Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Il software descritto nel presente manuale viene fornito in conformità a un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Versione del prodotto: 12.1.2 Versione della documentazione: 12.1.2, versione 1 Informativa legale Copyright 2012 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate e TruScan sono marchi o marchi registrati di Symantec Corporation o delle sue società affiliate negli Stati Uniti e altri paesi. Gli altri nomi possono essere marchi commerciali dei rispettivi proprietari. Questi prodotti Symantec possono contenere software di terze parti per cui Symantec deve riportare l'attribuzione a tali terze parti ("Programmi di terze parti"). Alcuni dei programmi di terze parti sono disponibili come licenze Open Source o di software gratuito. Il contratto di licenza che accompagna il software non altera in alcun modo i diritti o gli obblighi eventuali derivanti da queste licenze Open Source o di software gratuito. Vedere l'appendice sull'informativa legale relativa a terzi di questa documentazione o il file Leggimi di TPIP che accompagna questo prodotto Symantec per maggiori informazioni sui programmi di terze parti. Il prodotto descritto nel presente documento è distribuito in base alle condizioni di una licenza che ne limita l'utilizzo, la copia, la distribuzione e la decompilazione/decodificazione. È vietato riprodurre qualsiasi parte di questo documento tramite qualsiasi mezzo senza previo consenso scritto di Symantec Corporation e dei suoi eventuali concessori di licenza. LA DOCUMENTAZIONE È FORNITA "TAL QUALE" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, ASSICURAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UN PARTICOLARE SCOPO E INVIOLABILITÀ, SONO ESCLUSE, SALVO PER LE CLAUSOLE VESSATORIE. SYMANTEC CORPORATION NON SARÀ RESPONSABILE DI ALCUN TIPO DI DANNO INCIDENTALE O CONSEQUENZIALE COLLEGATO ALLA CONSEGNA, ALLE PRESTAZIONI O ALL'UTILIZZO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NELLA PRESENTE DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO. Il software fornito in licenza e la documentazione sono da ritenersi un software commerciale per computer come definito in FAR 12.212 e sono soggetti a diritti limitati, come definito nella sezione FAR 52.227-19 "Commercial Computer Software - Restricted Rights" e DFARS 227.7202, "Rights in Commercial Computer Software or Commercial Computer Software Documentation", ove applicabile, e ad ogni regolamentazione successiva. Ogni utilizzo, modifica, versione per la riproduzione, prestazione, visualizzazione o divulgazione del software fornito in licenza e della documentazione da parte del governo degli Stati Uniti dovranno essere conformi ai termini del presente accordo.

Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com

Supporto tecnico Il supporto tecnico di Symantec gestisce i centri di supporto in tutto il mondo. Il ruolo primario del supporto tecnico è di rispondere a domande specifiche sulle funzioni e le funzionalità del prodotto. Il supporto tecnico crea inoltre i contenuti per la Knowledge Base on-line. Il supporto tecnico opera in collaborazione con le altre aree funzionali all'interno di Symantec per rispondere tempestivamente alle domande. Ad esempio, il supporto tecnico funziona collabora con il reparto di Product Engineering e Symantec Security Response per fornire servizi di avviso e aggiornamenti delle definizioni dei virus. Le offerte relative ai servizi di supporto di Symantec includono quanto segue: Una serie di opzioni di supporto che consentono di selezionare il tipo di servizio appropriato per organizzazioni di qualsiasi grandezza Supporto telefonico e/o via Web che fornisce risposte veloci e informazioni aggiornate al minuto Distribuzione di aggiornamenti software Supporto globale acquistato in base a ore lavorative regionali, 24 ore al giorno o 7 giorni alla settimana Offerte di servizi premium che comprendono servizi di gestione dell'account Per informazioni sull'offerta di servizi di assistenza tecnica Symantec, è possibile visitare il sito Web al seguente indirizzo: www.symantec.com/business/support/ Tutti i servizi di supporto vengono forniti in base al contratto di supporto e alla politica di supporto tecnico dell'azienda in vigore alla firma del contratto. Come contattare il supporto tecnico I clienti con un contratto di supporto valido possono accedere alle informazioni del supporto tecnico al seguente URL: http://www.symantec.com/it/it/business/support/ Prima di contattare il supporto tecnico, assicurarsi di soddisfare i requisiti di sistema che sono elencati nella documentazione del prodotto. Inoltre, è necessario essere al computer su cui il problema si è presentato, nel caso sia necessario replicare il problema. Quando si contatta il supporto tecnico, avere le seguenti informazioni disponibili: Versione del prodotto Informazioni hardware

Memoria disponibile, spazio su disco e informazioni sulle schede di rete Sistema operativo Versione e livello di patch Topologia di rete Informazioni su router, gateway e indirizzo IP Descrizione del problema: Messaggi di errore e file di registro Risoluzione dei problemi tentata prima di contattare Symantec Recenti modifiche alla configurazione del software e alla rete Licenze e registrazione Se i prodotti Symantec richiedono la registrazione o una chiave di licenza, accedere alla pagina Web del supporto tecnico al seguente URL: http://www.symantec.com/it/it/business/support/ Servizio clienti Le informazioni del servizio clienti sono disponibili al seguente URL: www.symantec.com/business/support/ Il servizio clienti è disponibile per le domande non tecniche, come i seguenti tipi di problemi: Domande relative a licenze del prodotto o serializzazione Aggiornamenti della registrazione dei prodotti, quali indirizzo o cambio di nome Informazioni generali sul prodotto (funzionalità, disponibilità di lingua, rappresentanti locali) Informazioni recenti sugli aggiornamenti e upgrade dei prodotti Informazioni su garanzia degli aggiornamenti e contratti di supporto Informazioni sui programmi di acquisto Symantec Consigli sulle opzioni di supporto tecnico Symantec Domande di prevendita non tecniche Problemi relativi a CD-ROM, DVD o manuali

Risorse del contratto di supporto Se si desidera contattare Symantec in merito a un contratto di supporto esistente, contattare il team di amministrazione contratti di supporto per la propria regione: Asia Pacifico e Giappone Europa, Medio Oriente e Africa America del Nord e America Latina customercare_apac@symantec.com semea@symantec.com supportsolutions@symantec.com

Sommario Supporto tecnico... 4 Capitolo 1 Guida introduttiva sul client... 11 Informazioni sul client Symantec Endpoint Protection... 11 Informazioni sul client Symantec Network Access Control... 12 Informazioni preliminari sulla pagina Stato... 13 Informazioni su client gestiti e non gestiti... 15 Come determinare se il client è gestito o non gestito... 16 Informazioni sulle icone di avviso nella pagina Stato... 17 Come posso proteggere il computer con Symantec Endpoint Protection?... 18 Esecuzione immediata della scansione del computer... 22 Pausa e posticipo delle scansioni... 24 Risoluzione dei problemi del computer con lo strumento di supporto Symantec Endpoint Protection... 25 Capitolo 2 Come rispondere agli avvisi e alle notifiche... 27 Tipi di avvisi e di notifiche... 27 Informazioni su risultati della scansione... 29 Risposta alla rilevazione di un rischio o di un virus... 30 Risposta ai messaggi di Analisi download che richiedono di consentire o bloccare un file che si sta cercando di scaricare... 33 Risposta alle notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8... 34 Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione... 35 Risposta ai messaggi di licenza scaduta... 36 Risposta ai messaggi per l'aggiornamento del software client... 37 Capitolo 3 Come accertarsi che il computer sia protetto... 39 Gestione della protezione del computer... 39 Aggiornamento della protezione del computer... 41 Aggiornamento immediato del contenuto... 42 Aggiornamento pianificato del contenuto... 43

8 Sommario Aggiornamento manuale delle politiche nel client... 44 Come determinare se il client è connesso e protetto... 44 Come nascondere e mostrare l'icona dell'area di notifica... 46 Informazioni sui registri... 46 Visualizzare i registri... 48 Attivazione del registro pacchetti... 49 Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi... 49 Attivazione o disattivazione della protezione nel computer client... 51 Attivazione o disattivazione Auto-Protect... 53 Attivazione, disattivazione e configurazione di Protezione contro le manomissioni... 54 Capitolo 4 Gestione delle scansioni... 57 Gestione delle scansioni nel computer... 58 Funzionamento dei virus e delle scansioni antispyware... 62 Informazioni sui virus e i rischi per la sicurezza... 64 Informazioni sui tipi di scansione... 67 Informazioni sui tipi di Auto-Protect... 69 Risposta delle scansioni al rilevamento di un virus di un rischio... 71 Metodi di utilizzo dei dati di reputazione in Symantec Endpoint Protection per prendere decisioni sui file... 73 Pianificare una scansione definita dall'utente... 74 Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia... 77 Gestione delle rilevazioni di Analisi download nel computer in uso... 78 Personalizzazione delle impostazioni di Analisi download... 81 Personalizzazione delle impostazioni di scansione antispyware e antivirus... 82 Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza... 84 Informazioni sull'esclusione di elementi dalle scansioni... 88 Esclusione di elementi dalle scansioni... 89 Gestione di file in quarantena nel computer client... 91 Informazioni su come mettere in quarantena i file... 93 Mettere in quarantena un file dal registro dei rischi o delle scansioni... 94 Invio manuale di un file potenzialmente infetto a Symantec Security Response per l'analisi... 94

Sommario 9 Eliminazione automatica di file dalla quarantena... 95 Attivazione o disattivazione dell'anti-malware con avvio anticipato (ELAM)... 96 Come gestire le notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8... 97 Informazioni sull'invio a Symantec Security Response di informazioni relative a rilevazioni... 97 Invio di informazioni sulle rilevazioni a Symantec Security Response... 98 Informazioni sul client e sul Centro sicurezza PC... 99 Informazioni su SONAR... 100 Gestione di SONAR nel computer client... 102 Modifica delle impostazioni SONAR... 103 Capitolo 5 Gestione del firewall e della prevenzione delle intrusioni... 105 Gestione della protezione firewall... 105 Funzionamento di un firewall... 107 Gestione delle regole firewall... 108 Elementi di una regola firewall... 109 Informazioni sulla regola del firewall, sull'impostazione firewall e sull'ordine di elaborazione di prevenzione delle intrusioni... 111 Modalità di esecuzione dell'ispezione con stato da parte del firewall... 112 Aggiunta di una regola firewall... 113 Modifica dell'ordine delle regole firewall... 114 Attivazione e disattivazione di regole firewall... 114 Esportazione e importazione di regole firewall... 115 Attivazione o disattivazione delle impostazioni firewall... 116 Attivazione della condivisione di file e stampanti in rete... 117 Come consentire o bloccare l'accesso alla rete alle applicazioni... 119 Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer... 120 Configurazione del client per il blocco del traffico quando lo screen saver è attivo o il firewall non funziona... 122 Gestione della prevenzione delle intrusioni... 123 Funzionamento della prevenzione delle intrusioni... 124 Attivazione o disattivazione della prevenzione delle intrusioni... 125 Configurazione delle notifiche di prevenzione delle intrusioni... 126

10 Sommario Capitolo 6 Gestione di Symantec Network Access Control... 129 Funzionamento di Symantec Network Access Control... 129 Funzionamento del client con Enforcer... 131 Esecuzione di un controllo di integrità dell'host... 131 Risoluzione dei problemi del computer... 132 Configurazione del client per l'autenticazione 802.1x... 133 Riautenticazione del computer... 136 Visualizzazione dei registri di Symantec Network Access Control... 136 Indice... 139

Capitolo 1 Guida introduttiva sul client Il capitolo contiene i seguenti argomenti: Informazioni sul client Symantec Endpoint Protection Informazioni sul client Symantec Network Access Control Informazioni preliminari sulla pagina Stato Informazioni su client gestiti e non gestiti Come determinare se il client è gestito o non gestito Informazioni sulle icone di avviso nella pagina Stato Come posso proteggere il computer con Symantec Endpoint Protection? Esecuzione immediata della scansione del computer Pausa e posticipo delle scansioni Risoluzione dei problemi del computer con lo strumento di supporto Symantec Endpoint Protection Informazioni sul client Symantec Endpoint Protection Il client Symantec Endpoint Protection unisce diversi livelli di protezione per proteggere in modo proattivo il computer dalle minacce conosciute e sconosciute e dagli attacchi di rete. Tabella 1-1 descrive ogni livello di protezione.

12 Guida introduttiva sul client Informazioni sul client Symantec Network Access Control Tabella 1-1 Tipi di protezione Livello Protezione antivirus e antispyware Descrizione Protezione antivirus e antispyware combatte una vasta gamma di minacce, compresi spyware, worm, trojan horse, rootkit e adware. Auto-Protect per file system controlla continuamente tutti i file del computer per rilevare virus e rischi per la sicurezza. Auto-Protect per l'e-mail Internet esegue la scansione dei messaggi di e-mail in entrata e in uscita che utilizzano il protocollo di comunicazione SMTP o POP3. Auto-Protect per Microsoft Outlook esegue la scansione dei messaggi di Outlook in entrata e in uscita. Vedere "Gestione delle scansioni nel computer" a pagina 58. Protezione proattiva contro le minacce La tecnologia proattiva delle minacce include SONAR, che offre protezione in tempo reale contro attacchi zero-day. SONAR può arrestare gli attacchi persino prima della rilevazione di minacce con le definizioni basate su firme tradizionali. SONAR utilizza l'euristica nonché i dati di reputazione dei file per la gestione di applicazioni o file. Vedere "Gestione di SONAR nel computer client" a pagina 102. Protezione dalle minacce di rete Protezione dalle minacce di rete comprende un firewall e un sistema di prevenzione delle intrusioni. Un firewall basato su regole impedisce agli utenti non autorizzati di accedere al computer. Il sistema di prevenzione delle intrusioni rileva e blocca automaticamente gli attacchi di rete. Vedere "Gestione della protezione firewall" a pagina 105. L'amministratore stabilisce i tipi di protezione che il server di gestione deve scaricare nel computer client. Il client scarica automaticamente le definizioni dei virus, le definizioni IPS e gli aggiornamenti del prodotto nel computer. Gli utenti che viaggiano con computer portatili possono ottenere le definizioni dei virus e gli aggiornamenti del prodotto direttamente da LiveUpdate. Vedere "Aggiornamento della protezione del computer" a pagina 41. Informazioni sul client Symantec Network Access Control Il client Symantec Network Access Control valuta se un computer è protetto e conforme alle politiche di sicurezza prima di consentirne la connessione alla rete aziendale. Il client verifica che il computer sia conforme ad una politica di sicurezza configurata dall'amministratore. La politica di sicurezza controlla se il computer esegue il software di sicurezza più recente, ad esempio le applicazioni firewall e

Guida introduttiva sul client Informazioni preliminari sulla pagina Stato 13 antivirus. Se il computer non esegue il software necessario, aggiornare il software manualmente oppure il client può aggiornare il software automaticamente. Se il software di sicurezza non è aggiornato, è possibile che al computer non venga consentita la connessione alla rete. Il client esegue controlli periodici per verificare che il computer sia sempre conforme alla politica di sicurezza. Vedere "Funzionamento di Symantec Network Access Control" a pagina 129. Informazioni preliminari sulla pagina Stato Quando si apre il client, vengono visualizzate la finestra principale e la pagina Stato. Tabella 1-2 mostra le operazioni principali che è possibile eseguire dalla barra dei menu a sinistra. Tabella 1-2 Fare clic su questa opzione Stato Finestra principale del client Per eseguire queste attività Verificare che il computer sia protetto e che la licenza del computer sia attiva. I colori e le icone di avviso nella pagina Stato mostrano quali tecnologie sono attivate per la protezione del client. Vedere "Informazioni sulle icone di avviso nella pagina Stato" a pagina 17. È possibile: Attivare o disattivare una o più tecnologie di protezione se l'amministratore lo consente. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Visualizzare se si dispone dei file più recenti delle definizioni per Protezione antivirus e antispyware, Protezione proattiva contro le minacce e Protezione dalle minacce di rete. Eseguire una scansione Active Scan. Vedere "Esecuzione immediata della scansione del computer" a pagina 22. Visualizzare l'elenco delle minacce relative ai risultati delle ultime scansioni antivirus e antispyware.

14 Guida introduttiva sul client Informazioni preliminari sulla pagina Stato Fare clic su questa opzione Per eseguire queste attività Ricerca minacce Eseguire immediatamente una scansione Active Scan o una scansione completa. Vedere "Esecuzione immediata della scansione del computer" a pagina 22. Creare una nuova scansione da eseguire in un momento specifico, all'avvio, o a richiesta. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. Vedere "Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia" a pagina 77. Eseguire un controllo di integrità dell'host se Symantec Network Access Control è installato. Vedere "Esecuzione di un controllo di integrità dell'host" a pagina 131. Cambia impostazioni Configurare le impostazioni per le seguenti tecnologie e funzioni di protezione: Attivare e configurare le impostazioni di Auto-Protect. Vedere "Personalizzazione delle impostazioni di scansione antispyware e antivirus" a pagina 82. Configurare le impostazioni firewall e le impostazioni del sistema di prevenzione delle intrusioni. Vedere "Gestione della protezione firewall" a pagina 105. Visualizzare e aggiungere eccezioni alle scansioni. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Visualizzare l'icona dell'area di notifica Vedere "Come determinare se il client è connesso e protetto" a pagina 44. Configurare le impostazioni di Protezione contro le manomissioni. Vedere "Attivazione, disattivazione e configurazione di Protezione contro le manomissioni" a pagina 54. Creare una pianificazione per scaricare il contenuto e gli aggiornamenti del prodotto sul client. Vedere "Aggiornamento pianificato del contenuto" a pagina 43. Vedere "Gestione della protezione del computer" a pagina 39. Visualizza quarantena Visualizzare i virus e i rischi per la sicurezza che il client ha rilevato e messo in quarantena. È possibile ripristinare, eliminare, pulire, esportare e aggiungere file nella quarantena. Vedere "Informazioni su come mettere in quarantena i file" a pagina 93.

Guida introduttiva sul client Informazioni su client gestiti e non gestiti 15 Fare clic su questa opzione Visualizza registri LiveUpdate Per eseguire queste attività Visualizzare i registri del client. Vedere "Visualizzare i registri" a pagina 48. Eseguire immediatamente LiveUpdate. LiveUpdate scarica le definizioni e gli aggiornamenti del prodotto più recenti da un server di gestione situato all'interno della rete aziendale. Vedere "Aggiornamento immediato del contenuto" a pagina 42. Informazioni su client gestiti e non gestiti L'amministratore può installare il client come gestito (installazione gestita dall'amministratore) o come non gestito (installazione stand-alone). Tabella 1-3 Differenze tra un client gestito e uno non gestito. Tipo client Client gestito Descrizione Un client gestito comunica con un server di gestione nella rete. L'amministratore configura la protezione e le impostazioni predefinite e il server di gestione scarica le impostazioni nel client. Se l'amministratore apporta una modifica alla protezione, la modifica viene scaricata quasi immediatamente nel client. Gli amministratori possono modificare il livello di interazione tra utente e client nei modi seguenti: L'amministratore gestisce il client completamente. L'utente non è chiamato a configurare il client. Tutte le impostazioni sono bloccate o non disponibili, ma è possibile visualizzare informazioni sulle attività del client nel computer. L'amministratore gestisce il client, ma l'utente può modificare alcune impostazioni del client ed eseguire alcune attività. Ad esempio, è possibile eseguire le proprie scansioni e recuperare manualmente gli aggiornamenti al client e alla protezione. La disponibilità delle impostazioni del client e i relativi valori possono cambiare periodicamente. Ad esempio, è possibile che un'impostazione venga modificata quando l'amministratore aggiorna la politica che controlla la protezione del client. L'amministratore gestisce il client, ma l'utente può modificare tutte le impostazioni del client ed eseguire tutte le attività di protezione.

16 Guida introduttiva sul client Come determinare se il client è gestito o non gestito Tipo client Client non gestito Descrizione Un client non gestito non comunica con un server di gestione e un amministratore non gestisce il client. Un client non gestito può essere di uno dei seguenti tipi: Computer stand-alone non connesso a una rete, quale un computer domestico o un portatile. Il computer deve includere un'installazione Symantec Endpoint Protection che utilizzi impostazioni di opzioni predefinite o preimpostate dall'amministratore. Computer remoto che si connette alla rete aziendale e che deve soddisfare i requisiti di sicurezza prima della connessione. Il client presenta impostazioni predefinite quando viene installato per la prima volta. Dopo che il client è stato installato, è possibile modificare tutte le impostazioni del client ed eseguire tutte le attività di protezione. Tabella 1-4 descrive le differenze nell'interfaccia utente tra un client gestito e uno non gestito. Tabella 1-4 Differenze nelle varie aree tra un client gestito e uno non gestito. Area Client gestito centralmente Client autogestito Protezione antivirus e antispyware Protezione proattiva contro le minacce Impostazioni di Protezione dalle minacce di rete e gestione dei client Il client visualizza un'opzione con lucchetto bloccato e le opzioni che non è possibile configurare appaiono disattivate. Il client visualizza un'opzione con lucchetto bloccato e le opzioni che non è possibile configurare appaiono disattivate. Le impostazioni controllate dall'amministratore non vengono visualizzate. Il client non visualizza né un lucchetto bloccato né un lucchetto aperto. Il client non visualizza né un lucchetto bloccato né un lucchetto aperto. Tutte le impostazioni vengono visualizzate. Vedere "Come determinare se il client è gestito o non gestito" a pagina 16. Come determinare se il client è gestito o non gestito Per controllare il tipo di controllo a disposizione per configurare la protezione sul client, in primo luogo controllare se il client è gestito o non gestito. È possibile configurare più impostazioni su un client non gestito che su un client gestito. Vedere "Informazioni su client gestiti e non gestiti" a pagina 15.

Guida introduttiva sul client Informazioni sulle icone di avviso nella pagina Stato 17 Per determinare se il client è gestito o non gestito 1 Nella pagina Stato, fare clic su Guida > Risoluzione dei problemi. 2 Nella finestra di dialogo Risoluzione dei problemi, fare clic su Gestione. 3 Nel riquadro Gestione, sotto Informazionigenerali, accanto a Server, cercare le seguenti informazioni: Se il client è gestito, il campo Server visualizza l'indirizzo del server di gestione o il testo Non in linea. L'indirizzo può essere un indirizzo IP, il nome DNS o il nome NetBIOS. Ad esempio, un nome DNS potrebbe essere SEPMServer1. Se il client è gestito ma al momento non è connesso a un server di gestione, questo campo è Non in linea. Se il client non è gestito, nel campo Server viene visualizzato il valore Autogestito. 4 Fare clic su Chiudi. Informazioni sulle icone di avviso nella pagina Stato La parte superiore della pagina Stato visualizza diverse icone di avviso per indicare lo stato della protezione del computer. Tabella 1-5 Icone di avviso della pagina Stato Icona Descrizione Mostra che ogni protezione è attivata. Avverte che le definizioni dei virus del computer client non sono aggiornate. Per ricevere le definizioni dei virus più recenti, è possibile eseguire immediatamente LiveUpdate, se l'amministratore lo consente. Il computer client Symantec Network Access Control può avere i seguenti problemi: Il computer client non ha superato il controllo di conformità di sicurezza di Integrità degli host. Per scoprire che cosa è necessario fare per superare il controllo, controllare il registro sicurezza della gestione client. Integrità degli host non è connesso. Vedere "Aggiornamento della protezione del computer" a pagina 41.

18 Guida introduttiva sul client Come posso proteggere il computer con Symantec Endpoint Protection? Icona Descrizione Mostra che una o più protezioni sono disattivate o che il client ha una licenza scaduta. Per attivare una protezione, fare clic su Correggi o Correggi tutto. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51. Come posso proteggere il computer con Symantec Endpoint Protection? Le impostazioni predefinite del client Symantec Endpoint Protection proteggono il computer da numerosi tipi di malware. Il client gestisce automaticamente il malware oppure consente di scegliere come gestirlo. È possibile controllare se il computer è infetto ed eseguire attività aggiuntive se si desiderano maggiore sicurezza o prestazioni migliori. Nota: Nei client gestiti, alcune opzioni non vengono visualizzate se l'amministratore le ha configurate come non disponibili. Nei client non gestiti, la maggior parte delle opzioni viene visualizzata. Tabella 1-6 Domande frequenti su come proteggere il computer Domanda Come posso sapere se il computer è protetto? Descrizione Nella console client, controllare in cima alla pagina Stato. Il colore e il tipo dell'icona di avviso indicano lo stato di protezione del computer. Per ulteriori informazioni, leggere il riquadro Stato o fare clic su Dettagli. Vedere "Informazioni sulle icone di avviso nella pagina Stato" a pagina 17. Vedere "Come determinare se il client è connesso e protetto" a pagina 44.

Guida introduttiva sul client Come posso proteggere il computer con Symantec Endpoint Protection? 19 Domanda Come posso verificare se il computer è infetto? Descrizione Se il computer è infetto, potrebbe essere visualizzato uno dei messaggi seguenti: Un rilevamento di Auto-Protect o tramite scansione manuale. Questi messaggi descrivono la minaccia e l'azione intrapresa in merito. Sono disponibili numerose opzioni per la gestione della minaccia. È possibile rimuovere, pulire, escludere, eliminare o annullare l'azione selezionata. Se l'amministratore lo consente, è inoltre possibile mettere in pausa una scansione. Vedere "Risposta alla rilevazione di un rischio o di un virus" a pagina 30. Vedere "Informazioni su risultati della scansione" a pagina 29. Vedere "Pausa e posticipo delle scansioni" a pagina 24. Un rilevamento di Analisi download. In questa finestra vengono visualizzate informazioni sui file nocivi o non accertati rilevati da Analisi download quando si tenta di scaricarli. Vedere "Risposta ai messaggi di Analisi download che richiedono di consentire o bloccare un file che si sta cercando di scaricare" a pagina 33. Vedere "Tipi di avvisi e di notifiche" a pagina 27. Come posso pulire il computer se è infetto? Se viene visualizzata una finestra di scansione, l'amministratore ha già impostato l'azione da intraprendere in caso di infezione. Potrebbe essere possibile scegliere un'azione. Se si è certi che un file sia infetto, fare clic su Ripulisci o su Quarantena. Per le scansioni pianificate e Auto-Protect, assicurarsi che l'azione principale sia impostata su Pulisci rischio e l'azione secondaria su Rischio in quarantena o su Elimina. Vedere "Risposta alla rilevazione di un rischio o di un virus" a pagina 30. Vedere "Funzionamento dei virus e delle scansioni antispyware" a pagina 62. Vedere "Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza" a pagina 84.

20 Guida introduttiva sul client Come posso proteggere il computer con Symantec Endpoint Protection? Domanda Come posso aumentare la sicurezza del computer? Descrizione Per impostazione predefinita, per il computer client è impostato il più alto livello di protezione possibile. L'amministratore potrebbe avere modificato alcune delle impostazioni di sicurezza del client per migliorarne le prestazioni. L'amministratore può anche consentire la modifica della protezione del computer da parte dell'utente. Se si ha la possibilità di modificare queste impostazioni, è possibile effettuare le seguenti attività: Pianificare scansioni regolari, ad esempio una volta al giorno o una volta alla settimana. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. Mantenere le scansioni antivirus e antispyware, Auto-Protect, SONAR, Prevenzione delle intrusioni e Insight installati, sempre attivi e aggiornati. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51. Vedere "Attivazione o disattivazione Auto-Protect" a pagina 53. Nei client non gestiti, è possibile eseguire le seguenti attività: Scaricare e installare le definizioni dei virus corrette utilizzando LiveUpdate. Per impostazione predefinita, il computer client riceve le definizioni dei virus più aggiornate due volte al giorno. Tuttavia, è possibile scaricare manualmente le ultime definizioni. Vedere "Aggiornamento immediato del contenuto" a pagina 42. Eseguire una scansione completa del computer con tutte le funzioni avanzate di scansione attivate. Per impostazione predefinita, la scansione completa viene eseguita sul computer settimanalmente. È tuttavia possibile eseguire una scansione in qualunque momento. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. Vedere "Esecuzione immediata della scansione del computer" a pagina 22.

Guida introduttiva sul client Come posso proteggere il computer con Symantec Endpoint Protection? 21 Domanda Come posso modificare le impostazioni di scansione se questa rallenta le operazioni? Descrizione Se le scansioni rallentano il computer, regolare le seguenti impostazioni: Pianificare LiveUpdate in modo che le ultime definizioni dei virus vengano aggiornate meno di frequente o in orari in cui non si utilizza il computer. Vedere "Aggiornamento pianificato del contenuto" a pagina 43. Creare una scansione completa pianificata al di fuori dell'orario di lavoro o quando non si utilizza il computer. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. Escludere dalla scansione le applicazioni e i file la cui sicurezza è accertata. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Limitare le scansioni pianificate, Auto-Protect e Analisi download alle estensioni file per i tipi di file che comunemente portano infezioni. Ad esempio, specificare la ricerca, durante la scansione, di file eseguibili con estensioni quali EXE, COM, BAT e VBS. In Auto-Protect, disattivare Ricerca rischi per la sicurezza. Vedere "Personalizzazione delle impostazioni di scansione antispyware e antivirus" a pagina 82. Avvertimento: È possibile disattivare Auto-Protect per migliorare le prestazioni o per risolvere i problemi del computer client. Tuttavia, Symantec consiglia di mantenere Auto-Protect sempre attivato. Vedere "Attivazione o disattivazione Auto-Protect" a pagina 53. Disattivare le opzioni di scansione avanzate nelle scansioni attive, complete o personalizzate. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. Disattivare Analisi download e Ricerca Insight. Vedere "Personalizzazione delle impostazioni di Analisi download" a pagina 81. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98. Nota: Potrebbe non essere possibile modificare queste impostazioni se l'amministratore le ha configurate come non disponibili.

22 Guida introduttiva sul client Esecuzione immediata della scansione del computer Domanda Descrizione Come procedere se il firewall mi impedisce di navigare in Internet? Per impostazione predefinita, il firewall non blocca l'accesso a Internet. Se non è possibile accedere a Internet, contattare l'amministratore. L'amministratore può avere bloccato l'accesso a determinati siti Web oppure avere impedito al computer l'accesso a un determinato browser. L'utente potrebbe disporre o non disporre dei diritti per modificare le regole firewall. In un client non gestito, è possibile modificare le regole firewall. Tuttavia si consiglia di non modificare o aggiungere una regola firewall finché non si conosce la natura del traffico bloccato dalla regola firewall. Prima di modificare la regola firewall, rispondere alle seguenti domande: L'applicazione Web con accesso a Internet è legittima? Le porte remote a cui accede l'applicazione Web sono corrette? Il traffico HTTP è legittimo per le applicazioni Web e il traffico HTTP utilizza la porta TCP 80 e 443. Potrebbe non essere possibile considerare attendibile il traffico proveniente da altre porte. L'indirizzo IP del sito Web a cui accede l'applicazione è corretto e legittimo? Cosa devo fare se viene visualizzato un messaggio nell'area notifiche? Leggere il messaggio nell'area notifiche sulla barra degli strumenti. Le notifiche possono segnalare uno dei seguenti eventi: Il computer potrebbe essere stato attaccato e il client ha gestito la minaccia. Il computer ha ricevuto una nuova politica di sicurezza. La politica di sicurezza viene aggiornata automaticamente. È inoltre possibile aggiornare la politica di sicurezza in qualunque momento. Vedere "Aggiornamento manuale delle politiche nel client" a pagina 44. Vedere "Risposta alla rilevazione di un rischio o di un virus" a pagina 30. Vedere "Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione" a pagina 35. È anche possibile accedere a uno dei registri per ulteriori informazioni, a seconda del tipo di minaccia. Vedere "Visualizzare i registri" a pagina 48. Vedere "Informazioni su client gestiti e non gestiti" a pagina 15. Vedere "Come determinare se il client è gestito o non gestito" a pagina 16. Vedere "Gestione della protezione del computer" a pagina 39. Esecuzione immediata della scansione del computer In qualunque momento è possibile eseguire manualmente una scansione per i virus e i rischi per la sicurezza. È consigliabile eseguire la scansione del computer

Guida introduttiva sul client Esecuzione immediata della scansione del computer 23 immediatamente se il client è stato installato da poco o se si ritiene che un virus abbia infettato il computer o che ci sia stato un rischio per la sicurezza. Selezionare un qualsiasi elemento da analizzare, ad esempio un singolo file, un disco floppy o l'intero computer. Le scansioni su richiesta includono la scansione Active Scan e la scansione completa. È inoltre possibile creare una scansione personalizzata da eseguire su richiesta. Vedere "Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia" a pagina 77. Vedere "Aggiornamento della protezione del computer" a pagina 41. Per maggiori informazioni sulle opzioni di ogni finestra di dialogo, fare clic su Guida. Per eseguire una scansione immediata del computer Eseguire una delle seguenti operazioni: Nel client, nella pagina Stato, vicino a Protezioneantiviruseantispyware, fare clic su Opzioni > Esegui Active Scan. Nel client, nella barra laterale, fare clic su Ricerca minacce. Eseguire una delle seguenti operazioni: Fare clic su Esegui Active Scan. Fare clic su Esegui scansione completa. Nell'elenco delle scansioni, fare clic con il pulsante destro del mouse su una scansione, quindi scegliere Esegui scansione ora. Viene avviata la scansione. È possibile visualizzare l'avanzamento della scansione a meno che l'amministratore non disattivi l'opzione. Per visualizzare l'avanzamento della scansione, fare clic sul collegamento visualizzato per la scansione corrente: scansione in corso. Vedere "Informazioni su risultati della scansione" a pagina 29. È anche possibile sospendere o annullare la scansione. Vedere "Pausa e posticipo delle scansioni" a pagina 24.

24 Guida introduttiva sul client Pausa e posticipo delle scansioni Per eseguire la scansione del computer da Windows Nella finestra Risorse del computer o Esplora risorse, fare clic con il pulsante destro del mouse su un file, cartella o unità disco, quindi scegliere Scansione alla ricerca di virus. Questa funzionalità è supportata nei sistemi operativi a 32 e a 64 bit. Nota: Insight Lookup non esegue la scansione di cartelle o unità con questo tipo di scansione. Insight Lookup viene eseguito se gli elementi selezionati da sottoporre a scansione sono dei file. Pausa e posticipo delle scansioni La funzione di pausa consente di sospendere in qualsiasi momento una scansione e di riprenderla successivamente. È possibile sospendere qualsiasi scansione avviata. L'amministratore di rete determina se l'utente può sospendere una scansione avviata dall'amministratore stesso. Se il pulsante Sospendi la scansione non è disponibile, l'amministratore di rete ha disattivato la funzione di pausa. Se l'amministratore ha attivato la funzione di posticipo, è possibile ritardare una scansione pianificata dall'amministratore per un determinato intervallo di tempo. Quando una scansione viene riavviata, ricomincia dal punto in cui era stata interrotta. Nota: se si sospende una scansione mentre è in corso la scansione di un file compresso, potrebbero essere necessari parecchi minuti per rispondere alla richiesta di pausa. Vedere "Gestione delle scansioni nel computer" a pagina 58. Per sospendere una scansione avviata dall'utente 1 Durante l'esecuzione della scansione, nella finestra di dialogo della scansione, fare clic Sospendi la scansione. La scansione viene interrotta e la finestra di dialogo di scansione rimane visualizzata finché non viene riavviata la scansione. 2 Nella finestra di dialogo di scansione, fare clic su Riprendi scansione per continuare la scansione.

Guida introduttiva sul client Risoluzione dei problemi del computer con lo strumento di supporto Symantec Endpoint Protection 25 Per sospendere o posticipare una scansione avviata dall'amministratore 1 Nella finestra di dialogo della scansione in corso, fare clic su Sospendi la scansione. 2 Nella finestra di dialogo Pausa scansione pianificata, eseguire una delle azioni seguenti: Per sospendere la scansione temporaneamente, fare clic su Pausa. Per posticipare la scansione, fare clic su Posticipo di 1 ora oppure su Posticipo di 3 ore. Il periodo di posticipo della scansione consentito viene specificato dall'amministratore. Quando la pausa raggiunge il limite, la scansione viene riavviata dal punto in cui era stata interrotta. L'amministratore specifica per quante volte l'utente può posticipare la scansione pianificata prima che la funzione venga disattivata. Per continuare la scansione senza sospensioni, fare clic su Continua. Risoluzione dei problemi del computer con lo strumento di supporto Symantec Endpoint Protection È possibile scaricare un'utilità per diagnosticare problemi comuni incontrati durante l'installazione e l'utilizzo del client Symantec Endpoint Protection Manager o Symantec Endpoint Protection. Lo strumento fornisce un supporto per la risoluzione dei seguenti problemi: Consente di individuare in modo rapido ed accurato i problemi noti. Quando lo strumento riconosce un problema, segnala le risorse adeguate per la risoluzione. Quando non è possibile risolvere un problema, lo strumento permette di inviare facilmente i dati al supporto per ulteriori fasi di diagnosi. Per risolvere i problemi del computer con lo strumento di supporto Symantec Endpoint Protection 1 Effettuare una delle seguenti operazioni: Consultare l'articolo della Knowledge Base: Strumento di supporto di Symantec Endpoint Protection. Nel client, fare clic su Guida in linea > Scarica strumento di supporto 2 Seguire le istruzioni visualizzate sullo schermo.

26 Guida introduttiva sul client Risoluzione dei problemi del computer con lo strumento di supporto Symantec Endpoint Protection

Capitolo 2 Come rispondere agli avvisi e alle notifiche Il capitolo contiene i seguenti argomenti: Tipi di avvisi e di notifiche Informazioni su risultati della scansione Risposta alla rilevazione di un rischio o di un virus Risposta ai messaggi di Analisi download che richiedono di consentire o bloccare un file che si sta cercando di scaricare Risposta alle notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione Risposta ai messaggi di licenza scaduta Risposta ai messaggi per l'aggiornamento del software client Tipi di avvisi e di notifiche Il client funziona in background per mantenere il computer sicuro da attività nocive. A volte il client deve informare in merito a un'attività o richiedere feedback. Tabella 2-1 Visualizza i tipi di messaggio che è possibile visualizzare e ai quali è necessario rispondere.

28 Come rispondere agli avvisi e alle notifiche Tipi di avvisi e di notifiche Tabella 2-1 Avviso Tipi di avvisi e di notifiche Descrizione <nome scansione> avviata in oppure finestra di dialogo Risultati della rilevazionedisymantec Endpoint Protection Se una scansione rileva un virus o un rischio per la sicurezza, vengono visualizzati i risultati della scansione o la finestra di dialogo Risultati della rilevazione di Symantec Endpoint Protection. Nella finestra di dialogo viene visualizzata anche l'azione che la scansione ha eseguito per il rischio. Di solito non è necessario prendere ulteriori provvedimenti se non esaminare l'attività e chiudere la finestra di dialogo. Se necessario, è tuttavia possibile intervenire. Vedere "Informazioni su risultati della scansione" a pagina 29. Altre finestre di dialogo dei messaggi È possibile visualizzare i messaggi pop-up per i seguenti motivi: Il client aggiorna automaticamente il software client. Vedere "Risposta ai messaggi per l'aggiornamento del software client" a pagina 37. Il client richiede di consentire o di bloccare un'applicazione. Vedere "Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione" a pagina 35. La licenza di valutazione del client è scaduta. Vedere "Risposta ai messaggi di licenza scaduta" a pagina 36.

Come rispondere agli avvisi e alle notifiche Informazioni su risultati della scansione 29 Avviso Messaggi dell'icona di area di notifica Descrizione Alcune notifiche vengono visualizzate sopra l'icona dell'area di notifica nelle seguenti situazioni: Il client blocca un'applicazione. Ad esempio, è possibile visualizzare la seguente notifica: Traffic has been blocked from this application: (application name) Se il client è configurato per bloccare tutto il traffico, queste notifiche compaiono frequentemente. Se il client è configurato per permettere tutto il traffico, queste notifiche non compaiono. Vedere "Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione" a pagina 35. Il client rileva un attacco di rete contro il computer. È possibile visualizzare il seguente tipo di notifica: Traffic from IP address 192.168.0.3 is blocked from 2/14/2010 15:37:58 to 2/14/2010 15:47:58. Port Scan attack is logged. Controllo di conformità di sicurezza non riuscito. Il traffico può essere bloccato verso e dal computer in uso L'unica operazione che occorre eseguire è leggere i messaggi. Vedere "Come determinare se il client è connesso e protetto" a pagina 44. Informazioni su risultati della scansione Per i client gestiti, l'amministratore di solito configura una scansione completa da eseguire almeno una volta ogni settimana. Per i client non gestiti viene eseguita una scansione Active Scan generata automaticamente quando si avvia il computer. Per impostazione predefinita, Auto-Protect è sempre in esecuzione nel computer. Quando vengono eseguite le scansioni, viene visualizzata una finestra di dialogo di scansione per visualizzare l'avanzamento e mostrare i risultati della scansione. Al termine della scansione, i risultati vengono visualizzati in un elenco. Se il client non rileva virus o rischi per la sicurezza, l'elenco rimane vuoto e lo stato è completato. Se il client rileva dei rischi durante la scansione, la finestra di dialogo dei risultati della scansione mostra le seguenti informazioni: I nomi del virus o dei rischi per la sicurezza

30 Come rispondere agli avvisi e alle notifiche Risposta alla rilevazione di un rischio o di un virus I nomi dei file infettati Le azioni che il client ha effettuato sui rischi Se il client rileva un virus o un rischio per la sicurezza, è possibile effettuare un'operazione su un file infetto. Nota: Per i client gestiti, l'amministratore potrebbe scegliere di nascondere la finestra di dialogo dei risultati della scansione. Se il client non è gestito, è possibile visualizzare o nascondere questa finestra di dialogo. Se l'amministratore o l'utente configura il software client per visualizzare una finestra di dialogo dei risultati della scansione, è possibile sospendere, riavviare o interrompere il processo di scansione. Vedere "Informazioni su client gestiti e non gestiti" a pagina 15. Vedere "Risposta alla rilevazione di un rischio o di un virus" a pagina 30. Vedere "Pausa e posticipo delle scansioni" a pagina 24. Risposta alla rilevazione di un rischio o di un virus Quando viene eseguita una scansione definita dall'amministratore, una scansione definita dall'utente o Auto-Protect è in esecuzione, è possibile consultare una finestra di dialogo con i risultati della scansione. È possibile utilizzare la finestra di dialogo dei risultati della scansione per intraprendere immediatamente azioni sul file interessato. Ad esempio, si potrebbe decidere di eliminare un file pulito perché si preferisce sostituirlo con la versione originale del file stesso. Se in Symantec Endpoint Protection è necessario terminare un processo o un'applicazione oppure arrestare un servizio, l'opzione Rimuovi rischio ora è attiva. Potrebbe non essere possibile chiudere la finestra di dialogo se i rischi presenti nella finestra richiedono l'intervento dell'utente. È anche possibile utilizzare la Quarantena oppure il registro dei rischi o delle scansioni per intraprendere azioni sul file in un momento successivo.

Come rispondere agli avvisi e alle notifiche Risposta alla rilevazione di un rischio o di un virus 31 Per rispondere a una rilevazione di un virus o di un rischio nella finestra di dialogo dei risultati della scansione 1 Nella finestra di dialogo dei risultati, selezionare i file desiderati. 2 Fare clic con il pulsante destro del mouse sulla selezione, quindi scegliere una delle seguenti opzioni: Ripulisci Escludi Elimina definitivamente Annulla azione intrapresa Sposta in quarantena Proprietà Rimuove il virus dal file. Questa opzione è disponibile soltanto per i virus. Esclude il file dalle scansioni successive. Elimina il file infetto e i relativi effetti secondari. Per i rischi per la sicurezza, utilizzare con prudenza questa azione. In alcuni casi, se si eliminano i rischi per la sicurezza è possibile che un'applicazione non funzioni più. Annulla l'azione intrapresa. Mette i file infettati in quarantena. Per i rischi per la sicurezza, il client cerca anche di rimuovere o riparare gli effetti secondari. In alcuni casi, se il client mette in quarantena un rischio per la sicurezza, potrebbe provocare un malfunzionamento di un'applicazione. Visualizza informazioni sul virus o sul rischio per la sicurezza. In alcuni casi, l'azione potrebbe non essere disponibile. 3 Nella finestra di dialogo, fare clic su Chiudi. La finestra di dialogo potrebbe non chiudersi se i rischi elencati richiedono l'intervento dell'utente. Ad esempio, nel caso in cui il client deve terminare un processo o un'applicazione oppure arrestare un servizio. Se è necessario intraprendere un'azione, viene visualizzata una delle seguenti notifiche: Rimozione del rischio richiesta Appare quando un rischio richiede l'arresto di un processo. Se si sceglie di eliminare il rischio, viene nuovamente visualizzata la finestra di dialogo dei risultati. Se è necessario riavviare il sistema, le informazioni presenti nella riga relativa al rischio all'interno della finestra di dialogo segnalano tale necessità. Riavvio richiesto Appare quando un rischio richiede un riavvio.

32 Come rispondere agli avvisi e alle notifiche Risposta alla rilevazione di un rischio o di un virus Rimozione del rischio e riavvio richiesti Visualizzato quando un rischio richiede l'arresto di un processo e un altro rischio richiede un riavvio. 4 Nella finestra di dialogo Rimuovi rischi ora, fare clic su una delle opzioni seguenti: Rimuovi rischi ora (consigliato) Il client rimuove il rischio. La rimozione del rischio potrebbe richiedere un riavvio. Le informazioni nella finestra di dialogo indicano se è richiesto il riavvio. Non rimuovere i rischi La finestra di dialogo dei risultati ricorda che il problema non è ancora stato risolto ed è necessario intervenire. Tuttavia, la finestra di dialogo Rimuovi rischi ora viene chiusa fino a quando non si riavvia il computer. 5 Se la finestra di dialogo dei risultati non è stata chiusa al punto 3, fare clic su Chiudi. Se è richiesto il riavvio, la rimozione o la riparazione non viene completata fino a quando non si riavvia il computer. Se è necessario intervenire su un rischio, è possibile scegliere di non farlo subito. In questo caso il rischio può essere rimosso o riparato successivamente nei seguenti modi: È possibile aprire il registro dei rischi, fare clic con il pulsante destro del mouse sul rischio e quindi prendere i provvedimenti necessari. È possibile eseguire una scansione per rilevare il rischio e riaprire la finestra di dialogo dei risultati. È anche possibile intervenire facendo clic con il pulsante destro del mouse su un rischio nella finestra di dialogo e selezionando un'azione. I provvedimenti che si possono prendere dipendono dalle azioni che sono state configurate per il tipo particolare di rischio che la scansione ha rilevato. Vedere "Risposta delle scansioni al rilevamento di un virus di un rischio" a pagina 71. Vedere "Visualizzare i registri" a pagina 48. Vedere "Gestione delle scansioni nel computer" a pagina 58. Vedere "Gestione di file in quarantena nel computer client" a pagina 91.

Come rispondere agli avvisi e alle notifiche Risposta ai messaggi di Analisi download che richiedono di consentire o bloccare un file che si sta cercando di scaricare 33 Risposta ai messaggi di Analisi download che richiedono di consentire o bloccare un file che si sta cercando di scaricare Le notifiche di Analisi download visualizzano informazioni sui file nocivi e i file non accertati che Analisi download rileva quando si cerca di scaricarli. Nota: Indipendentemente dall'attivazione delle notifiche, vengono visualizzati messaggi di rilevazione quando l'azione per i file non accertati è Richiedi. L'utente finale o l'amministratore può modificare il livello di sensibilità di rilevazione di file nocivi di Analisi download. Questa modifica potrebbe modificare il numero di notifiche ricevute. Analisi download utilizza Insight, che consente di valutare e determinare la classificazione di un file in base a una community globale di milioni di utenti. Le notifiche di Analisi download includono le seguenti informazioni sul file rilevato: La reputazione del file La reputazione dei file indica l'attendibilità di un file. I file nocivi non sono attendibili. I file non accertati possono essere o meno attendibili. Il livello di diffusione del file nella community La prevalenza di un file è importante. I file non comuni potrebbero essere più probabilmente delle minacce. Da quanto tempo il file è presente nella comunità Più il file è recente, meno informazioni sono disponibili su di esso. Le informazioni possono contribuire alla decisione di consentire o bloccare il file. Per rispondere a un rilevamento di Analisi download che richiede di consentire o bloccare un file che si tenta di scaricare Nel messaggio di rilevazione Analisi download, eseguire una delle seguenti azioni: Fare clic su Rimuovi il file dal computer. Analisi download mette il file in quarantena. Questa opzione è disponibile solo per i file non accertati. Fare clic su Consenti il file. È possibile che venga visualizzata una finestra di dialogo di conferma che chiede se si vuole consentire il file.

34 Come rispondere agli avvisi e alle notifiche Risposta alle notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 Se si sceglie di consentire un file non accertato che non è in quarantena, il file viene eseguito automaticamente. Se si sceglie di consentire un file in quarantena, il file non viene eseguito automaticamente ma può essere eseguito dalla cartella Internet temporanea. In genere, la posizione della cartella è \\Documents and Settings\nome utente\local Settings\Temporary Internet Files. Nei client non gestiti, se si consente un file, il client crea automaticamente un'eccezione per il file in questo computer. Nei client gestiti, se l'amministratore consente la creazione di eccezioni, il client crea automaticamente un'eccezione per il file in questo computer. Vedere "Gestione delle rilevazioni di Analisi download nel computer in uso" a pagina 78. Vedere "Metodi di utilizzo dei dati di reputazione in Symantec Endpoint Protection per prendere decisioni sui file" a pagina 73. Vedere "Gestione delle scansioni nel computer" a pagina 58. Risposta alle notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 Nei computer client con Windows 8 le notifiche pop-up per i rilevamenti di malware e altri eventi critici vengono visualizzate nell'interfaccia utente in stile Windows 8 e sul desktop di Windows 8. Le notifiche avvertono l'utente del verificarsi di un evento nell'interfaccia utente in stile Windows 8 o sul desktop di Windows 8, indipendentemente dall'interfaccia attualmente visualizzata dall'utente. È possibile consultare i dettagli dell'evento che ha causato la notifica in un messaggio sul desktop di Windows. Nei client gestiti l'amministratore potrebbe disattivare le notifiche pop-up. Per rispondere alle notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 1 Nella notifica pop-up che viene visualizzata nella parte alta dello schermo, eseguire una delle seguenti operazioni: Nell'interfaccia utente in stile Windows 8, fare clic sulla notifica. Viene visualizzato il desktop. Sul desktop, fare clic sulla notifica.

Come rispondere agli avvisi e alle notifiche Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione 35 La notifica scompare. 2 Esaminare i risultati di rilevamento o il messaggio informativo che compare sul desktop. Per i rilevamenti di virus e spyware che non riguardano le applicazioni in stile Windows 8, potrebbe essere necessario eseguire un'ulteriore azione risolutiva. Per i rilevamenti che riguardano le applicazioni in stile Windows 8, la sola azione aggiuntiva che è possibile effettuare è Escludi. Tornando all'interfaccia utente in stile Windows 8, potrebbe essere visibile un'icona sull'applicazione interessata che indica che è necessario scaricare nuovamente l'applicazione. Vedere "Come gestire le notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8" a pagina 97. Vedere "Risposta alla rilevazione di un rischio o di un virus" a pagina 30. Risposta ai messaggi che richiedono di consentire o bloccare un'applicazione Quando un'applicazione sul computer cerca di accedere alla rete, il client potrebbe richiedere di consentire o di bloccare l'applicazione. È possibile scegliere di bloccare l'accesso alla rete di un'applicazione che si ritiene pericolosa. Questo tipo di notifica compare per uno dei seguenti motivi: L'applicazione chiede di accedere alla connessione di rete. Un'applicazione con accesso alla connessione di rete è stata aggiornata. L'amministratore ha aggiornato il software client. È possibile visualizzare il seguente tipo di messaggio, che informa quando un'applicazione cerca di accedere al computer: IEXPLORE.EXE is attempting to access the network. Do you want to allow this program to access the network? Per rispondere a un messaggio che chiede di consentire o bloccare un'applicazione 1 Se lo si desidera, per non visualizzare questo messaggio la prossima volta in cui l'applicazione cerca di accedere alla rete, nella finestra di dialogo fare clic su Memorizza la risposta e non visualizzare più questo messaggio. 2 Eseguire una delle seguenti operazioni: Per permettere all'applicazione di accedere alla rete, fare clic su Sì.

36 Come rispondere agli avvisi e alle notifiche Risposta ai messaggi di licenza scaduta Per bloccare l'applicazione dall'accesso alla rete, fare clic su No. È anche possibile cambiare l'azione dell'applicazione nel campo Applicazioni in esecuzione o nell'elenco delle applicazioni. Vedere "Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer" a pagina 120. Risposta ai messaggi di licenza scaduta Il client utilizza una licenza per aggiornare le definizioni dei virus per le scansioni e aggiornare il software del client. Il client può utilizzare una licenza di valutazione o una licenza acquistata. Se la licenza di valutazione è scaduta, il client non aggiorna il contenuto né il software client. Tabella 2-2 Tipo di Licenza Licenza di valutazione Tipi di licenze Descrizione Se una licenza di valutazione è scaduta, la parte superiore del riquadro Stato del client è rosso e visualizza il messaggio seguente: Evaluation License has expired. All content download will discontinue on date. Please contact your Administrator to purchase a full Symantec Endpoint Protection License. È anche possibile visualizzare la data di scadenza facendo clic su Guida > Informazioni su. Licenza acquistata Se una licenza acquistata è scaduta, la parte superiore del riquadro Stato del client è giallo e visualizza il messaggio seguente: Virus and Spyware Protection definitions are out of date. Per entrambi i tipi di licenza, è necessario contattare l'amministratore per aggiornare o rinnovare la licenza. Vedere "Tipi di avvisi e di notifiche" a pagina 27. Vedere "Visualizzare i registri" a pagina 48.

Come rispondere agli avvisi e alle notifiche Risposta ai messaggi per l'aggiornamento del software client 37 Risposta ai messaggi per l'aggiornamento del software client Se il software client è aggiornato automaticamente, è possibile vedere la seguente notifica: Symantec Endpoint Protection has detected that a newer version of the software is available from the Symantec Endpoint Protection Manager. Do you wish to download it now? Per rispondere ad una notifica di aggiornamento automatico 1 Eseguire una delle seguenti operazioni: Per scaricare immediatamente il software, fare clic su Scarica ora. Per visualizzare un promemoria dopo l'intervallo di tempo specificato, fare clic su Visualizza in seguito. 2 Se compare un messaggio dopo l'inizio del processo di installazione del software aggiornato, fare clic su OK.

38 Come rispondere agli avvisi e alle notifiche Risposta ai messaggi per l'aggiornamento del software client

Capitolo 3 Come accertarsi che il computer sia protetto Il capitolo contiene i seguenti argomenti: Gestione della protezione del computer Aggiornamento della protezione del computer Aggiornamento manuale delle politiche nel client Come determinare se il client è connesso e protetto Informazioni sui registri Visualizzare i registri Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi Attivazione o disattivazione della protezione nel computer client Gestione della protezione del computer Per impostazione predefinita, il computer client è protetto e non è necessario configurare il client. Tuttavia, è possibile monitorare la protezione per i seguenti motivi: Il computer esegue un client non gestito. Una volta installato un client non gestito, è sufficiente controllare la protezione del computer. Un client non gestito è protetto per impostazione predefinita, ma potrebbe essere necessario modificare le impostazioni relative alla protezione del computer.

40 Come accertarsi che il computer sia protetto Gestione della protezione del computer Potrebbe essere necessario attivare o disattivare una o più tecnologie di protezione. Potrebbe essere necessario verificare di avere le definizioni dei virus più recenti. Si è venuti al corrente di un virus o di una minaccia alla sicurezza recenti e si desidera eseguire una scansione. Tabella 3-1 Passaggio Processo per la gestione della protezione del computer Descrizione Rispondere agli avvisi o alle notifiche Rispondere ai messaggi che vengono visualizzati e chiedono un'immissione. Ad esempio, una scansione potrebbe rilevare un virus o un rischio per la sicurezza e visualizzare i risultati della scansione che richiedono un intervento da parte dell'utente. Vedere "Tipi di avvisi e di notifiche" a pagina 27. Controllare gli stati della protezione Controllare regolarmente la pagina Stato per determinare che tutti i tipi di protezione siano attivati. Vedere "Informazioni preliminari sulla pagina Stato" a pagina 13. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51. Aggiornare le definizioni dei virus Verificare che nel computer siano installate le definizioni dei virus più recenti. Controllare di avere gli aggiornamenti della protezione più recenti. È possibile controllare la data e il numero di questi file di definizioni nella pagina Stato del client, in corrispondenza di ogni tipo di protezione. Ottenere gli ultimi aggiornamenti della protezione. Vedere "Aggiornamento della protezione del computer" a pagina 41. È possibile eseguire queste attività su un client gestito se l'amministratore lo consente. Eseguire la scansione del computer Eseguire una scansione per verificare se il computer o l'applicazione di posta elettronica contiene virus. Per impostazione predefinita, il client esegue ala scansione del computer quando viene acceso, ma è possibile eseguire la scansione del computer in qualunque momento. Vedere "Esecuzione immediata della scansione del computer" a pagina 22.

Come accertarsi che il computer sia protetto Aggiornamento della protezione del computer 41 Passaggio Regolare le impostazioni di protezione Descrizione Nella maggior parte dei casi, le impostazioni predefinite forniscono una protezione adeguata per il computer. Se necessario, è possibile diminuire o aumentare i seguenti tipi di protezione: Pianificare scansioni aggiuntive Vedere "Gestione delle scansioni nel computer" a pagina 58. Aggiungere regole del firewall (solo client non gestiti) Vedere "Gestione della protezione firewall" a pagina 105. Visualizzare i registri per individuare rilevazioni o attacchi Aggiornare la politica di sicurezza (solo client gestiti) Controllare i registri per verificare se il client ha rilevato un virus o un attacco di rete. Vedere "Visualizzare i registri" a pagina 48. Controllare che il client abbia ricevuto l'ultima politica di sicurezza da un server di gestione. Una politica di sicurezza comprende le impostazioni della tecnologia di protezione più recenti per il client. La politica di sicurezza viene aggiornata automaticamente. Per essere certi di disporre della politica più recente, è possibile eseguire l'aggiornamento manualmente facendo clic con il pulsante destro del mouse sull'icona dell'area di notifica del client e facendo clic su Aggiorna politica. Vedere "Come determinare se il client è connesso e protetto" a pagina 44. Vedere "Informazioni su client gestiti e non gestiti" a pagina 15. Aggiornamento della protezione del computer I prodotti Symantec utilizzano informazioni aggiornate per proteggere il computer dalle nuove minacce rilevate. Symantec fornisce queste informazioni tramite LiveUpdate. Gli aggiornamenti del contenuto sono i file che mantengono i prodotti Symantec aggiornati con la tecnologia di protezione dalle minacce più recente. Gli aggiornamenti dei contenuti che si ricevono dipendono dalle protezioni installate nel computer. Ad esempio, LiveUpdate scarica i file delle definizioni dei virus per Protezione antivirus e antispyware e i file delle definizioni IPS per Protezione dalle minacce di rete.

42 Come accertarsi che il computer sia protetto Aggiornamento della protezione del computer LiveUpdate può inoltre fornire miglioramenti al client installato in base alle esigenze. Questi miglioramenti sono creati solitamente per estendere la compatibilità dell'hardware o del sistema operativo, per risolvere un problema di prestazioni o per correggere errori del prodotto. LiveUpdate recupera i nuovi file del contenuto da un sito Internet Symantec, quindi sostituisce i vecchi file del contenuto. Un computer client può ricevere tali miglioramenti direttamente da un server LiveUpdate. Un computer client gestito può anche ricevere automaticamente tali aggiornamenti da un server di gestione presso la società. Il modo in cui il computer riceve gli aggiornamenti cambia a seconda che il computer sia gestito o non gestito e in base a come l'amministratore ha configurato gli aggiornamenti. Tabella 3-2 Attività Modalità di aggiornamento del contenuto sul computer Descrizione Aggiornamento pianificato del contenuto Per impostazione predefinita, LiveUpdate viene eseguito automaticamente ad intervalli pianificati. Su un client non gestito, è possibile disattivare o modificare una pianificazione di LiveUpdate. Vedere "Aggiornamento pianificato del contenuto" a pagina 43. Aggiornamento immediato del contenuto In base alle impostazioni di sicurezza, è possibile eseguire LiveUpdate immediatamente. Vedere "Aggiornamento immediato del contenuto" a pagina 42. Aggiornamento immediato del contenuto È possibile aggiornare immediatamente i file di contenuto utilizzando LiveUpdate. È necessario eseguire manualmente LiveUpdate per i seguenti motivi: Il software client è stato installato recentemente. È trascorso molto tempo dall'ultima scansione. Si sospetta la presenza di un virus o altro malware. Vedere "Aggiornamento pianificato del contenuto" a pagina 43. Vedere "Aggiornamento della protezione del computer" a pagina 41.

Come accertarsi che il computer sia protetto Aggiornamento della protezione del computer 43 Per aggiornare immediatamente la protezione Nel client, nella barra laterale, fare clic su LiveUpdate. LiveUpdate si connette al server Symantec, cerca gli aggiornamenti disponibili, quindi li scarica e li installa automaticamente. Aggiornamento pianificato del contenuto È possibile pianificare l'esecuzione automatica di LiveUpdate a intervalli pianificati. È possibile pianificare l'esecuzione di LiveUpdate in un periodo in cui il computer non viene utilizzato. Vedere "Aggiornamento immediato del contenuto" a pagina 42. Nota: Se si dispone di un client gestito, è possibile configurare l'esecuzione pianificata di LiveUpdate solo se l'amministratore lo consente. Se l'icona del lucchetto viene visualizzata e le opzioni sono disabilitate, non è possibile aggiornarne il contenuto in base a una pianificazione. Per aggiornare la protezione su una pianificazione 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni per la gestione client, fare clic su LiveUpdate. 4 Nella scheda LiveUpdate, selezionare Attiva aggiornamenti automatici. 5 Nella casella di gruppo Frequenzaeora, selezionare se eseguire aggiornamenti quotidiani, settimanali o mensili. Selezionare quindi il giorno o la settimana e l'ora in cui si desidera eseguire gli aggiornamenti. Le impostazioni relative all'ora dipendono dalla selezione nella casella di gruppo Frequenza. La disponibilità delle altre opzioni inoltre dipende dalla frequenza selezionata. 6 Nella casella di gruppo Intervallo di riavvio, selezionare Continua a provare per e specificare l'intervallo di tempo durante il quale il client cerca di eseguire di nuovo LiveUpdate. 7 Nella casella di gruppo Opzioniesecuzionecasuale, selezionare Sceltacasuale dell'ora di inizio in modo che sia più o meno (in ore), quindi specificare il numero di ore o di giorni. Questo opzione specifica un intervallo di tempo prima o dopo il momento pianificato per l'inizio dell'aggiornamento.

44 Come accertarsi che il computer sia protetto Aggiornamento manuale delle politiche nel client 8 Nella casella di gruppo Rilevamento inattività, selezionare Posticipa esecuzione pianificata di LiveUpdate finché il sistema non è inattivo. Le sessioni scadute verranno infine eseguite incondizionatamente. È inoltre possibile configurare le opzioni per la connessione del server proxy a un server LiveUpdate interno. Consultare la Guida in linea per informazioni su tali opzioni. 9 Fare clic su OK. Aggiornamento manuale delle politiche nel client È possibile aggiornare manualmente le politiche nel computer client se si ritiene di non disporre della politica più aggiornata. Se il client non riceve l'aggiornamento, può verificarsi un problema di comunicazione. Controllare il numero di serie della politica per verificare se i computer client gestiti sono in grado di comunicare con il server di gestione. Per aggiornare manualmente le politiche dal computer client 1 Nell'interfaccia utente del computer client, fare clic su Guida in linea > Risoluzione dei problemi. 2 Nella colonna sinistra della finestra di dialogo Risoluzione dei problemi fare clic su Gestione. 3 Nel pannello Gestione in Profilo politica, fare clic su Aggiornamento. Come determinare se il client è connesso e protetto È possibile controllare l'icona area di notifica nel client per determinare se il client stesso è connesso a un server di gestione e adeguatamente protetto. L'icona è situata nell'angolo inferiore destro del desktop del computer client. È possibile fare clic con il pulsante destro del mouse su questa icona per visualizzare i comandi utilizzati di frequente.

Come accertarsi che il computer sia protetto Come determinare se il client è connesso e protetto 45 Nota: nei client gestiti, l'icona dell'area notifiche non viene visualizzata se l'amministratore l'ha configurata in modo che non sia disponibile. Tabella 3-3 Icone di stato dei client Symantec Endpoint Protection Icona Descrizione Il client viene eseguito senza problemi. È non in linea o non gestito. I client non gestiti non sono connessi a un server di gestione. L'icona è uno scudo giallo. Il client viene eseguito senza problemi. È connesso a e comunica con il server. Tutti i componenti della politica di sicurezza proteggono il computer. L'icona è uno scudo giallo con un punto verde. Il client ha un problema relativamente importante. Ad esempio, le definizioni dei virus possono essere obsolete. L'icona è uno scudo giallo con un punto giallo chiaro contenente un punto esclamativo nero. Il client non viene eseguito, presenta un problema grave o almeno una tecnologia di protezione è disattivata. Ad esempio, la protezione dalle minacce di rete può essere disattivata. L'icona è uno scudo giallo con un punto bianco con bordo rosso e una linea rossa che attraversa il punto. La Tabella 3-4 visualizza le icone dello stato del client Symantec Network Access Control che appaiono nell'area di notifica. Tabella 3-4 Icone di stato dei client Symantec Network Access Control Icona Descrizione Il client viene eseguito senza problemi, ha superato il controllo di integrità dell'host e ha aggiornato la politica di sicurezza. È non in linea o non gestito. I client non gestiti non sono connessi a un server di gestione. L'icona è una chiave dorata. Il client viene eseguito senza problemi, ha superato il controllo di integrità dell'host e ha aggiornato la politica di sicurezza. Comunica con il server. L'icona è una chiave dorata con un punto verde. Il client non ha superato il controllo di integrità dell'host o non ha aggiornato la politica di sicurezza. L'icona è una chiave dorata con un punto rosso contenente una x bianca. Vedere "Come nascondere e mostrare l'icona dell'area di notifica" a pagina 46.

46 Come accertarsi che il computer sia protetto Informazioni sui registri Come nascondere e mostrare l'icona dell'area di notifica È possibile nascondere l'icona dell'area di notifica se necessario. Ad esempio, è possibile nasconderla se è necessario più spazio nella barra delle applicazioni di Windows. Vedere "Come determinare se il client è connesso e protetto" a pagina 44. Nota: nei client gestiti non è possibile nascondere l'icona dell'area di notifica se l'amministratore ha bloccato questa funzionalità. Per nascondere o visualizzare l'icona dell'area di notifica 1 Nella finestra principale, nella barra laterale, fare clic su Cambia impostazioni. 2 Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Generale della finestra di dialogo Impostazioni per la gestione client, sotto Opzioni di visualizzazione, deselezionare o selezionare Mostra icona di sicurezza Symantec nell'area delle notifiche. 4 Fare clic su OK. Informazioni sui registri I registri contengono informazioni sulle modifiche di configurazione del client, le attività relative alla sicurezza e gli errori. Questi record sono chiamati eventi. Le attività relative alla sicurezza includono informazioni sulle rilevazioni di virus, sullo stato del computer e sul traffico che entra o esce dal computer. Se si utilizza un client gestito, i relativi registri possono essere caricati regolarmente sul server di gestione. Un amministratore può utilizzarne i dati per analizzare lo stato di sicurezza generale della rete. I registri sono un metodo importante per il rilevamento dell'attività del computer e dell'interazione del computer con altri computer e reti. È possibile utilizzare le informazioni dei registri per rilevare le tendenze che si riferiscono ai virus, ai rischi per la sicurezza e agli attacchi al computer. Per ulteriori informazioni su un registro, premere F1 per visualizzare la Guida per quel registro.

Come accertarsi che il computer sia protetto Informazioni sui registri 47 Tabella 3-5 Registro Registro scansioni Registro rischi Registri client Descrizione Contiene le voci delle scansioni che sono state eseguite nel computer. Contiene voci relative a virus e rischi per la sicurezza, quali adware e spyware, che hanno infettato il computer. I rischi per la sicurezza comprendono un collegamento alla pagina Web di Symantec Security Response che fornisce ulteriori informazioni. Vedere "Mettere in quarantena un file dal registro dei rischi o delle scansioni" a pagina 94. Registro di sistema della protezione antivirus e antispyware Registro minacce Registro di sistema della protezione proattiva contro le minacce Registro traffico Contiene informazioni sulle attività di sistema del computer associabili a virus e rischi per la sicurezza. Tali informazioni includono le modifiche alla configurazione, gli errori e informazioni relative ai file delle definizioni. Contiene informazioni sulle minacce che SONAR ha rilevato nel computer. SONAR rileva tutti i file sospetti e le modifiche di sistema. Contiene informazioni sulle attività di sistema del computer associabili a SONAR. Contiene gli eventi che interessano il traffico del firewall e gli attacchi alla prevenzione delle intrusioni. Il registro contiene le informazioni sulle connessioni che il computer stabilisce attraverso la rete. I registri di Protezione dalle minacce di rete possono essere utilizzati per risalire all'origine dei diversi flussi di traffico e possono contribuire a risolvere i problemi relativi ad eventuali attacchi provenienti dalla rete. I registri possono indicare se il computer è stato escluso dalla rete e consentono di determinare il motivo del blocco dell'accesso alla rete. Registro pacchetti Contiene informazioni sui pacchetti di dati in ingresso e in uscita attraverso le porte del computer. Il registro pacchetti è disattivato per impostazione predefinita. Su un client gestito non è possibile attivare il registro pacchetti. Su un client non gestito è possibile attivare il registro pacchetti. Vedere "Attivazione del registro pacchetti" a pagina 49.

48 Come accertarsi che il computer sia protetto Visualizzare i registri Registro Registro controllo Registro sicurezza Registro di sistema della gestione client Descrizione Contiene informazioni sulle chiavi di registro di Windows, i file e le DLL a cui accede un'applicazione, nonché informazioni sulle applicazioni eseguite dal computer. Contiene informazioni sulle attività che rappresentano potenziali minacce per il computer. Ad esempio, gli attacchi Denial of Service, le scansioni delle porte e le alterazioni dei file eseguibili. Contiene informazioni su tutte le modifiche operative che si sono verificate nel computer. Le modifiche potrebbero includere le seguenti attività: L'avvia o l'arresto di un servizio. Il computer rileva applicazioni di rete Il software è configurato Registro di protezione contro le manomissioni Registri di debug Contiene voci relative ai tentativi di alterare le applicazioni Symantec nel computer. Queste voci contengono informazioni sui tentativi che la protezione contro le manomissioni ha rilevato o rilevato e contrastato. Contiene informazioni sul client, le scansioni e il firewall per risolvere i problemi. L'amministratore può chiedere di attivare o configurare i registri e quindi di esportarli. Vedere "Visualizzare i registri" a pagina 48. Visualizzare i registri È possibile visualizzare i registri sul computer per analizzare i dettagli degli eventi che si sono verificati. Nota: Se Protezione dalle minacce di rete o Network Access Control non sono installati, non è possibile visualizzare il registro di sicurezza, il registro di sistema o il registro di controllo. Per visualizzare un registro 1 Nella finestra principale, nella barra laterale, fare clic su Visualizza registri. 2 Fare clic su Visualizza registri accanto ad uno dei seguenti elementi: Protezione antivirus e antispyware Protezione proattiva contro le minacce

Come accertarsi che il computer sia protetto Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi 49 Protezione dalle minacce di rete Gestione client Network Access Control Alcuni elementi potrebbero non essere visualizzati a seconda dell'installazione. 3 Nel menu a discesa, selezionare il registro da visualizzare. Vedere "Informazioni sui registri" a pagina 46. Attivazione del registro pacchetti Tutti i registri di protezione dalle minacce di rete e i registri di gestione client sono attivati per impostazione predefinita a eccezione del registro pacchetti. Sui client non gestiti, è possibile attivare e disattivare il registro pacchetti. Sui client gestiti, l'amministratore potrebbe consentire l'attivazione o la disattivazione del registro pacchetti. Vedere "Informazioni sui registri" a pagina 46. Per attivare il registro pacchetti 1 Nel client, nella pagina Stato, a destra di Protezione della rete dalle minacce, fare clic su Opzioni e quindi su Cambia impostazioni. 2 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Registri. 3 Selezionare Attiva registro dei pacchetti. 4 Fare clic su OK (OK). Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi In generale, è preferibile mantenere attive le tecnologie di protezione sul computer client. In caso di problemi con il computer client, potrebbe essere necessario disattivare temporaneamente tutte le tecnologie di protezione oppure le tecnologie singole. Ad esempio, se un'applicazione non viene eseguita o viene eseguita in modo non corretto, è consigliabile disattivare la Protezione dalle minacce di rete. Se il problema continua a verificarsi anche dopo aver disattivato tutte le tecnologie di protezione, disinstallare completamente il client. Se il problema persiste, significa che non è dovuto a Symantec Endpoint Protection.

50 Come accertarsi che il computer sia protetto Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi Avvertimento: Assicurarsi di riattivare le protezioni al termine dell'operazione di soluzione dei problemi, in modo da garantire la protezione del computer. La Tabella 3-6 descrive le ragioni per cui può essere preferibile disattivare le varie tecnologie di protezione. Tabella 3-6 Motivo della disattivazione di una tecnologia di protezione Tecnologia di protezione Protezione antivirus e antispyware Motivo della disattivazione della tecnologia di protezione Se si disattiva questa protezione, viene disattivato solo Auto-Protect. Le scansioni pianificate o di avvio vengono comunque eseguite se sono state configurate dall'utente o dall'amministratore. Si potrebbe attivare o disattivare Auto-Protect per le seguenti ragioni: Auto-Protect potrebbe impedire l'apertura di un documento. Ad esempio, se si apre Microsoft Word con una macro, Auto-Protect potrebbe non consentire l'operazione. Se si è certi che il documento è sicuro, è possibile disattivare Auto-Protect. È possibile che venga segnalata un'attività simile a virus che l'utente riconosce come non pericolosa. Ad esempio, è possibile ricevere un avviso quando si installano nuove applicazioni. Se si prevede di installare altre applicazioni, per fare in modo che gli avvisi non vengano visualizzati è possibile disattivare temporaneamente Auto-Protect. Auto-Protect potrebbe interferire con la sostituzione del driver di Windows. Auto-Protect potrebbe rallentare il computer client. Nota: Se lo si disattiva, si disattiva anche Download Insight, anche se è attivato. Anche SONAR non è in grado di rilevare le minacce euristiche, mentre continua a rilevare le modifiche di sistema e a un file host. Vedere "Attivazione o disattivazione Auto-Protect" a pagina 53. Se Auto-Protect causa un problema con un'applicazione, è preferibile creare un'eccezione piuttosto che disattivare permanentemente la protezione. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Protezione proattiva contro le minacce Potrebbe essere necessario disattivare Protezione proattiva contro le minacce per le seguenti ragioni: Vengono visualizzati troppi avvisi su minacce che si non sono in realtà nocive. Protezione proattiva contro le minacce potrebbe rallentare il computer client. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51.

Come accertarsi che il computer sia protetto Attivazione o disattivazione della protezione nel computer client 51 Tecnologia di protezione Protezione dalle minacce di rete Motivo della disattivazione della tecnologia di protezione Potrebbe essere necessario disattivare Protezione dalle minacce di rete per le seguenti ragioni: Viene installata un'applicazione che potrebbe essere bloccata dal firewall. Una regola o un'impostazione del firewall blocca un'applicazione a causa di un errore di un amministratore. Il firewall o il sistema di prevenzione delle intrusioni causa problemi di connettività di rete. Il firewall potrebbe rallentare il computer client. Non è possibile aprire un'applicazione. Se non si è sicuri che la Protezione dalle minacce di rete sia la causa del problema, è consigliabile disattivare tutte le tecnologie di protezione. In un client gestito centralmente, l'amministratore potrebbe bloccare la protezione della rete dalla minacce per impedirne l'attivazione o la disattivazione. Vedere "Attivazione o disattivazione della prevenzione delle intrusioni" a pagina 125. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51. Protezione contro le manomissioni In genere, Protezione contro le manomissioni deve essere attivato. È possibile, se lo si desidera, disattivare Protezione contro le manomissioni temporaneamente se si rilevano molti falsi positivi. Ad esempio, alcune applicazioni di terze parti potrebbero apportare modifiche che tentano inavvertitamente di cambiare impostazioni o processi di Symantec. Se non si è certi che un'applicazione sia sicura, è possibile creare un'eccezione di Protezione contro le manomissioni per l'applicazione. Vedere "Attivazione, disattivazione e configurazione di Protezione contro le manomissioni" a pagina 54. Attivazione o disattivazione della protezione nel computer client Ai fini della risoluzione dei problemi, può essere necessario disattivare Auto-Protect, Protezione proattiva contro le minacce, o Protezione dalle minacce di rete. Quando una delle protezioni viene disattivata nel client: La barra di stato nella parte superiore della pagina Stato è rossa. L'icona del client viene visualizzata con un simbolo universale di no, un cerchio rosso con una barra diagonale. L'icona di client compare come uno scudo

52 Come accertarsi che il computer sia protetto Attivazione o disattivazione della protezione nel computer client completo nella barra delle applicazioni, nell'angolo inferiore destro del desktop di Windows. In alcune configurazioni, l'icona non compare. Vedere "Come determinare se il client è connesso e protetto" a pagina 44. Nei client gestiti, l'amministratore può attivare o disattivare una tecnologia di protezione in qualunque momento. Se si disattiva una protezione, l'amministratore può riattivarla successivamente. L'amministratore potrebbe inoltre bloccare una protezione per impedirne la disattivazione. Avvertimento: Symantec consiglia di disattivare solo temporaneamente Auto-Protect se è necessario per risolvere i problemi del computer client. Per attivare le tecnologie di protezione dalla pagina Stato Nel client, nella parte superiore della pagina Stato, fare clic su Correggi o Correggi tutto. Per attivare o disattivare le tecnologie di protezione dalla barra delle applicazioni Nel desktop di Windows, nell'area di notifica, fare clic con il pulsante destro del mouse sull'icona del client e quindi eseguire una delle seguenti operazioni: Fare clic su Attiva Symantec Endpoint Protection. Fare clic su Disattiva Symantec Endpoint Protection. Per attivare o disattivare le tecnologie di protezione dall'interno del client Nel client, nella pagina Stato, accanto a Protezionetipo di protezione, eseguire una delle seguenti operazioni: Fare clic su Opzioni > Attiva protezione tipo di protezione. Fare clic su Opzioni > Disattiva tutte le funzioni di protezione tipo di protezione. Per attivare o disattivare il firewall 1 Nel client, nella parte superiore della pagina Stato, accanto a Protezione dalle minacce di rete, fare clic su Opzioni > Cambia impostazioni. 2 Nella scheda Firewall, selezionare o deselezionare Attiva firewall. 3 Fare clic su OK. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Vedere "Attivazione o disattivazione Auto-Protect" a pagina 53.

Come accertarsi che il computer sia protetto Attivazione o disattivazione della protezione nel computer client 53 Attivazione o disattivazione Auto-Protect È possibile attivare o disattivare Auto-Protect per file e processi, applicazioni di e-mail Internet e applicazioni groupware di e-mail. Quando qualsiasi tipo di Auto-Protect è disattivato, lo stato della protezione antivirus e antispyware appare in rosso nella pagina di stato. su un client gestito, l'amministratore potrebbe bloccare Auto-Protect per impedirne la disattivazione. Inoltre, l'amministratore può specificare che è possibile disattivare temporaneamente Auto-Protect, ma che Auto-Protect verrà riattivato automaticamente dopo un periodo di tempo specificato.. Nota: Se lo si disattiva, si disattiva anche Download Insight, anche se è attivato. Anche SONAR non è in grado di rilevare minacce euristiche, mentre continua a rilevare le modifiche di sistema e a un file host. Avvertimento: Symantec consiglia di disattivare solo temporaneamente Auto-Protect se è necessario per risolvere i problemi del computer client. Per attivare o disattivare Auto-Protect per il file system Nel client, nella pagina Stato, accanto a Protezione antivirus e antispyware, eseguire una delle seguenti operazioni: Fare clic su Opzioni > Attiva protezione antivirus e antispyware. Fare clic su Opzioni > Disattiva protezione antivirus e antispyware. Per attivare o disattivare Auto-Protect per l'e-mail 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Eseguire una delle seguenti operazioni: Nella scheda Auto-Protect per l'e-mail Internet, selezionare o deselezionare Attiva Auto-Protect per l'e-mail Internet. Nella scheda Auto-ProtectperOutlook, selezionare o deselezionare Attiva Auto-Protect per Microsoft Outlook. Nella scheda Auto-Protect per Notes, selezionare o deselezionare Attiva Auto-Protect per Lotus Notes.

54 Come accertarsi che il computer sia protetto Attivazione o disattivazione della protezione nel computer client Auto-Protect per l'e-mail Internet non è supportato nei sistemi operativi dei server. Auto-Protect per Microsoft Outlook viene installato automaticamente nei computer che eseguono Outlook. 4 Fare clic su OK. Vedere "Informazioni sui tipi di Auto-Protect" a pagina 69. Vedere "Informazioni sulle icone di avviso nella pagina Stato" a pagina 17. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Attivazione, disattivazione e configurazione di Protezione contro le manomissioni Protezione contro le manomissioni consente di ottenere protezione in tempo reale per le applicazioni Symantec eseguite nei server e nei client. Impedisce che le minacce e i rischi per la sicurezza alterino le risorse di Symantec. È possibile attivare o disattivare Protezione contro le manomissioni. È possibile anche configurare l'azione che Protezione contro le manomissioni esegue quando rileva un tentativo di alterazione delle risorse di Symantec nel computer. Per impostazione predefinita, Protezione contro le manomissioni è impostata su Blocca e non registrare. Nota: In un client gestito, l'amministratore potrebbe bloccare le impostazioni di Protezione contro le manomissioni. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Per attivare o disattivare Protezione contro le manomissioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni. 3 Nella scheda Protezione contro le manomissioni, selezionare o deselezionare Proteggi il software di protezione Symantec da manomissioni o arresti. 4 Fare clic su OK (OK). Per configurare Protezione contro le manomissioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Gestione client, fare clic su Configura impostazioni.

Come accertarsi che il computer sia protetto Attivazione o disattivazione della protezione nel computer client 55 3 Nella scheda Protezione contro le manomissioni, nella casella di riepilogo Azionidaintraprendereseun'applicazionecercadimanomettereoarrestare il software di protezione Symantec, fare clic su Registra soltanto, Blocca e non registrare o Blocca e registra. 4 Fare clic su OK.

56 Come accertarsi che il computer sia protetto Attivazione o disattivazione della protezione nel computer client

Capitolo 4 Gestione delle scansioni Il capitolo contiene i seguenti argomenti: Gestione delle scansioni nel computer Funzionamento dei virus e delle scansioni antispyware Pianificare una scansione definita dall'utente Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia Gestione delle rilevazioni di Analisi download nel computer in uso Personalizzazione delle impostazioni di Analisi download Personalizzazione delle impostazioni di scansione antispyware e antivirus Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza Informazioni sull'esclusione di elementi dalle scansioni Esclusione di elementi dalle scansioni Gestione di file in quarantena nel computer client Attivazione o disattivazione dell'anti-malware con avvio anticipato (ELAM) Come gestire le notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 Informazioni sull'invio a Symantec Security Response di informazioni relative a rilevazioni Invio di informazioni sulle rilevazioni a Symantec Security Response Informazioni sul client e sul Centro sicurezza PC

58 Gestione delle scansioni Gestione delle scansioni nel computer Informazioni su SONAR Gestione di SONAR nel computer client Modifica delle impostazioni SONAR Gestione delle scansioni nel computer Per impostazione predefinita, il client esegue una scansione attiva ogni giorno. Su un client gestito, è possibile configurare le proprie scansioni, se l'amministratore ha reso disponibili queste impostazioni. Un client non gestito comprende una scansione attiva preimpostata disattivata; tuttavia, è possibile gestire le proprie scansioni. Tabella 4-1 Gestione delle scansioni Attività Leggere le informazioni sul funzionamento delle scansioni Aggiornare le definizioni dei virus Descrizione Esaminare i tipi di scansioni e i tipi di virus e di rischi per la sicurezza. Vedere "Funzionamento dei virus e delle scansioni antispyware" a pagina 62. Assicurarsi di avere installato sul computer le definizioni dei virus più recenti. Vedere "Aggiornamento della protezione del computer" a pagina 41. Controllare che Auto-Protect sia attivato Auto-Protect è attivato per impostazione predefinita. Tenere Auto-Protect sempre attivato. Se lo si disattiva, si disattiva anche Download Insight e SONAR non effettuerà rilevazioni euristiche. Vedere "Attivazione o disattivazione Auto-Protect" a pagina 53. Eseguire la scansione del computer Eseguire la scansione regolarmente del computer per i virus e i rischi per la sicurezza. Assicurarsi che le scansioni vengano eseguite regolarmente controllando la data di ultima scansione. Vedere "Esecuzione immediata della scansione del computer" a pagina 22. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. Durante l'esecuzione di una scansione, potrebbe essere visualizzata una finestra di dialogo con i risultati della scansione. È possibile utilizzare tale finestra per eseguire alcune azioni sugli elementi rilevati. Vedere "Risposta alla rilevazione di un rischio o di un virus" a pagina 30. È possibile sospendere una scansione avviata. Su un client gestito, l'amministratore determina se l'utente può sospendere una scansione avviata dall'amministratore stesso. Vedere "Pausa e posticipo delle scansioni" a pagina 24.

Gestione delle scansioni Gestione delle scansioni nel computer 59 Attività Descrizione Regolare le scansioni per migliorare le prestazioni del computer Per impostazione predefinita, Symantec Endpoint Protection fornisce un alto livello di sicurezza mentre minimizza l'impatto sulle prestazioni del computer. È possibile personalizzare le impostazioni per aumentare ulteriormente le prestazioni del computer. Per le scansioni pianificate e su richiesta, è possibile modificare le seguenti opzioni: Ottimizzazione scansione Impostare l'ottimizzazione della scansione su Prestazionidell'applicazioneottimali. File compressi Cambiare il numero dei livelli per la scansione di file compressi. Riavvio scansioni È possibile specificare un tempo massimo per l'esecuzione di una scansione. La scansione viene riavviata quando il computer è inattivo. Scansioni eseguite casualmente È possibile specificare la scelta casuale dell'ora di inizio della scansione entro un intervallo di tempo specifico, nonché disattivare le scansioni di avvio o modificare la pianificazione delle scansioni. Vedere "Personalizzazione delle impostazioni di scansione antispyware e antivirus" a pagina 82. Vedere "Pianificare una scansione definita dall'utente" a pagina 74.

60 Gestione delle scansioni Gestione delle scansioni nel computer Attività Descrizione Regolare le scansioni per migliorare la protezione del computer Nella maggior parte dei casi, le impostazioni predefinite di scansione forniscono una protezione adeguata per il computer. In alcuni casi, si potrebbe tuttavia scegliere di aumentare la protezione. Un aumento della protezione potrebbe condizionare le prestazioni del computer. Per le scansioni pianificate e su richiesta, è possibile modificare le seguenti opzioni: Prestazioni di scansione Impostare l'ottimizzazione della scansione su Prestazioni di scansione ottimali. Azioni di scansione Cambiare le azioni di risoluzione che si verificano quando viene rilevato un virus Durata scansione Per impostazione predefinita, le scansioni pianificate vengono eseguite fino alla scadenza dell'intervallo di tempo specificato e quindi riprese quando il computer client è inattivo. È possibile impostare la durata della scansione su Scansionecompleta. Ricerca Insight È necessario verificare che Insight Lookup sia attivato. Le impostazioni di Ricerca Insight sono simili alle impostazioni per Analisi download. Aumentare il livello di protezione di Bloodhound. Bloodhound individua e isola le regioni logiche di un file per rilevare comportamenti simili a quelli dei virus. È possibile cambiare il livello di rilevazione da Automatico a Aggressivo per aumentare la protezione del computer. L'impostazione Aggressivo, tuttavia, restituisce probabilmente più falsi positivi. Vedere "Personalizzazione delle impostazioni di scansione antispyware e antivirus" a pagina 82. Identificare le eccezioni di scansione Inviare le informazioni sulle rilevazioni a Symantec Escludere un file o un processo sicuro dalla scansione. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Per impostazione predefinita, il computer client invia informazioni sulle rilevazioni a Symantec Security Response. È possibile disattivare gli invii o scegliere i tipi di informazioni da inviare. Symantec consiglia di attivare sempre gli invii. Queste informazioni consentono a Symantec di trovare soluzioni alle minacce. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98.

Gestione delle scansioni Gestione delle scansioni nel computer 61 Attività Gestire i file in quarantena Descrizione Symantec Endpoint Protection mette in quarantena i file infetti e li sposta in una posizione in cui non possono infettare altri file nel computer. Se un file in quarantena non può essere corretto, è necessario decidere che cosa fare con il file. È anche possibile specificare le seguenti azioni: Eliminare un file in quarantena se esiste un file di backup o se è disponibile un file sostitutivo da un'origine attendibile. Lasciare i file con le infezioni sconosciute in quarantena fino a quando Symantec non rilascia nuove definizioni dei virus. Controllare periodicamente i file in quarantena per evitare l'accumulo di numerosi file. Controllare i file in quarantena quando una nuova epidemia di virus si verifica in rete. Vedere "Gestione di file in quarantena nel computer client" a pagina 91. Vedere "Informazioni su come mettere in quarantena i file" a pagina 93. Tabella 4-2 visualizza le impostazioni aggiuntive di scansione che è possibile modificare se si desidera aumentare la protezione, migliorare le prestazioni o ridurre i falsi positivi. Tabella 4-2 Impostazioni di scansione Attività Modificare le impostazioni di Auto-Protect per migliorare le prestazioni del computer o migliorare la protezione Descrizione Per Auto-Protect, è possibile cambiare le seguenti opzioni: Cache dei file Assicurarsi che la cache dei file sia attivata (impostazione predefinita). Quando la cache dei file è attivata, Auto-Protect non esegue la scansione dei file già sottoposti a scansione. Impostazioni di rete Quando Auto-Protect è attivato per i computer remoti, assicurarsi che l'opzione Solo quando i file vengono eseguiti sia attivata. È anche possibile impostare Auto-Protect di modo che ritenga attendibili i file nei computer remoti e che utilizzi una cache di rete. Per impostazione predefinita, Auto-Protect esegue la scansione dei file durante la scrittura degli stessi dal computer a un computer remoto. Auto-Protect esamina inoltre i file quando vengono scritti da un computer remoto al computer. La cache di rete memorizza un record dei file che Auto-Protect ha sottoposto a scansione da un computer remoto. Se si utilizza una cache di rete, si evita che Auto-Protect esegua la scansione dello stesso file più di una volta. Vedere "Personalizzazione delle impostazioni di scansione antispyware e antivirus" a pagina 82.

62 Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware Attività Gestione del rilevamento anti-malware con avvio anticipato (ELAM) Descrizione È possibile attivare o disattivare il rilevamento anti-malware con avvio anticipato (ELAM) del client se si ritiene che quest'ultimo influisca sulle prestazioni del computer. In alternativa può risultare utile sostituire l'impostazione predefinita di rilevamento se si ottengono molti falsi positivi nel rilevamento ELAM. Vedere "Attivazione o disattivazione dell'anti-malware con avvio anticipato (ELAM)" a pagina 96. Gestione delle rilevazioni di Analisi download Analisi download ispeziona i file che si cerca di scaricare mediante i browser Web, i client di messaggistica e altri portali. Analisi download utilizza le informazioni provenienti da Symantec Insight, che raccoglie i dati sulla reputazione dei file. Analisi download utilizza la valutazione della reputazione di un file per consentire o bloccare un file o per invitare l'utente a intraprendere una data azione in relazione al file. Vedere "Gestione delle rilevazioni di Analisi download nel computer in uso" a pagina 78. Gestione di SONAR È possibile regolare le impostazioni per SONAR. Vedere "Gestione di SONAR nel computer client" a pagina 102. Funzionamento dei virus e delle scansioni antispyware Le scansioni antivirus e antispyware identificano e neutralizzano o eliminano i virus e i rischi per la sicurezza sui computer. Una scansione elimina un virus o un rischio utilizzando il seguente processo: Il motore di ricerca esamina file e altri componenti del computer per rilevare eventuali tracce di virus all'interno dei file. Ogni virus presenta un modello riconoscibile, chiamato firma. Sul client è installato un file delle definizioni dei virus che contiene le firme conosciute, prive del codice nocivo. Il motore di scansione confronta ogni file o componente con il file delle definizioni dei virus. Se viene rilevata una corrispondenza, il file è infetto. Il motore di scansione utilizza i file delle definizioni per determinare se l'infezione è stata causata da un virus o un rischio. Il motore di scansione intraprende quindi un'azione di risoluzione sul file infetto. Per correggere il file infetto, il client lo pulisce, lo elimina o lo mette in quarantena. Vedere "Risposta delle scansioni al rilevamento di un virus di un rischio" a pagina 71.

Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware 63 Nota: Symantec Endpoint Protection non mette in quarantena né pulisce i rischi rilevati nelle applicazioni di tipo Windows 8. Symantec Endpoint Protection elimina il rischio. La Tabella 4-3 descrive i componenti del computer che il client sottopone a scansione. Tabella 4-3 Componente File selezionati Componenti del computer sottoposti a scansione dal client Descrizione Il client sottopone a scansione singoli file. Nella maggior parte dei casi, è possibile scegliere i file sui quali eseguire la scansione. Il software client utilizza la scansione basata su profili per cercare tracce di virus all'interno dei file. Le tracce dei virus sono dette profili o firme. Ciascun file viene confrontato con firme innocue contenute in un file delle definizioni dei virus, in modo da identificare virus specifici. Alla rilevazione di un virus, per impostazione predefinita viene eseguito un tentativo di pulizia del file. Se non è possibile ripulire il file, quest ultimo viene messo in quarantena per impedire ulteriori infezioni del computer. Le scansioni basate su profili vengono eseguite anche per ricercare segni di rischi per la sicurezza all'interno di file e chiavi di registro di Windows. Se viene rilevato un rischio per la sicurezza, per impostazione predefinita i file infetti vengono messi in quarantena e gli effetti del rischio riparati. Se non riesce a mettere in quarantena i file, il client registra il tentativo. Memoria del computer Settore di avvio Il client cerca nella memoria del computer. Qualsiasi virus di file, del settore di avvio o di macro può risiedere nella memoria. I virus residenti in memoria si sono autoreplicati nella memoria del computer. Un virus può restare nascosto nella memoria fino a quando non si verifica un evento di attivazione, dopodiché può diffondersi su un dischetto floppy presente nella relativa unità oppure sull'hard disk. Se un virus è nella memoria, non può essere ripulito. Tuttavia, è possibile rimuoverlo riavviando il computer, quando viene chiesto di eseguire questa operazione. Il client cerca nel settore di avvio del computer per verificare la presenza di virus di avvio. Vengono controllati due elementi: le tabelle di partizione e il record di avvio principale.

64 Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware Componente Unità a dischetto Descrizione Un modo comune con cui si diffonde un virus è tramite dischi floppy. Un disco floppy potrebbe rimanere in un'unità disco quando si avvia o si spegne il computer. Quando una scansione inizia, il client cerca nel settore di avvio e nelle tabelle di partizione del disco floppy che si trova nell'unità disco. Quando si spegne il computer viene chiesto di rimuovere il disco per impedire una possibile infezione. Informazioni sui virus e i rischi per la sicurezza Symantec Endpoint Protection esegue la scansione sia dei virus sia dei rischi per la sicurezza. I rischi per la sicurezza comprendono spyware, adware, rootkit e altri file che possono minacciare un computer o una rete. I virus e i rischi per la sicurezza vengono inviati tramite messaggi e-mail o software di messaggistica immediata. È possibile scaricare inconsapevolmente un rischio accettando un Contratto di licenza per l'utente finale da un programma software. Molti virus e rischi per la sicurezza vengono installati in seguito a download non autorizzati. Questi download vengono eseguiti in genere quando si visitano siti Web nocivi o infetti e l'utilità di download dell'applicazione installa una vulnerabilità legittima nel computer. È possibile visualizzare le informazioni relative ai rischi specifici sul sito Web di Symantec Security Response. Sul sito Web di Symantec Security Response sono disponibili informazioni aggiornate sulle minacce e sui rischi per la sicurezza. Il sito contiene inoltre esaurienti informazioni di riferimento, ad esempio white paper e informazioni dettagliate sui virus e i rischi per la sicurezza. Vedere "Risposta delle scansioni al rilevamento di un virus di un rischio" a pagina 71.

Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware 65 Figura 4-1 Modalità di attacco del computer da parte di virus e rischi per la sicurezza Altri computer, condivisioni di file sulla rete Internet Virus, malware e rischi per la sicurezza Unità flash USB E-mail, messaggistic a istantanea Virus, malware e rischi per la sicurezza Virus, malware e rischi per la sicurezza Computer client Tabella 4-4 elenca il tipo di virus e rischi che possono attaccare un computer.

66 Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware Tabella 4-4 Virus e rischi per la sicurezza Rischio Virus Descrizione Codice o programmi che creano una copia di sé stessi e la associano a un altro programma o file durante l'esecuzione. Quando il programma infetto viene eseguito, il programma contenente il virus si attiva e si propaga ad altri programmi e file. I seguenti tipi di minacce sono inclusi nella categoria di virus: Bot nocivi per Internet Programmi che eseguono attività automatizzate in Internet. I bot possono essere utilizzati per automatizzare gli attacchi ai computer o per raccogliere informazioni dai siti Web. Worm Programmi che si replicano senza infettare altri programmi. Alcuni worm si diffondono copiando sé stessi da disco a disco, mentre altri si replicano nella memoria per degradare le prestazioni del computer. Trojan horse Programmi che si nascondono in file e programmi innocui, quali un gioco o un programma di utilità. Minacce di tipo misto o blended Minacce che combinano le caratteristiche di virus, worm, Trojan horse e codice con le vulnerabilità di server e Internet per creare, trasmettere e diffondere un attacco. Le minacce blended usano metodi e tecniche diverse per diffondersi rapidamente e causare danni estesi. Rootkit Programmi che restano invisibili al sistema operativo di un computer. Adware Dialer Strumenti di hacking Programmi scherzo Applicazioni ingannevoli Programmi che inviano contenuti pubblicitari. Programmi che utilizzano un computer senza autorizzazione dell'utente o a sua insaputa, per collegarsi, tramite Internet, a un numero o a un sito FTP a pagamento. In genere, questi numeri vengono composti per addebitare spese. Programmi utilizzati da hacker per ottenere l'accesso non autorizzato al computer dell'utente. Ad esempio, uno strumento di hacking è un programma che controlla la pressione dei tasti, tiene traccia delle singole battute e le registra per inviarle all'hacker, che può quindi eseguire scansioni sulle porte o ricercare i punti vulnerabili. Gli strumenti di hacking possono inoltre essere utilizzati per creare virus. Programmi che alterano o interrompono il funzionamento di un computer in modo umoristico o preoccupante. Ad esempio, un programma scherzo potrebbe allontanare il cestino dal puntatore del mouse quando l'utente cerca di eliminare un elemento. Applicazioni che travisano intenzionalmente lo stato della sicurezza di un computer. Queste applicazioni in genere si manifestano come notifiche di sicurezza relative a false infezioni che devono essere rimosse.

Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware 67 Rischio Programmi di protezione dei minori Programmi di accesso remoto Strumento per la valutazione della sicurezza Spyware Programma di intercettazione Descrizione Programmi che monitorano o limitano l'uso di computer. I programmi possono essere eseguiti senza rilevare la propria presenza e in genere trasmetteno informazioni di monitoraggio a un altro computer. Programmi che consentono l'accesso a Internet da un altro computer, raccogliendo informazioni, attaccando o alterando il computer di un utente. Programmi utilizzati allo scopo di ottenere informazioni per l'accesso non autorizzato a un computer. Programmi stand-alone in grado di controllare segretamente l'attività del sistema, rilevare password e altre informazioni riservate e inviarle a un altro computer. Applicazioni stand-alone o aggiunte che tengono traccia del percorso di navigazione di un utente su Internet e inviano le informazioni al sistema del controller o dell'hacker. Informazioni sui tipi di scansione Symantec Endpoint Protection include diversi tipi di scansioni per fornire protezione contro differenti tipi di virus, minacce e rischi. Per impostazione predefinita, Symantec Endpoint Protection esegue una scansione attiva ogni giorno alle 12:30 e quando le nuove definizioni arrivano sul computer client. Nei computer non gestiti, Symantec Endpoint Protection include anche una scansione all'avvio predefinita che è disattivata. Nei client non gestiti, eseguire una scansione attiva ogni giorno. È consigliabile pianificare una scansione completa una volta alla settimana o al mese se si sospetta la presenza di una minaccia inattiva nel computer. Le scansioni complete utilizzano più risorse del computer è potrebbero influire sulle prestazioni del computer. Tabella 4-5 Tipi di scansione Tipo scansione Auto-Protect Descrizione Auto-Protect esegue continuamente la scansione dei file e invia dati tramite e-mail man mano che vengono scritti o letti da un computer. Auto-Protect neutralizza o elimina automaticamente i virus rilevati e i rischi per la sicurezza. Inoltre, Auto-Protect protegge alcuni messaggi e-mail inviati o ricevuti. Vedere "Informazioni sui tipi di Auto-Protect" a pagina 69.

68 Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware Tipo scansione Download Insight Descrizione Download Insight estende la sicurezza di Auto-Protect ispezionando i file quando gli utenti cercano di scaricarli da browser e altri portali. Analisi download utilizza le informazioni provenienti da Symantec Insight, che raccoglie dati da milioni di utenti per determinare le reputazioni di sicurezza dei file nella comunità. Analisi download utilizza la valutazione della reputazione di un file per consentire o bloccare un file o per invitare l'utente a intraprendere una data azione in relazione al file. Download Insight è un componente di Auto-Protect e ne richiede l'attivazione. Se si disattiva Auto-Protect ma si attiva Download Insight, quest'ultimo non funziona. Vedere "Metodi di utilizzo dei dati di reputazione in Symantec Endpoint Protection per prendere decisioni sui file" a pagina 73. Scansioni definite dall'amministratore e dall'utente Per i client gestiti, l'amministratore potrebbe creare scansioni pianificate o eseguire scansioni su richiesta. Per i client non gestiti, oppure i client gestiti le cui impostazioni di scansione sono sbloccate, è possibile creare ed eseguire scansioni personalizzate. Le scansioni definite dall'amministratore o dall'utente rilevano virus e rischi per la sicurezza esaminando file e processi nel computer client. Questi tipi di scansione possono inoltre controllare la memoria e i punti di caricamento. I tipi di scansione definiti dall'amministratore o dall'utente sono: Scansioni pianificate Una scansione pianificata viene eseguita sui computer client in ore specificate. Le scansioni pianificate contemporaneamente vengono eseguite in sequenza. Se un computer è spento durante una scansione pianificata, la scansione non viene eseguita a meno che non sia configurata per la nuova esecuzione delle scansioni non eseguite. È possibile pianificare una scansione Active Scan, completa o personalizzata. È possibile salvare le impostazioni della scansione pianificata come modello. È possibile utilizzare qualsiasi scansione salvata come modello come base per una scansione diversa. I modelli di scansione consentono di risparmiare tempo quando si configurano più politiche. Un modello di scansione pianificata è incluso per impostazione predefinita nella politica. La scansione pianificata predefinita sottopone a scansione tutti i file e le directory. Scansioni all'avvio e attivate Le scansioni all'avvio vengono eseguite quando gli utenti accedono ai computer. Le scansioni di attivazione vengono eseguite quando vengono scaricate nei computer nuove definizioni di virus. Scansioni su richiesta Le scansioni su richiesta vengono avviate manualmente. È possibile eseguire scansioni su richiesta dalla pagina Ricerca minacce. Vedere "Funzionamento dei virus e delle scansioni antispyware" a pagina 62.

Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware 69 Tipo scansione SONAR Descrizione SONAR può arrestare gli attacchi anche prima che le definizioni tradizionali basate su firma rilevino una minaccia. SONAR utilizza l'euristica e i dati di reputazione del file per prendere le decisioni su applicazioni o file. Vedere "Informazioni su SONAR" a pagina 100. Vedere "Gestione delle scansioni nel computer" a pagina 58. Informazioni sui tipi di Auto-Protect Auto-Protect esegue la scansione di file come pure di determinati tipi di messaggi e allegati e-mail. Se il computer client in uso esegue altri prodotti per la sicurezza e-mail, come Symantec Mail Security, potrebbe non essere necessario attivare Auto-Protect per l'e-mail. Auto-Protect funziona solo nei client e-mail supportati, non nei server di e-mail. Nota: se viene rilevato un virus all'apertura del messaggio, quest ultimo verrà aperto solo al termine della scansione di Auto-Protect, che potrebbe richiedere alcuni istanti.

70 Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware Tabella 4-6 Tipi di Auto-Protect Tipo di Auto-Protect Auto-Protect Descrizione Esegue la scansione continua di file mentre vengono letti e inviati dal computer Auto-Protect è attivato per impostazione predefinita per il file system e viene eseguito all'avvio del computer. Controlla l'eventuale presenza di virus e rischi per la sicurezza in tutti i file e blocca l'installazione dei rischi per la sicurezza. Può opzionalmente eseguire la scansione di file per estensione file, di file su computer remoti e di virus di avvio sui dischetti. Può opzionalmente eseguire il backup di file prima di tentare di riparare i file, terminare i processi e interrompere servizi. È possibile configurare Auto-Protect per sottoporre a scansione soltanto le estensioni di file selezionate. Quando Auto-Protect sottopone a scansione le estensioni selezionate, può anche determinare un tipo di file anche se il virus ne cambia l'estensione. Se non si esegue Auto-Protect per l'e-mail, i computer client sono ancora protetti quando Auto-Protect è attivato. La maggior parte delle applicazioni e-mail salva gli allegati in una cartella temporanea quando questi vengono aperti. Auto-Protect esegue la scansione del file mentre viene salvato nella cartella temporanea e rileva eventuali virus o rischi per la sicurezza. Auto-Protect inoltre rileva il virus se l'utente cerca di salvare l'allegato infetto in un'unità locale o di rete. Auto-Protect per l'e-mail Internet Esegue la scansione di messaggi e-mail Internet (POP3 o SMTP) e allegati per rilevare virus e rischi per la sicurezza, nonché la scansione euristica dei messaggi e-mail in uscita. Per impostazione predefinita, Auto-Protect per e-mail Internet supporta la crittografia di password ed e-mail su connessioni SMTP e POP3. Se si utilizzano connessioni POP3 o SMTP con SSL (Secure Sockets Layer), il client rileva le connessioni protette ma non sottopone a scansione i messaggi crittografati. Nota: per motivi di prestazioni, le scansioni Auto-Protect dell'e-mail Internet con protocollo POP3 non sono supportate nei sistemi operativi dei server. La scansione e-mail Internet non è supportata per i computer a 64 bit. La scansione e-mail non supporta e-mail basata su IMAP, AOL o HTTP come quella di Hotmail e Yahoo!.

Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware 71 Tipo di Auto-Protect Auto-Protect per Microsoft Outlook Descrizione Esegue la scansione di allegati e messaggi e-mail di Microsoft Outlook (MAPI e Internet) per rilevare virus e rischi per la sicurezza Supportato per Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI e Internet) Se nel computer è già installato Microsoft Outlook quando si installa un software client, viene rilevata l'applicazione e-mail. Il client installa automaticamente Auto-Protect per Microsoft Outlook. Se si utilizza Microsoft Outlook con un client MAPI o Microsoft Exchange e Auto-Protect è stato attivato per la scansione e-mail, gli allegati vengono scaricati immediatamente. Gli allegati sono sottoposti a scansione quando vengono aperti. Se si scarica un allegato di grandi dimensioni con una connessione lenta, le prestazioni del sistema di e-mail vengono ridotte. Gli utenti che ricevono regolarmente allegati di grandi dimensioni possono disattivare questa funzione. Nota: Non installare Auto-Protect per Microsoft Outlook in Microsoft Exchange Server. Auto-Protect per Lotus Notes Esegue la scansione di messaggi e-mail e allegati di Lotus Notes per l'identificazione di virus e rischi per la sicurezza Supportato per le versioni di Lotus Notes dalla 4.5 alla 8.x. Se nel computer è già installato Lotus Notes quando si installa un software client, viene rilevata l'applicazione e-mail. Il client installa automaticamente Auto-Protect per Lotus Notes. Risposta delle scansioni al rilevamento di un virus di un rischio Quando virus e rischi per la sicurezza infettano i file, il client risponde ai diversi tipi di minacce in modi diversi. Per ciascun tipo di minaccia, il client utilizza una prima azione e quindi applica una seconda azione se la prima non riesce.

72 Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware Tabella 4-7 Tipo di minaccia Virus Risposta di una scansione ai virus e ai rischi per la sicurezza Azione Per impostazione predefinita, quando il client rileva un virus: Cerca in primo luogo di eliminare il virus dal file infetto. Se il client pulisce il file, il rischio viene completamente rimosso dal computer. Se non è possibile ripulire il file, il client registra il problema e sposta il file infettato in quarantena. Vedere "Informazioni su come mettere in quarantena i file" a pagina 93. Nota: Symantec Endpoint Protection non mette in quarantena i virus rilevati nelle applicazioni e nei file di tipo Windows 8. Symantec Endpoint Protection elimina direttamente il virus. Rischio per la sicurezza Per impostazione predefinita, quando il client rileva un rischio per la sicurezza: Mette in quarantena il file infetto. Prova a rimuovere o riparare tutte le modifiche apportate dal rischio per la sicurezza. Se il client non riesce a mettere in quarantena un rischio per la sicurezza, registra il rischio senza intervenire ulteriormente. In alcuni casi, può capitare di installare inavvertitamente un applicazione che include un rischio per la sicurezza quale un adware o uno spyware. Se Symantec ha determinato che mettere in quarantena il rischio non causa problemi al computer, il client mette in quarantena il rischio. Se il client mette in quarantena il rischio immediatamente, la relativa azione può determinare uno stato di instabilità del computer. Il client attende invece il completamento dell'installazione dell'applicazione prima di mettere in quarantena il rischio, quindi ripara gli effetti del rischio. Nota: Symantec Endpoint Protection non mette in quarantena i rischi per la sicurezza rilevati nelle applicazioni e nei file di tipo Windows 8. Symantec Endpoint Protection elimina direttamente il rischio. Per ogni tipo di scansione è possibile modificare le impostazioni di gestione di virus e rischi per la sicurezza da parte del client. È possibile impostare diverse azioni per ogni categoria di rischio e per i diversi rischi per la sicurezza.

Gestione delle scansioni Funzionamento dei virus e delle scansioni antispyware 73 Metodi di utilizzo dei dati di reputazione in Symantec Endpoint Protection per prendere decisioni sui file Symantec raccoglie informazioni sui file dalla comunità globale di milioni di utenti e dalla Global Intelligence Network. Le informazioni raccolte costituiscono un database di reputazione a disposizione di Symantec. I prodotti Symantec utilizzano le informazioni per proteggere i computer client da nuove minacce mirate e in trasformazione. I dati sono talvolta indicati come dati nel cloud poiché non si trovano nel computer client. Il computer client deve richiedere o interrogare il database di reputazione. Symantec utilizza una tecnologia denominata Insight per determinare il livello di rischio o di sicurezza di ciascun file. Insight determina il livello di sicurezza di un file esaminando le seguenti caratteristiche del file e il relativo contesto: Origine del file Data del file Diffusione del file nella comunità Altre misurazioni di sicurezza, ad esempio il modo in cui il file potrebbe essere associato al malware Le funzioni di scansione di Symantec Endpoint Protection utilizzano Insight per la gestione di file e applicazioni. La protezione antivirus e antispyware include una funzione denominata Download Insight. Download Insight si basa su informazioni di reputazione per le rilevazioni. Se le ricercha Insight vengono disattivate, Download Insight viene eseguito ma non è in grado di effettuare rilevazioni. Altre funzioni di protezione, come Insight Lookup e SONAR, utilizzano, insieme ad altre tecnologie, le informazioni di reputazione per eseguire rilevazioni. Per impostazione predefinita, un computer client invia le informazioni sulle rilevazioni di reputazione a Symantec Security Response per l'analisi. Queste informazioni consentono di migliorare il database di reputazione di Insight. Più client inviano le informazioni più utile sarà il database di reputazione. È possibile disattivare l'invio delle informazioni di reputazione. Symantec consiglia, tuttavia, di mantenere attivi gli invii. I computer client inoltre inviano altri tipi di informazioni sulle rilevazioni a Symantec Security Response. Vedere "Gestione delle rilevazioni di Analisi download nel computer in uso" a pagina 78. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98.

74 Gestione delle scansioni Pianificare una scansione definita dall'utente Pianificare una scansione definita dall'utente Le scansioni pianificate sono componenti importanti della protezione contro le minacce e i rischi per la sicurezza. È necessario pianificare una scansione da eseguire almeno una volta alla settimana per assicurare l'assenza di virus e rischi per la sicurezza dal computer. Quando si crea una nuova scansione, questa viene visualizzata nell'elenco delle scansioni del riquadro Ricerca minacce. Nota: se l'amministratore ha creato una scansione pianificata per l'utente, questa viene visualizzata nell'elenco delle scansioni del riquadro Ricerca minacce. Quando viene eseguita la scansione pianificata, il computer deve essere acceso e i servizi di Symantec Endpoint Protection caricati. Per impostazione predefinita, i servizi di Symantec Endpoint Protection vengono caricati all'avvio del computer. Per i client gestiti, l'amministratore potrebbe ignorare queste impostazioni. Vedere "Esecuzione immediata della scansione del computer" a pagina 22. Vedere "Gestione delle scansioni nel computer" a pagina 58. Quando si configura una scansione pianificata, considerare i seguenti aspetti importanti: Le scansioni definite dall'utente non richiedono che l'utente stesso abbia effettuato l'accesso Più scansioni simultanee vengono eseguite in sequenza Le scansioni pianificate mancate potrebbero non essere eseguite Symantec Endpoint Protection esegue la scansione anche se l'utente che ha definito tale scansione non ha eseguito l'accesso. È possibile specificare che il client non eseguirà la scansione se l'utente è disconnesso. Se nello stesso computer vengono pianificate più scansioni e le scansioni iniziano alla stessa ora, queste vengono eseguite in sequenza. Dopo che una scansione finisce ne inizia un'altra. Ad esempio, è possibile pianificare tre scansioni separate da eseguire nel computer alle ore 13.00. Ogni scansione viene eseguita su un'unità differente. La prima scansione viene eseguita sull'unità C, la seconda sull'unità D e la terza sull'unità E. In questo esempio, una soluzione migliore consiste nel creare una scansione pianificata delle unità C, D ed E. Se nel computer una scansione pianificata non viene eseguita per qualsiasi motivo, per impostazione predefinita Symantec Endpoint Protection tenta di eseguire la scansione finché non ci riesce o per un intervallo di tempo specifico. Se Symantec Endpoint Protection non riesce ad avviare la scansione mancata nell'intervallo di tempo previsto, la scansione non viene eseguita.

Gestione delle scansioni Pianificare una scansione definita dall'utente 75 L'orario di scansione pianificato potrebbe slittare Symantec Endpoint Protection potrebbe non basarsi sull'orario pianificato se l'ultima esecuzione della scansione si è verificata in un orario diverso a causa delle impostazioni relative alla durata della scansione o alle scansioni pianificate non eseguite. Ad esempio, si potrebbe configurare una scansione settimanale da eseguire ogni domenica a mezzanotte, con un intervallo per i tentativi successivi di un giorno. Se il computer non esegue la scansione e si avvia lunedì alle 6:00, la scansione verrà eseguita alle 6:00. La scansione successiva verrà eseguita dopo una settimana a partire da lunedì alle 6:00 anziché la domenica successiva a mezzanotte. Se il computer non viene riavviato fino a martedì alle 6:00, ossia con un ritardo di due giorni e oltre l'intervallo previsto per l'esecuzione di nuovi tentativi, Symantec Endpoint Protection non tenta di eseguire nuovamente la scansione. Per eseguirla, attenderà fino alla mezzanotte della domenica successiva. In ogni caso, se l'orario di inizio della scansione è casuale, è possibile modificare l'orario di ultima esecuzione della scansione. Per maggiori informazioni sulle opzioni di ogni finestra di dialogo, fare clic su Guida. Per pianificare una scansione definita dall'utente 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Fare clic su Crea nuova scansione. 3 Nella finestra di dialogo Crea nuova scansione Cosa sottoporre a scansione, selezionare uno di seguenti tipi di scansioni da pianificare: Active Scan sottopone a scansione le zone del computer più comunemente infettate da virus e rischi per la sicurezza. Eseguire una scansione attiva ogni giorno. Scansione completa sottopone a scansione l'intero computer per rilevare virus e rischi per la sicurezza. È consigliabile eseguire una scansione completa una volta alla settimana o al mese. Le scansioni complete possono influire sulle prestazioni del computer. Scansione personalizzata sottopone a scansione le zone selezionate del computer per rilevare virus e rischi per la sicurezza.

76 Gestione delle scansioni Pianificare una scansione definita dall'utente 4 Fare clic su Avanti. 5 Se si sceglie Scansione personalizzata, selezionare le caselle di controllo appropriate per specificare i percorsi da sottoporre a scansione, quindi fare clic su Avanti. Ai simboli seguenti corrispondono le descrizioni riportate: Il file, l'unità disco o la cartella non è selezionato. Se l'elemento è un'unità disco o una cartella, anche le cartelle e i file in esse contenuti non sono selezionati. È selezionato il singolo file o la singola cartella. È selezionata la singola cartella o unità. Sono selezionati anche tutti gli elementi contenuti nella cartella o nell unità. La singola cartella o unità non è selezionata, ma sono selezionati uno o più elementi al suo interno. 6 Nella finestra di dialogo Crea nuova scansione Opzioni di scansione, è possibile modificare le seguenti opzioni: Tipi di file Azioni Notifiche Avanzate Miglioramenti di scansione Modifica le estensioni di file che il client sottopone a scansione. Per impostazione predefinita viene eseguita una scansione di tutti i file. modifica la prima e la seconda azione da intraprendere quando vengono trovati virus e rischi per la sicurezza. crea un messaggio da visualizzare quando viene trovato un virus o un rischio per la sicurezza. È anche possibile configurare se venire notificati prima dell'esecuzione delle azioni di rimedio. Modifica funzioni di scansione aggiuntive, ad esempio la visualizzazione della finestra di dialogo dei risultati della scansione. Modifica i componenti del computer che il client sottopone a scansione. Le opzioni disponibili dipendono da quanto è stato selezionato al passaggio 3. 7 Fare clic su Avanti.

Gestione delle scansioni Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia 77 8 Nella finestra di dialogo Crea nuova scansione Quando eseguirla, fare clic su A orari specificati, quindi su Avanti. È anche possibile creare una scansione di avvio o su richiesta. Vedere "Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia" a pagina 77. 9 Nella finestra di dialogo Crea nuova scansione Pianificazione, in Pianificazione scansione, specificare la frequenza e quando eseguire la scansione, quindi fare clic su Avanti. 10 In Durata scansione, è possibile specificare il periodo di tempo entro il quale la scansione deve essere completata. È anche possibile rendere casuale l'ora di inizio della scansione. 11 In Scansioni pianificate mancate, è possibile specificare un intervallo entro il quale riprovare una scansione. 12 Nella finestra di dialogo Crea nuova scansione Nome scansione, digitare un nome e una descrizione per la scansione. Ad esempio, denominare la scansione Venerdì mattina 13 Fare clic su Fine. Pianificazione dell'esecuzione di una scansione su richiesta o quando il computer si avvia È possibile completare una scansione pianificata con una scansione automatica ogni volta che si avvia il computer o si accede al sistema. Spesso, la scansione all'avvio viene impostata in modo da esaminare solo le cartelle critiche e a rischio di infezione elevato, ad esempio la cartella di Windows e le cartelle contenenti i modelli di Microsoft Word e Microsoft Excel. Se si esegue regolarmente la scansione di uno stesso gruppo di file o cartelle, è possibile creare una scansione su richiesta limitata a tali elementi. In qualunque momento è possibile verificare rapidamente che i file e le cartelle specificati sono esenti da virus e rischi per la sicurezza. È necessario eseguire manualmente le scansioni su richiesta. se si creano più scansioni all'avvio, queste vengono eseguite in sequenza, nell'ordine in cui sono state create. L'amministratore può configurare il client in modo che l'utente non possa creare una scansione all'avvio. Vedere "Esecuzione immediata della scansione del computer" a pagina 22. Per maggiori informazioni sulle opzioni di ogni finestra di dialogo, fare clic su Guida.

78 Gestione delle scansioni Gestione delle rilevazioni di Analisi download nel computer in uso Per pianificare l'esecuzione di una scansione su richiesta o quando il computer si avvia 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Fare clic su Crea nuova scansione. 3 Specificare gli elementi da sottoporre a scansione e le opzioni di scansione per la scansione pianificata. Vedere "Pianificare una scansione definita dall'utente" a pagina 74. 4 Nella finestra di dialogo Crea nuova scansione - Quando eseguire la scansione, eseguire una delle azioni seguenti: Fare clic su All'avvio. Fare clic su Su richiesta. 5 Fare clic su Avanti. 6 Nella finestra di dialogo Crea nuova scansione Nome scansione, digitare un nome e una descrizione per la scansione. Ad esempio, denominare la scansione Scansione1 7 Fare clic su Fine. Gestione delle rilevazioni di Analisi download nel computer in uso Auto-Protect include una funzione denominata Analisi download, la quale esamina i file che si tenta di scaricare mediante browser Web e altri portali. Auto-Protect deve essere attivato per consentire il funzionamento di Analisi download. I portali supportati includono Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Windows Live Messenger e Yahoo Messenger. Nota: Nel registro dei rischi, i dettagli sui rischi per una rilevazione di Analisi download includono solo la prima applicazione del portale che ha eseguito un tentativo di download. Ad esempio, si potrebbe utilizzare Internet Explorer per scaricare un file che Analisi download rileva. Se in seguito si utilizza Firefox per scaricare il file, nel campo Scaricato da viene visualizzato Internet Explorer come portale. Nota: Auto-Protect può anche eseguire la scansione dei file che gli utenti ricevono come allegati e-mail.

Gestione delle scansioni Gestione delle rilevazioni di Analisi download nel computer in uso 79 Tabella 4-8 Gestione delle rilevazioni di Analisi download nel computer in uso Attività Descrizione Apprendere come Analisi download utilizza i dati di reputazione per la gestione dei file Analisi download determina se un file scaricato è un rischio potenziale in base alla reputazione del file. Analisi download utilizza informazioni di reputazione esclusivamente per la gestione dei file scaricati. Non utilizza quindi le firme o l'euristica. Se Analisi download consente un file, Auto-Protect o SONAR esegue la scansione del file quando l'utente apre o esegue il file. Vedere "Metodi di utilizzo dei dati di reputazione in Symantec Endpoint Protection per prendere decisioni sui file" a pagina 73. Rispondere alle rilevazioni di Analisi download Quando Analisi download effettua una rilevazione è possibile che vengano visualizzate delle notifiche. Per i client gestiti, l'amministratore potrebbe scegliere di disattivare le notifiche di rilevazione di Analisi download. Se le notifiche sono attivate, vengono visualizzati dei messaggi quando Analisi download rileva un file nocivo o un file non accertato. Per i file non accertati, si deve scegliere se consentire o meno il file. Vedere "Risposta ai messaggi di Analisi download che richiedono di consentire o bloccare un file che si sta cercando di scaricare" a pagina 33. Creare eccezioni per file o domini Web specifici È possibile creare un'eccezione per un'applicazione che gli utenti scaricano, nonché per un dominio Web specifico che si ritiene attendibile. Per impostazione predefinita, Analisi download non esamina i file che gli utenti scaricano da un sito Internet o Intranet affidabile. I siti attendibili sono configurati nella scheda Pannello di controllo di Windows > Siti Internet attendibili>protezione. Quando l'opzione Ritieniautomaticamenteattendibile qualsiasi file scaricato da un sito dell'intranet è attivata, Symantec Endpoint Protection consente qualsiasi file scaricato da uno dei siti attendibili. Analisi download riconosce solo i siti affidabili configurati esplicitamente. I caratteri jolly sono consentiti, ma non gli intervalli di indirizzi IP non instradabili. Ad esempio, Analisi download non può riconoscere 10.*.*.* come sito attendibile. Non supporta inoltre i siti rilevati mediante l'opzione Opzioni Internet > Protezione > Rileva automaticamente la rete dell'intranet. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Assicurarsi che le ricerche Insight siano attivate. Analisi download utilizza dati di reputazione per gestire i file. Se le ricercha Insight vengono disattivate, Analisi download viene eseguito ma non è in grado di effettuare rilevazioni. Le ricerche Insight sono attivate per impostazione predefinita. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98.

80 Gestione delle scansioni Gestione delle rilevazioni di Analisi download nel computer in uso Attività Descrizione Personalizzazione delle impostazioni di Analisi download È possibile personalizzare le impostazioni di Analisi download per le seguenti ragioni: Aumentare o diminuire il numero di rilevazioni di Analisi download. È possibile regolare il dispositivo di scorrimento della sensibilità di rilevazione di file nocivi per aumentare o diminuire il numero di rilevazioni. Ai livelli di sensibilità più bassi, Analisi download rileva meno file come nocivi e più file come non accertati. Meno rilevazioni vengono considerate come rilevazioni di falsi positivi. Ai livelli di sensibilità più alti, Analisi download rileva più file come nocivi e meno file come non accertati. Più rilevazioni vengono considerate come rilevazioni di falsi positivi. Modificare l'azione per rilevazioni di file nocivi o non accertati. È possibile cambiare il modo in cui Analisi download gestisce i file nocivi o non accertati. L'azione per i file non accertati potrebbe essere modificata per non ricevere notifiche relative a tali rilevazioni. Ricevere avvisi sulle rilevazioni di Analisi download. Quando Analisi download rileva un file che considera nocivo, visualizza un messaggio sul computer client se l'azione è impostata su Quarantena. È possibile annullare l'azione di quarantena. Quando Analisi download rileva un file che considera come non accertato, visualizza un messaggio sul computer client se l'azione per i file non accertati è impostata su Richiedi o Quarantena. Quando l'azione è impostata su Richiedi, è possibile consentire o bloccare il file. Quando l'azione è impostata su Quarantena, è possibile annullare l'azione di quarantena. È possibile disattivare le notifiche dell'utente in modo da non dover scegliere quando Analisi download rileva un file come non accertato. Se le notifiche sono attivate, è possibile impostare l'azione per i file non accertati su Ignora in modo da consentire sempre le rilevazioni senza visualizzare le notifiche. Quando le notifiche sono attivate, l'impostazione di sensibilità relativa ai file nocivi influisce sul numero di notifiche ricevute. Se si aumenta la sensibilità, si aumenta il numero di notifiche in quanto aumenta il numero totale di rilevazioni. Vedere "Personalizzazione delle impostazioni di Analisi download" a pagina 81. Inviare informazioni sulle rilevazioni di reputazione a Symantec Per impostazione predefinita, i client inviano informazioni sulle rilevazioni di reputazione a Symantec. Symantec consiglia di attivare gli invii per le rilevazioni della reputazione. Queste informazioni consentono a Symantec di rispondere alle minacce. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98.

Gestione delle scansioni Personalizzazione delle impostazioni di Analisi download 81 Personalizzazione delle impostazioni di Analisi download È possibile personalizzare le impostazioni di Analisi download per diminuire le rilevazioni di falsi positivi nei computer client. È possibile modificare la sensibilità di Analisi download ai dati di reputazione dei file che utilizza per caratterizzare i file nocivi, nonché modificare la notifica che Analisi download visualizza nei computer client quando effettua una rilevazione. Vedere "Gestione delle rilevazioni di Analisi download nel computer in uso" a pagina 78. Personalizzazione delle impostazioni di Analisi download 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Analisi download, assicurarsi che l'opzione Attiva Analisi download per rilevare i rischi potenziali nei file scaricati in base alla reputazione sia selezionata. Se Auto-Protect è disattivato, Analisi download non funziona anche se è attivato. 4 Spostare il dispositivo di scorrimento per modificare la sensibilità ai file nocivi. Nota: Se l'utente o l'amministratore ha installato Protezione antivirus e antispyware di base, la sensibilità ai file nocivi viene impostata sul livello 1 e non può essere modificata. Se si imposta il livello superiore, Analisi download rileva più file come nocivi e meno file come non accertati. Le impostazioni più alte, tuttavia, restituiscono più falsi positivi. 5 Selezionare o deselezionare le seguenti opzioni da utilizzare come criteri aggiuntivi per l'analisi di file non accertati: File con un numero inferiore a x utenti File noti agli utenti da meno di x giorni Quando i file non accertati soddisfano tali criteri, Analisi download li considera come nocivi.

82 Gestione delle scansioni Personalizzazione delle impostazioni di scansione antispyware e antivirus 6 Assicurarsi che l'opzione Considera automaticamente attendibili tutti i file scaricati da un sito Web della rete Intranet sia selezionata. Questa opzione viene applicata anche alle rilevazioni di Insight Lookup. 7 Fare clic su Azioni. 8 In File nocivi, specificare una prima azione e una seconda azione. 9 In File non accertati, specificare l'azione. 10 Fare clic su OK (OK). 11 Fare clic su Notifiche e specificare se visualizzare o meno una notifica quando Analisi download effettua una rilevazione. È possibile personalizzare il testo del messaggio di avvertimento visualizzato. 12 Fare clic su OK (OK). Personalizzazione delle impostazioni di scansione antispyware e antivirus Per impostazione predefinita, Symantec Endpoint Protection fornisce al computer la protezione necessaria contro i virus e rischi per la sicurezza. Se si possiede un client non gestito, è possibile configurare alcune delle impostazioni di scansione. Vedere "Gestione delle scansioni nel computer" a pagina 58. Per personalizzare una scansione definita dall'utente 1 Nel client, nella barra laterale, fare clic su Ricerca minacce. 2 Nella pagina Ricerca minacce, fare clic con il pulsante destro del mouse su una scansione e fare clic su Modifica. 3 Nella scheda Opzioni di scansione, eseguire una qualsiasi delle seguenti attività: Per modificare le impostazioni di Insight Lookup, fare clic su Insight Lookup. Le impostazioni di Insight Lookup sono simili a quelle di Download Insight. Vedere "Personalizzazione delle impostazioni di Analisi download" a pagina 81. Per specificare un numero minore di tipi di file da sottoporre a scansione, fare clic su Estensioni selezionate e quindi fare clic su Estensioni.

Gestione delle scansioni Personalizzazione delle impostazioni di scansione antispyware e antivirus 83 Nota: Le scansioni definite dall'utente eseguono sempre la scansione dei file contenitore, a meno che l'opzione per i file compressi non venga disattivata in Avanzate o che non vengano create eccezioni per le estensioni del contenitore. Per specificare la prima e la seconda azione da intraprendere su un file infetto, fare clic su Azioni. Per specificare le opzioni di notifica, fare clic su Notifiche. È possibile attivare o disattivare le notifiche che compaiono nell'interfaccia utente stile Windows 8 separatamente. Vedere "Come gestire le notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8" a pagina 97. Per configurare le opzioni avanzate per file compressi, backup e ottimizzazione, fare clic su Avanzate. È possibile modificare le opzioni di ottimizzazione per migliorare le prestazioni del computer client. Per maggiori informazioni sulle opzioni di ogni finestra di dialogo, fare clic su Guida. 4 Fare clic su OK. Per modificare le impostazioni di scansione globali 1 Eseguire una delle seguenti operazioni: Nel client, nella barra laterale, fare clic su Cambia impostazioni e accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. Nel client, nella barra laterale, fare clic su Ricerca minacce e quindi su Visualizza impostazioni di scansione globali. 2 Nella scheda Impostazioni globali, in Opzioni di scansione, modificare le impostazioni per Insight o Bloodhound. 3 Per visualizzare o creare eccezioni di scansione, fare clic su Visualizza elenco. Fare clic su Chiudi dopo la visualizzazione o la creazione di eccezioni. 4 In Conservazione registro o Protezione browser Internet, apportare le modifiche desiderate. 5 Fare clic su OK (OK). Per personalizzare Auto-Protect 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Vicino a Protezione antivirus e antispyware, fare clic su Configura impostazioni.

84 Gestione delle scansioni Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza 3 In qualsiasi scheda Auto-Protect, eseguire le seguenti attività: Per specificare un numero minore di tipi di file da sottoporre a scansione, fare clic su Selezionati e quindi fare clic su Estensioni. Per specificare la prima e la seconda azione da intraprendere su un file infetto, fare clic su Azioni. Per specificare le opzioni di notifica, fare clic su Notifiche. Per maggiori informazioni sulle opzioni di ogni finestra di dialogo, fare clic su Guida. 4 Nella scheda Auto-Protect, fare clic su Avanzate. È possibile modificare le opzioni per la cache dei file come pure opzioni per Tracer rischi e backup allo scopo di migliorare le prestazioni del computer. 5 Fare clic su Rete per cambiare le impostazioni relative all'affidabilità dei file nei computer remoti e impostare una cache di rete. 6 Fare clic su OK (OK). Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza È possibile configurare le azioni che il client Symantec Endpoint Protection deve intraprendere quando rileva malware o un rischio per la sicurezza. È possibile configurare una prima e una seconda azione da eseguire qualora la prima azione non andasse a buon fine. Nota: Se in un computer gestito dall'amministratore è visualizzata l'icona del lucchetto in corrispondenza delle opzioni, significa che non è possibile modificarle perché l'amministratore le ha bloccate. Le azioni per qualunque tipo di scansione si configurano nello stesso modo. Ogni scansione ha una propria configurazione per le azioni da intraprendere. È possibile configurare azioni differenti per scansioni differenti. Nota: Le azioni per Download Insight e SONAR vengono configurate separatamente. Vedere "Personalizzazione delle impostazioni di scansione antispyware e antivirus" a pagina 82. Vedere "Personalizzazione delle impostazioni di Analisi download" a pagina 81.

Gestione delle scansioni Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza 85 Vedere "Modifica delle impostazioni SONAR" a pagina 103. Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, fare clic su?. Per configurare azioni per le rilevazioni di malware e rischi per la sicurezza 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni o Ricerca minacce. 2 Eseguire una delle seguenti operazioni: Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni, quindi in qualsiasi scheda di Auto-Protect tab, fare clic su Azioni. Selezionare una scansione, fare clic con il pulsante destro del mouse e selezionare Modifica, quindi fare clic su Opzioni di scansione. 3 Fare clic su Azioni. 4 Nella finestra di dialogo Azioni di scansione, selezionare la categoria o la sottocategoria in Malware o Rischi per la sicurezza. Per impostazione predefinita, ogni sottocategoria è configurata automaticamente per utilizzare le azioni che sono impostate per l'intera categoria. Le categorie cambiano dinamicamente nel tempo con l'acquisizione di nuove informazioni sui rischi. 5 Per configurare azioni solo per una sottocategoria, effettuare una delle seguenti operazioni: Selezionare Sovrascrivi le azioni configurate per Malware, quindi impostare le azioni solo per quella sottocategoria. Nota: A seconda del modo in cui Symantec classifica i rischi, una categoria potrebbe includere una sola sottocategoria. Ad esempio, in Malware, potrebbe esserci una sola sottocategoria denominata Virus. Selezionare Sovrascrivi le azioni configurate per Rischi per la sicurezza, quindi impostare le azioni solo per quella sottocategoria.

86 Gestione delle scansioni Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza 6 Selezionare una prima e una seconda azione tra le seguenti opzioni: Pulisci rischio Rimuove il virus dal file infetto. Rappresenta la prima azione predefinita per i virus. Nota: questa azione è disponibile solo come prima azione per i virus e non si applica ai rischi per la sicurezza. Questa impostazione dovrebbe sempre essere la prima azione per i virus. Se il client elimina correttamente un virus da un file, non sarà necessario eseguire altre azioni, in quanto il computer non contiene più il virus e non è soggetto alla diffusione di tale virus in altre aree. Quando pulisce un file, il client rimuove il virus dal file, dal settore di avvio o dalle tabelle di partizione infettate. Elimina inoltre la capacità del virus di diffondersi. Di solito il client può trovare e pulire un virus prima che danneggi il computer. Per impostazione predefinita, il client esegue una copia di backup del file. In alcuni casi, tuttavia, il file pulito potrebbe non essere utilizzabile in quanto il virus potrebbe aver causato troppi danni. Alcuni file infetti non possono essere ripuliti. Nota: Symantec Endpoint Protection non pulisce i malware rilevati nelle applicazioni e nei file di tipo Windows 8. Symantec Endpoint Protection elimina il rilevamento. Rischio quarantena Sposta fisicamente il file infetto dalla posizione originale alla quarantena. I file infetti in quarantena non possono diffondere i virus. Per i virus, sposta il file infetto dalla posizione originale mettendolo in quarantena. Questa impostazione rappresenta la seconda azione predefinita per i virus. Per i rischi per la sicurezza, sposta il file infetto dalla posizione originale mettendolo in quarantena e tenta di rimuovere o riparare eventuali effetti secondari. Rappresenta la prima azione predefinita per i rischi per la sicurezza. La quarantena contiene un record di tutte le azioni che sono state effettuate. È possibile riportare il computer allo stato in cui si trovava prima che il client rimuovesse il rischio. Nota: Symantec Endpoint Protection non mette in quarantena i malware rilevati nelle applicazioni e nei file di tipo Windows 8. Symantec Endpoint Protection elimina il rilevamento.

Gestione delle scansioni Configurazione delle azioni per le rilevazioni di malware e rischi per la sicurezza 87 Elimina rischio Elimina il file infetto dal disco rigido del computer. Se il client non è in grado di eliminare un file, le informazioni relative all'azione che il client ha effettuato vengono visualizzate nella finestra di dialogo Notifica. Le informazioni compaiono anche nel registro eventi. Utilizzare questa azione soltanto se è possibile sostituire il file con una copia di backup che è esente dal virus o dai rischi per la sicurezza. Quando elimina un rischio, il client lo elimina permanentemente. Il file infettato non può essere recuperato dal cestino. Nota: Utilizzare con prudenza questa azione quando si configurano le azioni da intraprendere per i rischi per la sicurezza. In alcuni casi, l'eliminazione di un rischio per la sicurezza comporta problemi di funzionamento in alcune applicazioni. Non intervenire (solo registrazione) Lascia il file invariato. Se si utilizza questa azione per i virus, il virus rimane nei file infettati. Il virus può diffondersi ad altre aree del computer. In Cronologia rischi viene inserita una voce per tenere traccia del file infetto. È possibile utilizzare Non intervenire (solo registrazione) come seconda azione per malware e rischi per la sicurezza. Non selezionare questa azione quando si effettuano scansioni su vasta scala e automatizzate, quali le scansioni pianificate. È possibile utilizzare questa azione per visualizzare i risultati della scansione e prendere ulteriori provvedimenti successivamente. Un'azione supplementare potrebbe consistere nello spostare il file in quarantena. Per i rischi per la sicurezza, l'azione lascia il file infetto invariato nella stessa posizione e nella Cronologia dei rischi viene inserita una voce per tenere traccia del rischio. Utilizzare questa opzione per assumere il controllo manuale della gestione di un rischio per la sicurezza da parte del client. Questa impostazione rappresenta la seconda azione predefinita in relazione ai rischi per la sicurezza. L'amministratore di sistema può inviare un messaggio personalizzato che indica all'utente gli interventi da eseguire. 7 Ripetere questi punti per ogni categoria per cui si desidera impostare azioni specifiche, quindi fare clic su OK.

88 Gestione delle scansioni Informazioni sull'esclusione di elementi dalle scansioni 8 Se si seleziona una categoria di rischi per la sicurezza è possibile selezionare azioni personalizzate per una o più istanze specifiche di tale categoria di rischi. È possibile escludere un rischio per la sicurezza dalla scansione. Ad esempio, è possibile escludere una parte dell'adware che è necessario utilizzare nel proprio lavoro. 9 Fare clic su OK (OK). Informazioni sull'esclusione di elementi dalle scansioni Le eccezioni sono rischi per la sicurezza noti, file, estensioni di file e processi che si desidera escludere da una scansione. Se è stata eseguita la scansione del computer e si sa che determinati file sono sicuri, è possibile escluderli. In alcuni casi, le eccezioni possono ridurre il tempo di scansione e aumentare le prestazioni del sistema. In genere, non è necessario creare eccezioni. Nei client gestiti, l'amministratore può creare eccezioni per le scansioni. Se si crea un'eccezione che è in conflitto con un'eccezione definita dall'amministratore, l'eccezione definita dall'amministratore ha la precedenza. L'amministratore può anche impedire agli utenti finali di configurare alcuni o tutti i tipi di eccezioni. Nota: Se l'applicazione di posta elettronica memorizza tutti i messaggi di e-mail in un singolo file, è necessario creare un'eccezione per escludere il file della posta in arrivo dalle scansioni. Per impostazione predefinita, le scansioni mettono in quarantena i virus. Se una scansione rileva un virus nel file della posta in arrivo, mette in quarantena l'intera casella della posta in arrivo. Se la scansione mette in quarantena la casella della posta in arrivo, non è possibile accedere alla posta elettronica. Tabella 4-9 Tipo di eccezione File Tipi di eccezioni Descrizione Viene applicata a scansioni antivirus e antispyware Le scansioni ignorano il file selezionato. Cartella Viene applicata a scansioni antivirus e antispyware o SONAR oppure a entrambe Le scansioni ignorano la cartella selezionata. Rischi noti Viene applicata a scansioni antivirus e antispyware Le scansioni ignorano i rischi noti selezionati.

Gestione delle scansioni Esclusione di elementi dalle scansioni 89 Tipo di eccezione Estensioni Descrizione Viene applicata a scansioni antivirus e antispyware Le scansioni ignorano i file con le estensioni specificate. Dominio Web Viene applicata a scansioni antivirus e antispyware Download Insight ignora il dominio Web attendibile specificato. Applicazione Viene applicata a scansioni antivirus, antispyware e SONAR Le scansioni ignorano, registrano, mettono in quarantena o terminano l'applicazione indicata. Modifica file host o DNS Si applica a SONAR Le scansioni ignorano, registrano o bloccano un'applicazione oppure informano l'utente quando un'applicazione specifica tenta di cambiare le impostazioni DNS o modificare un file host. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Esclusione di elementi dalle scansioni Le eccezioni sono rischi per la sicurezza noti, file, cartelle, estensioni di file, domini Web o applicazioni che si desidera escludere dalle scansioni. Se è stata eseguita la scansione del computer e si sa che determinati file sono sicuri, è possibile escluderli. In alcuni casi, le eccezioni possono ridurre il tempo di scansione e aumentare le prestazioni del sistema. È anche possibile creare eccezioni per le applicazioni che tentano di apportare modifiche a file host o DNS. In genere non è necessario creare eccezioni. Nei client gestiti, l'amministratore può creare eccezioni per le scansioni. Se si crea un'eccezione che è in conflitto con un'eccezione definita dall'amministratore, l'eccezione definita dall'amministratore ha la precedenza. SONAR non supporta le eccezioni relative ai file. Utilizzare un'eccezione di applicazione per escludere un file da SONAR. Nota: Nell'installazione Server Core di Windows Server 2008, l'aspetto delle finestre di dialogo potrebbe essere diverso da quello descritto in queste procedure.

90 Gestione delle scansioni Esclusione di elementi dalle scansioni Per escludere elementi dalle scansioni dei rischi per la sicurezza 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Eccezioni, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Eccezioni, in Eccezioni definite dall'utente, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza. 4 Selezionare uno dei seguenti tipi di eccezione: Rischi noti File Cartella Estensioni Dominio Web 5 Eseguire una delle seguenti operazioni: Per i rischi noti, verificare i rischi per la sicurezza che si intende escludere dalle scansioni. Se si desidera registrare un evento quando il rischio per la sicurezza è rilevato e ignorato, selezionare Registra quando il rischio per la sicurezza viene rilevato.. Per i file o le cartelle, selezionare il file o la cartella che si desidera escludere, o immettere il nome di un file o una cartella. Selezionare il tipo di scansione ( Tutte le scansioni, Auto-Protect o Pianificate e su richiesta ), quindi fare clic su OK. Per le estensioni, digitare l'estensione da escludere. È possibile includere un solo nome di estensione nella casella di testo. Se si digitano più estensioni, il client tratta la voce come nome di estensione singolo. Per i domini, immettere un sito Web o un indirizzo IP che si desidera escludere da Analisi download e dalla rilevazione SONAR. 6 Fare clic su OK. Per escludere una cartella da SONAR 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Eccezioni, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Eccezioni, in Eccezioni definite dall'utente, fare clic su Aggiungi > Eccezione SONAR > Cartella.

Gestione delle scansioni Gestione di file in quarantena nel computer client 91 4 Selezionare la cartella che si desidera escludere, selezionare o deselezionare Includi sottocartelle, quindi fare clic su OK. 5 Fare clic su Chiudi. Per modificare il modo in cui tutte le scansioni gestiscono un'applicazione 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Eccezioni, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Eccezioni, in Eccezioni definite dall'utente, fare clic su Aggiungi > Eccezione applicazioni. 4 Selezionare il nome di file dell'applicazione 5 Nella casella di riepilogo Azione, selezionare Ignora, Registra soltanto, Quarantena, Termina o Rimuovi. 6 Fare clic su OK. 7 Fare clic su Chiudi. Vedere "Gestione delle scansioni nel computer" a pagina 58. Vedere "Informazioni sull'esclusione di elementi dalle scansioni" a pagina 88. Gestione di file in quarantena nel computer client Per impostazione predefinita, Symantec Endpoint Protection cerca di eliminare un virus da un file infetto quando viene rilevato. Se il file non può essere pulito, la scansione mette il file in quarantena nel computer. Per i rischi per la sicurezza, le scansioni spostano i file infetti nella quarantena e riparano gli eventuali effetti secondari del rischio per la sicurezza. Anche Download Insight e SONAR possono mettere in quarantena i file. Vedere "Informazioni su come mettere in quarantena i file" a pagina 93. Tabella 4-10 Attività Gestione di file in quarantena nel computer client Descrizione Ripristinare un file in quarantena nella posizione originale Talvolta, la posizione originale del file non è più identificabile, ad esempio quando un allegato infetto viene estratto dal messaggio di e-mail di appartenenza e messo in quarantena. È necessario rilasciare il file e specificare la posizione desiderata.

92 Gestione delle scansioni Gestione di file in quarantena nel computer client Attività Mettere manualmente un file in quarantena Descrizione È possibile mettere manualmente un file in quarantena aggiungendolo alla quarantena o selezionando il file nei registri SONAR o di virus e spyware. Vedere "Mettere in quarantena un file dal registro dei rischi o delle scansioni" a pagina 94. Cancellare permanentemente i file dalla quarantena È possibile eliminare manualmente dalla quarantena i file non più necessari e definire un periodo di tempo trascorso il quale i file vengono eliminati automaticamente. Nota: è possibile che l'amministratore abbia impostato il numero massimo di giorni di permanenza dei file in quarantena. Trascorso tale periodo, i file vengono eliminati automaticamente. Eseguire la scansione dei file in quarantena dopo avere ricevuto nuove definizioni Quando si aggiornano le definizioni, i file in quarantena potrebbero essere sottoposti a scansione, puliti e ripristinati automaticamente. Per alcuni file, viene visualizzata la procedura di riparazione guidata. Seguire le istruzioni visualizzate per completare la scansione e la riparazione. È anche possibile eseguire manualmente la scansione dei file in quarantena. Esportare le informazioni sulla quarantena Inviare i file infetti presenti nella cartella Quarantena a Symantec Security Response È possibile esportare il contenuto della cartella Quarantine in un file delimitato da virgole (*.csv) o in un file del database Microsoft Access (*.mdb). Dopo la scansione degli elementi in quarantena, è possibile inviare un file ancora infetto a a Symantec Security Response per un'ulteriore analisi. Vedere "Invio manuale di un file potenzialmente infetto a Symantec Security Response per l'analisi" a pagina 94. Cancellazione di elementi di backup Prima di cercare di pulire o riparare degli elementi, per impostazione predefinita il client esegue copie di backup degli elementi infettati. Dopo che il client rimuove un virus, è necessario eliminare manualmente l'elemento dalla quarantena perché il backup è ancora infettato.

Gestione delle scansioni Gestione di file in quarantena nel computer client 93 Attività Eliminazione automatica di file dalla quarantena Descrizione È possibile impostare il client per rimuovere automaticamente gli elementi dalla quarantena dopo un intervallo di tempo specificato. È anche possibile specificare che il client rimuova degli elementi quando la cartella in cui sono memorizzati raggiunge una determinata dimensione. Ciò impedisce l'accumulo di file che si potrebbe dimenticare di eliminare manualmente. Vedere "Eliminazione automatica di file dalla quarantena" a pagina 95. Informazioni su come mettere in quarantena i file Quando il client sposta un file infetto in Quarantena, il virus o il rischio non può infettare altri file nel computer o in altri computer nella rete. Tuttavia, lo spostamento dei file in quarantena non elimina il rischio. Il rischio rimane nel computer fino a quando il client non elimina il rischio o il file. Non è possibile accedere al file, ma è possibile rimuovere il file dalla quarantena. Quando il computer viene aggiornato con le nuove definizioni virus, il client verifica automaticamente l'area di quarantena. È possibile sottoporre di nuovo a scansione gli elementi nell'area di quarantena. Le definizioni più recenti potrebbero pulire o riparare i file precedentemente messi in quarantena. La maggior parte dei virus possono essere messi in quarantena. I virus all'avvio risiedono nel settore di avvio o nelle tabelle di partizione di un computer. Tali elementi non possono essere spostati in quarantena. In alcuni casi il client rileva un virus sconosciuto che non può essere eliminato con le definizioni dei virus correnti. Se si ritiene che un file sia infetto ma le scansioni non rilevano alcuna infezione, è consigliabile mettere in quarantena il file. Nota: la lingua del sistema operativo in cui si esegue il client potrebbe non essere in grado di interpretare alcuni caratteri nei nomi dei rischi. Se il sistema operativo non riesce a interpretare i caratteri, i caratteri appaiono come punti interrogativi nelle notifiche. Ad esempio, alcuni nomi di rischi in formato Unicode potrebbero contenere caratteri a doppio byte. Nei computer che eseguono il client in un sistema operativo italiano, questi caratteri appaiono come punti interrogativi. Vedere "Gestione di file in quarantena nel computer client" a pagina 91.

94 Gestione delle scansioni Gestione di file in quarantena nel computer client Mettere in quarantena un file dal registro dei rischi o delle scansioni Sulla base dell'azione preimpostata per una rilevazione delle minacce, il client potrebbe o meno eseguire l'azione selezionata quando si verifica una rilevazione. È possibile utilizzare il registro dei rischi o delle scansioni per mettere un file in quarantena in un momento successivo. Vedere "Informazioni su come mettere in quarantena i file" a pagina 93. Vedere "Gestione di file in quarantena nel computer client" a pagina 91. Per mettere in quarantena un file dal registro dei rischi o delle scansioni 1 Nel client, fare clic su Visualizza registri. 2 Accanto a Protezioneantiviruseantispyware, fare clic su Visualizzaregistro e quindi selezionare Registro rischi o Registro scansioni. 3 Selezionare il file che si desidera mettere in quarantena e quindi fare clic su Quarantena. 4 Fare clic su OK e quindi Fare clic su Chiudi. Invio manuale di un file potenzialmente infetto a Symantec Security Response per l'analisi Quando si invia un elemento infetto dall'elenco di quarantena a Symantec Security Response, l'elemento può essere analizzato per assicurarsi che non sia infetto. Symantec Security Response inoltre utilizza questi dati per la protezione contro minacce recenti e in evoluzione. Nota: L'opzione di invio non è disponibile se l'amministratore disattiva questi tipi di invi. Vedere "Gestione di file in quarantena nel computer client" a pagina 91. Per inviare un file a Symantec Security Response dalla quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Selezionare il file nell'elenco degli elementi in quarantena. 3 Fare clic su Invia. 4 Seguire le istruzioni della procedura guidata per raccogliere le informazioni necessarie, quindi inviare il file da analizzare.

Gestione delle scansioni Gestione di file in quarantena nel computer client 95 Eliminazione automatica di file dalla quarantena È possibile impostare il software per rimuovere automaticamente gli elementi dall'elenco della quarantena dopo un intervallo di tempo specificato. È anche possibile specificare che il client rimuova degli elementi quando la cartella in cui sono memorizzati raggiunge una determinata dimensione. Ciò impedisce l'accumulo di file che si potrebbe dimenticare di eliminare manualmente. Vedere "Gestione di file in quarantena nel computer client" a pagina 91. Per eliminare automaticamente i file dalla quarantena 1 Nel client, nella barra laterale, fare clic su Visualizza quarantena. 2 Fare clic su Opzioni eliminazione. 3 Nella finestra di dialogo Opzioni eliminazione, selezionare una delle seguenti schede: Elementi di quarantena Elementi di backup Elementi riparati 4 Selezionare o deselezionare La durata di memorizzazione supera per attivare o disattivare la capacità del client di eliminare i file dopo che il tempo configurato scade. 5 Se si seleziona la casella di controllo di La durata di memorizzazione supera, digitare o fare clic su una freccia per immettere la durata. 6 Selezionare l'unità di tempo dall'elenco a discesa. L'impostazione predefinita è 30 giorni. 7 Se si seleziona la casella di controllo Ladimensionecomplessivadellacartella supera, digitare la dimensione massima consentita in MB. L'impostazione predefinita è 50 megabyte. Se si selezionano entrambe le caselle di controllo, i file con data precedente a quella definita vengono eliminati per primi. Se la dimensione della cartella supera ancora il limite impostato, il client elimina individualmente i file meno recenti. Il client elimina i file meno recenti fino a quando la dimensione della cartella non rientra nel limite. 8 Ripetere i passaggi da 4 a 7 per tutte le altre schede. 9 Fare clic su OK.

96 Gestione delle scansioni Attivazione o disattivazione dell'anti-malware con avvio anticipato (ELAM) Attivazione o disattivazione dell'anti-malware con avvio anticipato (ELAM) L'anti-malware con avvio anticipato (ELAM) assicura protezione per il computer all'avvio e prima dell'inizializzazione dei driver di terzi. Il software nocivo può essere caricato come driver o potrebbero verificarsi attacchi rootkit prima che il sistema operativo venga caricato completamente e Symantec Endpoint Protection venga avviato. Talvolta i rootkit possono rimanere invisibili alle scansioni antivirus e antispyware. L'anti-malware con avvio anticipato rileva i rootkit e i driver dannosi all'avvio. Symantec Endpoint Protection fornisce un driver anti-malware con avvio anticipato compatibile con quello fornito da Microsoft per assicurare la protezione completa. Le impostazioni sono supportate in Microsoft Windows 8. Nota: Non è possibile creare eccezioni per singoli rilevamenti ELAM; tuttavia è possibile creare un'eccezione globale per registrare tutti i driver dannosi come sconosciuti. Per alcuni rilevamenti ELAM che richiedono l'applicazione di un rimedio, potrebbe essere necessario eseguire Power Eraser. Power Eraser fa parte dello strumento di supporto di Symantec Endpoint Protection. Per attivare o disattivare l'anti-malware con avvio anticipato 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione antivirus e antispyware, fare clic su Configura impostazioni. 3 Nella scheda Anti-malware con avvio anticipato, selezionare o deselezionare Attiva Anti-malware con avvio anticipato Symantec. È necessario attivare il driver anti-malware con avvio anticipato di Windows affinché questa opzione venga applicata. 4 Se si desidera registrare solo i rilevamenti, in Quando Symantec Endpoint Protection rileva un driver potenzialmente nocivo, selezionare Registra il rilevamento come sconosciuto per consentire a Windows di caricare il driver. 5 Fare clic su OK. Vedere "Gestione delle scansioni nel computer" a pagina 58. Vedere "Risoluzione dei problemi del computer con lo strumento di supporto Symantec Endpoint Protection" a pagina 25.

Gestione delle scansioni Come gestire le notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 97 Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Come gestire le notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8 Per impostazione predefinita le notifiche pop-up vengono visualizzate nell'interfaccia utente in stile Windows 8 e sul desktop di Windows 8 quando vengono rilevati malware o altri eventi critici di Symantec Endpoint Protection. È possibile eseguire le seguenti azioni di gestione delle notifiche pop-up: Nel client, modificare l'impostazione globale per le notifiche dell'interfaccia utente in stile Windows 8 nella pagina Impostazioni per la gestione client. In Windows 8, cambiare le impostazioni di notifica per il sistema operativo. Le notifiche di Symantec Endpoint Protection vengono visualizzate solo se Windows 8 è configurato per mostrarle. Consultare la documentazione utente di Windows 8 per maggiori informazioni. Nei client gestiti l'amministratore può decidere se far vedere o meno le notifiche pop-up in Windows 8. Vedere "Risposta alle notifiche pop-up di Symantec Endpoint Protection che vengono visualizzate nei computer con Windows 8" a pagina 34. Informazioni sull'invio a Symantec Security Response di informazioni relative a rilevazioni È possibile configurare i computer per l'invio automatico delle informazioni sulle rilevazioni a Symantec Security Response per analisi. Symantec Response e Global Intelligence Network utilizzano queste informazioni per elaborare rapidamente delle soluzioni per le nuove minacce e quelle in evoluzione. I dati inviati migliorano la capacità di Symantec di rispondere alle minacce e di personalizzare la protezione. Symantec consiglia di autorizzare sempre gli invii. Vedere "Informazioni sul client Symantec Endpoint Protection" a pagina 11. È possibile scegliere di inviare i seguenti tipi di dati: Reputazione file Informazioni sui file rilevati in base alla relativa reputazione. Le informazioni su tali file vengono inserite nel database di reputazione di Symantec Insight

98 Gestione delle scansioni Invio di informazioni sulle rilevazioni a Symantec Security Response utilizzato per migliorare la protezione dei computer contro nuovi rischi e quelli emergenti. Rilevazioni dell'antivirus Informazioni su rilevazioni di scansione antispyware e antivirus. Rilevazioni antivirus euristiche avanzate Informazioni sulle potenziali minacce rilevate da Bloodhound e altra euristica di scansione antispyware e antivirus. Le rilevazioni non generano messaggi e non vengono visualizzate nel Registro rischi. Informazioni su tali rilevazioni sono utilizzate per analisi statistiche. Rilevazioni SONAR Informazioni sulle minacce rilevate da SONAR, che comprendono rilevazioni ad alto o basso rischio, eventi di modifica del sistema e comportamento sospetto di applicazioni attendibili. Euristica SONAR Le rilevazioni di euristica SONAR non generano messaggi e non vengono visualizzate nel Registro rischi. Queste informazioni sono utilizzate per analisi statistica. È inoltre possibile inviare manualmente un campione a Symantec Response dalla quarantena o mediante il sito Web di Symantec. Per inviare un file mediante il sito Web di Symantec, contattare il supporto tecnico di Symantec. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98. Vedere "Metodi di utilizzo dei dati di reputazione in Symantec Endpoint Protection per prendere decisioni sui file" a pagina 73. Invio di informazioni sulle rilevazioni a Symantec Security Response Symantec Endpoint Protection può proteggere i computer monitorando le informazioni in entrata e in uscita e bloccando i tentativi di attacco. È possibile configurare il computer per inviare informazioni sulle minacce rilevate a Symantec Security Response. Symantec Security Response utilizza queste informazioni per proteggere i computer client da minacce recenti, mirate e in evoluzione. I dati inviati migliorano la capacità di Symantec di rispondere alle minacce e di personalizzare la protezione per il computer. Symantec consiglia di inviare più informazioni possibili sulle rilevazioni.

Gestione delle scansioni Informazioni sul client e sul Centro sicurezza PC 99 È inoltre possibile inviare manualmente un campione a Symantec Response dalla pagina Quarantena. Questa pagina consente inoltre di determinare la modalità di invio degli elementi a Symantec Security Response. Per configurare gli invii a Symantec Security Response 1 Selezionare Cambia impostazioni > Gestione client. 2 Nella scheda Invii, selezionare Consenti al computer di inviare automaticamente a Symantec determinate informazioni anonime sulla sicurezza. Questa opzione consente a Symantec Endpoint Protection di inviare informazioni sulle minacce rilevate nel computer. Symantec consiglia di mantenere attivata questa opzione. 3 Selezionare i tipi di informazioni da inviare. Fare clic su Guida per ulteriori informazioni su queste opzioni. 4 Attivare Abilita ricerche Insight per la rilevazione delle minacce per consentire a Symantec Endpoint Protection di utilizzare il database di reputazione di Symantec per la gestione delle minacce. 5 Fare clic su OK. Vedere "Gestione di file in quarantena nel computer client" a pagina 91. Vedere "Informazioni sull'invio a Symantec Security Response di informazioni relative a rilevazioni" a pagina 97. Informazioni sul client e sul Centro sicurezza PC Se si utilizza Centro sicurezza PC (WSC, Windows Security Center) in Windows XP con Service Pack 2 o Service Pack 3, è possibile visualizzare lo stato di Symantec Endpoint Protection in WSC. La Tabella 4-11 mostra un reporting sullo stato della protezione in Centro sicurezza PC Windows. Tabella 4-11 Reporting sullo stato della protezione in Centro sicurezza PC Windows Condizione del prodotto Symantec Symantec Endpoint Protection non è installato Symantec Endpoint Protection è installato con protezione completa Stato della protezione NON TROVATO (rosso) ATTIVATO (verde)

100 Gestione delle scansioni Informazioni su SONAR Condizione del prodotto Symantec Symantec Endpoint Protection è installato ma le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec Endpoint Protection è installato ma Auto-Protect per il file system non è attivato Symantec Endpoint Protection è installato, Auto-Protect per il file system non è attivato e le definizioni dei virus e dei rischi per la sicurezza non sono aggiornate Symantec Endpoint Protection è installato e ccsvchst è stato disattivato manualmente Stato della protezione NON AGGIORNATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) DISATTIVATO (rosso) La Tabella 4-12 mostra un reporting sullo stato del firewall Symantec Endpoint Protection in Centro sicurezza PC Windows. Tabella 4-12 Reporting dello stato del firewall in Centro sicurezza PC Windows Condizione del prodotto Symantec Il firewall Symantec non è installato Il firewall Symantec è installato e attivato Il firewall Symantec è installato ma non attivato Il firewall Symantec non è installato o attivato, ma è installato e attivato un firewall di terze parti Stato del firewall NON TROVATO (rosso) ATTIVATO (verde) DISATTIVATO (rosso) ATTIVATO (verde) Nota: In Symantec Endpoint Protection, Windows Firewall è disattivato per impostazione predefinita. Se esistono più firewall attivati, Centro sicurezza PC riferisce che sono installati e attivati più firewall. Informazioni su SONAR SONAR rappresenta la protezione in tempo reale in grado di rilevare l'esecuzione di applicazioni potenzialmente nocive nei computer. SONAR fornisce la protezione Zero Day poiché rileva le minacce prima della creazione di definizioni di rilevazione tradizionali di virus e spyware per la protezione dalle minacce.

Gestione delle scansioni Informazioni su SONAR 101 SONAR utilizza l'euristica e i dati di reputazione per rilevare minacce emergenti e sconosciute. SONAR fornisce un livello aggiuntivo di protezione nei computer client e funge da complemento alla protezione antivirus e antispyware, alla prevenzione delle intrusioni e alla protezione firewall esistenti. SONAR utilizza un sistema di euristica che sfrutta la tecnologia online Intelligence Network di Symantec con controllo locale dinamico nei computer per il rilevamento delle minacce emergenti. SONAR inoltre rileva le modifiche o il comportamento nei computer da controllare. Nota: Auto-Protect inoltre utilizza un tipo di euristica denominata Bloodhound per rilevare il comportamento sospetto nei file. SONAR potrebbe inserire del codice nelle applicazioni eseguite in modalità utente Windows per monitorare la presenza di eventuali attività sospette. In alcuni casi, l'inserimento può influire sulle prestazioni dell'applicazione o causare problemi durante la relativa esecuzione. È possibile creare un'eccezione per escludere il file, la cartella, o l'applicazione da questo tipo di monitoraggio. Nota: SONAR non inserisce codice nelle applicazioni in client Symantec Endpoint Protection 12.1 o precedenti. Se si utilizza Symantec Endpoint Protection Manager 12.1.2 per gestire i client, un'eccezione file SONAR in una politica delle eccezioni viene ignorata nei client precedenti. Se si utilizza un Symantec Endpoint Protection Manager precedente per gestire i client, la politica precedente non supporta le eccezioni file SONAR per i client di Symantec Endpoint Protection 12.1.2. È tuttavia possibile impedire l'inserimento di codice SONAR nelle applicazioni di questi client, creando l'eccezione Applicazione da controllare nella politica precedente. Dopo che il client acquisisce l'applicazione, è possibile configurare un'eccezione per l'applicazione nella politica. SONAR non riesegue rilevazioni relative al tipo di applicazione, ma solo sul comportamento dei processi. SONAR agisce su un'applicazione solo se tale applicazione si comporta in modo dannoso, indipendentemente dal tipo di applicazione. Ad esempio, se Trojan horse o keylogger non agiscono in modo dannoso, SONAR non li rileva. SONAR rileva i seguenti elementi: Minacce euristiche SONAR utilizza l'euristica per determinare se un file sconosciuto si comporta in modo sospetto e se rappresenta un rischio elevato o ridotto. Utilizza inoltre dati di reputazione per determinare se la minaccia costituisce un rischio elevato o ridotto.

102 Gestione delle scansioni Gestione di SONAR nel computer client Modifiche al sistema Applicazioni attendibili con comportamento nocivo SONAR rileva le applicazioni o i file che cercano di modificare le impostazioni DNS o un file host in un computer client. Alcuni file ritenuti attendibili possono essere associati a comportamenti sospetti. SONAR rileva tali file come eventi di comportamento sospetto. Ad esempio, un'applicazione che condivide un documento noto potrebbe creare file eseguibili. Se si disattiva Auto-Protect, limitare la capacità di SONAR di fare rilevazioni di file ad alto e basso rischio. Se si disattivano le ricerche Insight (interrogazioni di reputazione), si limita anche la funzionalità di rilevazione di SONAR. Vedere "Gestione di SONAR nel computer client" a pagina 102. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Gestione di SONAR nel computer client SONAR viene gestito come componente di Protezione proattiva contro le minacce. Nei client gestiti, l'amministratore potrebbe bloccare alcune delle impostazioni. Tabella 4-13 Attività Gestione di SONAR nel computer client Descrizione Assicurarsi che SONAR sia attivato Per assicurare la migliore protezione del computer client, SONAR deve essere attivato (impostazione predefinita). SONAR viene attivato quando si attiva Protezione proattiva contro le minacce. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Assicurarsi che le ricerche Insight siano attivate Per effettuare le rilevazioni, SONAR utilizza i dati di reputazione oltre all'euristica. Se si disattivano le ricerche Insight (interrogazioni di reputazione), SONAR effettua le rilevazioni utilizzando soltanto l'euristica. In tal caso, il numero di falsi positivi potrebbe aumentare e la protezione fornita da SONAR è limitata. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98.

Gestione delle scansioni Modifica delle impostazioni SONAR 103 Attività Modificare le impostazioni SONAR Descrizione È possibile attivare o disattivare SONAR nonché modificare l'azione di rilevazione per alcuni tipi di minacce che SONAR rileva. Ad esempio, si potrebbe cambiare l'azione di rilevazione per ridurre le rilevazioni di falsi positivi. Vedere "Modifica delle impostazioni SONAR" a pagina 103. Creare eccezioni per applicazioni ritenute del tutto sicure SONAR consente di rilevare i file o le applicazioni che si desidera eseguire sul computer. È possibile creare eccezioni SONAR per i file, le cartelle o le applicazioni alla pagina Eccezioni>Cambiaimpostazioni. È anche possibile creare un'eccezione in Quarantena. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Prevenzione dell'esame di alcune applicazioni da parte di SONAR Quando SONAR inserisce del codice in un'applicazione per esaminarla, in alcuni casi è possibile che tale applicazione diventi instabile o che non possa essere eseguita. È possibile creare un'eccezione file o applicazione per l'applicazione. Vedere "Esclusione di elementi dalle scansioni" a pagina 89. Inviare informazioni sulle rilevazioni SONAR a Symantec Security Response Symantec consiglia di inviare informazioni sulle rilevazioni a Symantec Security Response. Queste informazioni consentono a Symantec di rispondere alle minacce. Gli invii sono attivati per impostazione predefinita. Vedere "Invio di informazioni sulle rilevazioni a Symantec Security Response" a pagina 98. Vedere "Gestione delle scansioni nel computer" a pagina 58. Vedere "Informazioni sui tipi di scansione" a pagina 67. Modifica delle impostazioni SONAR È possibile modificare le azioni SONAR per ridurre il numero di rilevazioni di falsi positivi, nonché modificare le notifiche per le rilevazioni euristiche SONAR. Vedere "Gestione di SONAR nel computer client" a pagina 102.

104 Gestione delle scansioni Modifica delle impostazioni SONAR Nota: Nei client gestiti, l'amministratore potrebbe bloccare queste impostazioni. Per modificare le impostazioni SONAR 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione proattiva delle minacce, fare clic su Configura impostazioni. 3 Nella scheda SONAR, cambiare le azioni per le minacce euristiche ad alto rischio o a basso rischio. È possibile attivare la modalità Aggressiva per le rilevazioni a rischio basso. Questa impostazione aumenta la sensibilità di SONAR per le rilevazioni a basso rischio e potrebbe aumentare le rilevazioni di falsi positivi. 4 Facoltativamente, cambiare le impostazioni delle notifiche. 5 Nella scheda Rilevazione comportamento sospetto, cambiare l'azione per le rilevazioni a rischio alto o basso. SONAR effettua queste rilevazioni quando file attendibili sono associati a un comportamento sospetto. 6 Nella scheda Eventi di modifica del sistema, modificare l'azione di scansione per le rilevazioni di modifiche apportate alle impostazioni del server DNS o a un file host. 7 Fare clic su OK.

Capitolo 5 Gestione del firewall e della prevenzione delle intrusioni Il capitolo contiene i seguenti argomenti: Gestione della protezione firewall Gestione delle regole firewall Attivazione o disattivazione delle impostazioni firewall Come consentire o bloccare l'accesso alla rete alle applicazioni Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer Configurazione del client per il blocco del traffico quando lo screen saver è attivo o il firewall non funziona Gestione della prevenzione delle intrusioni Funzionamento della prevenzione delle intrusioni Attivazione o disattivazione della prevenzione delle intrusioni Configurazione delle notifiche di prevenzione delle intrusioni Gestione della protezione firewall Per impostazione predefinita, il client Symantec Endpoint Protection fornisce il livello appropriato di protezione firewall richiesto dal computer. È tuttavia possibile che l'amministratore abbia modificato alcune regole e impostazioni predefinite del firewall. Se l'amministratore ha consentito all'utente

106 Gestione del firewall e della prevenzione delle intrusioni Gestione della protezione firewall di modificare la protezione firewall, l'utente può modificare le regole o le impostazioni del firewall. Tabella 5-1 descrive le attività del firewall che è possibile eseguire per proteggere il computer. Tutte queste attività sono facoltative e possono essere eseguite in qualsiasi ordine. Tabella 5-1 Gestione della protezione firewall Attività Descrizione lettura delle modalità di funzionamento del firewall È possibile apprendere le modalità di protezione impiegate dal firewall per proteggere il computer dagli attacchi di rete. Vedere "Funzionamento di un firewall" a pagina 107. Aggiungere e personalizzare regole firewall È possibile aggiungere nuove regole del firewall o modificare le regole esistenti. È possibile bloccare, ad esempio, un'applicazione che non si desidera eseguire nel computer, come un'applicazione adware. Vedere "Gestione delle regole firewall" a pagina 108. È possibile anche configurare una regola del firewall in modo che consenta alle applicazioni di accedere alla rete o impedisca loro l'accesso. Vedere "Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer" a pagina 120. Configurazione delle impostazioni del firewall Oltre a creare regole firewall, è anche possibile attivare e configurare impostazioni firewall per migliorare ulteriormente la protezione firewall. Vedere "Attivazione o disattivazione delle impostazioni firewall" a pagina 116. Visualizzazione di registri firewall È possibile controllare regolarmente lo stato di protezione del firewall sul computer per determinare quanto segue: che le regole firewall create funzionino correttamente Il client ha bloccato tutti gli attacchi di rete. Il client ha bloccato le applicazioni che si intende eseguire. Si può utilizzare il registro traffico e il registro pacchetti per controllare lo stato di protezione del firewall. Il registro pacchetti è disattivato nei client gestiti per impostazione predefinita. Vedere "Informazioni sui registri" a pagina 46. Vedere "Attivazione del registro pacchetti" a pagina 49.

Gestione del firewall e della prevenzione delle intrusioni Gestione della protezione firewall 107 Attività Descrizione Autorizzazione o blocco di applicazioni e di determinati tipi di traffico Per un livello di sicurezza aggiuntivo, è possibile bloccare l'accesso del traffico di rete al computer nelle seguenti situazioni. È possibile bloccare il traffico quando il salvaschermo del computer è attivo. È possibile bloccare il traffico quando il firewall non è in esecuzione. È possibile bloccare tutto il traffico sempre. Vedere "Configurazione del client per il blocco del traffico quando lo screen saver è attivo o il firewall non funziona" a pagina 122. È possibile autorizzare, bloccare o subordinare a un messaggio di conferma l'accesso alla rete di un'applicazione. Queste applicazioni funzionano già sul computer. Vedere "Come consentire o bloccare l'accesso alla rete alle applicazioni" a pagina 119. Vedere "Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer" a pagina 120. Attivare o disattivare il firewall È possibile disattivare temporaneamente Protezione dalle minacce di rete per risolvere determinati problemi. Ad esempio, potrebbe essere necessario disattivarlo per aprire una determinata applicazione. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51. Funzionamento di un firewall Un firewall esegue tutte le attività seguenti: Impedisce a utenti non autorizzati di accede ai computer e alle reti dell'organizzazione che si connettono a Internet Controlla la comunicazione tra i computer e altri computer in Internet Crea uno scudo che consente o blocca i tentativi di accesso alle informazioni sul computer. Avverte l'utente dei tentativi di connessione da altri computer Avverte l'utente dei tentativi di connessione da parte di applicazioni nel computer che si connette ad altri computer. Il firewall esamina i pacchetti di dati che vengono trasferiti in Internet. Un pacchetto è un insieme discreto di dati che fa parte del flusso di informazioni tra due computer. I pacchetti sono riuniti alla loro destinazione per apparire come flusso ininterrotto di dati. I pacchetti contengono le informazioni su quanto segue: Computer che inviano i dati Destinatari previsti Modalità di elaborazione dei dati dei pacchetti

108 Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall Porte sulle quali vengono ricevuti i pacchetti Le porte sono i canali che dividono il flusso dei dati che proviene da Internet. Le applicazioni in esecuzione su un computer sono in ascolto sulle porte. Le applicazioni accettano i dati inviati alle porte. Gli attacchi di rete sfruttano le debolezze nelle applicazioni vulnerabili. Gli aggressori utilizzano queste debolezze per inviare sulle porte pacchetti che contengono un codice di programmazione nocivo. Quando le applicazioni vulnerabili ascoltano sulle porte, il codice nocivo consente agli aggressori di accedere al computer. Vedere "Gestione della protezione firewall" a pagina 105. Gestione delle regole firewall Le regole firewall controllano il modo in cui il firewall protegge i computer da traffico in entrata e applicazioni nocive. Il firewall controlla tutti i pacchetti in entrata e in uscita in base alle regole attivate. Consente o blocca i pacchetti in base alle condizioni specificate nella regola firewall. Il client Symantec Endpoint Protection include regole firewall predefinite che assicurano la protezione del computer. Tuttavia, è possibile modificare le regole del firewall per fornire protezione aggiuntiva se l'amministratore lo consente o se il client non è gestito. La Tabella 5-2 descrive le informazioni di cui è necessario disporre per gestire le regole firewall. Tabella 5-2 Gestione delle regole firewall Oggetto Descrizione Comprensione delle modalità di funzionamento delle regole firewall e dei componenti di cui sono costituite Prima di modificare le regole firewall, è necessario comprendere le informazioni seguenti sul funzionamento di tali regole. Come ordinare le regole per assicurarsi che quelle più restrittive vengano valutate per prime e quelle più generali per ultime. Vedere "Informazioni sulla regola del firewall, sull'impostazione firewall e sull'ordine di elaborazione di prevenzione delle intrusioni" a pagina 111. L'utilizzo del processo di controllo con stato da parte del client, con conseguente eliminazione della necessità di creare regole aggiuntive. Vedere "Modalità di esecuzione dell'ispezione con stato da parte del firewall" a pagina 112. I componenti del firewall che formano la regola firewall. Vedere "Elementi di una regola firewall" a pagina 109.

Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall 109 Oggetto Aggiunta di nuove regole firewall Attivazione o disattivazione di una regola firewall Descrizione È possibile eseguire le seguenti attività per gestire le regole firewall: Symantec Endpoint Protection viene installato con regole del firewall predefinite, ma è possibile aggiungere le proprie regole. Vedere "Aggiunta di una regola firewall" a pagina 113. È possibile personalizzare una regola predefinita o creata modificando i criteri delle regole firewall. Esportazione e importazione di regole firewall Un altro modo per aggiungere una regola firewall consente nell'esportare le regole firewall esistenti da un'altra politica firewall. È quindi possibile importare le regole e le impostazioni firewall in modo da non doverle creare. Vedere "Esportazione e importazione di regole firewall" a pagina 115. Copia e incollamento di regole firewall Le regole firewall vengono attivate automaticamente. Tuttavia potrebbe essere necessario disattivare temporaneamente una regola firewall per verificarne l'efficacia. Il firewall non controlla le regole disattivate. Vedere "Attivazione e disattivazione di regole firewall" a pagina 114. Elementi di una regola firewall Le regole firewall determinano il modo in cui il client protegge il computer dal traffico di rete nocivo. Quando un computer tenta per connettersi a un altro computer, il firewall confronta il tipo di connessione con le regole del firewall. Il firewall confronta automaticamente tutti i pacchetti di traffico in entrata e in uscita con le regole. Il firewall autorizza o blocca i pacchetti in base alle regole. È possibile utilizzare trigger quali applicazioni, host e protocolli per definire le regole del firewall. Ad esempio, una regola può identificare un protocollo rispetto a un indirizzo di destinazione. Quando il firewall valuta la regola, affinché si verifichi una corrispondenza valida è necessario che tutti i trigger siano validi. Se un trigger è falso per il pacchetto corrente, il firewall non applica la regola. Non appena una regola firewall viene attivata, non viene valutata nessun'altra regola. Se nessuna regola viene attivata, il pacchetto viene bloccato automaticamente e l'evento non è registrato. Una regola firewall descrive le condizioni in base alle quali una connessione di rete può essere consentita o bloccata. Ad esempio, una regola può consentire traffico di rete tra la porta remota 80 e l'indirizzo IP 192.58.74.0 fra le 9.00 e le 17.00 di ogni giorno. Tabella 5-3 descrive i criteri utilizzati per definire una regola firewall.

110 Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall Tabella 5-3 Condizioni delle regole firewall Condizione Trigger Descrizione I trigger delle regole firewall sono: Applicazioni Quando l'applicazione è l'unico trigger definito in una regola per consentire il traffico, il firewall consente all'applicazione di eseguire qualsiasi operazione di rete. Il valore significativo è rappresentato dall'applicazione e non dalle operazioni di rete eseguite dall'applicazione. Ad esempio, se si autorizza l'applicazione Internet Explorer senza definire nessun altro trigger, gli utenti possono accedere ai siti remoti che utilizzano HTTP, HTTPS, FTP, Gopher e qualsiasi altro protocollo supportato da tale browser Web. È possibile definire trigger supplementari per descrivere protocolli di rete e host specifici con cui è consentita la comunicazione. Host L'host locale è sempre il computer client locale e l'host remoto è sempre un computer remoto in un'altra posizione della rete. Questa relazione fra host è indipendente dalla direzione del traffico. Quando si definiscono trigger degli host, specificare l'host dal lato remoto della connessione di rete descritta. Protocolli Un trigger di protocollo identifica uno o più protocolli di rete che sono significativi rispetto al traffico di rete descritto. Il computer host locale gestisce sempre la porta locale e il computer remoto gestisce sempre la porta remota. Questo rapporto fra porte è indipendente dalla direzione del traffico. Schede di rete Se si definisce un trigger della scheda di rete, la regola si applica soltanto al traffico trasmesso o ricevuto usando il tipo di scheda specificato. È possibile specificare qualsiasi scheda o quella associata correntemente al computer client. È possibile associare le definizioni di trigger per formare regole più complesse, ad esempio per identificare un protocollo particolare in relazione a un indirizzo di destinazione specifico. Quando il firewall valuta la regola, affinché si verifichi una corrispondenza valida è necessario che tutti i trigger siano validi. Se un qualsiasi trigger non è valido rispetto al pacchetto attuale, il firewall non può applicare la regola. Condizioni Pianificazione e stato dello screen saver. I parametri condizionali non descrivono un aspetto di una connessione di rete ma determinano lo stato attivo di una regola. I parametri condizionali sono facoltativi e se non sono stati definiti non sono significativi. È possibile impostare una pianificazione o identificare uno stato dello screen saver in base a cui una regola è considerata attiva o disattivata. Il firewall non valuta le regole disattive quando riceve i pacchetti.

Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall 111 Condizione Azioni Descrizione Autorizza o blocca e registra o non registra. I parametri di azione specificano le azioni eseguite dal firewall quando il firewall identifica una corrispondenza valida di una regola. Se la regola viene selezionata in risposta a un pacchetto ricevuto, il firewall effettua tutte le azioni. Il firewall autorizza o blocca il pacchetto e registra o non registra il pacchetto. Se consente il traffico, il firewall autorizza il traffico specificato dalla regola ad accedere alla rete. Se blocca il traffico, il firewall blocca il traffico specificato dalla regola in modo che non acceda alla rete. Vedere "Modalità di esecuzione dell'ispezione con stato da parte del firewall" a pagina 112. Vedere "Aggiunta di una regola firewall" a pagina 113. Vedere "Gestione delle regole firewall" a pagina 108. Informazioni sulla regola del firewall, sull'impostazione firewall e sull'ordine di elaborazione di prevenzione delle intrusioni Le regole firewall vengono ordinate in sequenza, da quella con la priorità più alta a quella con la priorità più bassa nell'elenco delle regole. Se la prima regola non specifica come gestire un pacchetto, il firewall controlla la seconda regola. Questo processo continua fino a quando il firewall non trova una corrispondenza. Dopo che il firewall ha trovato una corrispondenza, il firewall esegue le azioni specificate dalla regola. Le regole successive di minore priorità non vengono controllate. Ad esempio, se una regola che blocca tutto il traffico viene elencata per prima, seguita da una regola che consente tutto il traffico, il client blocca tutto il traffico. È possibile ordinare le regole secondo l'esclusività. Le regole più restrittive sono valutate per prime e la maggior parte delle regole generali sono valutate per ultime. Ad esempio, è necessario disporre le regole che il traffico del blocco nella parte superiore dell'elenco delle regole. Le regole posizionate più in fondo all'elenco potrebbero consentire il traffico. Le procedure ottimali per la creazione di una base di regola prevedono la disposizione delle regole secondo il seguente ordine: 1 2 3 Regole che bloccano tutto il traffico. Regole che consentono tutto il traffico. Regole che consentono o bloccano determinati computer.

112 Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall 4 Regole che consentono o bloccano applicazioni, servizi di rete e porte specifici. Tabella 5-4 mostra l'ordine in cui il firewall elabora le regole, le impostazioni firewall e le impostazioni di prevenzione delle intrusioni. Tabella 5-4 Priorità Prima Seconda Terza Quarta Quinta Sesta Ordine di elaborazione Impostazione Firme IPS personalizzate Impostazioni di prevenzione delle intrusioni, impostazioni del traffico e impostazioni stealth regole integrate Regole firewall Controlli della scansione delle porte Firme IPS che vengono scaricate con LiveUpdate Vedere "Modifica dell'ordine delle regole firewall" a pagina 114. Vedere "Funzionamento di un firewall" a pagina 107. Vedere "Funzionamento della prevenzione delle intrusioni" a pagina 124. Modalità di esecuzione dell'ispezione con stato da parte del firewall La protezione firewall utilizza il processo di controllo con stato per tenere traccia delle connessioni esistenti. Il processo di stateful inspection controlla gli indirizzi IP di destinazione e di origine, le porte, le applicazioni e altre informazioni sulla connessione. Prima che il client controlli le regole firewall, prende decisioni sul flusso di traffico in base alle informazioni sulla connessione. Se ad esempio una regola firewall consente a un client di connettersi a un server Web, il firewall registra le informazioni sulla connessione. Quando il server risponde, il firewall rileva che una risposta dal server Web al computer è prevista. Consente al traffico del server Web di fluire al computer di origine senza controllare la base delle regole. È necessario che una regola consenta il traffico in uscita iniziale prima che il firewall registri la connessione. L'ispezione con stato elimina la necessità di creare nuove regole. Per il traffico che ha avuto origine in una direzione, non è necessario creare le regole che consentono il traffico in entrambe le direzioni, ad esempio il traffico Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). I computer client danno origine a questo traffico in uscita; creare una regola che consenta il traffico in uscita per questi

Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall 113 protocolli. Il processo stateful inspection autorizza automaticamente il traffico di ritorno che risponde al traffico in uscita. Poiché il firewall è per natura con stato, è necessario creare soltanto regole che avviano una connessione, non le caratteristiche di un pacchetto specifico. Tutti i pacchetti che appartengono ad una connessione consentita sono consentiti implicitamente poiché sono parte integrante della stessa connessione. Il processo di controllo con stato supporta tutte le regole che gestiscono il traffico TCP, mentre non supporta le regole che filtrano il traffico ICMP. Per il traffico ICMP, è necessario creare regole che consentano il traffico in entrambe le direzioni. Ad esempio, per fare sì che i client utilizzino il comando ping e ricevano risposte, è necessario creare una regola che consenta il traffico ICMP in entrambe le direzioni. Vedere "Funzionamento di un firewall" a pagina 107. Vedere "Gestione delle regole firewall" a pagina 108. Aggiunta di una regola firewall Quando si aggiunge una regola firewall, è necessario decidere l'effetto desiderato per la regola. Ad esempio, è possibile autorizzare tutto il traffico proveniente da un'origine particolare o bloccare i pacchetti UDP di un sito Web. Le regole firewall vengono attivate automaticamente quando create. Per aggiungere una regola firewall 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione dalle minacce di rete, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 4 Nella scheda Generale, digitare un nome per la regola e fare clic su Blocca questo traffico o Autorizza questo traffico. 5 Per definire i trigger per la regola, fare clic su ogni scheda e configurarla come necessario. 6 Per definire il periodo di tempo di attivazione o disattivazione della regola, selezionare la scheda Pianificazione e fare clic su Attiva pianificazione, quindi impostare una pianificazione. 7 Dopo avere finito di apportare le modifiche, fare clic su OK. 8 Fare clic su OK (OK). Vedere "Elementi di una regola firewall" a pagina 109.

114 Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall Vedere "Attivazione e disattivazione di regole firewall" a pagina 114. Modifica dell'ordine delle regole firewall Il firewall elabora l'elenco delle regole firewall dall'alto verso il basso. È possibile impostare l'elaborazione delle regole firewall modificandone l'ordine. Questo tipo di modifica influisce solo sulla posizione attualmente selezionata. Nota: Per una migliore protezione, collocare prima le regole più restrittive e poi quelle meno restrittive. Per cambiare l'ordine di una regola firewall 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione dalle minacce di rete, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, selezionare la regola che si desidera spostare. 4 Eseguire una delle seguenti operazioni: Per impostare il firewall in modo che elabori una regola prima di quella nella posizione precedente, fare clic sulla freccia su. Per impostare il firewall in modo che elabori una regola dopo quella nella posizione successiva, fare clic sulla freccia giù. 5 Dopo avere finito di spostare le regole, fare clic su OK. Vedere "Informazioni sulla regola del firewall, sull'impostazione firewall e sull'ordine di elaborazione di prevenzione delle intrusioni" a pagina 111. Attivazione e disattivazione di regole firewall È necessario attivare le regole in modo che vengano elaborate dal firewall. Quando si aggiungono regole firewall, queste vengono attivate automaticamente. È possibile disattivare una regola firewall se è necessario autorizzare l'accesso specifico a un computer o a un'applicazione. Per attivare e disattivare le regole firewall 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione dalle minacce di rete, fare clic su Opzioni > Configura regole firewall.

Gestione del firewall e della prevenzione delle intrusioni Gestione delle regole firewall 115 3 Nella finestra di dialogo Configura regole firewall, nella colonna Nome regola selezionare o deselezionare la casella di controllo accanto alla regola che si desidera attivare o disattivare. 4 Fare clic su OK. Vedere "Aggiunta di una regola firewall" a pagina 113. Esportazione e importazione di regole firewall È possibile condividere le regole con un altro client in modo che non sia necessario ricrearle. È possibile esportare le regole da un altro computer e importarle in quello utilizzato. Quando si importano le regole, queste vengono aggiunte nella parte inferiore dell'elenco di regole firewall. Le regole importate non vengono sovrascritte alle regole esistenti, anche se identiche. Le regole esportate e quelle importate vengono salvate in un file.sar. Per esportare le regole firewall 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, selezionare le regole che si desidera esportare. 4 Fare clic con il tasto destro del mouse sulle regole e quindi fare clic su Esporta regole selezionate. 5 Nella finestra di dialogo Esporta, digitare un nome file e quindi fare clic su Salva. 6 Fare clic su OK (OK). Per importare le regole firewall 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic con il tasto destro del mouse sull'elenco di regole firewall, quindi fare clic su Importa regola. 4 Nella finestra di dialogo Importa, individuare il file.sar che contiene le regole che si desidera importare. 5 Fare clic su Apri. 6 Fare clic su OK. Vedere "Aggiunta di una regola firewall" a pagina 113.

116 Gestione del firewall e della prevenzione delle intrusioni Attivazione o disattivazione delle impostazioni firewall Attivazione o disattivazione delle impostazioni firewall È possibile attivare le impostazioni firewall del client per proteggere il computer contro determinati tipi di attacchi di rete. Alcune delle impostazioni sostituiscono le regole firewall che sarebbe altrimenti necessario aggiungere. Nota: L'amministratore può avere reso non disponibili per la configurazione alcune di queste impostazioni. Tabella 5-5 descrive i tipi di impostazioni firewall che è possibile configurare per personalizzare ulteriormente la protezione firewall. Tabella 5-5 Impostazioni del firewall Categoria Regole incorporate per servizi di rete essenziali Traffico e stealth di esplorazione Web Condivisione di file e stampanti in rete Descrizione Symantec Endpoint Protection fornisce regole incorporate che consentono il normale scambio di determinati servizi di rete essenziali. Le regole incorporate eliminano la necessità di creare regole firewall che consentono esplicitamente quei servizi. Durante l'elaborazione, queste regole incorporate vengono valutate prima delle regole firewall in modo da consentire i pacchetti che corrispondono a un'occorrenza attiva di una regola incorporata. È possibile definire regole incorporate per i servizi DHCP, DNS e WINS. È possibile attivare varie impostazioni del traffico e della modalità stealth di esplorazione Web per proteggere il sistema da determinati tipi di attacchi di rete sul client. È possibile attivare impostazioni del traffico per rilevare e bloccare il traffico che comunica tramite i driver, Netbios e token ring. È possibile configurare impostazioni per rilevare il traffico che utilizza metodi di attacco meno visibili. È inoltre possibile controllare il comportamento del traffico IP che non soddisfa alcuna regola del firewall. È possibile attivare il client in modo che condivida i proprie file o visualizzi i file e le stampanti condivise sulla rete locale. Per impedire attacchi basati sulla rete, è possibile disattivare la condivisione di file e stampanti sulla rete. Vedere "Attivazione della condivisione di file e stampanti in rete" a pagina 117. Blocco di un computer autore dell'attacco Quando il client di Symantec Endpoint Protection rileva un attacco alla rete, può bloccare automaticamente la connessione per assicurare che il computer client sia sicuro. Quindi blocca automaticamente tutte le comunicazioni a e dall'indirizzo IP del computer da cui proviene l'attacco per un periodo di tempo specificato. L'indirizzo IP del computer da cui proviene l'attacco è bloccato per una singola posizione.

Gestione del firewall e della prevenzione delle intrusioni Attivazione o disattivazione delle impostazioni firewall 117 Per attivare o disattivare le impostazioni firewall 1 Nel client, fare clic su Cambia impostazioni. 2 Accanto a Protezione dalle minacce di rete, fare clic su Configura impostazioni. 3 Nella scheda Firewall, selezionare le impostazioni che si desidera attivare. Fare clic su Guida per ulteriori informazioni sulle impostazioni. 4 Fare clic su OK. Vedere "Gestione delle regole firewall" a pagina 108. Attivazione della condivisione di file e stampanti in rete È possibile attivare il client in modo che condivida i proprie file o visualizzi i file e le stampanti condivise sulla rete locale. Per impedire attacchi basati sulla rete, è possibile disattivare la condivisione di file e stampanti sulla rete. Tabella 5-6 Attività Come abilitare la condivisione di file e stampanti in rete Descrizione Attivare automaticamente le impostazioni di condivisione di file e stampanti sulla rete nella scheda Rete Microsoft Windows. Attivare manualmente la condivisione di file stampanti sulla rete aggiungendo regole firewall. Se una regola firewall blocca questo traffico, la regola ha la priorità su questa impostazione. Per attivare automaticamente la condivisione di file e stampanti di rete È possibile aggiungere le regole firewall se si desidera una maggiore flessibilità rispetto a questa impostazione. Ad esempio, quando si crea una regola, è possibile specificare un host particolare invece che tutti gli host. Le regole firewall consentono l'accesso alle porte per cercare e condividere file e stampanti. È possibile creare uno insieme di regole firewall in modo che il client possa condividere i propri file. Create un secondo insieme di regole firewall in modo che il client possa visualizzare altri file e stampanti. Per consentire manualmente ai client di sfogliare file e stampanti Per consentire manualmente ad altri computer di sfogliare i file sul client

118 Gestione del firewall e della prevenzione delle intrusioni Attivazione o disattivazione delle impostazioni firewall Per attivare automaticamente la condivisione di file e stampanti di rete 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella scheda Rete Microsoft Windows in Impostazioni, fare clic sul menu a discesa e seleziona la scheda a cui applicare tali impostazioni. 4 Per accedere ad altri computer e stampanti nella rete, fare clic su Sfoglia file e stampanti di rete. 5 Per consentire ad altri computer di sfogliare i file del proprio computer fare clic su Condividi file e stampanti in rete con altri utenti. 6 Fare clic su OK (OK). Per consentire manualmente ai client di sfogliare file e stampanti 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione dalle minacce di rete, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 4 Nella scheda Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 5 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su TCP. 6 Nell'elenco a discesa Porte remote, digitare: 88, 135, 139, 445 7 Fare clic su OK (OK). 8 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 9 Nella scheda Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 10 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su UDP. 11 Nell'elenco a discesa Porte remote, digitare: 88 12 Nell'elenco a discesa Porte locali, digitare: 137, 138 13 Fare clic su OK (OK).

Gestione del firewall e della prevenzione delle intrusioni Come consentire o bloccare l'accesso alla rete alle applicazioni 119 Per consentire manualmente ad altri computer di sfogliare i file sul client 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione dalle minacce di rete, fare clic su Opzioni > Configura regole firewall. 3 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 4 Nella scheda Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 5 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su TCP. 6 Nell'elenco a discesa Porte locali, digitare: 88, 135, 139, 445 7 Fare clic su OK (OK). 8 Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi. 9 Nella scheda Generale, digitare un nome per la regola e fare clic su Autorizza questo traffico. 10 Nella scheda Porte e protocolli, nell'elenco a discesa Protocollo, fare clic su UDP. 11 Nell'elenco a discesa Porte locali, digitare: 88, 137, 138 12 Fare clic su OK. Vedere "Attivazione o disattivazione delle impostazioni firewall" a pagina 116. Come consentire o bloccare l'accesso alla rete alle applicazioni È possibile specificare le azioni che il client intraprende su un'applicazione quando quest'ultima tenta di accedere alla rete dal computer o tenta di accedere al computer. Ad esempio, è possibile bloccare l'accesso di Internet Explorer a qualsiasi sito Web dal computer. Tabella 5-7 descrive le azioni eseguite dal client in relazione al traffico di rete.

120 Gestione del firewall e della prevenzione delle intrusioni Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer Tabella 5-7 Azione Consenti Azioni eseguite dal firewall quando le applicazioni accedono al client o alla rete Descrizione Consente al traffico in entrata di accedere al computer client e al traffico in uscita di accedere alla rete. Se il client riceve traffico, un piccolo punto blu viene visualizzato nell'angolo inferiore sinistro dell'icona. Se il client invia traffico, il punto viene visualizzato nell'angolo inferiore destro dell'icona. Blocca Chiedi Termina Impedisce al traffico in entrata e al traffico in uscita di accedere alla rete o a una connessione Internet. Chiede se l'applicazione deve accedere alla rete la prossima volta che si tenta di eseguire l'applicazione. Arresta il processo. Per consentire o bloccare l'accesso alla rete a un'applicazione 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza attività di rete. 3 Nella finestra di dialogo Attività di rete, fare clic con il pulsante destro del mouse sull'applicazione o sul servizio, quindi fare clic sull'azione che il client dovrà eseguire per l'applicazione specifica. 4 Fare clic su Chiudi. Se si fa clic su Consenti, Blocca o Chiedi, è possibile creare una regola del firewall esclusiva per l'applicazione. Vedere "Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer" a pagina 120. Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer È possibile creare una regola firewall che specifica se un'applicazione in esecuzione nel computer possa accedere o meno alla rete. Il client può autorizzare o bloccare l'applicazione oppure chiedere prima all'utente se autorizzare o bloccare l'applicazione. Ad esempio, è possibile configurare il client in modo che blocchi la visualizzazione di siti Web nel proprio browser.

Gestione del firewall e della prevenzione delle intrusioni Creazione di una regola firewall per l'accesso di un'applicazione alla rete dal computer 121 È inoltre possibile specificare le condizioni relative a quando e come l'applicazione deve essere autorizzata o bloccata. Ad esempio, è possibile specificare che un videogioco può accedere alla rete solo durante orari specifici. Queste regole sono denominate regole firewall basate su applicazioni. Nota: In caso di conflitto tra una regola firewall e una regola firewall basata su applicazioni, la regola firewall ha la precedenza. Ad esempio, una regola firewall che blocca tutto il traffico tra l'1:00 e le 8:00 di mattina ha la precedenza su una regola basata su applicazioni che consente l'esecuzione di iexplore.exe in qualsiasi momento. Le applicazioni che vengono visualizzate nella finestra di dialogo Attività di rete sono le applicazioni e i servizi in esecuzione dall'avvio del servizio client. Vedere "Come consentire o bloccare l'accesso alla rete alle applicazioni" a pagina 119. Per creare una regola firewall per l'accesso di un'applicazione alla rete dal computer 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza impostazioni applicazioni. 3 Facoltativamente, nella finestra di dialogo Visualizza impostazioni applicazioni, è possibile cambiare l'azione facendo clic con il pulsante destro del mouse, quindi selezionando Consenti, Chiedi, o Blocca. 4 Fare clic su Configura. 5 Nella finestra di dialogo Configura impostazioni applicazione, configurare le restrizioni per questa applicazione. Per ulteriori informazioni, far scorrere il mouse sul campo di testo e sull'opzione, oppure fare clic su Guida. Se l'azione viene impostata su Consenti al passaggio 3, qualsiasi impostazione configurata rappresenta una restrizione alla regola. Se è stata selezionata l'opzione Blocca, le impostazioni configurate sono eccezioni alla regola. 6 Fare clic su OK. È possibile rimuovere le condizioni impostate per l'applicazione facendo clic su Rimuovi o su Rimuovi tutto. Quando si rimuovono le limitazioni, viene cancellata anche l'azione che il client esegue per l'applicazione. Quando l'applicazione o il servizio cerca di connettersi di nuovo alla rete è possibile che venga chiesto se autorizzare o bloccare l'applicazione. 7 Fare clic su OK.

122 Gestione del firewall e della prevenzione delle intrusioni Configurazione del client per il blocco del traffico quando lo screen saver è attivo o il firewall non funziona Vedere "Aggiunta di una regola firewall" a pagina 113. Configurazione del client per il blocco del traffico quando lo screen saver è attivo o il firewall non funziona È possibile configurare il computer per il blocco del traffico in entrata e in uscita nelle seguenti situazioni: Quando viene attivato lo screen saver del computer. È possibile configurare il computer per il blocco di tutto il traffico in entrata e in uscita di Risorse di rete quando viene attivato lo screen saver del computer. Non appena lo screen saver viene disattivato, il computer ritorna al livello di sicurezza precedentemente definito. Per bloccare il traffico quando lo screen saver è attivato Quando il firewall non è in esecuzione. Il computer non è protetto tra l'avvio del computer e quello del servizio del firewall e tra l'arresto del servizio del firewall e quello del computer. Questo intervallo di tempo crea una piccola falla di sicurezza che può permettere la comunicazione non autorizzata. Quando si desidera bloccare in qualunque momento tutto il traffico in entrata e in uscita. Per bloccare traffico quando il firewall non è in esecuzione È possibile che si voglia bloccare tutto il traffico quando un virus particolarmente distruttivo attacca la rete o la subnet dell'azienda. In circostanze normali non si procederebbe al blocco di tutto il traffico. Nota: l'amministratore può aver configurato questa opzione in modo che non sia disponibile. Non si può bloccare il traffico su un client non gestito. Per bloccare in qualunque momento tutto il traffico È possibile permettere tutto il traffico disattivando la protezione della rete dalle minacce. Vedere "Attivazione o disattivazione della protezione nel computer client" a pagina 51. Per bloccare il traffico quando lo screen saver è attivato 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni.

Gestione del firewall e della prevenzione delle intrusioni Gestione della prevenzione delle intrusioni 123 3 Nella scheda Rete Microsoft Windows, fare clic su Modalità screen saver, fare clic su Blocca il traffico di rete di Microsoft Windows quando è attivo lo screen saver. 4 Fare clic su OK (OK). Per bloccare traffico quando il firewall non è in esecuzione 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella scheda Firewall, fare clic su Impostazioni traffico, fare clic su Blocca tutto il traffico fino all\'avvio del firewall e dopo la sua disattivazione. 4 Facoltativamente fare clic su Consenti il traffico DHCP e NetBIOS iniziale. 5 Fare clic su OK. Per bloccare in qualunque momento tutto il traffico 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza attività di rete. 3 Fare clic su Strumenti > Blocca tutto il traffico. 4 Per confermare, fare clic su Sì. 5 Per ritornare alle precedenti impostazioni del firewall utilizzate dal client, deselezionare Strumenti > Blocca tutto il traffico. Vedere "Attivazione o disattivazione delle impostazioni firewall" a pagina 116. Gestione della prevenzione delle intrusioni La prevenzione delle intrusioni viene gestita nell'ambito della protezione della rete dalle minacce. Tabella 5-8 Azione Gestione della prevenzione delle intrusioni Descrizione Informarsi sulla prevenzione delle intrusioni Informarsi sul modo in cui la prevenzione delle intrusioni rileva e blocca gli attacchi a browser e reti. Vedere "Funzionamento della prevenzione delle intrusioni" a pagina 124.

124 Gestione del firewall e della prevenzione delle intrusioni Funzionamento della prevenzione delle intrusioni Azione Scaricare le firme IPS più recenti Descrizione Per impostazione predefinita, le firme più recenti vengono scaricate nel client. È tuttavia possibile scaricare immediatamente le firme in modo manuale. Attivare o disattivare la prevenzione delle intrusioni di rete o la prevenzione contro le intrusioni del browser Vedere "Aggiornamento della protezione del computer" a pagina 41. Può essere utile disattivare la prevenzione delle intrusioni per la risoluzione dei problemi o se il computer client rileva un numero eccessivo di falsi positivi. È consigliabile non disattivare la prevenzione delle intrusioni. È possibile attivare o disattivare i seguenti tipi di prevenzione delle intrusioni: Prevenzione delle intrusioni di rete Prevenzione contro le intrusioni del browser Vedere "Attivazione o disattivazione della prevenzione delle intrusioni" a pagina 125. È anche possibile attivare o disattivare la prevenzione quando si attiva o disattiva la protezione dalle minacce di rete. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Configurazione delle notifiche di prevenzione delle intrusioni È possibile configurare le notifiche in modo che vengano visualizzate quando Symantec Endpoint Protection rileva un'intrusione. Vedere "Configurazione delle notifiche di prevenzione delle intrusioni" a pagina 126. Funzionamento della prevenzione delle intrusioni La prevenzione delle intrusioni fa parte di Protezione dalle minacce di rete. La prevenzione delle intrusioni rileva e blocca automaticamente gli attacchi di rete e ai browser. La prevenzione delle intrusioni è il secondo livello di difesa dopo il firewall per la protezione di computer client. La prevenzione delle intrusioni è a volte denominata Sistema di prevenzione delle intrusioni (IPS).

Gestione del firewall e della prevenzione delle intrusioni Attivazione o disattivazione della prevenzione delle intrusioni 125 La prevenzione delle intrusioni intercetta i dati al livello di rete. Questa funzione utilizza le firme per eseguire la scansione di pacchetti o flussi di pacchetti ed esegue la scansione di ogni singolo pacchetto cercando i profili che corrispondono ad attacchi al browser o alla rete. La prevenzione delle intrusioni rileva gli attacchi ai componenti del sistema operativo e a livello di applicazione. La prevenzione delle intrusioni fornisce due tipi di protezione. Tabella 5-9 Tipi di prevenzione delle intrusioni Tipo Prevenzione delle intrusioni di rete Descrizione La prevenzione delle intrusioni di rete utilizza le firme per identificare gli attacchi ai computer client. Per gli attacchi noti, la prevenzione delle intrusioni elimina automaticamente i pacchetti che corrispondono alle firme. Non è possibile creare firme personalizzate direttamente nel client. È tuttavia possibile importare quelle create dall'utente o dall'amministratore in Symantec Endpoint Protection Manager. Prevenzione contro le intrusioni del browser La prevenzione delle intrusioni del browser monitora gli attacchi a Internet Explorer e Firefox e non è supportata negli altri browser. Firefox potrebbe disattivare il plug-in Symantec Endpoint Protection, ma è possibile riattivarlo. Questo tipo di prevenzione delle intrusioni utilizza le firme di attacco come pure l'euristica per identificare attacchi ai browser. Per alcuni attacchi ai browser, la prevenzione delle intrusioni richiede la chiusura del browser. Una notifica viene visualizzata sul computer client. Per informazioni aggiornate sui browser protetti dalla prevenzione contro le intrusioni del browser, vedere il seguente articolo della knowledge base: Supported browser versions for browser intrusion prevention (Versioni browser supportate per la prevenzione contro le intrusioni del browser). Vedere "Gestione della prevenzione delle intrusioni" a pagina 123. Attivazione o disattivazione della prevenzione delle intrusioni In genere, quando si disattiva la prevenzione delle intrusioni sul computer, il computer è meno sicuro. Tuttavia, può essere necessario disattivare queste impostazioni per impedire falsi positivi o per risolvere problemi nei computer. Symantec Endpoint Protection Symantec Endpoint Protectionregistra i tentativi e gli eventi di intrusione nel registro di sicurezza e può inoltre registrare gli eventi

126 Gestione del firewall e della prevenzione delle intrusioni Configurazione delle notifiche di prevenzione delle intrusioni di intrusione nel registro pacchetti se l'amministratore l'ha configurato per tale scopo. Vedere "Gestione della prevenzione delle intrusioni" a pagina 123. Vedere "Visualizzare i registri" a pagina 48. È possibile attivare o disattivare due tipi di prevenzione delle intrusioni: Prevenzione delle intrusioni di rete Prevenzione contro le intrusioni del browser Nota: l'amministratore può aver configurato queste opzioni in modo che non siano disponibili. Vedere "Informazioni sull'attivazione e la disattivazione della protezione quando è necessario risolvere problemi" a pagina 49. Per attivare o disattivare le impostazioni di prevenzione delle intrusioni 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella scheda Prevenzione intrusioni, selezionare o deselezionare le seguenti impostazioni: Attiva prevenzione delle intrusioni di rete Attiva prevenzione delle intrusioni browser Per maggiori informazioni sulle impostazioni, fare clic su?. 4 Fare clic su OK. Configurazione delle notifiche di prevenzione delle intrusioni È possibile configurare le notifiche da visualizzare quando il client rileva un attacco di rete nel computer o quando blocca l'accesso di un'applicazione al computer. È possibile impostare la durata per cui queste notifiche sono visualizzate e se debba essere emesso o meno un segnale acustico al momento della notifica. È necessario attivare il sistema di prevenzione delle intrusioni affinché le notifiche di prevenzione delle intrusioni siano visualizzate. Se Prevenzione delle intrusioni è attivato sul computer, sia i client Windows sia i client Mac possono attivare queste notifiche.

Gestione del firewall e della prevenzione delle intrusioni Configurazione delle notifiche di prevenzione delle intrusioni 127 Nota: L'amministratore può aver configurato queste opzioni in modo che non siano disponibili. Vedere "Gestione della prevenzione delle intrusioni" a pagina 123. Per configurare le notifiche di prevenzione delle intrusioni su un client Windows 1 Nel client, nella barra laterale, fare clic su Cambia impostazioni. 2 Accanto a Protezione della rete dalle minacce, fare clic su Configura impostazioni. 3 Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce, fare clic su Notifiche. 4 Selezionare Visualizza notifiche di prevenzione delle intrusioni. 5 Per configurare un segnale acustico al momento della notifica, selezionare Utilizza notifiche con segnale acustico. 6 Fare clic su OK. Per configurare le notifiche di prevenzione delle intrusioni su un client Mac 1 In Symantec QuickMenu, fare clic su Symantec Endpoint Protection > Apri preferenze di Prevenzione intrusioni. 2 Fare clic sull'icona del lucchetto per apportare modifiche o per impedire ulteriori modifiche. È necessario specificare il nome e la password di amministratore per bloccare o sbloccare le preferenze di Prevenzione intrusioni. 3 Fare clic su Visualizza notifica di prevenzione delle intrusioni. Fare clic su Utilizza notifiche con segnale acustico se desiderato.

128 Gestione del firewall e della prevenzione delle intrusioni Configurazione delle notifiche di prevenzione delle intrusioni

Capitolo 6 Gestione di Symantec Network Access Control Il capitolo contiene i seguenti argomenti: Funzionamento di Symantec Network Access Control Funzionamento del client con Enforcer Esecuzione di un controllo di integrità dell'host Risoluzione dei problemi del computer Configurazione del client per l'autenticazione 802.1x Riautenticazione del computer Visualizzazione dei registri di Symantec Network Access Control Funzionamento di Symantec Network Access Control Il client Symantec Network Access Control convalida e applica la conformità alle politiche ai computer che provano a connettersi alla rete. Questo processo comincia prima che il computer si connetta alla rete e continua per tutta la durata della connessione. La politica di integrità dell'host è la politica di sicurezza che funge da base per tutte le valutazioni e azioni. L'integrità dell'host è denominata anche "Conformità di sicurezza". La Tabella 6-1 descrive il processo che Network Access Control utilizza per applicare la conformità alla politica sul computer client.

130 Gestione di Symantec Network Access Control Funzionamento di Symantec Network Access Control Tabella 6-1 Azione Funzionamento di Symantec Network Access Control Descrizione Il client valuta costantemente la propria conformità L'utente accende il computer client. Il client esegue un controllo di integrità dell'host che confronta la configurazione del computer alla politica di integrità dell'host scaricata dal server di gestione. Symantec Enforcer autentica il computer client e autorizza l'accesso del computer alla rete o blocca e mette in quarantena i computer non conformi L'amministratore può avere impostato la politica in modo che un controllo di integrità dell'host venga superato anche se non viene soddisfatto un requisito specifico Il controllo di integrità dell'host valuta la conformità di software antivirus, patch, correzioni rapide e altri requisiti di sicurezza del computer con la politica di integrità dell'host. Ad esempio, la politica può controllare se le relative definizioni virus sono state aggiornate recentemente e se le ultime patch sono state applicate al sistema operativo. Vedere "Esecuzione di un controllo di integrità dell'host" a pagina 131. Se il computer è conforme a tutti i requisiti previsti dalla politica, il controllo di integrità dell'host viene superato. Enforcer concede l'accesso completo alla rete ai computer che superano il controllo di integrità dell'host. Se il computer non è conforme ai requisiti previsti dalla politica, il controllo di integrità dell'host non viene superato. Quando un controllo di integrità dell'host non viene superato, il client o uno dei moduli di applicazione Enforcer di Symantec blocca o mette in quarantena il computer fino a quando non si risolvono i problemi. I computer in quarantena non hanno alcun accesso o hanno un accesso limitato alla rete. Vedere "Funzionamento del client con Enforcer" a pagina 131. È possibile visualizzare nel client una notifica ogni volta che il controllo di integrità dell'host viene superato. Vedere "Tipi di avvisi e di notifiche" a pagina 27. Il client corregge i computer non conformi Se il controllo di integrità dell'host non va a buon fine, il client installa o chiede di installare il software richiesto. Una volta risolto il problema nel computer, viene tentato nuovamente l'accesso alla rete. Se il computer soddisfa tutti i requisiti, viene autorizzato l'accesso alla rete. Vedere "Risoluzione dei problemi del computer" a pagina 132.

Gestione di Symantec Network Access Control Funzionamento del client con Enforcer 131 Azione Descrizione Il client esegue il monitoraggio dinamico della conformità Il client esegue attivamente il monitoraggio dello stato di conformità di tutti i computer client. Se in qualunque momento lo stato di conformità del computer cambia, vengono modificati anche i privilegi di accesso del computer alla rete. È possibile visualizzare ulteriori informazioni sui risultati del controllo di integrità dell'host nel registro di sicurezza. Vedere "Visualizzare i registri" a pagina 48. Vedere "Visualizzazione dei registri di Symantec Network Access Control" a pagina 136. Funzionamento del client con Enforcer Il client interagisce con i moduli di applicazione Enforcer. Viene assicurato che tutti i computer che accedono alla rete protetti tramite questi moduli eseguano il software client e abbiano una politica di sicurezza adeguata. Vedere "Funzionamento di Symantec Network Access Control" a pagina 129. Un Enforcer deve autenticare l'utente o il computer client prima di autorizzarne l'accesso alla rete. Symantec Network Access Control interagisce con diversi tipi di moduli di applicazione Enforcer per autenticare il computer client. Symantec Enforcer è il dispositivo hardware di rete che verifica i risultati di integrità dell'host e l'identità del computer client prima di consentire a quel computer l'accesso alla rete. Enforcer verifica le seguenti informazioni prima di consentire al client di accedere alla rete: La versione del software client che il computer esegue. Il client ha un identificativo univoco (UID). Il client è stato aggiornato con la politica di integrità dell'host più recente. Il computer client ha superato il controllo di integrità dell'host. Vedere "Configurazione del client per l'autenticazione 802.1x" a pagina 133. Esecuzione di un controllo di integrità dell'host L'amministratore configura la frequenza utilizzata dal client per eseguire un controllo di integrità dell'host. Può essere necessario eseguire un controllo di

132 Gestione di Symantec Network Access Control Risoluzione dei problemi del computer integrità dell'host immediatamente anziché attendere quello successivo. Ad esempio, è possibile che un controllo di integrità dell'host non venga superato perché è necessario aggiornare le firme di protezione antivirus nel computer. Il client può consentire di scegliere se scaricare immediatamente il software richiesto o posticipare il download. Se si scarica il software immediatamente, è necessario eseguire nuovamente il controllo di integrità dell'host per verificare di disporre del software corretto. È possibile attendere l'esecuzione del successivo controllo di integrità dell'host pianificato o eseguire il controllo immediatamente. Per eseguire un controllo di integrità dell'host 1 Nel client, nella barra laterale, fare clic su Stato. 2 In corrispondenza di NetworkAccessControl, fare clic su Opzioni>Controlla conformità. 3 Fare clic su OK. Se l'accesso alla rete non era stato autorizzato, è necessario riottenerlo dopo l'aggiornamento del computer in conformità alla politica di sicurezza. Vedere "Funzionamento di Symantec Network Access Control" a pagina 129. Risoluzione dei problemi del computer Se il client rileva un requisito della politica di integrità dell'host non soddisfatto, risponde in uno di seguenti modi: Il client scarica automaticamente l'aggiornamento del software. Il client richiede di scaricare l'aggiornamento del software necessario. Per risolvere i problemi del computer Nella finestra di dialogo Symantec Endpoint Protection che viene visualizzata, procedere in uno dei modi seguenti: Per visualizzare i requisiti di sicurezza non soddisfatti dal computer, fare clic su Dettagli. Per installare immediatamente il software, fare clic su Ripristina ora L'opzione per annullare l'installazione una volta che è stata avviata può essere disponibile o meno. Per posticipare l'installazione del software, fare clic su Visualizza in seguito e selezionare un intervallo di tempo nell'elenco a discesa. L'amministratore può configurare il numero massimo di volte consentito per posticipare l'installazione.

Gestione di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x 133 Configurazione del client per l'autenticazione 802.1x Se la rete aziendale utilizza LAN Enforcer per l'autenticazione, il computer client deve essere configurato per l'esecuzione dell'autenticazione 802.1x. Il client può essere configurato dall'utente o dall'amministratore. L'amministratore può avere concesso o meno l'autorizzazione per configurare l'autenticazione 802.1x. Il processo di autenticazione 802.1x comprende i seguenti passaggi: Un client non autenticato o un supplicant di terze parti invia le informazioni sull'utente e le informazioni di conformità a uno switch di rete 802.1x gestito. Lo switch di rete trasmette le informazioni a LAN Enforcer. LAN Enforcer invia le informazioni sull'utente al server di autenticazione per l'autenticazione. Il server di autenticazione è il server RADIUS. Se l'autenticazione del client a livello dell'utente non riesce o non è conforme alla politica di integrità dell'host, Enforcer può bloccare l'accesso alla rete. Enforcer colloca il computer client non conforme in una rete di quarantena in cui può essere riparato. Una volta riparato e reso conforme il computer, viene eseguita nuovamente l'autenticazione del computer mediante il protocollo 802.1x e viene concesso al computer l'accesso alla rete. Per utilizzare LAN Enforcer, il client può usare un supplicant di terze parti o un supplicant integrato. La Tabella 6-2 descrive i tipi di opzioni che è possibile configurare per l'autenticazione 802.1x. Tabella 6-2 Opzioni di autenticazione 802.1x Opzione Supplicant di terze parti Descrizione Utilizza un supplicant 802.1x di terze parti. LAN Enforcer utilizza un server RADIUS e supplicant 802.1x di terze parti per effettuare l'autenticazione dell'utente. Il supplicant 802.1x richiede l'immissione delle informazioni sull'utente. LAN Enforcer trasmette queste informazioni al server RADIUS per l'autenticazione. Il client invia il profilo client e lo stato dell'integrità dell'host a Enforcer in modo che Enforcer autentichi il computer. Nota: se si desidera utilizzare il client Symantec Network Access Control con un supplicant di terze parti, è necessario installare il modulo di protezione della rete dalle minacce del client Symantec Endpoint Protection.

134 Gestione di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x Opzione Modalità trasparenza Descrizione Utilizza il client come supplicant 802.1x. Ricorrere a questo metodo se l'amministratore non desidera utilizzare un server RADIUS per effettuare l'autenticazione dell'utente. LAN Enforcer viene eseguito in modalità trasparente e funge da server RADIUS. Nella modalità trasparente il supplicant non richiede l'immissione delle informazioni sull'utente. In questa modalità il client funge da supplicant 802.1x. Il client reagisce alla richiesta EAP dello switch con il profilo client e lo stato dell'integrità dell'host. Lo switch, a sua volta, trasmette le informazioni a LAN Enforcer che funge da server RADIUS. LAN Enforcer convalida le informazioni relative al profilo client e all'integrità dell'host ricevute dallo switch e può autorizzare, bloccare o assegnare dinamicamente una VLAN in base alle necessità. Nota: per utilizzare un client come supplicant 802.1x, è necessario disinstallare o disattivare i supplicant 802.1x di terze parti nel computer client. Supplicant integrato Utilizza il supplicant 802.1x integrato del computer client. I protocolli di autenticazione integrati includono Smart Card, PEAP o TLS. Dopo avere attivato l'autenticazione 802.1x, è necessario specificare quale protocollo di autenticazione utilizzare. Avvertimento: contattare l'amministratore prima di configurare il client per l'autenticazione 802.1x. è necessario sapere se la rete aziendale utilizza il server RADIUS come server di autenticazione. Se si configura in modo errato l'autenticazione 802.1x, è possibile perdere la connessione alla rete. Per configurare il client per l'utilizzo di un supplicant di terze parti 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Network Access Control, fare clic su Opzioni>Cambiaimpostazioni > Impostazioni 802.1x. 3 Nella finestra di dialogo Impostazioni di controllo dell'accesso alla rete, fare clic su Attiva autenticazione 802.1x. 4 Fare clic su OK (OK). È anche necessario impostare una regola firewall che consenta l'accesso alla rete ai driver dei supplicant 802.1x di terze parti. Vedere "Aggiunta di una regola firewall" a pagina 113. È possibile configurare il client per l'utilizzo del supplicant integrato. Attivare il client per l'autenticazione 802.1x e come supplicant 802.1x.

Gestione di Symantec Network Access Control Configurazione del client per l'autenticazione 802.1x 135 Per configurare il client per l'utilizzo della modalità trasparente o di un supplicant integrato 1 Nel client, nella barra laterale, fare clic su Stato. 2 Accanto a Network Access Control, fare clic su Opzioni>Cambiaimpostazioni > Impostazioni 802.1x. 3 Nella finestra di dialogo Impostazioni di controllo dell'accesso alla rete, fare clic su Attiva autenticazione 802.1x. 4 Fare clic su Utilizza client come supplicant 802.1x. 5 Eseguire una delle seguenti operazioni: Per impostare la modalità trasparente, selezionare Utilizza modalità trasparente Symantec. Per configurare un supplicant integrato, fare clic su Consente di scegliere il protocollo di autenticazione. Scegliere quindi il protocollo di autenticazione per la connessione di rete. 6 Fare clic su OK (OK). Per scegliere un protocollo di autenticazione 1 Nel computer client, fare clic su Start > Impostazioni > Connessioni di rete, quindi fare clic su Connessione alla rete locale (LAN). Nota: Questa procedura è relativa ai computer che eseguono Windows XP e può variare. 2 Nella finestra di dialogo Stato di Connessione alla rete locale (LAN), fare clic su Proprietà. 3 Nella finestra di dialogo Proprietà - Connessione alla rete locale (LAN), fare clic sulla scheda Autenticazione. 4 Nella scheda Autenticazione, fare clic sull'elenco a discesa Tipo EAP e selezionare uno dei protocolli di autenticazione. Verificare che la casella di controllo Attiva autenticazione IEEE 802.1x per questa rete sia selezionata. 5 Fare clic su OK (OK). 6 Fare clic su Chiudi. Vedere "Funzionamento di Symantec Network Access Control" a pagina 129.

136 Gestione di Symantec Network Access Control Riautenticazione del computer Riautenticazione del computer Se il computer ha superato il controllo di integrità dell'host ma l'enforcer lo blocca, potrebbe essere necessario riautenticare il computer. In circostanze normali non è mai necessario riautenticare il computer. L'Enforcer può bloccare il computer quando si verifica uno dei seguenti eventi: Il computer client non ha superato l'autenticazione dell'utente perché il nome utente o la password sono stati digitati in modo errato. Il computer client è nella VLAN errata. Il computer client non ha ottenuto una connessione di rete. In genere la connessione di rete si interrompe perché lo switch fra il computer client e LAN Enforcer non ha autenticato il nome utente e la password. Si è eseguito l'accesso a un computer client che ha autenticato un precedente utente. Il computer client non ha superato il controllo di conformità. È possibile riautenticare il computer soltanto se l'utente o l'amministratore ha configurato il computer con un supplicant incorporato. Nota: l'amministratore potrebbe non aver configurato il client in modo che visualizzi il comando di riautenticazione. Per riautenticare il computer 1 Fare clic con il pulsante destro del mouse sull'icona dell'area di notifica. 2 Fare clic su Riautenticazione. 3 Nella finestra di dialogo di riautenticazione, digitare il nome utente e la password. 4 Fare clic su OK (OK). Vedere "Funzionamento di Symantec Network Access Control" a pagina 129. Visualizzazione dei registri di Symantec Network Access Control Il client Symantec Network Access Control utilizza i seguenti registri per monitorare i diversi aspetti del relativo funzionamento è i risultati del controllo di integrità dell'host:

Gestione di Symantec Network Access Control Visualizzazione dei registri di Symantec Network Access Control 137 Sicurezza Sistema Registra i risultati e lo stato dei controlli di integrità dell'host. Registra tutti i cambiamenti operativi del client, quali la connessione al server di gestione e gli aggiornamenti della politica di sicurezza del client. Se si utilizza un client gestito, è possibile caricare regolarmente nel server entrambi i registri. L'amministratore può utilizzare il contenuto dei registri per analizzare lo stato generale di sicurezza della rete. È possibile esportare i dati di questi registri. Per visualizzare i registri di Symantec Network Access Control 1 Nel client, nella barra laterale, fare clic su Stato. 2 Per visualizzare il registro di sicurezza, accanto a Network Access Control, fare clic su Opzioni > Visualizza registri. 3 In registro di sicurezza, selezionare la prima voce di registro. Nell'angolo in basso a sinistra vengono visualizzati i risultati del controllo di integrità dell'host. Se il client è già installato, viene accettato il requisito predefinito del firewall. Se il client non è installato, il requisito predefinito del firewall non viene accettato ma risulta accettato. 4 Per visualizzare il registro di sistema, nella finestra di dialogo Registro sicurezza - Registri di Symantec Network Access Control, fare clic su Visualizza > Registro di sistema. 5 Fare clic su File > Esci. Vedere "Informazioni sui registri" a pagina 46.

138 Gestione di Symantec Network Access Control Visualizzazione dei registri di Symantec Network Access Control

Indice A Adware 66 Analisi download gestione delle rilevazioni 78 personalizzazione 81 risposta a notifiche 33 anti-malware con avvio anticipato 96 Applicazione informazioni 131 applicazioni autorizzazione o blocco 113 esclusione dalle scansioni 89 applicazioni ingannevoli 66 attivare e disattivare Auto-Protect 53 Autenticazione 802.1x configurazione 134 informazioni 133 Auto-Protect attivazione o disattivazione 50, 53 client di e-mail groupware 69 Download Insight 50 per il file system 53 per l'e-mail Internet 69 per Lotus Notes 71 per Microsoft Outlook 69 Autorizzazione del traffico regole firewall 113 risposta ai messaggi 35 avvisi Icone 17 risposta 27 B Barra delle applicazioni, icona 44 Blocco del traffico 122 regole firewall 113 risposta ai messaggi 35 Bot 66 C cartelle esclusione dalle scansioni 89 Centro sicurezza PC Windows visualizzazione dello stato del firewall 100 Centro sicurezza PC Windows (WSC) visualizzazione dello stato dell antivirus 99 client come proteggere i computer 39 disattivazione della protezione 49 gestito e non gestito 15 16 client gestiti controllo 16 gestire la protezione 39 informazioni 15 Client non gestiti controllo 16 gestire la protezione 39 informazioni 15 client stand-alone 15 Computer aggiornamento protezione 41 come proteggere i computer 39 Scansione 58 Computer a 64 bit 24 condividere file e stampanti 117 Condivisione di stampanti 117 controllo con stato 112 Controllo dell'accesso alla rete informazioni 12 Controllo di integrità dell'host esecuzione 132 D dati di reputazione 73 Definizioni Aggiornamento 41 43 informazioni 62 Definizioni dei virus Aggiornamento 41 43

140 Indice definizioni dei virus informazioni 62 Dialer 66 disable Auto-Protect 50 Protezione dalle minacce di rete 51 Protezione proattiva contro le minacce 50 dominio Web esclusione dalle scansioni 89 Download Insight dati di reputazione 73 interazione con Auto-Protect 50 E E-mail esclusione del file della posta in arrivo dalle scansioni 88 Eccezioni creazione 89 informazioni 88 89 eccezioni di scansione. Vedere Eccezioni eliminare i virus 30 F File azioni a seguito di una rilevazione 30 condivisione 117 esclusione dalle scansioni 89 invio a Symantec Security Response 94 file infetti interventi 29 firewall controllo con stato 112 gestione 105 impostazioni 116 I Icona dell'area di notifica informazioni 44 nascondere e mostrare 46 Icone lucchetto 16 nella pagina Stato 17 scudo 44 Impostazioni prevenzione delle intrusioni 126 Insight 73 Insight Lookup siti Intranet attendibili 81 Internet, bot 66 Invii 98 invii 97 IPS aggiornamento definizioni 41 L licenze risposta ai messaggi su 36 LiveUpdate comando 15 creazione di una pianificazione 43 eseguire immediatamente 42 informazioni generali 41 M malware configurazione di azioni per rilevazioni 84 Messaggi prevenzione delle intrusioni 126 risposta 27, 36 messaggi risposta 35, 37 mettere in quarantena i virus 30 Minacce di tipo misto 66 Minacce di tipo misto 66 Modifica file host o DNS eccezioni 89 N Network Access Control Applicazione 131 informazioni 129 risoluzione dei problemi del computer 132 Notifiche prevenzione delle intrusioni 126 notifiche Analisi download 33 risposta 27 O Opzioni non è disponibile. 15

Indice 141 P Pagina Cambia impostazioni 14 Pagina Ricerca minacce 14 Pagina Stato 13 icone di avviso 17 Pagina Visualizza quarantena 14 Prevenzione delle intrusioni funzionamento 124 gestione 123 notifiche per 126 prevenzione delle intrusioni attivazione o disattivazione 126 prevenzione delle intrusioni del browser informazioni 124 prevenzione delle intrusioni di rete informazioni 124 Programmi di accesso remoto 67 programmi di protezione dei minori 67 Programmi scherzo 66 protezione Aggiornamento 41 43 attivazione o disattivazione 49, 51 come 39 Protezione antivirus e antispyware informazioni 12 Registro di sistema 47 Protezione contro le manomissioni attivazione e disattivazione 54 disattivazione 51 Protezione dalle minacce di rete attivazione o disattivazione 51 gestione 105 informazioni 12 Registri 47 Protezione proattiva contro le minacce attivazione o disattivazione 50 informazioni 12 pulire i virus 30, 72 Q Quarantena eliminazione di file 95 gestione dei file 91 invio di file a Symantec Security Response 94 mettere in quarantena un file manualmente 94 spostamento di file 93 visualizzazione dei file infettati 93 R Registri attivazione del registro pacchetti 49 informazioni 46 Network Access Control 136 Visualizzazione 48 Registro controllo 48 Registro della protezione contro le manomissioni 48 Registro di debug 48 Registro di sistema gestione client 48 Protezione antivirus e antispyware 47 Protezione proattiva contro le minacce 47 Registro minacce 47 Registro pacchetti 47 attivazione 49 Registro rischi 47 mettere in quarantena un file 94 Registro scansioni 47 mettere in quarantena un file 94 Registro sicurezza 48 Registro traffico 47 Regole firewall Aggiunta 113 attivazione e disattivazione 114 esportazione 115 importazione 115 informazioni 109 regole firewall 114 informazioni 108 ordine di elaborazione informazioni 111 modifica 114 Riautenticazione 136 Rischi per la sicurezza configurazione di azioni per rilevazioni 84 esclusione dalle scansioni 89 rilevazione da parte del client 62 risposta del client 67 rischi per la sicurezza come il client risponde a una rilevazione 72 risoluzione dei problemi strumento di supporto 25 Rootkit 66 S Scansione e-mail. Vedere Auto-Protect scansione facendo clic con il pulsante destro del mouse 23

142 Indice scansioni azioni di risoluzione 82 come funzionano 62 componenti sottoposti a scansione 62 configurazione delle eccezioni 82 definite dall utente 82 esclusioni di elementi da 89 esecuzione 23 gestione 58 informazioni 67 interpretazione dei risultati 29 opzioni di notifica 82 opzioni di posticipo 25 pianificate 74 posticipo 24 regolare le impostazioni 82 risposta a una rilevazione 30 sospensione 24 su richiesta e all'avvio 77 tipi di 67 Scansioni all'avvio creazione 77 scansioni attive esecuzione 75 scansioni complete esecuzione 75 scansioni personalizzate esecuzione 75 scansioni pianificate creazione 74 multipli 74 scansioni non eseguite 74 Scansioni su richiesta creazione 77 esecuzione 23 Scudo, icona 44 Server client gestiti 15 connessione 44 SONAR eccezioni per l'inserimento di codice 101 gestione 102 informazioni 12, 100 modifica delle impostazioni 103 Registri 47 rilevazioni 101 spyware 67 Strumenti di hacking 66 strumento per la valutazione della sicurezza 67 Symantec Security Response invio di file 94 T trackware 67 Traffico blocco 122 Trojan horse 66 U update Definizioni 41 43 V Virus 66 configurazione di azioni per rilevazioni 84 non riconosciuti 94 rilevazione da parte del client 62 risposta del client 67 virus come il client risponde a una rilevazione 72 W Windows 8 notifiche pop-up 34, 97 Worm 66