caso di scansioni avviate dall'amministratore. Analogamente, l'amministratore può scegliere di non mostrare i risultati quando il client rileva un virus o un rischio per la sicurezza.

79 Gestione della protezione antivirus e antispyware Interpretazione dei risultati della scansione 79 Se il client rileva dei rischi durante la scansione, la finestra di dialogo di avanzamento della scansione mostra i risultati con le seguenti informazioni: I nomi dei file infettati I nomi del virus o dei rischi per la sicurezza Le azioni che il client ha effettuato sui rischi Per impostazione predefinita, quando viene individuato un virus o un rischio per la sicurezza, viene visualizzato un messaggio di notifica. Nota: la lingua del sistema operativo in cui si esegue il client potrebbe non essere in grado di interpretare alcuni caratteri nei nomi dei virus. Se il sistema operativo non riesce a interpretare i caratteri, i caratteri appaiono come punti interrogativi nelle notifiche. Ad esempio, alcuni nomi di rischi in formato Unicode potrebbero contenere caratteri a doppio byte. Nei computer che eseguono il client in un sistema operativo italiano, questi caratteri appaiono come punti interrogativi. Se si configura il software client per visualizzare una finestra di dialogo di avanzamento della scansione, è possibile sospendere, riavviare o interrompere il processo di scansione. Al termine della scansione, i risultati vengono visualizzati in un elenco. Se non viene rilevato alcun virus o rischio per la sicurezza, l elenco rimane vuoto e la scansione risulta completata. Vedere "Pausa e posticipo delle scansioni" a pagina 52. Informazioni sull'interazione con i valori della scansione o i risultati di Auto-Protect La finestra di dialogo di avanzamento della scansione e la finestra di dialogo dei risultati di Auto-Protect hanno opzioni simili. Se è necessario terminare un processo o un applicazione oppure arrestare un servizio, l'opzione Rimuovi rischio è attiva. Potrebbe non essere possibile chiudere la finestra di dialogo se i rischi presenti nella finestra richiedono l'intervento dell'utente. Nella Tabella 6-3 sono descritte le opzioni della finestra di dialogo dei risultati.

80 80 Gestione della protezione antivirus e antispyware Interpretazione dei risultati della scansione Tabella 6-3 Pulsante Rimuovi rischi ora Opzioni della finestra di dialogo dei risultati Descrizione Apre la finestra di dialogo Rimuovi rischio. Nella finestra di dialogo Rimuovi rischio, è possibile selezionare una delle seguenti opzioni per ogni rischio: Sì Il client rimuove il rischio. La rimozione del rischio potrebbe richiedere un riavvio. Le informazioni nella finestra di dialogo indicano se è richiesto il riavvio. No Quando si chiude la finestra di dialogo dei risultati viene visualizzata una finestra di dialogo. La finestra di dialogo ricorda che il problema non è ancora stato risolto ed è necessario intervenire. Tuttavia, la finestra di dialogo Rimuovi rischio viene chiusa fino a quando non si riavvia il computer. Chiudi Chiude la finestra di dialogo dei risultati se non è necessario intervenire su alcun rischio. Se è necessario intervenire, viene visualizzata una delle seguenti notifiche: Rimozione del rischio richiesta Appare quando un rischio richiede l'arresto di un processo. Se si sceglie di eliminare il rischio, viene nuovamente visualizzata la finestra di dialogo dei risultati. Se è necessario riavviare il sistema, le informazioni presenti nella riga relativa al rischio all'interno della finestra di dialogo segnalano tale necessità. Riavvio richiesto. Appare quando un rischio richiede un riavvio. Rimozione del rischio e riavvio richiesti. Appare quando un rischio richiede l'arresto di un processo e un altro rischio richiede un riavvio. Se è richiesto il riavvio, la rimozione o la riparazione non viene completata fino a quando non si riavvia il computer. Se è necessario intervenire su un rischio, è possibile scegliere di non farlo subito. In questo caso il rischio può essere rimosso o riparato successivamente nei seguenti modi: È possibile aprire il registro dei rischi, fare clic con il pulsante destro del mouse sul rischio e quindi prendere i provvedimenti necessari.

81 Gestione della protezione antivirus e antispyware Invio di informazioni sulle scansioni antivirus e antispyware a Symantec Security Response 81 È possibile eseguire una scansione per rilevare il rischio e riaprire la finestra di dialogo dei risultati. È anche possibile intervenire facendo clic con il pulsante destro del mouse su un rischio nella finestra di dialogo e selezionando un'azione. I provvedimenti che si possono prendere dipendono dalle azioni che sono state configurate per il tipo particolare di rischio che la scansione ha rilevato. Vedere "Interventi sui file infetti" a pagina 24. Invio di informazioni sulle scansioni antivirus e antispyware a Symantec Security Response È possibile impostare l'invio automatico delle informazioni sulla frequenza di rilevazione di scansione o di Auto-Protect a Symantec Security Response. Le informazioni sulla frequenza di rilevazione consentono potenzialmente di migliorare gli aggiornamenti di definizioni dei virus Symantec. Tali informazioni indicano i virus e i rischi per la sicurezza maggiormente rilevati dai clienti. Symantec Security Response può rimuovere le firme non rilevate e fornire un elenco di firme segmentato per i clienti che lo richiedono. Gli elenchi segmentati consentono di ottenere migliori prestazioni di scansione antivirus e antispyware. L'invio delle frequenze di rilevazione è attivato per impostazione predefinita. Nota: l'amministratore potrebbe bloccare le impostazioni di invio. È possibile anche inviare gli elementi in quarantena a Symantec. Vedere "Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi" a pagina 98. Per inviare informazioni sulle scansioni antivirus e antispyware a Symantec Security Response 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Fare clic su Configura impostazioni accanto a Protezione antivirus e antispyware. 3 Nella scheda Invii, selezionare Invia automaticamente rilevazioni antivirus e antispyware. 4 Fare clic su OK.

82 82 Gestione della protezione antivirus e antispyware Configurazione delle azioni relative a virus e rischi per la sicurezza Configurazione delle azioni relative a virus e rischi per la sicurezza È possibile configurare le azioni che il client Symantec Endpoint Protection deve intraprendere quando rileva un virus o un rischio per la sicurezza. È possibile configurare una prima e una seconda azione da eseguire qualora la prima azione non andasse a buon fine. Nota: se su un computer gestito dall amministratore è visualizzata un icona a forma di lucchetto in corrispondenza delle opzioni, significa che non è possibile modificare queste opzioni perché l amministratore le ha bloccate. Le azioni per qualunque tipo di scansione si configurano nello stesso modo. Ogni scansione ha una propria configurazione per le azioni da intraprendere. È possibile configurare azioni differenti per scansioni differenti. Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare clic su?. Per configurare le operazioni relative a virus e rischi per la sicurezza 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Auto-Protect per file system, fare clic su Azioni. 4 Nella finestra di dialogo Azioni di scansione, selezionare un tipo di virus o di rischio per la sicurezza nella struttura. Per impostazione predefinita, ogni sottocategoria di rischio per la sicurezza è configurata automaticamente per utilizzare le azioni che sono impostate per l'intera categoria Rischi per la sicurezza. 5 Per configurare una categoria o istanze specifiche di una categoria in modo che utilizzino azioni diverse, selezionare Sovrascrivi le azioni configurate per Rischi per la sicurezza, quindi impostare le azioni per la categoria desiderata.

83 Gestione della protezione antivirus e antispyware Configurazione delle azioni relative a virus e rischi per la sicurezza 83 6 Selezionare una prima e una seconda azione tra le seguenti opzioni: Pulisci rischio Rimuove il virus dal file infetto. Rappresenta la prima azione predefinita per i virus. Nota: questa azione è disponibile solo come prima azione per i virus e non si applica ai rischi per la sicurezza. Questa impostazione dovrebbe sempre essere la prima azione per i virus. Se un file viene ripulito da un virus, non sarà necessario eseguire altre azioni in quanto il computer non contiene più il virus e non è soggetto alla diffusione di tale virus in altre aree. Quando il client pulisce un file, esso elimina il virus dal file infetto, dal settore di avvio o dalle tabelle di partizione. Inoltre, elimina la capacità del virus di diffondersi. Generalmente, il client può trovare e pulire un virus prima che danneggi il computer. Per impostazione predefinita, il client esegue una copia di backup del file. In alcuni casi, tuttavia, il file pulito potrebbe non essere utilizzabile in quanto il virus potrebbe aver causato troppi danni. Alcuni file infetti non possono essere ripuliti. Rischio quarantena Sposta fisicamente il file infetto dalla posizione originale alla quarantena. I file infetti in quarantena non possono diffondere i virus. Per i virus, sposta il file infetto dalla posizione originale mettendolo in quarantena. Questa impostazione rappresenta la seconda azione predefinita per i virus. Per i rischi per la sicurezza, sposta il file infetto dalla posizione originale mettendolo in quarantena e tenta di rimuovere o riparare eventuali effetti secondari. Questa impostazione rappresenta la prima azione predefinita per i rischi per la sicurezza. La quarantena contiene un record di tutte le azioni che sono state effettuate. È possibile riportare il computer allo stato in cui si trovava prima che il client rimuovesse il rischio.

84 84 Gestione della protezione antivirus e antispyware Configurazione delle azioni relative a virus e rischi per la sicurezza Elimina rischio Elimina il file infetto dal disco rigido del computer. Se il client non può eliminare un file, le informazioni relative all'azione che il client ha effettuato appaiono nella finestra di dialogo Notifica. Le informazioni appaiono anche nel registro eventi. Utilizzare questa azione soltanto se è possibile sostituire il file con una copia di backup che è esente dal virus o dai rischi per la sicurezza. Quando elimina un rischio, il client lo elimina permanentemente. Il file infettato non può essere recuperato dal cestino. Nota: utilizzare con prudenza questa azione quando si configurano le azioni da intraprendere per i rischi per la sicurezza. In alcuni casi, l'eliminazione di un rischio per la sicurezza comporta problemi di funzionamento in alcune applicazioni. Non intervenire (solo registrazione) Lascia il file invariato. Se si utilizza questa azione per i virus, il virus rimane nei file infettati. Il virus può diffondersi ad altre aree del computer. In Cronologia rischi viene inserita una voce per tenere traccia del file infetto. È possibile utilizzare Non intervenire (solo registrazione) come seconda azione per i virus macro e non macro. Non selezionare questa azione quando si effettuano scansioni su vasta scala e automatizzate, quali le scansioni pianificate. È possibile utilizzare questa azione per visualizzare i risultati della scansione e prendere ulteriori provvedimenti successivamente. Un'azione supplementare potrebbe consistere nello spostare il file in quarantena. Per i rischi per la sicurezza, il file infetto viene lasciato invariato nella stessa posizione e nella Cronologia dei rischi viene inserita una voce per tenere traccia del rischio. Utilizzare questa opzione per assumere il controllo manuale della gestione di un rischio per la sicurezza da parte del client. Questa impostazione rappresenta la seconda azione predefinita in relazione ai rischi per la sicurezza. L'amministratore di sistema può inviare un messaggio personalizzato che indica all'utente gli interventi da eseguire. Vedere "Suggerimenti sull'assegnazione delle azioni secondarie per i virus" a pagina 85. Vedere "Suggerimenti sull'assegnazione delle azioni secondarie per i rischi per la sicurezza" a pagina 86.

85 Gestione della protezione antivirus e antispyware Configurazione delle azioni relative a virus e rischi per la sicurezza 85 7 Ripetere i punti 1 e 6 per ogni categoria per cui si desidera impostare le azioni specifiche e quindi fare clic su OK. 8 Se si seleziona una categoria di rischi per la sicurezza è possibile selezionare azioni personalizzate per una o più istanze specifiche di tale categoria di rischi. È possibile escludere un rischio per la sicurezza dalla scansione. Ad esempio, è possibile escludere una parte dell'adware che è necessario utilizzare nel proprio lavoro. 9 Fare clic su OK. Suggerimenti sull'assegnazione delle azioni secondarie per i virus Quando si seleziona un azione secondaria per i virus, è importante considerare i seguenti elementi: Come vengono gestiti i file nel computer Se si memorizzano sul computer file importanti senza eseguirne copie di backup, è consigliabile evitare di utilizzare azioni quali Elimina rischio poiché, sebbene questa opzione consenta di eliminare un virus, può determinare la perdita di dati importanti. Un altro elemento importante è rappresentato dai file di sistema. I virus di solito attaccano i file eseguibili. È possibile utilizzare le azioni Non intervenire (solo registrazione) o Quarantena per verificare quali file sono stati infettati. Ad esempio, un virus potrebbe attaccare Command.com. Se il client non è stato in grado di rimuovere l'infezione potrebbe non essere possibile ripristinare il file. Il file è essenziale per il sistema. È possibile utilizzare l'azione Non intervenire per assicurarsi che il file sia accessibile. Il tipo di virus che ha infettato il computer A seconda del tipo, i virus attaccano aree diverse del computer. I virus di avvio infettano i settori di avvio, le tabelle di partizione, i record di avvio principali e talvolta la memoria. Se i virus di avvio sono multivalenti, possono infettare anche i file eseguibili e l'infezione può essere trattata con modalità simili a quelle utilizzate per un virus di file. I virus di file infettano in genere i file con estensione exe, com o dll. I virus macro infettano i file di documento e le macro associate. Selezionare le azioni in base ai tipi di file che potrebbe essere necessario ripristinare.

86 86 Gestione della protezione antivirus e antispyware Configurazione delle azioni relative a virus e rischi per la sicurezza Il tipo di scansione che si esegue nel computer Tutte le scansioni eseguono automaticamente determinate azioni senza richiesta di conferma da parte dell'utente. Se le azioni non vengono modificate prima di una scansione, vengono utilizzate quelle predefinite. Le azioni secondarie predefinite hanno lo scopo di mantenere sotto controllo una possibile epidemia. Per le scansioni che vengono eseguite automaticamente quali le scansioni pianificate e le scansioni di Auto-Protect, non definire azioni secondarie che abbiano effetti permanenti. Ad esempio, è possibile effettuare una scansione su richiesta quando si sa già che un file è infettato. È possibile limitare le azioni Elimina rischio e Pulisci rischio a questa scansione su richiesta. Suggerimenti sull'assegnazione delle azioni secondarie per i rischi per la sicurezza Quando si seleziona un'azione secondaria per i rischi per la sicurezza, è necessario considerare il livello di controllo che è necessario mantenere sui file. Se sul computer sono memorizzati file importanti senza copie di backup, si sconsiglia di utilizzare l'azione Elimina rischio. Pur neutralizzando un rischio per la sicurezza, questa potrebbe infatti causare l'arresto di altre applicazioni in esecuzione sul computer. Utilizzare invece l'azione Rischio in quarantena che consente, se necessario, di annullare le modifiche apportate. Informazioni sulla valutazione dell'impatto dei rischi Symantec valuta i rischi per la sicurezza allo scopo di determinarne il potenziale impatto su un computer. I seguenti fattori sono valutati come basso, medio o alto: Impatto sulla privacy Impatto sulle prestazioni Stealth Difficoltà di rimozione Un fattore valutato come basso ha un effetto minimo. Un fattore valutato come medio ha un certo impatto. Un fattore valutato come alto ha un impatto significativo in quell'area. Per i rischi non ancora sottoposti a valutazione si utilizzano le classificazioni predefinite. Se il rischio è stato valutato, ma non è possibile applicarvi un fattore particolare, si ricorre alla valutazione "nessuno". Queste valutazioni compaiono nella finestra di dialogo Eccezioni ai rischi per la sicurezza quando si configura un'eccezione centralizzata per i rischi per la

87 Gestione della protezione antivirus e antispyware Configurazione delle notifiche relative a virus e rischi per la sicurezza 87 sicurezza noti. Queste valutazioni sono utili per determinare i rischi per la sicurezza da escludere dalle scansioni e consentirne la permanenza nel computer. Nella Tabella 6-4 vengono descritti i fattori di valutazione e il significato della valutazione alta. Tabella 6-4 Fattore di valutazione Fattori di impatto dei rischi Descrizione Impatto sulla privacy Consente di misurare il livello di privacy che è possibile perdere a causa della presenza di rischi per la sicurezza nel computer. Un valore di valutazione elevato indica la possibilità che vengano sottratti dati personali o altre informazioni riservate. Impatto sulle prestazioni Consente di misurare fino a che punto un rischio per la sicurezza sia in grado di compromettere le prestazioni di un computer. Un valore di valutazione elevato indica che le prestazioni possono subire una riduzione significativa. Valutazione stealth Consente di misurare il grado di semplicità con cui è possibile stabilire se il rischio per la sicurezza risulta, o meno, presente sul computer. Un valore di valutazione elevato indica che il rischio per la sicurezza cerca di nascondere la sua presenza. Valutazione sulla rimozione Misura il grado di difficoltà di rimozione del rischio per la sicurezza da un computer. Un valore di valutazione elevato indica che l'eliminazione del rischio è difficoltosa. Valutazione generale Programma dipendente La valutazione generale rappresenta una media degli altri fattori. Questa valutazione indica se il corretto funzionamento di un'altra applicazione dipende dalla presenza di questo rischio per la sicurezza. Configurazione delle notifiche relative a virus e rischi per la sicurezza Per impostazione predefinita, se durante una scansione viene rilevato un virus o un rischio per la sicurezza, viene visualizzata una notifica. Per impostazione predefinita, viene inviata una notifica anche quando il software di scansione deve

88 88 Gestione della protezione antivirus e antispyware Configurazione delle notifiche relative a virus e rischi per la sicurezza terminare i servizi o i processi di arresto. È possibile che il software di scansione abbia dovuto rimuovere o riparare gli effetti del virus o del rischio per la sicurezza. È possibile configurare le seguenti notifiche per le scansioni: Opzioni di rilevazione Comporre il messaggio da visualizzare quando viene rilevato un virus o un rischio per la sicurezza. Quando si configura Auto-Protect del file system, è possibile selezionare un'opzione supplementare per visualizzare una finestra di dialogo. La finestra di dialogo contiene i risultati dei rischi rilevati da Auto-Protect. Opzioni di risoluzione Specificare se si desidera ricevere una notifica quando il client trova un virus o un rischio per la sicurezza. È possibile anche ricevere una notifica se il client deve terminare un processo o arrestare un servizio per rimuovere o riparare un rischio. È possibile comporre il messaggio di rilevazione che si desidera visualizzare sul computer. Per comporre il messaggio, digitare direttamente nel campo del messaggio. È possibile fare clic con il tasto destro del mouse nel campo del messaggio per selezionare le variabili da includere nel messaggio. Nella Tabella 6-5 sono descritti i campi delle variabili disponibili per i messaggi di notifica. Tabella 6-5 Campo NomeVirus AzioneEseguita Stato Campi di variabile del messaggio Descrizione Nome del virus o del rischio per la sicurezza rilevato. L'azione intrapresa dal client al momento della rilevazione del virus o del rischio per la sicurezza. Può trattarsi della prima o della seconda azione configurata. Stato del file: infetto, non infetto o eliminato. Per impostazione predefinita, questa variabile di messaggio non viene utilizzata. Se si desidera che questa informazione venga visualizzata, aggiungere manualmente la variabile al messaggio. Nomefile PercorsoENomefile Posizione Il nome del file infettato dal virus o dal rischio per la sicurezza. Il percorso completo e il nome del file infettato dal virus o dal rischio per la sicurezza. Unità del computer nella quale il virus o il rischio per la sicurezza è stato rilevato.

89 Gestione della protezione antivirus e antispyware Configurazione delle notifiche relative a virus e rischi per la sicurezza 89 Campo Computer Utente Evento RegistratoDa DataTrovata NomeArchiviazione DescrizioneAzione Descrizione Nome del computer in cui è stato rilevato il virus o il rischio per la sicurezza. Nome dell'utente collegato quando è stato rilevato il virus o il rischio per la sicurezza. Tipo di evento, ad esempio Rischio trovato. Il tipo di scansione che ha rilevato il virus o il rischio per la sicurezza. Data di rilevazione del virus o del rischio per la sicurezza. Area interessata dell'applicazione, ad esempio Auto-Protect per File System o Auto-Protect per Lotus Notes. Descrizione completa delle azioni eseguite in risposta alla rilevazione del virus o del rischio per la sicurezza. È possibile configurare le notifiche per le scansioni definite dall'utente e per Auto-Protect. La configurazione di notifica include le opzioni di risoluzione. Le opzioni di risoluzione sono disponibili solo per le scansioni e Auto-Protect del file system. Per ulteriori informazioni sulle opzioni utilizzate in questa procedura, è possibile fare clic su?. Per configurare le notifiche relative a virus e rischi per la sicurezza 1 Eseguire una delle seguenti operazioni: Per una nuova scansione, nella finestra di dialogo Opzioni di scansione, fare clic su Notifiche. Per una scansione esistente, fare clic su Notifiche nella scheda Opzioni di scansione. Per Auto-Protect, in una delle schede Auto-Protect della finestra di dialogo Impostazioni di protezione antivirus e antispyware, fare clic su Notifiche. 2 Nella finestra di dialogo Opzioni notifiche, sotto Opzioni di rilevazione, selezionare Visualizza messaggio di notifica sul computer infettato. Selezionare questa opzione se si desidera visualizzare un messaggio quando viene rilevato un virus o un rischio per la sicurezza tramite la scansione. 3 Per comporre il messaggio desiderato eseguire una o più delle seguenti operazioni nella finestra di messaggio: Fare clic per digitare o modificare il testo.

90 90 Gestione della protezione antivirus e antispyware Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware Fare clic con il pulsante destro del mouse, scegliere Inserisci campo, quindi scegliere il campo della variabile da inserire. Fare clic con il pulsante destro del mouse e selezionare Taglia, Copia, Incolla, Cancella o Annulla. 4 Per la configurazione di Auto-Protect, selezionare o deselezionare Visualizza la finestra di dialogo dei risultati di Auto-Protect. Questo parametro attiva o disattiva la finestra di dialogo che contiene i risultati quando vengono rilevati virus e rischi per la sicurezza tramite Auto-Protect del file system. 5 Sotto Opzioni di risoluzione, selezionare le opzioni che si desidera impostare per la scansione o per Auto-Protect del file system. Le opzioni disponibili sono: Termina automaticamente i processi Arresta automaticamente i servizi Configura la terminazione automatica dei processi al momento della scansione se tale terminazione è necessaria per rimuovere o riparare un virus o un rischio per la sicurezza. Il salvataggio dei dati viene richiesto solo quando vengono terminati i processi. Configura l'interruzione automatica dei servizi di arresti al momento della scansione se tale interruzione è necessaria per rimuovere o riparare un virus o un rischio per la sicurezza. Il salvataggio dei dati viene richiesto solo quando vengono interrotti i servizi. 6 Fare clic su OK. Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware Le eccezioni centralizzate sono gli elementi che si desidera escludere dalla scansione, quali uno specifico rischio per la sicurezza o un file specifico. In genere non è necessario creare eccezioni. Nei client gestiti, l'amministratore può creare eccezioni centralizzate per le scansioni. È possibile visualizzare le eccezioni impostate dall'amministratore, ma non modificarle. Se si crea un'eccezione centralizzata in conflitto con un'eccezione definita dall'amministratore, l'eccezione definita dall'amministratore ha la precedenza. Di seguito è riportata la procedura per configurare un'eccezione centralizzata dalla pagina Cambia impostazioni. È inoltre possibile configurare le eccezioni

91 Gestione della protezione antivirus e antispyware Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware 91 quando si crea o si modifica una scansione su richiesta, pianificata o all'avvio oppure quando si modificano le impostazioni di Auto-Protect. Le eccezioni vengono applicate a tutte le scansioni antivirus e antispyware. Se si configura un'eccezione quando si crea o si modifica una scansione specifica, l'eccezione viene applicata a tutte le scansioni antivirus e antispyware. Nota: è inoltre possibile configurare eccezioni centralizzate per le scansioni proattive delle minacce TruScan. Nell'installazione Server Core di Windows Server 2008, le finestre di dialogo dell'interfaccia utente potrebbero differire da quelle descritte in queste procedure. Per ulteriori informazioni sulle opzioni utilizzate in queste procedure, è possibile fare clic su?. Per escludere un rischio per la sicurezza dalle scansioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Eccezioni centralizzate, fare clic su Configura impostazioni. 3 Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni centralizzate, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza > Rischi noti. 4 Nella finestra di dialogo Aggiungi eccezioni note ai rischi per la sicurezza, selezionare i rischi per la sicurezza che si desidera escludere dalle scansioni. 5 Se si desidera registrare un evento quando il rischio per la sicurezza è rilevato e ignorato, selezionare Registra quando viene individuato un rischio per la sicurezza. 6 Fare clic su OK. 7 Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi. Per escludere un file dalle scansioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Fare clic su Configura impostazioni accanto a Eccezioni centralizzate. 3 Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni centralizzate, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza > File. 4 Nella finestra di dialogo Aggiungi eccezione file rischi per la sicurezza, selezionare il file che si desidera escludere, quindi fare clic su Aggiungi. 5 Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi.

92 92 Gestione della protezione antivirus e antispyware Informazioni sulla quarantena Per escludere una cartella dalle scansioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Fare clic su Configura impostazioni accanto a Eccezioni centralizzate. 3 Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni centralizzate, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza > Cartella. 4 Nella finestra di dialogo Aggiungi eccezione cartella rischi per la sicurezza, selezionare la cartella, selezionare o deselezionare Includi sottocartelle, quindi fare clic su Aggiungi. Nell'installazione Server Core di Windows Server 2008, l'interfaccia utente include due finestre di dialogo per la selezione delle cartelle. Utilizzare la prima finestra di dialogo per selezionare la cartella e la seconda per scegliere se includere o meno le sottocartelle. 5 Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi. Per escludere le estensioni dalle scansioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Fare clic su Configura impostazioni accanto a Eccezioni centralizzate. 3 Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni centralizzate, fare clic su Aggiungi > Eccezioni estensioni rischi per la sicurezza. 4 Nella finestra di dialogo Aggiungi eccezioni estensione, digitare l'estensione che si desidera escludere. Nella casella di testo è possibile includere solo un nome di estensione. Se si digitano più estensioni, il client tratta la voce come un unico nome di estensione. 5 Fare clic su Aggiungi. 6 Per aggiungere più estensioni, ripetere i passaggi4 e 5. 7 Fare clic su OK. 8 Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi. Informazioni sulla quarantena In alcuni casi il client rileva un virus sconosciuto che non può essere eliminato con le definizioni dei virus correnti. Potrebbe esistere un file che si ritiene infettato ma con le scansioni non viene rilevata alcuna infezione. In questi casi, è possibile utilizzare la quarantena per isolare in modo sicuro i file potenzialmente infetti.

93 Gestione della protezione antivirus e antispyware Informazioni sulla quarantena 93 Quando si mette in quarantena un virus, il virus non può diffondersi nel computer o in altri computer nella rete. Informazioni sui file infettati in quarantena È possibile visualizzare i file infettati in quarantena. È possibile visualizzare le seguenti informazioni sui file: Rischio Nome file Tipo Posizione originale Stato Data Nota: la lingua del sistema operativo in cui si esegue il client potrebbe non essere in grado di interpretare alcuni caratteri nei nomi dei rischi. Se il sistema operativo non riesce a interpretare i caratteri, i caratteri appaiono come punti interrogativi nelle notifiche. Ad esempio, alcuni nomi di rischi in formato Unicode potrebbero contenere caratteri a doppio byte. Nei computer che eseguono il client in un sistema operativo italiano, questi caratteri appaiono come punti interrogativi. Quando il client sposta un file infettato nella quarantena, il rischio non può moltiplicarsi e infettare altri file. Questa è un'azione secondaria consigliata per le infezioni da virus macro e non macro. Tuttavia, lo spostamento dei file in quarantena non elimina il rischio. Il rischio rimane nel computer fino a quando il client non elimina il rischio o il file. I virus e i virus macro possono essere messi in quarantena. I virus di avvio non possono essere messi in quarantena. In genere, i virus di avvio risiedono nel settore di avvio o nelle tabelle di partizione di un computer. Tali elementi non possono essere spostati in quarantena. È possibile anche visualizzare le proprietà del file infetto. Vedere "Visualizzazione dei file e dei relativi dettagli nella quarantena" a pagina 95. Informazioni sulla gestione dei file infetti in quarantena Una volta spostato un file in quarantena, è possibile effettuare una delle azioni seguenti:

94 94 Gestione della protezione antivirus e antispyware Gestione della quarantena Ripristinare il file selezionato nella posizione originale. Eliminare definitivamente il file selezionato. Sottoporre nuovamente a scansione i file dopo aver ricevuto le definizioni dei virus aggiornate. Esportare il contenuto della cartella Quarantine in un file delimitato da virgole (*.csv) o in un file del database Access (*.mdb). Aggiungere manualmente un file alla cartella Quarantine. È possibile cercare e selezionare il file che si desidera mettere in quarantena. Inviare un file a Symantec Security Response. Seguire le istruzioni della procedura guidata sullo schermo per inviare il file selezionato e sottoporlo ad analisi. Vedere "Gestione della quarantena" a pagina 94. Informazioni sulla gestione di file minacciati da rischi per la sicurezza È possibile lasciare in quarantena i file minacciati da rischi per la sicurezza oppure eliminarli. È necessario lasciare i file infetti in quarantena finché non si è certi che le applicazioni installate nel computer funzionano correttamente. Se si eliminano i file associati a un rischio per la sicurezza, nel computer potrebbero verificarsi malfunzionamenti di alcune applicazioni. È possibile che alcune applicazioni dipendano dai file eliminati. La quarantena è un'alternativa più sicura in quanto reversibile. È possibile ripristinare i file se una o più applicazioni del computer presentano problemi di funzionamento dopo l'inserimento in quarantena dei file di programma. Nota: una volta eseguita l'applicazione, è possibile eliminare i file per liberare spazio su disco. Gestione della quarantena I file vengono inseriti in quarantena tramite uno dei metodi seguenti: Il client viene configurato in modo che sposti in quarantena gli elementi infettati rilevati durante Auto-Protect o la scansione. L'utente seleziona manualmente un file e lo aggiunge alla quarantena. Per impostazione predefinita, Auto-Protect e tutti i tipi di scansione eliminano i virus da un file infettato quando vengono rilevati. Il software di scansione mette il file in quarantena se il file non può essere pulito. Per quanto riguarda i rischi

95 Gestione della protezione antivirus e antispyware Gestione della quarantena 95 per la sicurezza, l'opzione predefinita consiste nel mettere in quarantena i file infetti e tentare di riparare gli effetti secondari del rischio per la sicurezza. Per aggiungere manualmente un file alla quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Fare clic su Aggiungi. 3 Selezionare il file da aggiungere alla quarantena e quindi fare clic su Aggiungi. Visualizzazione dei file e dei relativi dettagli nella quarantena È possibile visualizzare i file che sono stati messi in quarantena. È possibile visualizzare i dettagli di ogni i file. I dettagli comprendono il nome del virus e il nome del computer in cui il file è stato trovato. Per visualizzare i file e i relativi dettagli nella quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Fare clic con il pulsante destro del mouse sul file da visualizzare, quindi scegliere Proprietà. Ripetizione della scansione dei file in quarantena Se un file viene trasferito in quarantena, aggiornare le definizioni dei virus. Quando si aggiornano le definizioni, i file in quarantena potrebbero essere sottoposti a scansione, puliti e ripristinati automaticamente. È possibile sottoporre nuovamente a scansione i file in quarantena se viene visualizzata la Procedura di riparazione guidata. Se il client non riesce a eliminare il virus dopo avere sottoposto di nuovo a scansione i file in quarantena, è possibile inviare il file infettato a Symantec Security Response in modo che venga analizzato. Vedere "Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi" a pagina 98. Per ripetere la scansione dei file in quarantena mediante la Procedura guidata di riparazione 1 Quando viene visualizzata la Procedura di riparazione guidata fare clic su Sì. 2 Fare clic su Avanti. 3 Seguire le istruzioni visualizzate per sottoporre di nuovo a scansione i file in quarantena.

96 96 Gestione della protezione antivirus e antispyware Gestione della quarantena Ripetizione manuale della scansione dei file È possibile ripetere manualmente la scansione di un file in quarantena per cercare i virus ma non i rischi per la sicurezza. Per ripetere manualmente la scansione antivirus di un file in quarantena 1 Aggiornare le definizioni. 2 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 3 Selezionare il file e quindi fare clic su Ripulisci. Quando un file riparato non può essere ripristinato nella posizione originale Talvolta, la posizione originale del file non è più identificabile, ad esempio quando un allegato infetto viene estratto dal messaggio di di appartenenza e messo in quarantena. È necessario rilasciare il file e specificare la posizione desiderata. Per rilasciare un file pulito dalla quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Fare clic con il pulsante destro del mouse sul file riparato, quindi scegliere Ripristina. 3 Specificare la posizione del file pulito. Cancellazione di elementi di backup Prima di cercare di pulire o riparare degli elementi, per impostazione predefinita il client esegue copie di backup degli elementi infettati. Dopo che il client rimuove un virus, è necessario eliminare manualmente l'elemento dalla quarantena perché il backup è ancora infettato. È inoltre possibile definire un periodo di tempo nel quale i file vengono eliminati automaticamente. Vedere "Eliminazione automatica di file dalla quarantena" a pagina 97. Per cancellare manualmente gli elementi di backup 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Selezionare uno o più file di backup. 3 Fare clic su Elimina.

97 Gestione della protezione antivirus e antispyware Gestione della quarantena 97 Eliminazione di file dalla quarantena È possibile eliminare manualmente dalla quarantena i file non più necessari e definire un periodo di tempo trascorso il quale i file vengono eliminati automaticamente. Nota: è possibile che l'amministratore abbia impostato il numero massimo di giorni di permanenza dei file in quarantena. Trascorso tale periodo, i file vengono eliminati automaticamente. Per eliminare manualmente i file dalla quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Selezionare uno o più file. 3 Fare clic su Elimina. Eliminazione automatica di file dalla quarantena È possibile impostare il software per rimuovere automaticamente gli elementi dall'elenco della quarantena dopo un intervallo di tempo specificato. È anche possibile specificare che il client rimuova degli elementi quando la cartella in cui sono memorizzati raggiunge una determinata dimensione. Ciò impedisce l'accumulo di file che si potrebbe dimenticare di eliminare manualmente. Per eliminare automaticamente i file 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Fare clic su Opzioni eliminazione. 3 Nella finestra di dialogo Opzioni eliminazione, selezionare una delle seguenti schede: Elementi di quarantena Elementi di backup Elementi riparati 4 Selezionare o deselezionare La durata di memorizzazione supera per attivare o disattivare la capacità del client di eliminare i file dopo che il tempo configurato scade. 5 Se si seleziona la casella di controllo di La durata di memorizzazione supera, digitare o fare clic su una freccia per immettere la durata. 6 Selezionare l'unità di tempo dall'elenco a discesa. L'impostazione predefinita è 30 giorni.

98 98 Gestione della protezione antivirus e antispyware Gestione della quarantena 7 Se si seleziona la casella di controllo Ladimensionecomplessivadellacartella supera, digitare la dimensione massima consentita in MB. L'impostazione predefinita è 50 megabyte. Se si selezionano entrambe le caselle di controllo, i file con data precedente a quella definita vengono eliminati per primi. Se la dimensione della cartella supera ancora il limite impostato, il client elimina individualmente i file meno recenti. Il client elimina i file meno recenti fino a quando la dimensione della cartella non rientra nel limite. 8 Ripetere i passaggi da 4 a 7 per le altre schede. 9 Fare clic su OK. Invio di un file potenzialmente infetto a Symantec Security Response per l'analisi In alcuni casi il client non è in grado di rimuovere un virus da un file oppure si sospetta che un file sia infettato e che il client non rilevi l'infezione. Inviandolo a Symantec Security Response, esso verrà analizzato per garantire che non sia infetto. Per inviare un campione è necessario poter accedere a Internet. Nota: l'opzione Invia a Symantec Security Response non è disponibile se l'amministratore disattiva questi tipi di invii. Per inviare un file a Symantec Security Response dalla quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Selezionare il file nell'elenco degli elementi in quarantena. 3 Fare clic su Invia. 4 Seguire le istruzioni della procedura guidata per raccogliere le informazioni necessarie, quindi inviare il file da analizzare.

99 Capitolo 7 Gestione della protezione proattiva contro le minacce Il capitolo contiene i seguenti argomenti: Informazioni sulle scansioni proattive delle minacce TruScan Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan Gestione delle rilevazioni proattive delle minacce TruScan Configurazione delle notifiche per le rilevazioni tramite scansioni proattive delle minacce TruScan Invio delle informazioni sulle scansioni proattive delle minacce TruScan a Symantec Security Response Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan Informazioni sulle scansioni proattive delle minacce TruScan Le scansioni proattive delle minacce TruScan forniscono la protezione da attacchi zero-day. Per protezione da attacchi zero-day si intende una protezione contro le minacce o le vulnerabilità sconosciute. Le scansioni proattive delle minacce esaminano il computer per individuare processi attivi che manifestano un comportamento potenzialmente nocivo. Poiché le minacce sconosciute non hanno firme identificative, le scansioni di minaccia proattiva identificano i rischi potenziali contrassegnando il comportamento sospetto.

100 100 Gestione della protezione proattiva contro le minacce Informazioni sulle scansioni proattive delle minacce TruScan Le impostazioni predefinite della scansione proattiva delle minacce sono adatte per molti utenti. È possibile cambiare le impostazioni per soddisfare il livello di protezione euristica che il computer richiede. È necessario porsi le seguenti domande prima di apportare modifiche alle impostazioni di scansione proattiva delle minacce: Si desidera essere informati quando una minaccia si presenta nel computer? Ogni quanto tempo e quando si desidera sottoporre a scansione i processi? Quante risorse del computer si desidera utilizzare per le scansioni proattive delle minacce? Nota: se l'amministratore non blocca le impostazioni di scansione proattiva delle minacce, è possibile configurarle. Le impostazioni bloccate presentano un'icona di lucchetto chiuso. Le etichette sulle impostazioni bloccate sono visualizzate in grigio. Processi e applicazioni esaminati da Scansioni proattive delle minacce TruScan Le scansioni proattive delle minacce differiscono dalle scansioni antivirus e antispyware. Le scansioni proattive delle minacce esaminano determinati tipi di processi o di applicazioni che manifestano un comportamento sospetto. Le scansioni proattive delle minacce rilevano i processi con un comportamento analogo a quello di Trojan horse, worm o keylogger. È possibile attivare o disattivare la rilevazione. Nota: TruScan è il nuovo nome della scansione proattiva delle minacce. Oltre a Trojan horse, worm e keylogger, le scansioni proattive delle minacce rilevano i processi che si comportano in modo simile ad adware e spyware. Non è possibile configurare il modo in cui le scansioni proattive delle minacce gestiscono questi tipi di rilevazioni. Se le scansioni proattive delle minacce rilevano adware o spyware che si desidera autorizzare nei computer client, l'utente o l'amministratore deve creare un'eccezione centralizzata. Vedere "Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan" a pagina 109. Le scansioni proattive delle minacce rilevano anche applicazioni commerciali ben note che possono essere utilizzate con intenti nocivi. Symantec gestisce un elenco di queste applicazioni commerciali e periodicamente aggiorna l'elenco. Queste

101 Gestione della protezione proattiva contro le minacce Informazioni sulle scansioni proattive delle minacce TruScan 101 applicazioni comprendono le applicazioni commerciali che monitorano o registrano le sequenze di dati digitati dall'utente o che controllano in remoto il computer dell'utente. È possibile impostare azioni con cui Symantec Endpoint Protection gestisce queste rilevazioni. Nella Tabella 7-1 sono descritti i processi rilevati tramite le scansioni proattive delle minacce. Tabella 7-1 Tipo di processi Processi rilevati dalle scansioni proattive delle minacce TruScan Descrizione Trojan horse e worm Processi che presentano le caratteristiche dei Trojan horse o dei worm. Le scansioni proattive delle minacce si avvalgono dell'euristica per cercare i processi che si comportano come Trojan horse o worm. Questi processi possono essere minacce o meno. Keylogger Processi che presentano le caratteristiche dei keylogger. Le scansioni proattive delle minacce rilevano non solo i keylogger commerciali, ma anche processi sconosciuti che presentano un comportamento simile ai keylogger. Applicazioni commerciali Applicazioni commerciali note che potrebbero essere utilizzate con intenti nocivi. Le scansioni proattive delle minacce rilevano vari tipi di applicazioni commerciali. È possibile configurare le azioni per due tipi: keylogger e programmi di controllo remoto. Adware e spyware Processi che presentano le caratteristiche di adware e spyware Le scansioni proattive delle minacce si avvalgono dell'euristica per rilevare i processi sconosciuti che si comportano come adware e spyware. Questi processi possono essere rischi o meno. Informazioni sulle eccezioni per le scansioni proattive delle minacce TruScan È possibile creare eccezioni per le scansioni proattive delle minacce se l'amministratore non ha bloccato le impostazioni delle eccezioni centralizzate. Anche l'amministratore può creare eccezioni centralizzate per le scansioni proattive delle minacce. Non è possibile modificare le eccezioni create dall'amministratore. Vedere "Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan" a pagina 109.

102 102 Gestione della protezione proattiva contro le minacce Informazioni sulle scansioni proattive delle minacce TruScan Informazioni sulle rilevazioni della scansione proattiva delle minacce TruScan Le scansioni proattive delle minacce registrano, mettono in quarantena o terminano i processi potenzialmente nocivi che rilevano. È possibile visualizzare le rilevazioni nella finestra di dialogo dei risultati della scansione, nei registri della protezione proattiva contro le minacce TruScan o nell'elenco di quarantena. Vedere "Informazioni sull'interazione con i valori della scansione o i risultati di Auto-Protect" a pagina 79. Vedere "Gestione della quarantena" a pagina 94. Vedere "Visualizzazione dei registri e dei dettagli del registro" a pagina 159. Nota: le impostazioni di scansione proattiva delle minacce non hanno effetto sulle scansioni antivirus e antispyware, che utilizzano firme per rilevare i rischi noti. Symantec Endpoint Protection rileva prima i rischi noti. Per impostazione predefinita il client esegue le seguenti azioni: Registra la rilevazione delle applicazioni commerciali note Registra la rilevazione dei processi che si comportano come Trojan horse, worm o keylogger Mette in quarantena i processi che si comportano come Trojan horse, worm o keylogger e che richiedono un rimedio Quando una scansione proattiva delle minacce mette in quarantena gli elementi rilevati, gestisce tutti gli effetti secondari del processo. Se il client sottopone di nuovo a scansione gli elementi rilevati dopo che gli aggiornamenti del contenuto sono stati scaricati nel computer, il client potrebbe ripristinare il processo nel computer. Il client ripristina il processo se quest'ultimo non è più considerato nocivo. Il client ripristina anche tutti gli effetti secondari del processo, senza tuttavia riavviare automaticamente il processo. Per la rilevazione di keylogger commerciali o di applicazioni di controllo remoto, l'utente o l'amministratore può specificare un'azione differente. Ad esempio, è possibile ignorare la rilevazione delle applicazioni commerciali di keylogger. Quando il client ignora un'applicazione, autorizza l'applicazione e non registra la relativa rilevazione. Per le rilevazioni di Trojan horse, worm o keylogger, è possibile specificare un'azione particolare che il client può utilizzare sempre quando effettua una rilevazione.

103 Gestione della protezione proattiva contro le minacce Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan 103 Informazioni su come comportarsi con i falsi positivi A volte le scansioni proattive delle minacce TruScan rilevano falsi positivi. Queste scansioni cercano applicazioni e processi con un comportamento sospetto piuttosto che virus o rischi per la sicurezza noti. Per loro natura, queste scansioni contrassegnano in genere gli elementi che non si desidera rilevare. Se una scansione proattiva delle minacce rileva un processo che non si considera un problema, è possibile creare un'eccezione in modo che le scansioni future non contrassegnino il processo. Se esiste un conflitto fra un'eccezione definita dall'utente e un'eccezione definita dall'amministratore, l'eccezione definita dall'amministratore ha la precedenza. Vedere "Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan" a pagina 109. Per ridurre al minimo le rilevazioni di falsi positivi, assicurarsi che il contenuto Symantec per le scansioni proattive delle minacce sia aggiornato. La versione viene visualizzata nella pagina Stato in Protezione proattiva dalle minacce. È possibile scaricare l'ultimo contenuto eseguendo LiveUpdate. Nota: l'amministratore potrebbe pianificare gli aggiornamenti automatici. Se si sceglie di gestire di persona la rilevazione di Trojan horse, worm e keylogger, è possibile modificare il livello di sensibilità delle scansioni proattive delle minacce. Tuttavia, la modifica della sensibilità potrebbe non avere effetto sul numero di falsi positivi, mentre incide solo sul numero di rilevazioni totali. Vedere "Gestione delle rilevazioni proattive delle minacce TruScan" a pagina 104. Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan È possibile configurare la frequenza con cui eseguire le scansioni proattive delle minacce. Nota: una frequenza maggiore di esecuzione delle scansioni proattive delle minacce può incidere sulle prestazioni del computer. È possibile fare clic su? per ulteriori informazioni sulle opzioni utilizzate nella procedura.

104 104 Gestione della protezione proattiva contro le minacce Gestione delle rilevazioni proattive delle minacce TruScan Per configurare la frequenza di esecuzione delle scansioni proattive delle minacce TruScan 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva dalle minacce, fare clic su Configura impostazioni. 3 Nellafinestra di dialogo Impostazioni della protezione proattiva dalle minacce, nella scheda Frequenza scansione, selezionare Confrequenzapersonalizzata. 4 Eseguire una o più operazioni seguenti: Accanto a Scansione ogni, impostare la durata espressa in numero di giorni, ore e minuti fra i processi di scansione. Selezionare Esegui scansione dei nuovi processi immediatamente per sottoporre a scansione i nuovi processi quando vengono rilevati. 5 Fare clic su OK. Gestione delle rilevazioni proattive delle minacce TruScan Gli amministratori possono bloccare le impostazioni di rilevamento proattivo delle minacce. Se le impostazioni sono sbloccate, o se si sta eseguendo un client non gestito, è possibile configurare i tipi di processi rilevati dal rilevamento proattivo delle minacce. Nota: la rilevazione dei Trojan horse, dei worm e dei keylogger non è supportata sui sistemi operativi Windows Server. Sui client che eseguono su sistemi operativi server, le opzioni di scansione non sono disponibili. Se l'amministratore modifica queste opzioni in una politica applicata al computer, le opzioni potrebbero sembrare selezionate e non disponibili. Quando la rilevazione dei Trojan horse, dei worm o dei keylogger è attivata, è possibile scegliere come gestire le rilevazioni. Per impostazione predefinita, le scansioni proattive delle minacce utilizzano le impostazioni predefinite Symantec. Ciò significa che il client determina l'azione per la rilevazione. (Le impostazioni predefinite che non sono disponibili nell'interfaccia utente non corrispondono alle impostazioni predefinite Symantec. Le impostazioni non disponibili riflettono le impostazioni predefinite che si utilizzano per la gestione manuale delle rilevazioni.) In genere, le impostazioni predefinite Symantec rappresentano il metodo migliore per la gestione delle rilevazioni. Se tuttavia si conosce la dinamica dei risultati

105 Gestione della protezione proattiva contro le minacce Gestione delle rilevazioni proattive delle minacce TruScan 105 delle scansioni nel computer, è possibile configurare manualmente le azioni ed i livelli di sensibilità. Per configurare questi parametri, disattivare l'opzione delle impostazioni predefinite Symantec. Per ridurre al minimo i falsi positivi, Symantec consiglia di utilizzare inizialmente le impostazioni predefinite gestite da Symantec. Dopo un certo tempo, è possibile osservare il numero dei falsi positivi rilevati dai client. Se il numero è basso, sarà possibile regolare gradualmente le impostazioni di scansione proattiva delle minacce. Per esempio, per la rilevazione dei Trojan horse e dei worm, può risultare utile spostare il dispositivo di scorrimento della sensibilità un po' più in alto rispetto all'impostazione predefinita. È possibile osservare i risultati della scansione proattiva delle minacce dopo l'impostazione della nuova configurazione. Nota: per i client gestiti, l'amministratore configura in genere le impostazioni di scansione proattiva delle minacce adatte per il computer. Per le applicazioni commerciali, è possibile specificare il tipo di azione da eseguire quando una scansione proattiva delle minacce rileva applicazioni commerciali per il controllo remoto o keylogger commerciali. È possibile cambiare queste impostazioni indipendentemente dalla configurazione per i Trojan horse, i worm o i keylogger. Impostazione dell'azione per la rilevazione delle applicazioni commerciali È possibile cambiare l'azione eseguita dal client quando una scansione proattiva delle minacce rileva determinati tipi di applicazioni commerciali. Fare clic su? per maggiori informazioni sulle opzioni utilizzate nella procedura. Per impostare l'azione per le rilevazioni di applicazioni commerciali 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva dalle minacce, fare clic su Configura impostazioni. 3 Nella scheda Dettagli scansione della finestra di dialogo Impostazioni della protezione proattiva dalle minacce, sotto Applicazioni commerciali, eseguire una delle seguenti operazioni: Impostare l'azione per i keylogger commerciali su Ignora, Registra, Termina o Quarantena.

106 106 Gestione della protezione proattiva contro le minacce Gestione delle rilevazioni proattive delle minacce TruScan Impostare l'azione per le applicazioni commerciali per il controllo remoto su Ignora, Registra, Termina o Quarantena. 4 Fare clic su OK. Impostazione delle azioni e dei livelli di sensibilità per rilevare Trojan horse, worm e keylogger Se si sceglie la gestione personalizzata della rilevazione di Trojan horse, worm o keylogger, è possibile configurare l'azione da eseguire quando questi processi vengono rilevati. Tale azione viene utilizzata ogni volta che viene eseguita una rilevazione tramite la scansione proattiva delle minacce. Ad esempio, è possibile impostare l'azione di sola registrazione. Se una scansione proattiva delle minacce rileva un processo catalogato come vero positivo, il client registra la rilevazione. Il client non mette in quarantena il processo. È inoltre possibile impostare livelli di sensibilità diversi per la rilevazione di Trojan horse, worm e keylogger. Il livello di sensibilità determina il grado di sensibilità delle scansioni proattive delle minacce per i processi. Con un livello di sensibilità più elevato si ottengono più rilevazioni. Tenere presente che alcune di queste rilevazioni potrebbero essere falsi positivi. L'impostazione del livello di sensibilità su un valore più basso o più alto non incide sulla percentuale dei falsi positivi prodotti dalle scansioni proattive delle minacce, ma solo sul numero delle rilevazioni totali. È possibile mantenere più basso il livello di sensibilità fino a quando non vengono visualizzati i risultati delle scansioni proattive delle minacce nel computer. Se con un livello di sensibilità più basso non viene eseguita alcuna rilevazione dalle scansioni proattive delle minacce, è possibile aumentare la sensibilità. Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare clic su?. Per impostare l'azione e il livello di sensibilità per i Trojan horse e i worm 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva dalle minacce, fare clic su Configura impostazioni. 3 Nellafinestra di dialogo Impostazioni della protezione proattiva dalle minacce, nella scheda di Dettagli scansione, sotto Trojan e worm, accertarsi che sia selezionato Ricerca Trojan e worm e quindi deselezionare Usa impostazioni predefinite di Symantec. 4 Sotto Sensibilità, spostare il dispositivo di scorrimento rispettivamente a sinistra o a destra per ridurre o aumentare la sensibilità.

107 Gestione della protezione proattiva contro le minacce Gestione delle rilevazioni proattive delle minacce TruScan Nell'elenco a discesa, fare clic su Registro, Termina o Quarantena. 6 Fare clic su OK. Per impostare l'azione e il livello di sensibilità per i keylogger 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva dalle minacce, fare clic su Configura impostazioni. 3 Nellafinestra di dialogo Impostazioni della protezione proattiva dalle minacce, nella scheda Dettagli scansione, sotto Keylogger, accertarsi che non selezionato Ricerca keylogger, quindi deselezionare Usa impostazioni predefinite di Symantec. 4 Per il livello di sensibilità, fare clic su Basso o Alto. 5 Nell'elenco a discesa, fare clic su Registro, Termina o Quarantena. 6 Fare clic su OK. Configurazione dei tipi di processi rilevati dalle scansioni proattive delle minacce TruScan È possibile configurare se rilevare o meno Trojan horse e worm o keylogger tramite le scansioni proattive delle minacce. L'amministratore può bloccare alcune di queste impostazioni. È possibile fare clic su? per ulteriori informazioni sulle opzioni utilizzate nella procedura. Per specificare i tipi di processi rilevati dalle scansioni proattive delle minacce TruScan 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva dalle minacce, fare clic su Configura impostazioni. 3 Nellafinestra di dialogo Impostazioni della protezione proattiva dalle minacce, nella scheda Dettagli scansione, sotto Trojan e worm, selezionare o deselezionare Ricerca Trojan e worm. 4 Sotto Keylogger, selezionare o deselezionare Ricerca keylogger. 5 Fare clic su OK.

108 108 Gestione della protezione proattiva contro le minacce Configurazione delle notifiche per le rilevazioni tramite scansioni proattive delle minacce TruScan Configurazione delle notifiche per le rilevazioni tramite scansioni proattive delle minacce TruScan È possibile configurare la visualizzazione di messaggi quando vengono eseguite rilevazioni tramite scansioni proattive delle minacce. Per impostazione predefinita, il client visualizza i messaggi quando vengono eseguite rilevazioni. Viene inoltre inviata una notifica quando una rilevazione richiede l'interruzione dei servizi o dei processi nel client. Nota: l'amministratore potrebbe bloccare queste impostazioni. Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare clic su?. Per attivare o disattivare le notifiche delle rilevazioni eseguite tramite le scansioni proattive delle minacce TruScan 1 Nel client, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva dalle minacce, fare clic su Configura impostazioni. 3 Nellafinestra di dialogo Impostazioni della protezione proattiva dalle minacce, nella scheda Notifiche, selezionare Visualizza un messaggio quando viene individuato un rischio. 4 Selezionare o deselezionare Avvisa prima di terminare un processo e Avvisa prima di interrompere un servizio. 5 Fare clic su OK. Invio delle informazioni sulle scansioni proattive delle minacce TruScan a Symantec Security Response Per impostazione predefinita le scansioni proattive delle minacce inviano le informazioni sui processi rilevati a Symantec Security Response. Quando le scansioni inviano le informazioni, Symantec le analizza per determinare se una minaccia è reale. Se Symantec determina che la minaccia è reale, può generare una firma per far fronte alla minaccia. Symantec include la firma nelle versioni aggiornate delle definizioni. Quando si inviano le informazioni su un processo, l'invio comprende le seguenti informazioni: Il percorso dell'eseguibile

109 Gestione della protezione proattiva contro le minacce Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan 109 L'eseguibile Le informazioni sul file e i punti di caricamento del registro che si riferiscono alla minaccia Le informazioni sullo stato interno La versione del contenuto che la scansione proattiva delle minacce ha utilizzato Alcune informazioni personali che possono identificare il computer non vengono inviate. L'invio delle rilevazioni della scansione proattiva delle minacce a Symantec Security Response è attivato per impostazione predefinita. Nota: l'amministratore può bloccare le impostazioni di invio. Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare clic su?. Per attivare o disattivare l'invio di informazioni a Symantec Security Response 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Invii della finestra di dialogo Impostazioni di protezione antivirus e antispyware, selezionare o deselezionare Invia automaticamente le rilevazioni di scansioni proattive delle minacce TruScan. 4 Fare clic su OK. Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan È possibile creare eccezioni per le scansioni proattive delle minacce, a meno che l'amministratore blocchi le impostazioni. Per creare un'eccezione, si seleziona un file che è attualmente disponibile sul computer. Quando una scansione proattiva delle minacce rileva un processo attivo che utilizza il file, il client applica l'azione specificata nell'eccezione. Ad esempio, sul computer si esegue un'applicazione che utilizza un file chiamato foo.exe. Quando il file foo.exe viene eseguito, si attiva una scansione proattiva delle minacce. Il client determina che foo.exe potrebbe essere nocivo. Viene visualizzata la finestra di dialogo dei risultati della scansione, indicante che foo.exe è stato posto in quarantena. È possibile creare un'eccezione che specifica che le

110 110 Gestione della protezione proattiva contro le minacce Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan scansioni proattive delle minacce ignorino foo.exe. Il client quindi ripristina foo.exe. Quando si torna ad eseguire foo.exe il client ignora il file. Anche l'amministratore può creare eccezioni centralizzate per le scansioni. È possibile visualizzare le eccezioni definite dall'amministratore, ma non è possibile modificarle. Se si crea un'eccezione centralizzata che è in conflitto con un'eccezione definita dall'amministratore, l'eccezione definita dall'amministratore ha la precedenza. Fare clic su? per maggiori informazioni sulle opzioni utilizzate nella procedura. Per configurare un'eccezione centralizzata per le scansioni proattive delle minacce TruScan 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Eccezioni centralizzate, fare clic su Configura impostazioni. 3 Nella scheda Eccezioni definite dall'utente, fare clic su Aggiungi e selezionare Eccezione scansioni proattive delle minacce TruScan. 4 Nella finestra di dialogo Aggiungi eccezione scansioni proattive delle minacce TruScan, digitare un nome di processo o selezionare un file per il quale si desidera creare un'eccezione. 5 Nell'elenco a discesa Azione, selezionare Ignora, Solo registrazione, Quarantena o Termina. 6 Fare clic su Aggiungi.

111 Capitolo 8 Gestione della protezione della rete dalle minacce Il capitolo contiene i seguenti argomenti: Informazioni sulla gestione della protezione della rete dalle minacce Configurazione del firewall Configurazione delle impostazioni di prevenzione delle intrusioni Configurazione delle impostazioni specifiche dell'applicazione Informazioni sulla gestione della protezione della rete dalle minacce Gli attacchi provenienti dalla rete si avvalgono della modalità utilizzata dai computer per trasferire le informazioni. Il client Symantec Endpoint Protection protegge il computer monitorando le informazioni trasmesse da e verso il computer e bloccando i tentativi di attacco. Le informazioni viaggiano su Internet sotto forma di pacchetti, che includono un'intestazione con informazioni sul computer di origine, il destinatario previsto, la modalità di elaborazione dei dati e la porta che deve ricevere il pacchetto. Le porte sono i canali di suddivisione del flusso di informazioni provenienti da Internet in percorsi separati, gestiti dalle diverse applicazioni. Quando vengono eseguite su un computer, le applicazioni Internet ascoltano su una o più porte e accettano le informazioni inviate a tali porte. Gli attacchi provenienti dalla rete sono organizzati in modo da sfruttare i punti deboli di alcuni programmi Internet. Gli autori degli attacchi utilizzano appositi programmi per inviare a una determinata porta pacchetti di dati contenenti codice

112 112 Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce pericoloso. Se un programma vulnerabile a questo tipo di attacchi è in ascolto su tale porta, il codice può consentire all'autore dell'attacco di accedere, disattivare o assumere il pieno controllo del sistema attaccato. Il codice pericoloso utilizzato per generare gli attacchi può essere contenuto all'interno di un singolo pacchetto o suddiviso in più pacchetti. Il client è installato con le impostazioni predefinite per la protezione della rete dalle minacce. Nella maggior parte dei casi non è necessario cambiare le impostazioni. È in genere sicuro mantenere le impostazioni predefinite. Tuttavia, se si conoscono a fondo le reti, è possibile apportare molte modifiche al firewall del client per personalizzare la protezione. Modalità di protezione del client contro gli attacchi provenienti dalla rete Il client include i seguenti strumenti che proteggono il computer dai tentativi di intrusione: Firewall Prevenzione delle intrusioni Controlla tutte le comunicazioni Internet e crea uno scudo che blocca o limita i tentativi di visualizzare le informazioni sul computer. Il firewall protegge gli utenti remoti dagli attacchi degli hacker e impedisce agli hacker di ottenere accesso illecito alla rete aziendale tramite questi computer. Analizza tutte le informazioni in entrata e in uscita per rilevare i profili di dati tipici di un attacco. Per valutare come proteggere meglio il computer, è possibile verificare la vulnerabilità del computer agli attacchi di rete esterni e ai virus. Per verificare la protezione del computer è possibile eseguire varie scansioni. Vedere "Verifica della sicurezza del computer" a pagina 33. Informazioni sul firewall di Symantec Endpoint Protection Un firewall è un'applicazione software che crea una barriera fra il computer e Internet. Il firewall impedisce agli utenti non autorizzati di accedere alle reti e ai computer privati connessi a Internet. Inoltre rileva i possibili attacchi di hacker, protegge le informazioni riservate ed elimina le fonti indesiderate di traffico di rete, quali i tentativi di intrusione.

113 Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce 113 Il firewall controlla i tentativi di accesso da Internet Computer client Internet Il firewall consente o blocca il traffico di rete specificato dalla politica firewall Tutte le informazioni che entrano o escono dalla rete privata devono passare attraverso il firewall. Il firewall esamina i pacchetti di informazioni e blocca quelli che non soddisfano i criteri di sicurezza specificati. I pacchetti vengono esaminati mediante le regole del firewall. Le politiche del firewall sono costituite da una o più regole, che funzionano insieme per consentire o bloccare l'accesso degli utenti alla rete. Soltanto il traffico autorizzato può passare attraverso il firewall. Una politica del firewall definisce il traffico autorizzato. Il firewall opera in background. L'amministratore determina il livello di interazione dell'utente con il client, autorizzando o bloccando le opzioni di configurazione delle regole e delle impostazioni del firewall. L'amministratore può autorizzare l'utente a interagire con il client soltanto quando il client stesso segnala nuove connessioni di rete o possibili problemi, oppure consentire l'accesso completo all'interfaccia utente. Modalità di monitoraggio delle comunicazioni mediante il firewall Quando il firewall è attivo, effettua il monitoraggio delle comunicazioni fra il computer e gli altri computer su Internet. Il firewall garantisce la protezione dai tentativi di connessione impropri, usando uno di seguenti metodi: Blocco del traffico in entrata e in uscita.

114 114 Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce Segnalazione dei tentativi di connessione eseguiti da parte di altri computer e dei tentativi di connessione ad altri computer eseguiti dalle applicazioni installate sul computer in uso. Possibilità di controllare il livello di protezione personalizzando la protezione del firewall. Informazioni sul sistema di prevenzione delle intrusioni Il sistema di prevenzione delle intrusioni (IPS) rappresenta il secondo livello di difesa del client di Symantec Endpoint Protection dopo il firewall. Il sistema di prevenzione delle intrusioni è un sistema basato sulla rete che funziona in ogni computer in cui il client è installato e il sistema di IPS è attivato. Se viene rilevato un attacco noto, una o più tecnologie di prevenzione delle intrusioni possono bloccarlo automaticamente. Il sistema di prevenzione delle intrusioni analizza tutte le informazioni in entrata e in uscita per i dati che sono tipici di un attacco. Consente di rilevare e bloccare il traffico pericoloso e i tentativi di attacco al computer da parte di utenti esterni. La prevenzione delle intrusioni controlla inoltre il traffico in uscita e impedisce il diffondersi di worm. La Tabella 8-1 elenca i problemi di sicurezza comuni monitorati dal sistema di prevenzione delle intrusioni. Tabella 8-1 Problema Problemi di sicurezza comuni Protezione Scansione delle porte Attacchi Denial of service Intrusioni Vengono nascoste le porte non attive del computer e rilevate eventuali scansioni effettuate sulle porte. Vengono esaminati tutti i pacchetti della rete per attacchi noti specifici che limitano l'uso dei servizi normalmente utilizzati da parte del computer. Vengono rilevati e bloccati il traffico pericoloso e i tentativi di attacco al computer da parte di utenti esterni e viene eseguita la scansione del traffico in uscita per impedire la diffusione dei worm. Come la prevenzione delle intrusioni analizza il traffico Il sistema di prevenzione delle intrusioni esegue la scansione di ogni pacchetto che entra ed esce dai computer della rete per rilevare la presenza di eventuali firme di attacco e sequenze di pacchetti che identificano il tentativo di un autore di attacchi di sfruttare la vulnerabilità nota di un programma o del sistema operativo.

115 Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce 115 Se le informazioni corrispondono a quelle di un attacco noto, l'ips elimina automaticamente il pacchetto. L'IPS può anche interrompere la connessione con il computer da cui sono stati inviati i dati per un periodo di tempo specificato. Questa funzione è chiamata risposta attiva e protegge i computer della rete. Il client comprende i seguenti tipi di motori IPS che identificano le firme di attacco: Firme IPS Symantec Le firme IPS Symantec utilizzano un motore basato sul flusso che esegue la scansione di pacchetti multipli. Le firme IPS Symantec intercettano i dati della rete a livello di sessione e acquisiscono i segmenti dei messaggi che sono passati avanti e indietro fra un'applicazione e lo stack di rete. Il sistema IPS Symantec esamina i pacchetti in due modi. Esegue la scansione di ogni singolo pacchetto per ricercare i criteri non conformi alle specifiche e che possono bloccare lo stack del protocollo TCP/IP. Controlla inoltre i pacchetti come flusso delle informazioni per ricercare i comandi destinati a un determinato servizio in grado di sfruttare o bloccare il sistema. Il sistema IPS è in grado di ricordare l'elenco dei criteri o dei criteri parziali dei pacchetti precedenti e di utilizzare queste informazioni per le ispezioni successive dei pacchetti. Il sistema IPS utilizza un elenco completo di firme di attacco per rilevare e bloccare le attività di rete sospette. È possibile utilizzare Symantec LiveUpdate per aggiornare l'elenco delle minacce note fornito da Symantec nel client. Il motore IPS Symantec e il set di firme IPS corrispondenti sono installati nel client per impostazione predefinita. Firme IPS personalizzate Le firme IPS personalizzate utilizzano un motore basato sul pacchetto che sottopone a scansione ogni singolo pacchetto. Sia i motori basati sul flusso che quelli basati sul pacchetto rilevano le firme nei dati della rete che attaccano lo stack TCP/IP, i componenti del sistema operativo e le applicazioni. Tuttavia, le firme basate sul pacchetto possono rilevare gli attacchi allo stack TCP/IP prima delle firme basate sul flusso. Il motore basato sul pacchetto non rileva le firme suddivise in più pacchetti. Il motore IPS basato sul pacchetto è più limitato, perché non bufferizza le corrispondenze parziali e sottopone a scansione solo i payload di singoli pacchetti. Il sistema di prevenzione delle intrusioni registra gli attacchi rilevati nel registro sicurezza. Le firme IPS personalizzate possono registrare gli attacchi rilevati nel registro dei pacchetti. Vedere "Configurazione delle impostazioni di prevenzione delle intrusioni" a pagina 132.

116 116 Gestione della protezione della rete dalle minacce Informazioni sulla gestione della protezione della rete dalle minacce Visualizzazione dell'attività di rete È possibile visualizzare informazioni sul traffico in entrata e in uscita dal computer. È inoltre possibile visualizzare un elenco delle applicazioni e dei servizi che sono stati eseguiti dall'avvio del servizio client. Tabella 8-2 descrive le azioni che il client esegue per il traffico e visualizza le icone che rappresentano le azioni che il client esegue per le applicazioni che accedono al computer client o alla rete. Tabella 8-2 Azioni che il client esegue quando le applicazioni accedono al client o alla rete Icona Azione Consenti Blocca Descrizione Consente al traffico in entrata l'accesso al computer client ed al traffico in uscita l'accesso alla rete. Se il client riceve traffico, l'icona mostra un piccolo puntino blu nell'angolo inferiore sinistro. Se il client invia traffico, l'icona mostra il puntino nell'angolo inferiore destro. Blocca il traffico in entrata e in uscita impedendo l'accesso alla rete o alla connessione a Internet. Nota: Il client non rileva il traffico di rete dai dispositivi PDA (personal digital assistant, assistente digitale personale). Per visualizzare la cronologia dell'attività della rete 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. Per maggiori informazioni sui grafici e sui campi, fare clic su?. 3 Fare clic su Chiudi. È possibile visualizzare l'attività della rete come traffico di trasmissione o traffico unicast. Il traffico di trasmissione è il traffico di rete inviato a ogni computer in una subnet particolare e non indirizzato specificamente al computer dell'utente. Il traffico unicast è il traffico indirizzato specificamente verso il computer dell'utente.

117 Gestione della protezione della rete dalle minacce Configurazione del firewall 117 Per mostrare o nascondere i servizi Windows ed il traffico di trasmissione 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Nella finestra di dialogo Attività della rete, fare clic con il pulsante destro del mouse sul campo Applicazioni in esecuzione ed eseguire le seguenti azioni: Per mostrare o nascondere i servizi Windows, selezionare o deselezionare Mostra servizi di Windows. Per mostrare il traffico di trasmissione, selezionare Mostra traffico di trasmissione. Per mostrare il traffico unicast, deselezionare Mostra traffico di trasmissione. 4 Fare clic su Chiudi. Per cambiare la visualizzazione dell'icona di applicazione 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Nel campo Applicazioni in esecuzione, fare clic con il pulsante destro del mouse sull'applicazione, quindi fare clic su una delle seguenti viste: Icone grandi Icone piccole Elenco Dettagli applicazione Dettagli connessione 4 Fare clic su Chiudi. Configurazione del firewall Le impostazioni predefinite del firewall proteggono il computer. Se le impostazioni predefinite non sono adeguate, è possibile personalizzare la politica firewall. Per personalizzare la politica firewall, aggiungere o modificare le seguenti funzioni del firewall:

118 118 Gestione della protezione della rete dalle minacce Configurazione del firewall Regole firewall Filtri del traffico intelligenti Impostazioni traffico e stealth Determinano la modalità di protezione del computer client dal traffico nocivo in entrata e in uscita. Autorizza tipi specifici di traffico richiesti nella maggior parte delle reti. Questo tipo di traffico include il traffico DHCP, DNS e WINS. Attiva funzioni del traffico aggiuntive, quali la protezione NetBIOS, il traffico Token Ring, la ricerca DNS inversa e le impostazioni in modalità stealth. L'amministratore può concedere o meno l'autorizzazione a personalizzare le regole e le impostazioni del firewall. Se non si dispone dell'autorizzazione, l'amministratore crea le regole del firewall, attiva le impostazioni in una politica firewall e distribuisce la politica al client. Se si dispone dell'autorizzazione, è possibile creare le regole e modificare le impostazioni del client in base all'ambiente di rete di rete utilizzato. L'amministratore può configurare il client in modo che vengano unite le regole create dall'amministratore e quelle create dall'utente. È possibile disattivare la protezione in momenti specifici, ad esempio durante l'installazione di nuovo software. È possibile configurare la visualizzazione di una notifica quando il firewall blocca un'applicazione sul computer client. Vedere "Attivazione e disattivazione della protezione dalle minacce di rete" a pagina 50. Informazioni sulle regole firewall Quando un computer cerca di connettersi a un altro computer, il firewall confronta il tipo di connessione con il relativo elenco di regole firewall. Il firewall confronta automaticamente tutti i pacchetti di traffico in entrata e in uscita con queste regole. Il firewall quindi autorizza o blocca i pacchetti che sono basati sulle informazioni che sono specificate nelle regole. Informazioni sugli elementi di una regola firewall Una regola firewall descrive le condizioni in base alle quali una connessione di rete può essere consentita o bloccata. Ad esempio, una regola può stabilire che la porta remota 80 può accedere all'indirizzo IP fra le 9.00 e le di ogni giorno. La Tabella 8-3 descrive i criteri utilizzati per definire una regola firewall.

119 Gestione della protezione della rete dalle minacce Configurazione del firewall 119 Tabella 8-3 Condizione Trigger Condizioni delle regole firewall Descrizione Applicazioni, host, protocolli e schede di rete. È possibile unire le definizioni del trigger per formare le regole più complesse, come per identificare un protocollo particolare rispetto a un indirizzo di destinazione specifico. Quando il firewall valuta la regola, affinché si verifichi una corrispondenza valida è necessario che tutti i trigger siano validi. Se qualsiasi trigger non è valido rispetto all'attuale pacchetto, il firewall non può applicare la regola. Condizioni Pianificazione e stato dello screen saver. I parametri condizionali non descrivono un aspetto di una connessione di rete I parametri condizionali, invece, determinano lo stato attivo di una regola. I parametri condizionali sono facoltativi e se non sono stati definiti non sono significativi. È possibile installare una pianificazione o identificare uno screen saver che determinino quando una regola è considerata attiva o inattiva. Il firewall non valuta le regole disattive quando riceve i pacchetti. Azioni Autorizza o blocca e registra o non registra. I parametri di azione specificano le azioni eseguite dal firewall quando il firewall identifica una corrispondenza valida di una regola. Se la regola viene selezionata in risposta a un pacchetto ricevuto, il firewall effettua tutte le azioni. Il firewall autorizza o blocca il pacchetto e registra o non registra il pacchetto. Se consente il traffico, il firewall autorizza il traffico specificato dalla regola ad accedere alla rete. Se blocca il traffico, il firewall blocca il traffico specificato dalla regola in modo che non acceda alla rete. La Tabella 8-4 descrive i trigger che è possibile definire in una regola firewall.

120 120 Gestione della protezione della rete dalle minacce Configurazione del firewall Tabella 8-4 Trigger Applicazione Host Protocollo Trigger di regole firewall Descrizione Quando l'applicazione è l'unico trigger definito in una regola per consentire il traffico, il firewall consente all'applicazione di eseguire qualsiasi operazione di rete. Il valore significativo è rappresentato dall'applicazione e non dalle operazioni di rete eseguite dall'applicazione. Ad esempio, se si autorizza l'applicazione Internet Explorer senza definire nessun altro trigger, gli utenti possono accedere ai siti remoti che utilizzano HTTP, HTTPS, FTP, Gopher e qualunque altro protocollo supportato da tale browser Web. È possibile definire trigger supplementari per descrivere i protocolli di rete e gli host particolari con cui è permessa la comunicazione. L'host locale è sempre il computer client locale e l'host remoto è sempre un computer remoto posizionato altrove sulla rete. Questa espressione della relazione tra gli host è indipendente dalla direzione del traffico. Quando si definiscono trigger degli host, specificare l'host dal lato remoto della connessione di rete descritta. Un trigger di protocollo identifica uno o più protocolli di rete che sono significativi rispetto al traffico di rete descritto. Il computer dell'host locale è sempre sede della porta locale e il computer remoto è sempre sede della porta remota. Questa espressione del rapporto tra le porte è indipendente dalla direzione di traffico. È possibile definire i seguenti tipi di protocolli: Tutti i protocolli IP Qualsiasi protocollo. TCP Porta o intervalli di porte. UDP Porta o intervalli di porte. ICMP Tipo e codice. Protocollo IP specifico Numero di protocollo (tipo di IP). Esempi: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP Scheda di rete Se si definisce un trigger della scheda di rete, la regola si applica soltanto al traffico trasmesso o ricevuto usando il tipo di scheda specificato. È possibile specificare qualsiasi scheda o quella associata correntemente al computer client.

121 Gestione della protezione della rete dalle minacce Configurazione del firewall 121 Informazioni sul processo stateful inspection Il firewall utilizza il processo stateful inspection, che controlla le informazioni sulle attuali connessioni, quali gli indirizzi IP, le porte e le applicazioni di origine e destinazione, e così via. Il client regola il flusso del traffico usando queste informazioni di connessione prima di verificare le regole firewall. Se ad esempio una regola firewall consente a un client di connettersi a un server Web, il firewall registra le informazioni sulla connessione. Quando il server risponde, il firewall rileva una risposta prevista dal server Web al client e consente il flusso del traffico del server Web verso il client che ha avviato la connessione, senza ispezionare la base di regole. È necessario che una regola consenta il traffico in uscita iniziale prima che il firewall registri la connessione. Il processo stateful inspection semplifica le basi di regole, poiché elimina la necessità di creare regole che consentano il traffico in entrambe le direzioni per il traffico avviato generalmente in una sola direzione, ad esempio il traffico Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Poiché i client avviano questo traffico in uscita, è sufficiente creare una regola che consenta il traffico in uscita per questi protocolli. Il firewall autorizzerà il traffico di ritorno. La configurazione delle sole regole in uscita, quando possibile, consente di aumentare la sicurezza del client nei modi indicati di seguito: Riducendo la complessità della base di regole Eliminando la possibilità che un worm o altri programmi pericolosi possano avviare connessioni a un client sulle porte configurate solo per il traffico in uscita. È inoltre possibile configurare solo regole in entrata, per il traffico diretto ai client e non avviato da questi ultimi. Il processo stateful inspection supporta tutte le regole che gestiscono il traffico TCP, mentre non supporta le regole che filtrano il traffico ICMP. Per ICMP è necessario creare regole che consentano il traffico in entrambe le direzioni quando necessario. Ad esempio, per far sì che i client utilizzino il comando ping e ricevano risposte, è necessario creare una regola che consenta il traffico ICMP in entrambe le direzioni. Informazioni sulle connessioni UDP Per le comunicazioni UDP, il client analizza il primo datagramma UDP e applica l'azione intrapresa a fronte del datagramma UDP iniziale a tutti i datagrammi UDP successivi per la sessione corrente dell'applicazione. Il traffico in entrata o in uscita tra gli stessi computer viene considerato parte della connessione UDP. Per il traffico UDP di tipo stateful, quando viene stabilita una connessione UDP, la comunicazione UDP in entrata è consentita anche se la regola firewall la blocca. Ad esempio, se una regola blocca le comunicazioni UDP in entrata per

122 122 Gestione della protezione della rete dalle minacce Configurazione del firewall un'applicazione specifica, ma si decide di autorizzare un datagramma UDP in uscita, verranno consentite tutte le comunicazioni UDP in entrata nell'ambito della sessione corrente dell'applicazione. Per il traffico UDP non stateful, è necessario creare una regola firewall per consentire la risposta in entrata alla comunicazione UDP. Una sessione UDP scade dopo 60 secondi se la porta viene chiusa dall'applicazione. Informazioni sull'ordine di elaborazione delle regole Le regole firewall vengono ordinate in sequenza, da quella con la priorità più alta a quella con la priorità più bassa oppure dall'alto verso il basso nell'elenco delle regole. Il firewall controlla le regole in quest'ordine. Se la prima regola non specifica come gestire un pacchetto, il firewall controlla la seconda regola per informazioni sulla gestione di un pacchetto. Questo processo continua fino a quando il firewall non trova una corrispondenza. Dopo che il firewall trova una corrispondenza, esegue l'azione specificata dalla regola e le regole successive con priorità più bassa non vengono controllate. Ad esempio, se una regola che blocca tutto il traffico viene elencata per prima, seguita da una regola che consente tutto il traffico, il client blocca tutto il traffico. È possibile ordinare le regole all'interno delle categorie di priorità in modo che il firewall valuti le regole in una sequenza logica. È possibile ordinare le regole in modo che vengano valutate in base alla restrittività, a partire dalle più restrittive fino a quelle più generali. Ad esempio, se si creano delle regole che bloccano il traffico, è necessario disporre queste regole all'inizio perché altre regole potrebbero permettere il traffico. La Tabella 8-5 mostra l'ordine in cui il firewall elabora le regole e le impostazioni. Tabella 8-5 Priorità Prima Seconda Terza Quarta Quinta Sesta Ordine di elaborazione delle regole, delle impostazioni del firewall, delle firme IPS e delle impostazioni IPS da parte del firewall Impostazione Firme IPS personalizzate Impostazioni di prevenzione delle intrusioni, impostazioni del traffico e impostazioni stealth Filtri del traffico intelligenti Regole firewall Controlli della scansione delle porte Firme IPS che vengono scaricate con LiveUpdate

123 Gestione della protezione della rete dalle minacce Configurazione del firewall 123 Aggiunta di regole Quando si aggiunge una regola firewall, è necessario decidere l'effetto desiderato per la regola. Ad esempio, è possibile autorizzare tutto il traffico proveniente da un'origine particolare o bloccare i pacchetti UDP di un sito Web. Per aggiungere regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 4 Nella scheda Generale, digitare un nome per la regola e fare clic su Blocca questo traffico o Autorizza questo traffico. 5 Per definire la scheda di rete per la regola, nell'elenco a discesa Applica la regola alla seguente scheda di rete, selezionare una scheda di rete. 6 Per scegliere se si desidera attivare la regola in base allo stato dello screen saver, selezionare un'opzione nell'elenco a discesa Applica la regola quando lo screen saver è. 7 Per definire i trigger per la regola, selezionare una delle seguenti schede: Host Porte e protocolli Applicazioni Pianificazione Per ulteriori informazioni sulle opzioni di ogni scheda, fare clic su?. 8 Per definire il periodo di tempo di attivazione o disattivazione della regola, fare clic su Pianificazione, quindi impostare una pianificazione. 9 Dopo avere finito di apportare le modifiche, fare clic su OK. 10 Nella finestra di dialogo Configura regole firewall, assicurarsi che nella colonna Nome regola sia visualizzato il segno di spunta per attivare la regola. 11 Fare clic su OK. Modifica dell'ordine delle regole Il firewall elabora l'elenco delle regole firewall dall'alto verso il basso. È possibile impostare l'elaborazione delle regole firewall modificandone l'ordine. Questo tipo di modifica incide sull'ordine solo nella posizione attualmente selezionata. Vedere "Informazioni sull'ordine di elaborazione delle regole" a pagina 122.

124 124 Gestione della protezione della rete dalle minacce Configurazione del firewall Per modificare l'ordine delle regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, selezionare la regola che si desidera spostare. 4 Eseguire una delle seguenti operazioni: Per impostare il firewall in modo che elabori una regola prima di quella nella posizione precedente, fare clic sulla freccia su. Per impostare il firewall in modo che elabori una regola dopo quella nella posizione successiva, fare clic sulla freccia giù. 5 Dopo avere finito di spostare le regole, fare clic su OK. Attivazione e disattivazione delle regole È necessario attivare le regole in modo che vengano elaborate dal firewall. Quando si aggiungono regole, queste vengono attivate automaticamente. È possibile disattivare una regola firewall se è necessario autorizzare l'accesso specifico a un computer o a un'applicazione. Per attivare e disattivare le regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella colonna Nome regola della finestra di dialogo Configura regole firewall, selezionare o deselezionare la casella di controllo accanto alla regola che si desidera attivare o disattivare. 4 Fare clic su OK. Esportazione e importazione di regole È possibile condividere le regole con un altro client in modo che non sia necessario ricrearle. È possibile esportare le regole da un altro computer e importarle in quello utilizzato. Quando si importano le regole, queste vengono aggiunte nella parte inferiore dell'elenco di regole firewall. Le regole importate non vengono sovrascritte alle regole esistenti, anche se identiche. Le regole esportate e quelle importate vengono salvate in un file.sar.

125 Gestione della protezione della rete dalle minacce Configurazione del firewall 125 Per esportare le regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, selezionare le regole che si desidera esportare. 4 Fare clic con il tasto destro del mouse sulle regole e quindi fare clic su Esporta regole selezionate. 5 Nella finestra di dialogo Esporta, digitare un nome file e quindi fare clic su Salva. 6 Fare clic su OK. Per importare le regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic con il tasto destro del mouse sull'elenco di regole firewall, quindi fare clic su Importa regola. 4 Nella finestra di dialogo Importa, individuare il file.sar che contiene le regole che si desidera importare. 5 Fare clic su Apri. 6 Fare clic su OK. Modifica ed eliminazione di regole È possibile modificare le regole se non funzionano nel modo desiderato. È possibile rimuovere le regole firewall aggiunte se non sono più necessarie. Per modificare le regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, selezionare la regola e quindi fare clic su Modifica. 4 Modificare le impostazioni nelle relative schede. 5 Dopo avere finito di modificare le regole, fare clic su OK.

126 126 Gestione della protezione della rete dalle minacce Configurazione del firewall Per eliminare le regole 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, selezionare una o più regole e fare clic su Elimina. 4 Nella finestra di messaggio che viene visualizzata, fare clic su Sì. 5 Fare clic su OK. Attivazione delle impostazioni del traffico e dello stealth di esplorazione Web È possibile attivare varie impostazioni del traffico e dello stealth di esplorazione Web nella politica dei firewall per proteggere il sistema da determinati tipi di attacchi alla rete sul client. La Tabella 8-6 definisce le impostazioni di traffico e stealth che è possibile attivare. Tabella 8-6 Impostazioni del traffico e dello stealth di esplorazione Web Opzioni Attiva protezione NetBIOS Consenti traffico Token Ring Descrizione Blocca il traffico NetBIOS da un gateway esterno. È possibile utilizzare il file e la condivisione di stampanti di Risorse di rete su una LAN e proteggere un computer dai rischi NetBIOS provenienti da qualsiasi rete esterna. Questa opzione blocca i pacchetti NetBIOS che provengono dagli indirizzi IP che non fanno parte degli intervalli interni ICANN definiti. Gli intervalli interni ICANN includono 10.x.x.x, x.x, x.x e x.x, con l'eccezione delle subnet x e x. I pacchetti NetBIOS includono UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 e TCP Permette ai computer client che si connettono tramite un adattatore Token Ring di accedere alla rete, indipendentemente dalle regole dei firewall sul client. Se si disattiva questa impostazione, tutto il traffico proveniente dai computer che si connettono tramite un adattatore Token Ring non sarà in grado di accedere alla rete aziendale. Il firewall non filtra il traffico Token Ring: consente o blocca tutto il traffico Token Ring.

127 Gestione della protezione della rete dalle minacce Configurazione del firewall 127 Opzioni Blocca tutto il traffico fino all'avvio del firewall e dopo la sua disattivazione Descrizione Blocca tutto il traffico in entrata e in uscita dal computer client quando il firewall non è in esecuzione per alcun motivo. Il computer non è protetto nelle seguenti condizioni: Dopo che il computer client si accende e prima che venga avviato il servizio del firewall. Dopo l'arresto del servizio del firewall e del computer. Questo periodo di tempo è un piccolo buco nella sicurezza che può permettere la comunicazione non autorizzata. Questa impostazione impedisce alle applicazioni non autorizzate di comunicare con altri computer. Consenti il traffico DHCP e NetBIOS iniziale Attiva modalità stealth di esplorazione Web Attiva nuova sequenza TCP Permette il traffico iniziale che attiva la connettività della rete. Questo traffico comprende il traffico DHCP e NetBIOS iniziale che permette che il client ottenga un indirizzo IP. Rileva il traffico HTTP proveniente da un browser Web in qualsiasi porta e rimuove il nome ed il numero di versione del browser, il sistema operativo e la pagina Web di riferimento. Impedisce ai siti Web di sapere quali sistemi operativi e browser sono utilizzati dal computer. Non rileva il traffico HTTPS (SSL). Impedisce la contraffazione (o spoofing) degli indirizzi IP da parte di intrusi. Gli hacker si servono dello spoofing di indirizzi IP per attaccare una sessione di comunicazione fra due computer, ad esempio tra il computer A e il computer B. Un hacker può inviare un pacchetto di dati che induce il computer A ad interrompere la comunicazione. Quindi l'hacker può fingere di essere il computer A e comunicare con ed attaccare il computer B. Per proteggere il computer, con la nuova sequenza TCP viene eseguita l'assegnazione casuale dei numeri di sequenza TCP. Attiva mascheramento dell'impronta del sistema operativo Attiva protezione da spoofing MAC Attiva controllo applicazioni di rete Impedisce la rilevazione del sistema operativo di un computer client. Il client cambia il TTL ed il valore di identificazione dei pacchetti TCP/IP per impedire l'identificazione di un sistema operativo. Permette il traffico ARP (Address Resolution Protocol) in entrata e in uscita soltanto se una richiesta ARP è stata fatta a quell'host specifico. Blocca tutto il traffico ARP inatteso rimanente e lo registra nel registro di sicurezza. Consente al client di controllare i cambiamenti delle applicazioni di rete eseguite sul computer client. Le applicazioni di rete inviano e ricevono il traffico. Il client rileva eventuali variazioni del contenuto dell'applicazione.

128 128 Gestione della protezione della rete dalle minacce Configurazione del firewall Per attivare le impostazioni del traffico e dello stealth di esplorazione Web 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Firewall. 4 Nella scheda Firewall, nelle caselle di gruppo Impostazioni traffico e Impostazioni stealth, selezionare le relative caselle di controllo per attivare le impostazioni. 5 Fare clic su OK. Attivazione dei filtri del traffico intelligenti È possibile attivare filtri del traffico intelligenti per consentire il traffico DHCP, DNS e WINS nella maggior parte delle reti. I filtri del traffico intelligenti consentono le richieste in uscita e le risposte in entrata per le connessioni di rete che sono state configurate per utilizzare DHCP, DNS e WINS rispettivamente. I filtri del traffico intelligenti consentono al client DHCP, DNS, o WINS di ricevere un indirizzo IP da un server mentre proteggono il client dagli attacchi provenienti dalla rete, come segue: Se il client invia una richiesta al server, il client attende cinque secondi per permettere una risposta in entrata. Se il client non invia una richiesta al server, nessuno dei filtri autorizza il pacchetto. I filtri intelligenti autorizzano il pacchetto se è stata emessa una richiesta, ma non bloccano i pacchetti. Le regole del firewall autorizzano o bloccano i pacchetti. Per attivare i filtri del traffico intelligenti 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Firewall. 4 Selezionare una o più delle seguenti caselle di controllo: Attiva Smart DHCP Attiva Smart DNS

129 Gestione della protezione della rete dalle minacce Configurazione del firewall 129 Attiva Smart WINS 5 Fare clic su OK. Attivazione della condivisione di file e stampanti in rete È possibile attivare il client in modo che condivida i proprie file o visualizzi i file e le stampanti condivise sulla rete locale. Per impedire attacchi basati sulla rete, è possibile disattivare la condivisione di file e stampanti sulla rete. È possibile attivare la condivisione di file e stampanti nei seguenti modi: Attivare automaticamente le impostazioni di condivisione di file e stampanti sulla rete nella scheda Rete Microsoft Windows. Se una regola firewall blocca questo traffico, la regola ha la priorità su questa impostazione. Attivare manualmente la condivisione di file stampanti sulla rete aggiungendo regole firewall. È possibile aggiungere le regole firewall se si desidera una maggiore flessibilità rispetto a questa impostazione. Ad esempio, quando si crea una regola, è possibile specificare un host particolare invece che tutti gli host. Le regole del firewall permettono l'accesso alle porte per visualizzare e condividere file e stampanti. È possibile creare uno insieme di regole firewall in modo che il client possa condividere i propri file. Create un secondo insieme di regole firewall in modo che il client possa visualizzare altri file e stampanti. L'amministratore potrebbe non avere attivato questa opzione sul client. Gli utenti sul client possono attivare automaticamente queste impostazioni. Per maggiori informazioni, consultare la Guida del client per Symantec Endpoint Protection e Symantec Network Access Control. Per attivare automaticamente la condivisione di file e stampanti di rete 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Rete Microsoft Windows. 4 Nella scheda Rete Microsoft Windows, per individuare altri computer e stampanti della rete fare clic su Sfoglia file e stampanti di rete. 5 Per consentire ad altri computer di sfogliare i file del proprio computer fare clic su Condividi file e stampanti in rete con altri utenti. 6 Fare clic su OK.

130 130 Gestione della protezione della rete dalle minacce Configurazione del firewall Per consentire manualmente ai client di sfogliare file e stampanti 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 4 Nella scheda di Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 5 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su TCP. 6 Nell'elenco a discesa Porte remote, digitare 88, 135, 139, Fare clic su OK. 8 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 9 Nella scheda di Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 10 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su UDP. 11 Nell'elenco a discesa Porte remote, digitare Nell'elenco a discesa Porte locali, digitare 137, Fare clic su OK. Per consentire manualmente ad altri computer di sfogliare i file sul client 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 4 Nella scheda di Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 5 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su TCP. 6 Nell'elenco a discesa Porte locali, digitare 88, 135, 139, Fare clic su OK. 8 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 9 Nella scheda di Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico.

131 Gestione della protezione della rete dalle minacce Configurazione del firewall 131 Blocco del traffico 10 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su UDP. 11 Nell'elenco a discesa Porte locali, digitare 88, 137, Fare clic su OK. È possibile configurare il computer per il blocco del traffico in entrata e in uscita nelle seguenti situazioni: Quando viene attivato lo screen saver del computer. È possibile configurare il computer per il blocco di tutto il traffico in entrata e in uscita di Risorse di rete quando viene attivato lo screen saver del computer. Non appena lo screen saver viene disattivato, il computer ritorna al livello di sicurezza precedentemente definito. Quando il firewall non è in esecuzione. Il computer non è protetto tra l'avvio del computer client e quello del servizio del firewall e tra l'arresto del servizio del firewall e quello del computer. Questo periodo di tempo rappresenta una zona non protetta, che può permettere comunicazioni non autorizzate. Quando si desidera bloccare in qualunque momento tutto il traffico in entrata e in uscita. È possibile voler bloccare tutto il traffico quando un virus particolarmente distruttivo attacca la rete o la subnet dell'azienda. In circostanze normali non si procederebbe al blocco di tutto il traffico. l'amministratore può aver configurato questa opzione in modo che non sia disponibile. È possibile permettere tutto il traffico disattivando la protezione della rete dalle minacce. Vedere "Attivazione e disattivazione della protezione dalle minacce di rete" a pagina 50. Per bloccare il traffico quando lo screen saver è attivato 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Rete Microsoft Windows.

132 132 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni di prevenzione delle intrusioni 4 Nella scheda Rete Microsoft Windows, fare clic su Blocca il traffico di rete di Microsoft Windows quando è attivo lo screen saver. 5 Fare clic su OK. Per bloccare traffico quando il firewall non è in esecuzione 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Firewall. 4 Nella scheda Firewall, fare clic su Blocca tutto il traffico fino all'avvio del firewall e dopo la sua disattivazione. 5 Facoltativamente fare clic su Consenti il traffico DHCP e NetBIOS iniziale. 6 Fare clic su OK. Per bloccare in qualunque momento tutto il traffico di rete 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Fare clic su Strumenti > Blocca tutto il traffico. 4 Per confermare, fare clic su Sì. 5 Per ritornare alle precedenti impostazioni del firewall utilizzate dal client, deselezionare Strumenti > Blocca tutto il traffico. Configurazione delle impostazioni di prevenzione delle intrusioni È possibile personalizzare le impostazioni di prevenzione delle intrusioni per cambiare la protezione predefinita. È possibile attivare le seguenti impostazioni: Firme del sistema di prevenzione delle intrusioni che rilevano ed impediscono gli attacchi provenienti dalla rete. Impostazioni di prevenzione delle intrusioni che impediscono le scansioni delle porte e gli attacchi denial-of-service. Risposta attiva, che blocca automaticamente i computer che inviano gli attacchi.

133 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni di prevenzione delle intrusioni 133 In genere, quando si disattivano le impostazioni di prevenzione delle intrusioni sul computer, il computer è meno sicuro. Tuttavia, può essere necessario disattivare queste impostazioni per impedire i falsi positivi o per risolvere problemi nei computer client. Il client registra gli attacchi e gli eventi di sicurezza rilevati dal sistema di prevenzione delle intrusioni nel registro di sicurezza. Il client può registrare gli attacchi e gli eventi nel registro dei pacchetti. Nota: l'amministratore può aver configurato queste opzioni in modo che non siano disponibili. Per configurare le impostazioni di prevenzione delle intrusioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Prevenzione intrusioni. 4 Per attivare un'impostazione, nella scheda Prevenzione intrusioni, selezionare una delle seguenti caselle di controllo: Attiva prevenzione delle intrusioni Attivare rilevamento minacce Denial of service Attiva rilevamento scansione porte Per maggiori informazioni sulle impostazioni, fare clic su?. 5 Fare clic su OK. Configurazione delle notifiche di prevenzione delle intrusioni È possibile configurare le notifiche da visualizzare quando il client rileva un attacco di rete nel computer o quando blocca l'accesso di un'applicazione al computer. È possibile impostare la durata di visualizzazione delle notifiche e un eventuale segnale acustico di avvertimento. È necessario attivare il sistema di prevenzione delle intrusioni affinché le notifiche di prevenzione delle intrusioni siano visualizzate. Nota: l'amministratore potrebbe avere disattivato queste opzioni durante la configurazione.

134 134 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni di prevenzione delle intrusioni Per configurare le notifiche di prevenzione delle intrusioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Prevenzione intrusioni. 4 Selezionare Visualizza notifiche di prevenzione delle intrusioni. 5 Per emettere un segnale acustico quando la notifica viene visualizzata, selezionare Utilizza notifiche con segnale acustico. 6 Digitare l'intervallo di tempo desiderato per la visualizzazione delle notifiche nel campo Durata di visualizzazione delle notifiche in secondi. 7 Fare clic su OK. Blocco e sblocco di un computer autore dell'attacco Quando il client di Symantec Endpoint Protection rileva un attacco alla rete, può bloccare automaticamente la connessione per assicurare che il computer client sia sicuro. Il client attiva una risposta attiva, che blocca automaticamente tutte le comunicazioni a e dall'indirizzo IP del computer autore dell'attacco per un periodo di tempo specificato. L'indirizzo IP del computer autore dell'attacco è bloccato per una singola posizione. Anche le firme IPS aggiornate, le firme Denial of service aggiornate e le scansioni delle porte attivano una risposta attiva. È possibile visualizzare l'indirizzo IP del computer autore dell'attacco nel registro di sicurezza. È anche possibile sbloccare un attacco arrestando la risposta attiva nel registro di sicurezza. Per bloccare un computer autore dell'attacco 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Prevenzione intrusioni.

135 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni specifiche dell'applicazione Selezionare Numero di secondi per il blocco automatico dell'indirizzo IP autore attacco e quindi immettere un numero di secondi. Immettere in un numero compreso tra un secondo e secondi. Il numero predefinito è di 600 secondi o 10 minuti. 5 Fare clic su OK. Se non si desidera attendere il tempo predefinito per sbloccare l'indirizzo IP, è possibile sbloccarlo immediatamente. Per sbloccare un computer autore dell'attacco 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 Accanto a Gestione client, fare clic su Visualizzaregistri>Registrosicurezza. 3 Nel registro di sicurezza, selezionare la riga che contiene la risposta attiva nella colonna del tipo di evento, quindi fare clic su Azione > Arresta risposta attiva. Per sbloccare gli indirizzi IP bloccati, fare clic su Azione > Arresta tutte le risposte attive. Se si sblocca una risposta attiva, la colonna del tipo di evento mostra la risposta attiva annullata. Se si verifica il timeout della risposta attiva, la colonna del tipo di evento mostra la risposta attiva disattivata. 4 Nella finestra di messaggio che compare, fare clic su OK. 5 Fare clic su File > Esci. Configurazione delle impostazioni specifiche dell'applicazione È possibile configurare le impostazioni per un'applicazione che è in esecuzione dall'avvio del servizio client o che ha chiesto l'autorizzazione di accesso alla rete. È possibile configurare le limitazioni quali gli indirizzi IP e le porte che l'applicazione può utilizzare. È possibile visualizzare e cambiare i provvedimenti che il client prende per ogni applicazione che cerca di accedere con la connessione di rete. Mediante la configurazione delle impostazioni per un'applicazione specifica si crea una regola del firewall basata sull'applicazione. Nota: Se c'è un conflitto fra una regola del firewall e un'impostazione specifica dell'applicazione, la regola del firewall ha la precedenza. Ad esempio, una regola del firewall che blocca tutto il traffico tra l'una e le otto sovrascrive la pianificazione per un'applicazione video specifica.

136 136 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni specifiche dell'applicazione Le applicazioni che vengono visualizzate nella finestra di dialogo Attività di rete sono le applicazioni e i servizi che sono in esecuzione dall'avvio del servizio client. Vedere "Visualizzazione dell'attività di rete" a pagina 116. Per configurare le impostazioni specifiche dell'applicazione 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza impostazioni applicazioni. 3 Nella finestra di dialogo Visualizza impostazioni applicazioni, selezionare l'applicazione che si desidera configurare, quindi fare clic su Configura. 4 Nella finestra di dialogo Configura impostazioni applicazione, nella casella Indirizzi IP attendibili per l'applicazione, digitare un indirizzo IP o un intervallo IP. 5 Nelle caselle di gruppo Porte server remoto o Porte locali, selezionare un TCP o una porta UDP. 6 Per specificare la direzione del traffico, fare clic su una o entrambe le opzioni seguenti: Per consentire il traffico in uscita, fare clic su Consenti connessioni in uscita. Per consentire il traffico in entrata, fare clic su Consenti connessioni in entrata. 7 Per applicare la regola quando lo screen saver è attivato, fare clic su Consenti quando lo screen saver è attivato. 8 Per impostare una pianificazione quando le limitazioni sono o non sono attive, fare clic su Attiva pianificazione. 9 Selezionare una delle opzioni seguenti: Per specificare il periodo in cui sono attive le limitazioni, fare clic su Durante l'intervallo sottostante. Per specificare il periodo in cui le limitazioni non sono attive, fare clic su Al di fuori dell'intervallo sottostante. 10 Impostare la pianificazione. 11 Fare clic su OK. 12 Nella finestra di dialogo Visualizza impostazioni applicazioni, cambiare l'azione, fare clic con il pulsante destro del mouse sull'applicazione, quindi fare clic su Consenti o Blocca.. 13 Fare clic su OK.

137 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni specifiche dell'applicazione 137 Per cambiare l'azione di un'applicazione dalla finestra di dialogo Attività di rete 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Nella finestra di dialogo Attività di rete, nel campo Applicazioni in esecuzione, fare clic con il pulsante destro del mouse sull'applicazione o sul servizio, quindi fare clic su Consenti o Blocca.. 4 Fare clic su Chiudi. Per arrestare un'applicazione o un servizio 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza attività di rete. 3 Nel campo Applicazioni in esecuzione, fare clic con il pulsante destro del mouse sull'applicazione, quindi fare clic su Termina. 4 Fare clic su OK. Rimozione delle limitazioni da un'applicazione È possibile rimuovere le limitazioni dell'applicazione, quale l'ora del giorno in cui il firewall blocca un'applicazione. Quando si rimuovono le limitazioni, viene cancellata anche l'azione che il client esegue per l'applicazione. Quando l'applicazione o il servizio cerca di connettersi di nuovo alla rete è possibile che venga chiesto se autorizzare o bloccare l'applicazione. È possibile arrestare l'esecuzione di un'applicazione o di un servizio fino al momento in cui l'applicazione cerca di accedere di nuovo al computer, ad esempio quando si riavvia il computer. Per rimuovere le limitazioni da un'applicazione 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni>Visualizza impostazioni applicazioni. 3 Nella finestra di dialogo Visualizza impostazioni applicazioni, eseguire una delle seguenti operazioni: Per rimuovere un'applicazione dall'elenco, selezionarla e quindi fare clic su Rimuovi. Per rimuovere tutte le applicazioni dall'elenco, fare clic su Rimuovi tutto.

138 138 Gestione della protezione della rete dalle minacce Configurazione delle impostazioni specifiche dell'applicazione 4 Fare clic su Sì. 5 Fare clic su OK.

139 Sezione 3 Symantec Network Access Control Principi fondamentali di Symantec Network Access Control

140 140

141 Capitolo 9 Principi fondamentali di Symantec Network Access Control Il capitolo contiene i seguenti argomenti: Informazioni su Symantec Network Access Control Controllo di integrità dell'host Risoluzione dei problemi del computer Visualizzazione dei registri di Symantec Network Access Informazioni sui moduli di applicazione Enforcer Configurazione del client per l'autenticazione 802.1x Informazioni su Symantec Network Access Control Il client Symantec Network Access Control valuta se un computer è protetto correttamente e conforme alle politiche di sicurezza prima di consentire la connessione alla rete aziendale. Il client verifica che il computer sia conforme ad una politica di sicurezza configurata dall'amministratore. La politica di sicurezza controlla se il computer esegue il software di sicurezza più recente, ad esempio le applicazioni firewall e antivirus. Se il computer non esegue il software necessario, l'utente o il client deve aggiornare il software. Se il software di sicurezza non è aggiornato, è possibile che al computer non venga consentita la connessione alla rete. Il client esegue

142 142 Principi fondamentali di Symantec Network Access Control Informazioni su Symantec Network Access Control controlli periodici per verificare che il computer sia sempre conforme alla politica di sicurezza. Funzionamento di Symantec Network Access Control Il client Symantec Network Access Control convalida e applica la conformità alle politiche ai computer che provano a connettersi alla rete. Questo processo di convalida e applicazione comincia prima che il computer si connetta alla rete e continua per tutta la durata della connessione. La politica di integrità dell'host è la politica di sicurezza che funge da base per tutte le valutazioni e azioni. Questo processo del controllo di accesso alla rete viene eseguito in base alla procedura seguente: Il client valuta costantemente la propria conformità. L'utente accende il computer client. Il client esegue un controllo di integrità dell'host che confronta la configurazione del computer alla politica di integrità dell'host scaricata dal server di gestione. Il controllo di integrità dell'host valuta la conformità di software antivirus, patch, correzioni rapide e altri requisiti di sicurezza del computer con la politica di integrità dell'host. Ad esempio, la politica può controllare se le relative definizioni antivirus sono state aggiornate recentemente e se le ultime patch sono state applicate al sistema operativo. Symantec Enforcer autentica il computer client e autorizza l'accesso del computer alla rete o blocca e mette in quarantena i computer non conformi. Se il computer è conforme a tutti i requisiti previsti dalla politica, il controllo di integrità dell'host viene superato. Enforcer concede l'accesso completo alla rete ai computer che superano il controllo di integrità dell'host. Se il computer non è conforme a tutti i requisiti previsti dalla politica, il controllo di integrità dell'host non viene superato. Quando un controllo di integrità dell'host non viene superato, il client o uno dei moduli di applicazione Enforcer di Symantec blocca o mette in quarantena il computer fino a quando non si risolvono i problemi. I computer in quarantena non hanno alcun accesso o hanno un accesso limitato alla rete. Vedere "Informazioni sui moduli di applicazione Enforcer" a pagina 145. L'amministratore può impostare la politica in modo che un controllo di integrità dell'host venga superato anche se non viene soddisfatto un requisito specifico. È possibile visualizzare nel client una notifica ogni volta che il controllo di integrità dell'host viene superato. Vedere "Risposta alle notifiche di Network Access Control" a pagina 30. Il client corregge i computer non conformi. Se nel client viene rilevata una richiesta di politica di integrità dell'host non soddisfatta, viene installato il software richiesto o ne viene richiesta

143 Principi fondamentali di Symantec Network Access Control Controllo di integrità dell'host 143 l'installazione all'utente. Una volta risolto il problema nel computer, viene tentato nuovamente l'accesso alla rete. Se il computer soddisfa tutti i requisiti, viene autorizzato l'accesso alla rete. Vedere "Risoluzione dei problemi del computer" a pagina 144. Il client esegue il monitoraggio dinamico della conformità. Il client esegue attivamente il monitoraggio dello stato di conformità di tutti i computer client. Se in qualunque momento lo stato di conformità del computer cambia, vengono modificati anche i privilegi di accesso del computer alla rete. È possibile visualizzare ulteriori informazioni sui risultati del controllo di integrità dell'host nel registro di sicurezza. Informazioni sull'aggiornamento della politica di integrità dell'host Il client aggiorna la politica di integrità dell'host a intervalli regolari. A scopo di test, l'amministratore può richiedere all'utente di aggiornare la politica di integrità dell'host prima del successivo aggiornamento pianificato, altrimenti non è necessario aggiornare la politica. Vedere "Aggiornamento della politica di sicurezza" a pagina 20. Controllo di integrità dell'host L'amministratore configura la frequenza utilizzata dal client per eseguire un controllo di integrità dell'host. Può essere necessario eseguire un controllo di integrità dell'host immediatamente anziché attendere quello successivo. Ad esempio, è possibile che un controllo di integrità dell'host non venga superato perché è necessario aggiornare l'applicazione antivirus nel computer. Il client può consentire di scegliere se scaricare immediatamente il software richiesto o posticipare il download. Se si scarica il software immediatamente, è necessario eseguire nuovamente il controllo di integrità dell'host per verificare di disporre del software corretto. È possibile attendere l'esecuzione del successivo controllo di integrità dell'host pianificato o eseguire il controllo immediatamente. Per eseguire un controllo di integrità dell'host 1 Nel client, nella barra laterale, fare clic su Stato. 2 In corrispondenza di Network Access Control, fare clic su Opzioni > Controlla ora. 3 Se viene visualizzato un messaggio in cui viene confermata l'esecuzione del controllo di integrità dell'host, fare clic su OK. Se l'accesso alla rete non era stato autorizzato, è necessario riottenerlo dopo l'aggiornamento del computer in conformità alla politica di sicurezza.

144 144 Principi fondamentali di Symantec Network Access Control Risoluzione dei problemi del computer Risoluzione dei problemi del computer Se il client rileva un requisito della politica di integrità dell'host non soddisfatto, risponde in uno di seguenti modi: Il client scarica automaticamente l'aggiornamento del software. Il client richiede di scaricare l'aggiornamento del software necessario. Per risolvere i problemi del computer Nella finestra di dialogo Symantec Endpoint Protection che viene visualizzata, procedere in uno dei modi seguenti: Per visualizzare i requisiti di sicurezza non soddisfatti dal computer, fare clic su Dettagli. Per installare immediatamente il software, fare clic su Ripristina ora L'opzione per annullare l'installazione una volta che è stata avviata può essere disponibile o meno. Per posticipare l'installazione del software, fare clic su Visualizza in seguito e selezionare un intervallo di tempo nell'elenco a discesa. L'amministratore può configurare il numero massimo di volte consentito per posticipare l'installazione. Visualizzazione dei registri di Symantec Network Access Il client Symantec Network Access Control utilizza i seguenti registri per monitorare vari aspetti del relativo funzionamento: Sicurezza Sistema Registra i risultati e lo stato dei controlli di integrità dell'host. Registra tutti i cambiamenti operativi del client, quali la connessione al server di gestione e gli aggiornamenti della politica di sicurezza del client. Se si utilizza un client gestito, è possibile caricare regolarmente nel server entrambi i registri. L'amministratore può utilizzare il contenuto dei registri per analizzare lo stato generale di sicurezza della rete. È possibile esportare i dati di questi registri.

145 Principi fondamentali di Symantec Network Access Control Informazioni sui moduli di applicazione Enforcer 145 Per visualizzare i registri di Symantec Network Access Control 1 Nel client, nella barra laterale, fare clic su Stato. 2 Per visualizzare il Registro sistema, vicino al Network Access Control fare clic su Opzioni > Visualizza registri. 3 Per visualizzare il registro di sicurezza, nella finestra di dialogo Registri gestione client - Registro sistema, fare clic su Visualizza > Registro sicurezza. 4 Fare clic su File > Chiudi. Vedere "Informazioni sui registri" a pagina 153. Informazioni sui moduli di applicazione Enforcer Il client interagisce con i moduli di applicazione Enforcer. Viene assicurato che tutti i computer che accedono alla rete protetti tramite questi moduli eseguano il software client e abbiano una politica di sicurezza adeguata. Un Enforcer deve autenticare l'utente o il computer client prima di autorizzarne l'accesso alla rete. Symantec Network Access Control interagisce con diversi tipi di moduli di applicazione Enforcer per autenticare il computer client. Symantec Enforcer è il dispositivo hardware di rete che verifica i risultati di integrità dell'host e l'identità del computer client prima di consentire al computer l'accesso alla rete. Enforcer verifica le seguenti informazioni prima di consentire al client di accedere alla rete: Symantec Network Access Control che il client esegue. Il client ha un identificativo univoco (UID). Il client è stato aggiornato con la politica di integrità dell'host più recente. Il computer client ha superato il controllo di integrità dell'host. Configurazione del client per l'autenticazione 802.1x Se la rete aziendale utilizza LAN Enforcer per l'autenticazione, il computer client deve essere configurato per l'esecuzione dell'autenticazione 802.1x. Il client può essere configurato dall'utente o dall'amministratore. L'amministratore può avere concesso o meno l'autorizzazione per configurare l'autenticazione 802.1x. Il processo di autenticazione 802.1x comprende i seguenti passaggi: Un client non autenticato o un supplicant di terze parti invia le informazioni sull'utente e le informazioni di conformità a uno switch di rete 802.1x gestito.

146 146 Principi fondamentali di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x Lo switch di rete trasmette le informazioni a LAN Enforcer. LAN Enforcer invia le informazioni sull'utente al server di autenticazione per l'autenticazione. Il server di autenticazione è il server RADIUS. Se l'autenticazione del client a livello dell'utente non riesce o non è conforme alla politica di integrità dell'host, Enforcer può bloccare l'accesso alla rete. Enforcer colloca il computer client non conforme in una rete di quarantena in cui può essere riparato. Dopo che il client ha riparato e reso conforme il computer, viene eseguita nuovamente l'autenticazione del computer mediante il protocollo 802.1x e al computer viene concesso l'accesso alla rete. Per utilizzare LAN Enforcer, il client può usare un supplicant di terze parti o un supplicant integrato. Nella Tabella 9-1 sono descritti i tipi di opzioni che è possibile configurare per l'autenticazione 802.1x. Tabella 9-1 Opzioni di autenticazione 802.1x Opzione Supplicant di terze parti Descrizione Utilizza un supplicant 802.1x di terze parti. LAN Enforcer utilizza un server RADIUS e supplicant 802.1x di terze parti per effettuare l'autenticazione dell'utente. Il supplicant 802.1x richiede l'immissione delle informazioni sull'utente che LAN Enforcer trasmette al server RADIUS per l'autenticazione a livello dell'utente. Il client invia il profilo client e lo stato di integrità dell'host a Enforcer in modo che Enforcer autentichi il computer. Nota: se si desidera utilizzare il client Symantec Network Access Control con un supplicant di terze parti, è necessario installare il modulo di protezione della rete dalle minacce del client Symantec Endpoint Protection.

147 Principi fondamentali di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x 147 Opzione Modalità trasparente Descrizione Utilizza il client come supplicant 802.1x. Ricorrere a questo metodo se l'amministratore non desidera utilizzare un server RADIUS per effettuare l'autenticazione dell'utente. LAN Enforcer viene eseguito in modalità trasparente e funge da server RADIUS. Nella modalità trasparente il supplicant non richiede l'immissione delle informazioni sull'utente. In questa modalità il client funge da supplicant 802.1x. Il client soddisfa la richiesta EAP dello switch con il profilo client e lo stato di integrità dell'host. Lo switch, a sua volta, trasmette le informazioni a LAN Enforcer che funge da server RADIUS. LAN Enforcer convalida le informazioni relative al profilo client e all'integrità dell'host ricevute dallo switch e può autorizzare, bloccare o assegnare dinamicamente una VLAN in base alle necessità. Nota: per utilizzare un client come supplicant 802.1x, è necessario disinstallare o disattivare i supplicant 802.1x di terze parti nel computer client. Supplicant integrato Utilizza il supplicant 802.1x integrato del computer client. I protocolli di autenticazione integrati includono Smart Card, PEAP o TLS. Dopo avere attivato l'autenticazione 802.1x, è necessario specificare quale protocollo di autenticazione utilizzare. Avvertimento: contattare l'amministratore prima di configurare il client per l'autenticazione 802.1x. È necessario sapere se la rete aziendale utilizza il server RADIUS come server di autenticazione. Se si configura in modo errato l'autenticazione 802.1x, è possibile perdere la connessione alla rete. Per configurare il client per l'utilizzo di un supplicant di terze parti 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Controllo dell'accesso alla rete, fare clic su Opzioni > Impostazioni 802.1x.

148 148 Principi fondamentali di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x 3 Nella finestra di dialogo Impostazioni di controllo dell'accesso alla rete, fare clic su Attiva autenticazione 802.1x. 4 Fare clic su OK. È anche necessario impostare una regola firewall che consenta l'accesso alla rete ai driver dei supplicant 802.1x di terze parti. Vedere "Aggiunta di regole" a pagina 123. È possibile configurare il client per l'utilizzo del supplicant integrato. Attivare il client per l'autenticazione 802.1x e come supplicant 802.1x. Per configurare il client per l'utilizzo della modalità trasparente o di un supplicant integrato 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Controllo dell'accesso alla rete, fare clic su Opzioni > Impostazioni 802.1x. 3 Nella finestra di dialogo Impostazioni di controllo dell'accesso alla rete, fare clic su Attiva autenticazione 802.1x. 4 Fare clic su Utilizza client come supplicant 802.1x. 5 Eseguire una delle seguenti operazioni: Per impostare la modalità trasparente, selezionare Utilizza modalità trasparente Symantec. Per configurare un supplicant integrato, fare clic su Consente di scegliere il protocollo di autenticazione. Scegliere quindi il protocollo di autenticazione per la connessione di rete. 6 Fare clic su OK. Per scegliere un protocollo di autenticazione 1 Nel computer client fare clic su Start > Impostazioni > Connessioni di rete, quindi fare doppio clic su Connessione alla rete locale (LAN). 2 Nella finestra di dialogo Proprietà - Connessione alla rete locale (LAN), fare clic su Autenticazione. 3 Nella scheda Autenticazione fare clic nell'elenco a discesa Tipo EAP e selezionare uno dei seguenti protocolli di autenticazione: Smart Card o altro certificato Protected EAP (PEAP) Modalità trasparente Symantec

149 Principi fondamentali di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x 149 Verificare che la casella di controllo Attiva autenticazione IEEE 802.1x per questa rete sia selezionata. 4 Fare clic su OK. 5 Fare clic su Chiudi. Riautenticazione del computer Se il computer ha superato il controllo di integrità dell'host ma l'enforcer lo blocca, potrebbe essere necessario riautenticare il computer. In circostanze normali non è mai necessario riautenticare il computer. L'Enforcer può bloccare il computer quando si verifica uno dei seguenti eventi: Il computer client non ha superato l'autenticazione dell'utente perché il nome utente o la password sono stati digitati in modo errato. Il computer client è nella VLAN errata. Il computer client non ottiene una connessione di rete. In genere la connessione di rete si interrompe perché lo switch fra il computer client e LAN Enforcer non ha autenticato il nome utente e la password. È necessario accedere a un computer client che ha autenticato un precedente utente. Il computer client non ha superato il controllo di conformità. È possibile riautenticare il computer soltanto se l'utente o l'amministratore ha configurato il computer con un supplicant incorporato. Nota: l'amministratore potrebbe non aver configurato il client in modo che visualizzi il comando di riautenticazione. Per riautenticare il computer 1 Fare clic con il pulsante destro del mouse sull'icona dell'area di notifica. 2 Fare clic su Riautenticazione. 3 Nella finestra di dialogo di riautenticazione, digitare il nome utente e la password. 4 Fare clic su OK.

150 150 Principi fondamentali di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x

151 Sezione 4 Monitoraggio e registrazione Utilizzo e gestione dei registri

152 152

153 Capitolo 10 Utilizzo e gestione dei registri Il capitolo contiene i seguenti argomenti: Informazioni sui registri Visualizzazione dei registri e dei dettagli del registro Gestione della dimensione del registro Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client Esportazione dei dati dei registri Informazioni sui registri I registri contengono i record delle attività associate alla sicurezza eseguite sul computer, che includono le attività relative a virus e rischi per la sicurezza, le modifiche alla configurazione e gli errori. Includono inoltre informazioni sui file delle definizioni dei virus e dei rischi per la sicurezza, sullo stato del computer e sul traffico che entra o esce dal computer. Questi record sono chiamati eventi o voci. I registri mostrano questi eventi con tutte le informazioni supplementari relative. Se si utilizza un client gestito, i relativi registri possono essere caricati regolarmente sul server di gestione. Un amministratore può utilizzarne i dati per analizzare lo stato di sicurezza generale della rete. I registri sono un metodo importante per il rilevamento dell'attività del computer e dell'interazione del computer con altri computer e reti. È possibile utilizzare le

154 154 Utilizzo e gestione dei registri Informazioni sui registri informazioni dei registri per rilevare le tendenze che si riferiscono ai virus, ai rischi per la sicurezza e agli attacchi al computer. Se lo stesso computer è utilizzato da più utenti sarà possibile identificare l'utente che introduce rischi e consigliare l'implementazione di misure precauzionali adeguate. I registri di protezione di rete possono assistere nel rilevamento di attività pericolose quali la scansione delle porte. Possono inoltre essere utilizzati per risalire all'origine dei diversi flussi di traffico. È possibile anche utilizzare i registri di protezione di rete per contribuire a risolvere i problemi di connettività o gli eventuali attacchi provenienti dalla rete. Se è stato installato Symantec Endpoint Protection sono disponibili le seguenti viste del registro: Registro di scansione della protezione antivirus e antispyware Registro dei rischi della protezione antivirus e antispyware Registro sistema della protezione antivirus e antispyware Registro minacce della protezione proattiva dalle minacce Registro sistema della protezione proattiva dalle minacce Registro di protezione contro le manomissioni della protezione contro le manomissioni Registro traffico della protezione della rete dalle minacce Registro pacchetti della protezione della rete dalle minacce Registro sicurezza della gestione client e della protezione della rete dalle minacce Registro controllo della gestione client Registro sistema della gestione client Se è stato installato Symantec Network Access Control sono disponibili i seguenti registri: Registro sicurezza Registro di sistema I registri possono indicare se il computer è stato escluso dalla rete e consentono di determinare il motivo del blocco dell'accesso alla rete. Per maggiori informazioni su un registro, premere F1 per visualizzare la Guida per quel registro. Tabella 10-1 descrive ciascun registro e le attività che consente di eseguire.

155 Utilizzo e gestione dei registri Informazioni sui registri 155 Tabella 10-1 Registri client e descrizione Registro Registro di scansione Descrizione Il registro delle scansioni contiene le voci delle scansioni che sono state eseguite nel computer. È possibile eseguire le seguenti attività nel registro delle scansioni: Visualizzare un elenco delle scansioni eseguite sul computer. Le scansioni vengono visualizzate insieme a importanti informazioni aggiuntive. Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre applicazioni. Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà. Registro dei rischi Il registro dei rischi contiene voci relative a virus e rischi per la sicurezza, quali adware e spyware, che hanno infettato il computer. I rischi per la sicurezza comprendono un collegamento alla pagina Web Symantec Security Response che fornisce ulteriori informazioni. È possibile effettuare le seguenti attività nel registro dei rischi: Visualizzare un elenco degli eventi relativi a virus e rischi per la sicurezza. Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre applicazioni. Eliminare un rischio dal computer. Eliminare permanentemente un rischio dal computer. Annullare le modifiche apportate da Symantec Endpoint Protection al momento dell'eliminazione di un rischio o della riparazione dei relativi effetti secondari. Mettere in quarantena i rischi che sono stati rilevati sul computer. Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà. Registro sistema della protezione antivirus e antispyware Il Registro di sistema protezione antivirus e antispyware contiene informazioni sulle attività di sistema del computer associabili a virus e rischi per la sicurezza. Tali informazioni includono le modifiche alla configurazione, gli errori e informazioni relative ai file delle definizioni. È possibile effettuare le seguenti attività nel Registro sistema della Protezione antivirus e antispyware: Visualizzare un elenco degli eventi antispyware e antivirus. Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre applicazioni. Filtrare le informazioni del registro per visualizzare soltanto un tipo o alcuni tipi di eventi. Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.

156 156 Utilizzo e gestione dei registri Informazioni sui registri Registro Registro minacce Descrizione Il Registro minacce contiene informazioni sulle minacce che le scansioni proattive delle minacce TruScan hanno rilevato sul computer. Le minacce includono le applicazioni commerciali che possono essere utilizzate per attività nocive. Sono esempi i Trojan horse, i worm, o keylogger, i worm di distribuzione di massa, i virus macro e le minacce basate su script. È possibile effettuare le seguenti attività nel Registro minacce: Visualizzare l'elenco degli eventi associati alle minacce della scansione proattiva delle minacce TruScan. Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre applicazioni. Terminare i programmi nocivi o i processi nocivi che sono stati trovati sul computer. Ripristinare elementi dalla Quarantena. Mettere in Quarantena le minacce rilevate sul computer. Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà. Nota: I pulsanti di azione disponibili dipendono dalle azioni appropriate per la voce di registro selezionata. Registro sistema della protezione proattiva dalle minacce Il Registro sistema della protezione proattiva dalle minacce contiene le informazioni sulle attività del sistema del computer che sono collegate alle scansioni proattive delle minacce TruScan. È possibile eseguire le seguenti operazioni nel Registro sistema della protezione proattiva dalle minacce: Visualizzare gli eventi di sistema relativi alle scansioni proattive delle minacce TruScan. Esportare i dati in un file di testo delimitato da virgole, per uso in altre applicazioni. Filtrare le informazioni del registro per visualizzare soltanto un tipo o alcuni tipi di eventi. Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà. Registro di protezione contro le manomissioni Il registro di protezione contro le manomissioni contiene voci relative ai tentativi di alterare le applicazioni Symantec sul computer. Queste voci contengono informazioni sui tentativi che la protezione contro le manomissioni ha rilevato o rilevato e contrastato. È possibile effettuare le seguenti attività nel registro di protezione contro le manomissioni: Visualizzare l'elenco degli eventi associati alla protezione contro le manomissioni. Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre applicazioni. Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.

157 Utilizzo e gestione dei registri Informazioni sui registri 157 Registro Registro del traffico Descrizione Il registro del traffico contiene le informazioni sulle connessioni che il computer stabilisce attraverso la rete. È possibile effettuare le seguenti attività nel registro del traffico: Visualizzare un elenco degli eventi del traffico in entrata e in uscita registrati quando il computer si connette a una rete. Dal menu File, cancellare tutte le voci dal registro. Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni, per uso in altre applicazioni. Dal menu File, accedere alle impostazioni di protezione della rete dalle minacce e cambiare le impostazioni modificabili. Dal menu Visualizza, alternare tra una vista locale e una vista di origine. Dal menu Filtro, filtrare le voci selezionando un intervallo di tempo. Dal menu Azione, effettuare il back trace (analisi retroattiva) dei pacchetti di dati utilizzati nei tentativi di attacco, per individuarne l'origine. La funzionalità di back trace non è disponibile per tutte le voci. Nota: Le azioni non appropriate per una voce particolare o non consentite dall'amministratore non sono disponibili. Registro pacchetti Il registro dei pacchetti contiene informazioni sui pacchetti di dati che entrano ed escono attraverso le porte del computer. È possibile effettuare le seguenti attività nel registro dei pacchetti: Visualizzare un elenco degli eventi del traffico in entrata e in uscita registrati quando il computer si connette a una rete. Dal menu File, cancellare tutte le voci dal registro. Dal menu File, esportare i dati in un file di testo delimitato da tabulazioni, in formato di controllo della rete o in formato NetXray, per l'uso in altre applicazioni. Dal menu File, accedere alle impostazioni di protezione della rete dalle minacce e cambiare le impostazioni modificabili. Dal menu Visualizza, alternare tra una vista locale e una vista di origine. Dal menu Filtro, filtrare le voci selezionando un intervallo di tempo. Dal menu Azione, effettuare il back trace (analisi retroattiva) dei pacchetti di dati utilizzati nei tentativi di attacco per individuarne l'origine. La funzionalità di back trace non è disponibile per tutte le voci.

158 158 Utilizzo e gestione dei registri Informazioni sui registri Registro Registro di controllo Descrizione Il registro di controllo contiene informazioni sulle chiavi di registro, i file e le DLL a cui accede un'applicazione, nonché informazioni sulle applicazioni eseguite dal computer. È possibile effettuare le seguenti attività nel registro di controllo: Visualizzare un elenco degli eventi di controllo. Dal menu File, cancellare tutte le voci dal registro. Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni, per uso in altre applicazioni. Dal menu Visualizza, alternare tra una vista locale e una vista di origine. Dal menu Filtro, filtrare le voci selezionando un intervallo di tempo. Registro sicurezza Il Registro sicurezza contiene informazioni sulle attività indirizzate al computer che possono costituire una minaccia. Alcuni esempi sono attività quali gli attacchi Denial of Service, le scansioni delle porte e le alterazioni dei file eseguibili. È possibile eseguire le seguenti attività nel registro di sicurezza: Visualizzare eventi relativi alla sicurezza. Dal menu File, cancellare tutte le voci dal registro. Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni, per uso in altre applicazioni. Dal menu Visualizza, alternare tra una vista locale e una vista di origine. Dal menu Filtro, filtrare le voci, in base a un intervallo di tempo o in base alla gravità. Dal menu Azione, effettuare il back trace (analisi retroattiva) dei pacchetti di dati utilizzati nei tentativi di attacco per individuarne l'origine. La funzionalità di back trace non è disponibile per tutte le voci. Interrompere il bloccaggio da parte del client degli attacchi effettuati da altri computer. Registro di sistema Il Registro sistema contiene informazioni su tutte le modifiche operative che si sono verificate nel computer. Gli esempi includono attività quali l'avvio o l'arresto di un servizio, il rilevamento di applicazioni di rete o la configurazione di software. È possibile effettuare le seguenti attività nel registro di sistema: Visualizzare l'elenco degli eventi di sistema quando il computer si connette a una rete. Dal menu File, cancellare tutte le voci dal registro. Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni, per uso in altre applicazioni. Dal menu Filtro, filtrare le voci, in base a un intervallo di tempo o in base alla gravità.

159 Utilizzo e gestione dei registri Visualizzazione dei registri e dei dettagli del registro 159 Nota: Se si è eseguito l'accesso a un client gestito, alcune opzioni in alcuni registri potrebbero non essere disponibili. La disponibilità di tali opzioni dipende da che cosa viene ammesso dall'amministratore. Questa nota è valida per i registri della protezione della rete dalle minacce, della gestione client, dei pacchetti, di controllo, di sicurezza e di sistema. Le opzioni non appropriate per una determinata voce in un registro potrebbero non risultare disponibili. Visualizzazione dei registri e dei dettagli del registro È possibile visualizzare i registri sul computer per analizzare i dettagli degli eventi che si sono verificati. Per visualizzare un registro 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 Accanto al tipo di registro da visualizzare, fare clic su Visualizza registri e quindi fare clic sul nome del registro. Da una vista dei registri di Protezione della rete dalle minacce o da alcuni registri di Gestione client, è possibile passare a una vista degli altri registri. Utilizzare il menu Visualizza nella parte superiore della finestra di dialogo per accedere agli altri registri. 3 Se è stata aperta una vista di uno dei registri di Protezione della rete dalle minacce o di Gestione client, fare clic su Vista locale o Vista origine. Le colonne del registro cambiano a seconda che si scelga la vista locale o la vista di origine. La vista locale mostra il contenuto in base alla prospettiva della porta locale e della porta remota. Tale prospettiva è utilizzata più comunemente in un firewall basato su host. La vista di origine mostra il contenuto in base alla prospettiva della porta di origine e della porta di destinazione. Tale prospettiva è utilizzata più comunemente in un firewall basato sulla rete. Se nelle voci nei registri di protezione della rete dalle minacce e nei registri di gestione client sono disponibili maggiori informazioni, queste compaiono nelle seguenti posizioni: Le informazioni descrittive compaiono nel riquadro inferiore sinistro della vista del registro. Le informazioni sui dati compaiono nel riquadro inferiore destro della vista del registro.

160 160 Utilizzo e gestione dei registri Visualizzazione dei registri e dei dettagli del registro Filtro delle viste del registro È inoltre possibile visualizzare i particolari di qualsiasi voce nei registri di protezione antivirus e antispyware, di protezione contro le manomissioni e di protezione proattiva dalle minacce. Per il registro dei rischi i dettagli forniscono ulteriori informazioni che non sono disponibili nella finestra della vista principale del registro. Per visualizzare i particolari delle voci di registro nei registri di protezione antivirus e antispyware, di protezione contro le manomissioni e di protezione proattiva dalle minacce 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 Accanto a Protezione antivirus e antispyware, Gestione client o Protezione proattiva dalle minacce, fare clic su Visualizza registri. 3 Fare clic sul nome del registro da visualizzare. 4 Fare clic con il pulsante destro del mouse su una voce dell'elenco e selezionare Proprietà. È possibile filtrare la vista di alcuni registri in vari modi. È possibile filtrare gli eventi nei registri di protezione della rete dalle minacce e di gestione client in base al periodo di tempo in cui gli eventi stessi si sono verificati. È possibile filtrare gli eventi in alcuni registri di protezione della rete dalle minacce in base al livello di gravità. È possibile filtrare per tipo gli eventi nel registro sistema della protezione antivirus e antispyware e nel registro sistema della protezione proattiva dalle minacce. Filtro delle voci in base al periodo di tempo È possibile applicare filtri ad alcuni registri in base al periodo di tempo durante il quale gli eventi si sono verificati. Per filtrare le voci di registro in base al periodo di tempo 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 A destra di Protezione della rete dalle minacce o di Gestione client, fare clic su Visualizza registri. 3 Fare clic sul nome del registro da visualizzare. 4 Nella finestra della vista del registro, fare clic su Filtro e quindi selezionare il periodo di tempo per il quale visualizzare gli eventi del registro. Per esempio, se si seleziona Registri 2 settimane, il visualizzatore file di registro mostra gli eventi che sono stati registrati negli ultimi 14 giorni.

161 Utilizzo e gestione dei registri Visualizzazione dei registri e dei dettagli del registro 161 Filtro delle voci in base al livello di gravità È possibile filtrare le informazioni nelle viste del registro della protezione dalle minacce di rete, del registro di sicurezza della gestione client e del registro di sistema in base al livello di gravità. Per impostazione predefinita, vengono visualizzati gli eventi con tutti i livelli di gravità. Per filtrare le voci di registro in base al livello di gravità 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 A destra di Protezione della rete dalle minacce o di Gestione client, fare clic su Visualizza registri. 3 Fare clic sul nome del registro da visualizzare. 4 Nella finestra di visualizzazione del registro, fare clic su Filtro e quindi su Gravità. 5 Selezionare una delle opzioni seguenti da deselezionare: Critico (solo registro di sicurezza) Grave (solo registro di sicurezza) Non grave (solo registro di sicurezza) Errore (solo registro di sistema) Avviso (solo registro di sistema) Informazioni La deselezione di un elemento elimina tutti gli eventi con lo stesso livello di gravità dalla vista. 6 È possibile fare clic su Gravità e selezionare un altro livello per eliminare livelli di gravità aggiuntivi dalla vista. Filtro dei registri di sistema per categoria di evento Nel registro sistema della protezione antivirus e antispyware e nel registro sistema della protezione proattiva dalle minacce, gli eventi sono categorizzati come segue: Modifica della configurazione Avvio o arresto di Symantec Endpoint Protection File delle definizioni dei virus Omissioni della scansione Inoltro al server di quarantena Invio a Symantec Security Response

162 162 Utilizzo e gestione dei registri Gestione della dimensione del registro Caricamento o scaricamento di Auto-Protect Gestione e roaming di client Inoltro registro Avvisi di comunicazioni non autorizzate (accesso negato) Accesso e gestione certificati Conformità client Errore di caricamento motore TruScan Errore di caricamento applicazioni note TruScan Sistema operativo per TruScan non supportato È possibile ridurre il numero di eventi che appaiono nei due registri sistema visualizzando soltanto determinati tipi di eventi. Per esempio, per visualizzare soltanto gli eventi che sono collegati ad Auto-Protect, è possibile selezionare solo il tipo Caricamento/scaricamento di Auto-Protect. Se si seleziona un tipo, la registrazione degli eventi nelle altre categorie non si ferma. Semplicemente le altre categorie non vengono visualizzate quando si mostra il registro sistema. Nota: soltanto gli eventi validi sono disponibili per l'esclusione dalla vista. Per filtrare il registro sistema per categoria di evento 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 Accanto a Protezione antivirus e antispyware o Protezione proattiva dalle minacce, fare clic su Visualizza registri. 3 Fare clic su Registro sistema. 4 Fare clic su Filtro. 5 Selezionare o deselezionare una o più categorie di eventi. 6 Fare clic su OK. Gestione della dimensione del registro È possibile configurare per quanto tempo si desidera mantenere le voci nei registri. Se si eliminano le voci più vecchie, i registri non utilizzano troppo spazio su disco. Per i registri di protezione della rete dalle minacce e i registri di gestione client, è anche possibile impostare la quantità di spazio utilizzata.

163 Utilizzo e gestione dei registri Gestione della dimensione del registro 163 Configurazione dei tempi di mantenimento delle voci dei registri di protezione antivirus e antispyware e di protezione proattiva dalle minacce Per impostare il tempo di mantenimento delle voci di registro 1 Nella pagina Stato del client, accanto a Protezione antivirus e antispyware o Protezione proattiva dalle minacce, fare clic su Opzioni e quindi su Cambia impostazioni. 2 Nella scheda Generale, impostare il valore numerico e l'unità di tempo per il mantenimento delle voci nei registri. Le voci precedenti al valore impostato vengono eliminate. 3 Fare clic su OK. Configurazione della dimensione dei registri di protezione della rete dalle minacce e dei registri di gestione client È possibile impostare la dimensione di ogni registro di protezione della rete dalle minacce e di ogni registro di gestione client. Per cambiare la dimensione dei registri 1 Nel client, nella pagina Stato, a destra di Protezione della rete dalle minacce, fare clic su Opzioni e quindi su Cambia impostazioni. 2 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, nella scheda Registri, nel campo di testo Dimensioni massime file di registro, digitare il numero massimo di kilobyte per la dimensione del file di registro. È necessario limitare la dimensione del file di registro a causa dello spazio a disposizione sul computer. La dimensione predefinita per tutti i registri è 512 KB, tranne per il registro di controllo e il registro del pacchetto. La dimensione predefinita per il registro di controllo e il registro del pacchetto è 1024 KB. 3 Fare clic su OK. Configurazione del tempo di mantenimento per le voci del registro di protezione della rete dalle minacce e le voci del registro di gestione client È possibile specificare per quanti giorni le voci vengono mantenute in ogni registro. Dopo che è trascorso il numero massimo di giorni, le voci più vecchie vengono sostituite. È inoltre possibile eliminare le voci per liberare dello spazio o mantenere le voci per esaminare la sicurezza del computer.

164 164 Utilizzo e gestione dei registri Gestione della dimensione del registro Per impostare il numero di giorni di mantenimento delle voci di registro 1 Nel client, alla pagina Stato, a destra di Protezione della rete dalla minacce, fare clic su Opzioni, quindi fare clic su Cambia impostazioni. 2 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, nella scheda Registri, nel campo di testo Salva ciascuna voce di registro per, digitare il numero massimo di giorni di mantenimento delle voci di registro. 3 Fare clic su OK. Informazioni sull'eliminazione del contenuto del registro sistema della protezione antivirus e antispyware Non è possibile rimuovere permanentemente i record degli eventi dal registro sistema usando l'interfaccia utente. Eliminazione del contenuto dei registri di protezione dalle minacce di rete e dei registri di gestione client Se l'amministratore lo consente, è possibile rimuovere il contenuto del registro di protezione dalle minacce di rete e dei registri di gestione client. Dopo avere rimosso il contenuto, ogni registro inizia subito a salvare le nuove voci. Nota: se l'opzione Cancella non è disponibile, non si dispone del permesso per eliminare il contenuto del registro. Se si dispone di questo permesso, è anche possibile eliminare il contenuto dal menu File del registro. Per eliminare il contenuto di un registro 1 Nel client, alla pagina Stato, a destra di Protezione della rete dalla minacce, fare clic su Opzioni, quindi fare clic su Cambia impostazioni. 2 Nella finestra di dialogo Configura Protezione della rete dalle minacce, nella scheda Registri, accanto al registro desiderato, fare clic su Cancella registro. 3 Alla richiesta di conferma, fare clic su Sì. 4 Fare clic su OK.

165 Utilizzo e gestione dei registri Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce 165 Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce È possibile mettere in quarantena le minacce che sono state registrate nel registro di cronologia minacce della protezione proattiva dalle minacce. È possibile mettere in quarantena i rischi registrati nel registro dei rischi della protezione antivirus e antispyware. È inoltre possibile pulire e eliminare rischi dal registro dei rischi della protezione antivirus e antispyware. Per mettere in quarantena un rischio o una minaccia 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 Accanto a Protezione antivirus e antispyware o Protezione proattiva dalle minacce, fare clic su Visualizza registri e quindi sul nome del registro desiderato. 3 Selezionare un rischio o una minaccia e quindi fare clic su Quarantena. Sulla base dell'azione preimpostata per la rilevazione del rischio, è possibile che Symantec Endpoint Protection non sia in grado di eseguire l'operazione selezionata. Se il passaggio della minaccia o rischio alla quarantena riesce, viene visualizzato un messaggio indicante la riuscita dell'operazione. Non è necessario prendere ulteriori provvedimenti per garantire la sicurezza del computer da questo rischio o minaccia. È possibile lasciare in quarantena i file infetti con rischi oppure eliminarli. È necessario lasciare i file infetti in quarantena finché non si è certi che le applicazioni installate sul computer funzionino correttamente. Vedere "Informazioni sui file infettati in quarantena" a pagina 93. Nei casi in cui Symantec Endpoint Protection non riesce a spostare il rischio o la minaccia in quarantena, appare un messaggio di errore. In tali casi, può essere utile contattare l'amministratore. È inoltre possibile pulire ed eliminare i rischi e le minacce, nonché nei casi previsti annullare le azioni di questi registri. Vedere "Interventi sui file infetti" a pagina 24. Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client I registri di protezione della rete dalle minacce e i registri di gestione client consentono di seguire l'attività del computer e la relativa interazione con altri computer e reti. Questi registri registrano informazioni sul traffico che cerca di

166 166 Utilizzo e gestione dei registri Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client accedere al o uscire dal computer attraverso la connessione di rete. Questi registri registrano inoltre informazioni sui risultati della politica del firewall che è applicata al client. È possibile gestire i registri di protezione della rete dalle minacce e i registri di gestione client del client da una posizione centrale. I registri di sicurezza, del traffico e del pacchetto permettono di rintracciare l'origine di alcuni dati. A questo scopo viene usato ICMP per determinare tutti i punti di passaggio fra il computer e un intruso su un altro computer. Nota: Alcune opzioni per questi registri possono non essere disponibili, a seconda del tipo di controllo che l'amministratore ha impostato per il client. Aggiornamento dei registri di protezione dalle minacce di rete e dei registri di gestione client Per aggiornare un registro 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 A destra di Protezione della rete dalle minacce o di Gestione client, fare clic su Visualizza registri e quindi fare clic sul nome del registro desiderato. 3 Nel menu Visualizza, fare clic su Aggiorna. Attivazione del registro pacchetti Tutti i registri di protezione dalle minacce di rete e i registri di gestione client sono attivati per impostazione predefinita a eccezione del registro pacchetti. Se consentito dall'amministratore, è possibile attivare e disattivare il registro pacchetti. Per attivare il registro pacchetti 1 Nel client, nella pagina Stato, a destra di Protezione della rete dalle minacce, fare clic su Opzioni e quindi su Cambia impostazioni. 2 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Registri. 3 Selezionare Attiva registro dei pacchetti. 4 Fare clic su OK.

167 Utilizzo e gestione dei registri Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client 167 Interruzione della risposta attiva Tutte le intrusioni rilevate nel client avviano una risposta attiva che blocca automaticamente l'indirizzo IP di un intruso noto per un tempo specifico. Se autorizzati dall'amministratore, è possibile interrompere la risposta attiva immediatamente dal registro di sicurezza. Vedere "Blocco e sblocco di un computer autore dell'attacco" a pagina 134. Back trace degli eventi registrati all'origine È possibile eseguire il back trace di alcuni eventi per individuare l'origine dei dati di un evento registrato. In modo analogo a un agente investigativo che rintraccia il percorso di un criminale a partire dalla scena del delitto, il back trace consente di visualizzare i punti di passaggio precisi attraversati dal traffico in entrata. Un punto di passaggio è un punto di transizione quale un router che un pacchetto attraversa mentre passa da un computer all'altro in Internet. Il back trace rintraccia a ritroso il percorso del pacchetto di dati, individuando i router attraverso i quali sono passati i dati prima di raggiungere il computer. Nella Figura 10-1 è mostrato in che modo il client individua l'origine dei dati di un evento registrato.

168 168 Utilizzo e gestione dei registri Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client Figura 10-1 Back trace di un pacchetto Computer utente Computer hacker Dati Hop 1 Hop 2 Hop 3 Hop 4 Hop 5 Hop 6 Router nella rete pubblica Alcune voci di registro consentono di rintracciare il pacchetto di dati utilizzato in un tentativo di attacco. Ogni router attraversato da un pacchetto di dati ha un indirizzo IP. È possibile visualizzare l'indirizzo IP e altri dettagli. Le informazioni visualizzate non garantiscono che sia stato individuato l'hacker responsabile dell'attacco. L'indirizzo IP del punto di passaggio finale indica il proprietario del router a cui si sono connessi gli hacker, non necessariamente gli hacker. È possibile eseguire il back trace di alcuni eventi registrati nel registro della sicurezza e nel registro del traffico. Per eseguire il back trace di un evento registrato 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 A destra di Protezione della rete dalle minacce o di Gestione client, fare clic su Visualizzaregistri. Fare clic sul registro che contiene la voce che si desidera rintracciare. 3 Nella finestra di visualizzazione del registro, selezionare la riga della voce che si desidera rintracciare. 4 Fare clic su Azione, quindi su Back trace.

169 Utilizzo e gestione dei registri Esportazione dei dati dei registri Nella finestra di dialogo Informazioni back trace, fare clic su Chi>> per visualizzare informazioni dettagliate su ogni punto di passaggio. Un pannello a discesa mostra le informazioni dettagliate sul proprietario dell'indirizzo IP da cui l'evento del traffico ha avuto origine. È possibile utilizzare Ctrl-C e Ctrl-V per tagliare e incollare le informazioni del pannello in un messaggio di da inviare all'amministratore. 6 Fare clic su Chi<< di nuovo per nascondere le informazioni. 7 Al termine, fare clic su OK. Utilizzo dei registri di gestione dei client con Symantec Network Access Control Se è installato Symantec Network Access Control, è possibile eseguire le attività seguenti dal menu Azione del registro di sicurezza e del registro di sistema: Aggiornare una politica Vedere "Aggiornamento della politica di sicurezza" a pagina 20. Controllare l'integrità dell'host Vedere "Controllo di integrità dell'host" a pagina 143. Esportazione dei dati dei registri È possibile esportare i dati di determinati registri in file in formato testo separato da virgole (.csv) o in formato database di MS Access (*.mdb). Il formato csv è un formato di file comune, utilizzato per l'importazione di dati nella maggior parte dei programmi di database e fogli di calcolo. Una volta importati in un altro programma, i dati sono utilizzabili per creare presentazioni, grafici, o per l'unione con altre informazioni. È possibile esportare i dati dei registri di Protezione dalle minacce di rete e dei registri di Gestione client in file di testo delimitato da tabulazioni. Nota: Se si esegue il software client su Windows Server 2008 Server Core, non è possibile esportare i dati di registro in un file.mdb. Il formato.mdb richiede applicazioni Microsoft che non sono disponibili su Server Core. È possibile esportare i seguenti registri in file mdb o csv: Registro di sistema della protezione antivirus e antispyware Registro rischi della protezione antivirus e antispyware Registro scansione della protezione antivirus e antispyware

170 170 Utilizzo e gestione dei registri Esportazione dei dati dei registri Registri della protezione proattiva dalle minacce Registro minacce di Protezione proattiva contro le minacce Registro della protezione contro le manomissioni Nota: se i dati di registro vengono filtrati in qualsiasi modo e quindi esportati, verranno esportati soltanto i dati filtrati. Questa limitazione non è valida per i registri esportati in un file di testo delimitato da tabulazioni. Tutti i dati di tali registri vengono esportati. Vedere "Filtro delle viste del registro" a pagina 160. È possibile esportare i seguenti registri in file di testo delimitato da tabulazioni (txt): Registro controllo della gestione client Registro pacchetti della protezione della rete dalle minacce Registro sicurezza della gestione client Registro sistema della gestione client Registro traffico della protezione della rete dalle minacce Nota: oltre che in un file di testo delimitato da tabulazioni, è possibile esportare i dati dal registro pacchetti in formato di controllo di rete o in formato NetXray. Nell'installazione Server Core di Windows Server 2008, le finestre di dialogo dell'interfaccia utente potrebbero differire da quelle descritte in queste procedure. Per esportare dati in un file csv 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 Accanto a Protezione antivirus e antispyware o Protezione proattiva dalle minacce, fare clic su Visualizza registri. 3 Fare clic sul nome del registro desiderato. 4 Nella finestra del registro, assicurarsi che i dati da salvare siano visualizzati. Fare clic su Esporta. 5 Nell'elenco a discesa Salva in, selezionare la directory in cui si desidera salvare il file. 6 Nella casella di testo Nome file, digitare un nome per il file. 7 Fare clic su Salva.

171 Utilizzo e gestione dei registri Esportazione dei dati dei registri 171 Per esportare i dati del registro della protezione della rete dalle minacce o della gestione client in un file di testo 1 Nel client, nella barra laterale, fare clic su Visualizza registri. 2 A destra di Protezione della rete dalle minacce o di Gestione client, fare clic su Visualizza registri. 3 Fare clic sul nome del registro dal quale esportare i dati. 4 Fare clic su File e quindi su Esporta. Se è stato selezionato Registro pacchetti, è possibile fare clic su Esporta nel formato di controllo di rete o su Esporta in formato Netxray. 5 Nell'elenco a discesa Salva in, selezionare la directory in cui si desidera salvare il file. 6 Nella casella di testo Salva in, digitare un nome per il file. 7 Fare clic su Salva.

172 172 Utilizzo e gestione dei registri Esportazione dei dati dei registri

173 Indice A Adware 44 Altre categorie di rischi 45 Ambienti gestiti informazioni 14 Ambienti non gestiti informazioni 14 Applicazione informazioni 145 Applicazioni autorizzazione o blocco 135 definizione 120 Attacchi blocco 111 firme 114 rete 114 attività di rete visualizzazione 116 Autenticazione 802.1x configurazione 147 informazioni 145 Auto-Protect affidabilità delle versioni remote 66 attivazione e disattivazione per file system 49 attivazione e disattivazione per l' 49 cache di rete 67 client di groupware 61 connessioni crittografate di 62 determinazione dei tipi di file 64 disattivazione della scansione dei rischi per la sicurezza 65 disattivazione temporanea 48 impostazioni di scansione della rete 66 per client di Microsoft Exchange 61 per l' di Internet 61 per Lotus Notes 61 rischi per la sicurezza 60 scansione in base all'estensione 57 stato 48 utilizzo 60 visualizzazione dell'elenco dei rischi 64 visualizzazione delle statistiche di scansione 63 Autorizzazione del traffico 123, 135 Azioni assegnazione di azioni secondarie per i virus 85 suggerimenti sull'assegnazione di azioni secondarie per rischi per la sicurezza 86 B Blocco del traffico 123, 131, 135 Blocco di un computer autore dell'attacco 134 Bot 44 C Cache di rete impostazioni di Auto-Protect 67 Cartella Elementi di backup cancellazione 96 Cartelle esclusione dalle scansioni 90 Centro sicurezza PC Windows (WSC) visualizzazione dello stato del firewall 52 visualizzazione dello stato dell antivirus 51 Client apertura 14 disattivazione 14 informazioni 13 interazioni 23 Client gestiti aggiornamento 19 e client indipendenti 39 Client indipendenti e client gestiti 39 Client non gestiti aggiornamento 19 Comandi icona dell'area di notifica 14 Computer a 64 bit 71 condividere file e stampanti 129 Condivisione di stampanti 129 Connessioni UDP informazioni 121

174 174 Indice Controllo dell'accesso alla rete informazioni 141 Controllo di accesso della rete risoluzione dei problemi del computer 144 Controllo di integrità dell'host esecuzione 143 D Definite scansioni 114 Dialer 44 E connessioni crittografate 62 esclusione del file della posta in arrivo dalle scansioni 56 rilascio di allegati dalla quarantena 96 Eccezioni centralizzate esclusione di elementi dalle scansioni 58 per scansioni antivirus e antispyware 90 rilevazioni di scansione proattiva delle minacce 109 Esclusioni creazione per le scansioni 58 Estensioni esclusione dalle scansioni 90 inclusione nelle scansioni 57 F File backup 96 esclusione dalle scansioni 90 invio a Symantec Security Response 98 rilascio dalla quarantena 96 ripetizione automatica della scansione dei file in quarantena 95 ripetizione manuale della scansione dei file in quarantena 96 ripristino dei file riparati 96 scansione 56 file condividere 129 File delle definizioni 17, 70 File infettato interventi 24 Filtri del traffico intelligenti definizione 128 Firewall impostazioni 117, 126 informazioni 112 Firme IPS informazioni 114 G Guida in linea accesso 20 H Hacking, strumenti 44 Host definizione 120 I Icona dell'area di notifica informazioni 14 nascondere e mostrare 16 Icone client 14 Impostazioni firewall 117 prevenzione delle intrusioni 133 Infezioni da virus macro blocco 59 Internet, bot 44 L LiveUpdate funzionamento 19 M Mascheramento fingerprint del sistema operativo attivazione 126 Messaggi prevenzione delle intrusioni 133 risposta 26 Minacce di tipo misto 44 Minacce di tipo misto 44 Modalità stealth di esplorazione Web attivazione 126 Monitoraggio delle applicazioni di rete attivazione 126

175 Indice 175 N Network Access Control informazioni 142 notifiche 30 Notifiche informazioni 23 interazione dell utente 79 Network Access Control 30 prevenzione delle intrusioni 133 risposta 26 Nuova sequenza TCP attivazione 126 O Opzioni non disponibili 40 P Politiche aggiornamento 14, 20 informazioni 19 Porte informazioni 111 Posizioni informazioni 34 modifica 34 Prevenzione delle intrusioni attivazione 133 configurazione 132 informazioni 114 notifiche 133 risposta 29 Profili 17 Programmi di accesso remoto 45 Programmi scherzo 45 Protezione aggiornamento 17, 19 attivazione e disattivazione dei tipi 47 tipi 13 Protezione a livello di driver attivazione 126 Protezione antivirus e antispyware attivazione e disattivazione 48 informazioni 40, 56 stato 48 Protezione contro le manomissioni attivazione e disattivazione 36 configurazione 36 informazioni 35 Protezione da attacchi zero-day 99 Protezione da spoofing MAC attivazione 126 Protezione dalle minacce di rete attivazione e disattivazione 50 informazioni 41 Protezione della rete dalle minacce informazioni 111 Protezione NetBIOS attivazione 126 Protezione proattiva dalle minacce attivazione o disattivazione 50 informazioni 41 Protocollo definizione 120 Prova del computer 33 Q Quarantena 93 eliminazione di file 94, 97 eliminazione manuale dei file 97 gestione 95 gestione dei file infettati 93 gestione di file minacciati da rischi per la sicurezza 94 invio di file a Symantec Security Response 98 rilascio di file 96 rimozione dei file di backup 96 ripetizione automatica della scansione dei file 95 ripetizione manuale della scansione dei file 96 spostamento di file 93 visualizzazione dei dettagli dei file 95 visualizzazione dei file infettati 93 R Registri aggiornamento 166 attivazione del registro pacchetti 166 back trace delle voci 167 configurazione dei tempi di mantenimento delle voci 163 configurazione del tempo di mantenimento delle voci 163 configurazione della dimensione 163 descrizione 154 eliminazione 164 esportazione delle voci di registro filtrate 170

176 176 Indice esportazione di dati 169 filtro 160 filtro in base al livello di gravità 161 filtro in base al periodo di tempo 160 filtro per categoria di evento 162 formati di esportazione gestione client 165 informazioni 153 limitazione della dimensione 162 messa in quarantena di rischi e minacce 165 Network Access Control 144 protezione della rete dalle minacce 165 Symantec Endpoint Protection 154 Symantec Network Access Control 154 visualizzazione 159 visualizzazione delle proprietà delle voci 160 Registro dei rischi 155 Registro del traffico 157 Registro di controllo 158 Registro di protezione contro le manomissioni 156 Registro di scansione 155 Registro di sistema 158 protezione proattiva dalle minacce 156 Registro minacce 156 Registro pacchetti 157 attivazione 166 Registro sicurezza 158 Registro sistema eliminazione di voci 164 Registro sistema della protezione antivirus e antispyware 155 Regole firewall attivazione e disattivazione 124 creazione 123 eliminazione 126 esportazione 125 importazione 125 informazioni 118 modifica 125 modifica dell'ordine 124 ordine di elaborazione 122 programmazione 119 registrazione 119 regole firewall informazioni 118 Rete, controllo di accesso applicazione 145 Riautenticazione 149 Rilevazione, frequenza invio di informazioni a Symantec 81 Rischi per la sicurezza 43 configurazione delle notifiche 87 configurazione di azioni 82 esclusione dalle scansioni 90 il processo continua a essere scaricato 61 operazioni da eseguire quando vengono rilevati 59 opzioni 88 Opzioni di risoluzione 88 rilevazione da parte del client 69 risposta del client 46 suggerimenti sull'assegnazione di azioni secondarie 86 Risposta attiva informazioni 134 Rootkit 43 S Sblocco di un computer autore dell'attacco 135 Scansione dei rischi per la sicurezza disattivazione in Auto-Protect 65 Scansione della rete impostazioni di Auto-Protect 66 Scansione . Vedere Auto-Protect Scansioni eccezioni centralizzate per 90 esclusione di file 58 file 56 file compressi 71 interpretazione dei risultati 78 opzioni di posticipo 54 pianificate 72 posticipo 52 scansione di file in base all'estensione 57 sospensione 52 tutti i tipi di file 58 scansioni. Vedere Antivirus e antispyware Scansioni all'avvio creazione 75 modifica ed eliminazione 78 scansione in base all'estensione 57 Scansioni definite dall'utente modifica ed eliminazione 78 Scansioni delle porte porta 114 Scansioni manuali. Vedere Scansioni su richiesta

177 Indice 177 Scansioni pianificate creazione 72 modifica ed eliminazione 78 multiple 75 scansione in base all'estensione 57 Scansioni proattive delle minacce. Vedere Scansioni proattive delle minacce TruScan Scansioni proattive delle minacce TruScan applicazioni commerciali 105 azioni 106 eccezioni centralizzate 109 falsi positivi 103 frequenza 103 gestione 104 informazioni invio di informazioni 108 livello di sensibilità 106 notifiche per 108 registri 156 rilevazioni 102 tipi di processi da rilevare 107 Scansioni su richiesta avvio 71 creazione 75 scansione in base all'estensione 57 Schede di rete definizione 120 Servizi Windows visualizzazione 117 Smart DHCP 128 Smart DNS 128 Smart WINS 128 Spyware 45 Stateful inspection creazione di regole per il traffico 121 informazioni 121 Symantec Security Response accesso 21 informazioni 18 invio di file 98 sito Web traffico visualizzazione 116 traffico di trasmissione visualizzazione 117 Traffico Token Ring attivazione 126 Trojan horse 44 V Valutazione dell'impatto dei rischi 86 Virus assegnazione di azioni secondarie 85 configurazione delle notifiche 87 configurazione di azioni 82 danni ai file 26 non riconosciuti 98 operazioni da eseguire quando vengono rilevati 59 opzioni di rilevazione 88 opzioni di risoluzione 88 rilevazione da parte del client 69 risposta del client 46 W Worm 44 T Tipi di scansione manuale 71 Trackware 45 Traffico autorizzazione o blocco 135 blocco 131