Kaseya 2 Kaseya Endpoint Security Guida utente Versione 2,1 June 11, 2010
About Kaseya Kaseya is a global provider of IT automation software for IT Solution Providers and Public and Private Sector IT organizations. Kaseya's IT Automation Framework allows IT Professionals to proactively monitor, manage and maintain distributed IT infrastructure remotely, easily and efficiently with one integrated Web based platform. Kaseya's technology is licensed on over three million machines worldwide. Copyright 2000-2009 Kaseya International Limited. All Rights Reserved.
Contents Sicurezza 3 Panoramica sulla sicurezza... 4 Lavagna... 6 Stato sicurezza... 7 Abilita/disabilita protezione residente da procedura agente... 9 Aggiornamento manuale... 10 Scansione pianificata... 13 Visualizza minacce... 14 Visual.log... 16 Estendi/Rendi... 17 Notifica... 18 Installa/Rimuovi: Sicurezza... 19 Definisci profilo... 24 Assegna profilo... 30 Impostazioni Log: Sicurezza... 31 Stato Exchange... 32 Definisci set allarmi... 33 Applica set allarmi... 35 Report di sicurezza in VSA 5.x... 37 Report di sicurezza in VSA 6.x... 38 Index 41 i
C a p i t o l o 1 Sicurezza In questo capitolo Panoramica sulla sicurezza 4 Lavagna 6 Stato sicurezza 7 Aggiornamento manuale 10 Scansione pianificata 13 Visualizza minacce 14 Visual.log 16 Estendi/Rendi 17 Notifica 18 Installa/Rimuovi: Sicurezza 19 Definisci profilo 24 Assegna profilo 30 Impostazioni Log: Sicurezza 31 Stato Exchange 32 Definisci set allarmi 33 Applica set allarmi 35 Report di sicurezza in VSA 5.x 37 Report di sicurezza in VSA 6.x 38 3
Panoramica sulla sicurezza Kaseya Endpoint Security (KES) fornisce protezione di sicurezza per le macchine gestite, grazie a una tecnologia anti-malware completamente integrata di AVG Technologies. Il termine malware comprende virus, spyware, adware e altri tipi di programmi indesiderati. Kaseya Endpoint Security pulisce o rimuove automaticamente i file infetti e alter minacce, come trojan, worm e spyware. Kaseya Endpoint Security monitora continuamente lo stato di sicurezza di tutti i server, workstation e notebook Windows installati con protezione di sicurezza. Gli allarmi possono essere attivati dagli eventi di protezione sicurezza e possono prevedere l'invio di email, l'esecuzione di procedure e la creazione di ticket. Il profili di sicurezza gestiti centralmente sono definiti e implementati sulle macchine utilizzando l'interfaccia console VSA. Le modifiche a un profilo di sicurezza aggiornano automaticamente tutte le macchine che utilizzano quel profilo. Kaseya Endpoint Security viene fornito con un profilo di sicurezza standard predefinito e permette di creare profili di sicurezza personalizzati. Tutti gli eventi di protezione sicurezza vengono registrati nel sistema e sono disponibili per report riepilogativi o dettagliati. Una volta implementati, gli aggiornamenti vengono gestiti automaticamente in base alle pianificazioni, senza la necessità di interazione da parte dell utente. Protezione antivirus In base al profilo di sicurezza, Kaseya Endpoint Security rimuove i file infettati o ne blocca l'accesso. Effettua una scansione del registro di sistema alla ricerca di voci sospette, file temporanei internet, cookie traccianti e altri tipi di oggetti indesiderati. Rileva i virus dei computer tramite: Scansione all accesso o a richiesta esegue una scansione. Analisi euristica emula in modo dinamico le istruzioni degli oggetti scansionati all interno di un ambiente di elaborazione virtuale. Rilevazione generica rileva le istruzioni caratteristiche di un virus o gruppo di virus. Rilevazione virus noti cerca delle stringhe caratteristiche di virus specifici. Scansione email - controlla la posta in ingresso e in uscita usando dei plug-in progettati per i programmi di gestione email più diffusi. Una volta rilevati, i virus vengono ripuliti o messi in quarantena. Alcuni client di posta elettronica supportano i messaggi di testo che certificano che la posta ricevuta o inviata è stata sottoposta a scansione antivirus. Inoltre, per un maggiore livello di sicurezza quando si lavora con la posta elettronica, un filtro per gli allegati può essere impostato definendo i file sospetti o indesiderati. Protezione residente in memoria - analizza i file mentre vengono copiati, aperti o salvati. Se viene rilevato un virus, l'accesso ai file viene arrestato e il virus non è più in grado di attivarsi. La protezione residente è caricata nella memoria del computer durante l avvio del sistema e fornisce anche una protezione fondamentale per le aree di sistema del computer. Scansioni a richiesta - le scansioni possono essere eseguite a richiesta o pianificate periodicamente negli orari più comodi. Scansione di MS Exchange Server - effettua la scansione delle cartelle dei messaggi di posta in ingresso e in uscita di MS Exchange Server alla ricerca di minacce virus/spyware/malware e li elimina immediatamente prima che vengano infettati i destinatari di MS Exchange Server. Scansione di siti web e download - effettua la scansione di siti web e relativi collegamenti. Scansione anche i file che vengono scaricati nel computer. Fornisce una valutazione di sicurezza dei collegamenti forniti dai principali motori di ricerca. Protezione ID - impedisce il furto mirato di password, dati bancari, numeri di carta di credito e altre informazioni digitali preziose utilizzando "l'analisi comportamentale" per individuare attività sospette su una macchina. 4
Anti-Spyware Sicurezza Gli spyware sono software che raccolgono informazioni da un computer senza che l'utente lo permetta o ne sia a conoscenza. Alcune applicazioni spyware possono anche essere installate in segreto e contenere pubblicità, finestre di pop up o altri tipi di software indesiderato. Attualmente la fonte più comune di infezioni di questo tipo è costituita dai siti con contenuti potenzialmente dannosi. Tra gli altri metodi di trasmissione ricordiamo le email o la trasmissione tramite worm o virus. La protezione più importante contro lo spyware è l'utilizzo di una protezione residente in memoria, come l'avanzato componente spyware KES. Una protezione residente in memoria scansiona le applicazioni in background mentre sono in esecuzione. La protezione antispyware Kaseya Endpoint Security rileva spyware, adware, trojan di DLL, keylogger, malware nascosti nei flussi dati, archivi, voci spyware nel Registro Windows e altri tipi di oggetti indesiderati. Nota: Vedere Requisiti di sistema http://help.kaseya.com/webhelp/en/system-requirements.asp. Gestione licenze KES Ogni licenza di postazione KES MSE permette al cliente di installare e utilizzare un agente KES MSE in modo perpetuo e di ricevere aggiornamenti per un periodo di abbonamento di 365 giorni consecutivi. Il Termine di abbonamento per gli aggiornamenti è indipendente per ogni postazione e inizia con la data di installazione dell'agente KES MSE su una macchina e permette alla postazione di ricevere gli aggiornamenti KES durante il periodo di abbonamento. Anche tutti gli aggiornamenti rilasciati durante il periodo di abbonamento sono perpetui; tuttavia alla fine del periodo di abbonamento o al suo mancato rinnovo cessa il diritto di ricevere nuovi aggiornamenti KES. L'emissione di una nuova licenza per postazione su una macchina con un Termine di abbonamento valido unisce i Termini e quindi aggiunge 365 giorni al periodo rimanente nel Termine di abbonamento della postazione. Qualsiasi trasferimento di tale termine unito a una nuova macchina provoca il trasferimento di tutti i giorni rimanenti per entrambe le postazioni precedenti. È necessario ottenere la corretta licenza per postazione KES per ogni macchina e/o casella Exchange protette. Il cliente può implementare KES MSE solo su macchine con una licenza VSA valida. Le licenze KES MSE possono essere gestite centralmente utilizzando l'interfaccia utente web di Kaseya. Nota: Le licenze KES sono assegnate agli ID gruppi tramite Sistema > License Manager. Funzioni Lavagna (pagina 6) Stato sicurezza (pagina 13) Aggiornamento manuale (pagina 10) Scansione pianificata (pagina 13) Visualizza minacce (pagina 14) Visual.log (pagina 16) Descrizione Fornisce una visualizzazione a cruscotto dello stato delle macchine installate con Kaseya Endpoint Security. Visualizza lo stato di sicurezza corrente degli ID macchina. Pianifica gli aggiornamenti dell'ultima versione dei file di definizione della sicurezza. Pianifica le scansioni di protezione di sicurezza degli ID macchina. Elenca i file messi in quarantena a causa di minacce sospette o confermate. Visualizza il log eventi protezione di sicurezza degli ID macchina. Estendi/Rendi (pagina 17) Estende il conteggio licenze annuali per gli ID macchina selezionati o restituisce le licenze annuali dagli ID macchina selezionati. Notifica (pagina 18) Installa/Rimuovi (pagina 19) Fornisce la notifica automatica della scadenza delle licenze Kaseya Endpoint Security. Installa o rimuove la protezione di sicurezza per gli ID macchina. 5
Definisci profilo (pagina 24) Assegna profilo (pagina 30) Impostazioni Log (pagina 31) Stato Exchange (pagina 32) Definisci set allarmi (pagina 33) Applica set allarmi (pagina 35) Gestisce i profili di sicurezza. Ogni profilo di sicurezza rappresenta un insieme diverso di opzioni di sicurezza abilitate o disabilitate. Assegna i profili di sicurezza agli ID macchina. Specifica il numero di giorni di conservazione dei dati log della protezione di sicurezza. Visualizza lo stato della protezione email sui server MS Exchange con KES installato. Definisce i set delle condizioni di allarme utilizzate per attivare gli avvisi utilizzando la pagina Applica set allarmi. Crea degli allarmi in risposta agli eventi di protezione sicurezza. Lavagna Sicurezza > Cruscotto Informazioni analoghe vengono fornite utilizzando Centro informazioni > Report > Sicurezza. La pagina Cruscotto fornisce una visualizzazione a cruscotto dello stato delle macchine installate con Kaseya Endpoint Security. Statistiche sicurezza endpoint Stato licenza Minacce a macchine principali Minacce gravi scoperte Nota: L'elenco degli ID macchine visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Statistiche sicurezza endpoint La sezione Statistiche sicurezza endpoint fornisce diverse statistiche relative allo stato di sicurezza degli endpoint e allo stato delle definizioni di sicurezza. <N> endpoint richiedono il riavvio <N> versioni di firma sono più vecchie della '<versione>' <N> endpoint con versione KES antecedente <N> endpoint che non hanno completato la scansione questa settimana <N> endpoint che stanno eseguendo una scansione <N> endpoint con Resident Shield disabilitato fare clic su una di queste statistiche con collegamento ipertestuale per vedere un dialogo a schede relativo a ogni membro appartenente alla statistica. Stato licenza Grafico a torta che visualizza la percentuale di macchine con licenza scaduta o con licenze in scadenza a 30, 60, 90 o più di 90 giorni. Fare clic sui settori del grafico a torta o sulle etichette del grafico per visualizzare un elenco delle singole macchine appartenenti a quel settore. Minacce a macchine principali Elenca le macchine con il maggior numero di minacce correnti. Viene elencato anche il numero di minacce presenti nell'archivio virus. Facendo clic su un ID macchina con collegamento ipertestuale 6
vengono visualizzate le minacce che appartengono a quell'id macchina nella pagina Visualizza minacce (pagina 14). Minacce gravi scoperte Viene visualizzato un grafico a torta che riporta le minacce rilevate sulla maggiore percentuale di macchine. Fare clic sui settori del grafico a torta o sulle etichette del grafico per visualizzare nella pagina Visualizza minacce un elenco delle singole macchine appartenenti a quel settore. Stato sicurezza Sicurezza > Stato sicurezza Informazioni analoghe vengono fornite utilizzando Centro informazioni > Report > Sicurezza. La pagina Stato sicurezza mostra lo stato corrente della sicurezza di ogni ID macchina con licenza di utilizzo di KES. L'elenco degli ID macchine visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Per essere visualizzati su questa pagina, gli ID macchina devono avere il software client KES installato sulla macchina gestita tramite la pagina Sicurezza > Installa/Rimuovi (pagina 19). Gli indicatori comprendono protezione residente, protezione posta, numero di minacce non risolte rilevate, numero di minacce dell'archivio virus e la versione della protezione di sicurezza installato su ogni ID macchina. Questa pagina mette a disposizione le seguenti azioni: Abilita protezione residente - fare clic per abilitare la protezione antimalware in memoria sugli ID macchina selezionati. Disabilita protezione residente - fare clic per disabilitare la protezione antimalware in memoria sugli ID macchina selezionati. Nota: In alcuni casi la protezione di sicurezza deve essere disabilitata per installare o configurare il software su una macchina gestita. Nota: È anche possibile Abilitare/disabilitare la protezione residente tramite procedura agente (pagina 9). Abilita email - fare clic per abilitare la protezione email sugli ID macchina selezionati. Disabilita email - fare clic per disabilitare la protezione email sugli ID macchina selezionati. Svuota quarantena - fare clic per svuotare l'archivio virus di tutti i malware messi in quarantena. Riavvia ora - riavvia gli ID macchina selezionati. Alcuni aggiornamenti di sicurezza richiedono un riavvio per installare l'aggiornamento. Se un riavvio è in sospeso, vicino al numero di versione viene visualizzata un'icona di riavvio e la macchina è ancora protetta. Versione firma attuale disponibile Ultima versione della protezione di sicurezza disponibile. È possibile aggiornare uno o più ID macchina alla Versione attualmente disponibile utilizzando Sicurezza > Aggiornamenti manuali (pagina 35). Versione attuale del programma di installazione Numero di versione del programma di installazione AVG da usare sulle nuove installazioni. Stato accesso Queste icone indicano lo stato di accesso dell'agente su ciascuna macchina gestita. In linea ma in attesa del completamento della prima verifica Agente in linea 7
Agente in linea e utente attualmente connesso. L'icona visualizza un fumetto che riporta il nome di accesso. Agente in linea e utente collegato, ma non attivo per 10 minuti L'Agente è attualmente non in linea L'agente non si è mai collegato L'agente è in linea ma il controllo remoto è stato disabilitato L'agente è stato sospeso Nota: Se questo modulo è installato in un VSA 5.x vengono visualizzate immagini icone diverse. La pagina Controllo remoto > Controlla macchina visualizza una legenda delle icone specifiche utilizzate dal sistema VSA. (Seleziona tutte le caselle) Fare clic su questa casella per selezionare tutte le righe dell'area di impaginazione. Se selezionati, fare clic su questa casella per deselezionare tutte le righe dell'area di impaginazione. ID macchina.gruppo L'elenco degli ID macchina.gruppo visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Nome profilo Stato Profilo di sicurezza assegnato all'id macchina. Lo stato attuale della protezione di sicurezza per un ID macchina è indicato dal gruppo di icone di stato visualizzate nella colonna Stato. Le icone di stato possibili comprendono: Protezione residente attiva Protezione residente disattivata Protezione residente parziale Abilitazione/disabilitazione protezione residente in sospeso Scansione email attiva Scansione email disattivata Scansione email parziale Abilitazione/disabilitazione scansione email in sospeso Scansione collegamenti attiva Scansione collegamenti disattivata 8
Scansione collegamenti parziale Abilitazione/disabilitazione scansione collegamenti in sospeso Protezione web attiva Protezione web disattivata Protezione web parziale Abilitazione/disabilitazione protezione web in sospeso Minacce Il numero di minacce non annullate sull'id macchina. Si ratta delle minacce attuali che richiedono l'attenzione dell'utente. È possibile fare clic sul numero del collegamento ipertestuale in una riga qualsiasi per visualizzare queste minacce nella scheda Minacce correnti della pagina Visualizza minacce (pagina 14), Deposito virus Il numero di minacce memorizzate nell'archivio deposito virus dell'id macchina. Questi elementi sono messi in quarantena in sicurezza e verranno poi eliminati definitivamente È possibile fare clic sul numero del collegamento ipertestuale in una riga qualsiasi per visualizzare queste minacce nella scheda Deposito virus della pagina Visualizza minacce (pagina 14), Versione Versione della protezione di sicurezza attualmente in uso da questo ID macchina. Per esempio: 8.5.322 270.12.6/2084 8.5.322 - Versione del programma AVG installato. 270.12.6/2084 - Versione del database completo dei virus. 270.12.6 rappresenta la versione di definizione e 2084 è la versione di firma. Viene visualizzato con testo rosso se la versione di firma è più vecchia delle ultime 5 versioni di firma disponibili, oppure se la versione di definizione è più vecchia delle ultime 2 versioni di definizione disponibili e l'agente è attivo. Nota: Se la versione di un ID macchina è superata, è possibile aggiornare manualmente l'id di alcune macchine tramite Sicurezza > Aggiornamento manuale (pagina 10). Nota: Alcuni aggiornamenti di sicurezza richiedono un riavvio per l'installazione. Se un riavvio è in sospeso, vicino al numero di versione viene visualizzata un'icona di riavvio e la macchina è ancora protetta. Abilita/disabilita protezione residente da procedura agente È possibile disabilitare/abilitare la Protezione residente utilizzando il seguente Comando Execute Shell in una procedura agente. Nella directory di lavoro, eseguire: 9
C:\kworking\kes>KasAVCmd -setfilemonitorenable 0 residente C:\kworking\kes>KasAVCmd -setfilemonitorenable 1 residente ;disabilita protezione ;abilita protezione Nome script: KES_Enable Resident Shield Descrizione script: Abilita temporaneamente la protezione residente (fino alla prossima scansione o riavvio... a meno che non sia abilitata per default e venga riattivata dopo essere stata temporaneamente disabilitata) IF True THEN Ottieni variabile Parametro 1 : 10 Parametro 2 : Parametro 3 : agenttemp Tipo S.O.: 0 Esegui File Parametro 1 : #agenttemp#\kes\kasavcmd.exe Parametro 2 : -setfilemonitorenable 1 Parametro 3 : 3 Tipo S.O.: 0 ELSE Nome script: KES_Enable Resident Shield Descrizione script: Disattiva temporaneamente la protezione residente (fino alla prossima scansione o riavvio) IF True THEN Ottieni variabile Parametro 1 : 10 Parametro 2 : Parametro 3 : agenttemp Tipo S.O.: 0 Esegui File Parametro 1 : #agenttemp#\kes\kasavcmd.exe Parametro 2 : -setfilemonitorenable 0 Parametro 3 : 3 Tipo S.O.: 0 ELSE Aggiornamento manuale Sicurezza > Aggiornamento manuale La pagina Aggiornamenti manuali controlla l'aggiornamento degli ID macchina con licenza di utilizzo di KES con l'ultima versione disponibile della protezione. Gli aggiornamenti sono pianificati automaticamente per default. È possibile disabilitare e ri-abilitare l'aggiornamento automatico per macchina. In genere questa funzione viene utilizzata solo per revisionare lo stato di aggiornamento degli agenti, o per forzare un immediato controllo dell aggiornamento, se necessario. L'elenco di ID macchine selezionabili dipende dal filtro ID macchina / ID gruppo. Per essere visualizzati 10
su questa pagina, gli ID macchina devono avere il software client KES installato sulla macchina gestita tramite la pagina Sicurezza > Installa/Rimuovi (pagina 19). Questa pagina mette a disposizione le seguenti azioni: Aggiornamento - fare clic per pianificare un aggiornamento delle definizioni dei virus sugli ID macchina selezionati utilizzando le opzioni di aggiornamento selezionate in precedenza. Annulla aggiornamento - fare clic per annullare un aggiornamento pianificato. Abilita aggiornamenti automatici - Abilita gli aggiornamenti per le definizioni dei virus. Disabilita aggiornamenti automatici - disabilita gli aggiornamenti per le definizioni dei virus. Ciò impedisce che gli aggiornamenti per le definizioni dei virus rallentino la rete durante l'orario di lavoro. In una relegaste futura sarà possibile pianificare quando effettuare l'aggiornamento delle definizioni dei virus. Se gli aggiornamenti automatici sono disabilitati, viene visualizzata un'icona con una croce rossa nella colonna Orario pianificato, anche se è pianificato un aggiornamento manuale. Versione attuale disponibile Ultima versione della protezione di sicurezza disponibile. Controllare la colonna versione su questa pagina per determinare se su alcuni ID macchina non è presente l'ultima versione della protezione di sicurezza o l'ultimo software client KES disponibile. Versione attuale Client KES Ultimo software client KES disponibile. Aggiornare dal server (prevale sul file sorgente) Se selezionato, gli aggiornamenti vengono scaricati dal server. Se vuoto, gli aggiornamenti vengono scaricati utilizzando il metodo specificato in Gestione patch > Origine file. Immediato Selezionare la casella Immediato per iniziare l'aggiornamento appena viene fatto clic su Aggiornamento. Data/ora Inserire anno, mese, giorno, ora e minuti per pianificare questa attività. Scagliona per È possibile distribuire il carico sulla rete scaglionando questa attività. Se si imposta questo parametro a 5 minuti, l'attività su ogni ID macchina è scaglionata di 5 minuti. Per esempio, la macchina 1 alle 10:00, la macchina 2 alle 10:05, la macchina 3 alle 10:10,... Salta se la macchina non è in linea Selezionare per eseguire questa attività solo all'orario pianificato, entro una finestra di15 minuti. Se la macchina non è in linea, salta ed esegui nel prossimo periodo e orario pianificato. Deselezionare per eseguire questa attività non appena la macchina si collega dopo l'orario pianificato. Stato accesso Queste icone indicano lo stato di accesso dell'agente su ciascuna macchina gestita. In linea ma in attesa del completamento della prima verifica Agente in linea Agente in linea e utente attualmente connesso. L'icona visualizza un fumetto che riporta il nome di accesso. Agente in linea e utente collegato, ma non attivo per 10 minuti 11
L'Agente è attualmente non in linea L'agente non si è mai collegato L'agente è in linea ma il controllo remoto è stato disabilitato L'agente è stato sospeso Nota: Se questo modulo è installato in un VSA 5.x vengono visualizzate immagini icone diverse. La pagina Controllo remoto > Controlla macchina visualizza una legenda delle icone specifiche utilizzate dal sistema VSA. (Seleziona tutte le caselle) Fare clic su questa casella per selezionare tutte le righe dell'area di impaginazione. Se selezionati, fare clic su questa casella per deselezionare tutte le righe dell'area di impaginazione. ID macchina.gruppo L'elenco degli ID macchina.gruppo visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Origine Se una origine file viene definita utilizzando Gestione patch > Origine file, gli aggiornamenti vengono prelevati da questa posizione. In caso contrario, gli aggiornamenti vengono prelevati da internet. Se l'opzione Scarica da Internet se la macchina non è in grado di collegarsi al file server è selezionata in Gestione patch >Origine file: Durante l'installazone di un endpoint KES v2.x, se l'origine file è irraggiungibile o le credenziali non sono valide, il programma di installazione viene scaricato da Kserver e completa l'installazione dell'endpoint. Durante un aggiornamento manuale KES v2.x, se l'origine dei file è irraggiungibile o le credenziali non sono valide, l'aggiornamento viene scaricato da internet. In entrambi i casi sopra descritti, la pagina Visualizza log (pagina 16) mostra un messaggio di errore che indica che ci sono problemi con l'origine dei file e che si sta tentando di scaricarli da internet. Ultimo aggiornamento Questa marcatura temporale mostra quando è stato aggiornato l'ultima volta un ID macchina. Quando questa data cambia, un nuovo aggiornamento è disponibile. Versione Versione della protezione di sicurezza attualmente in uso da questo ID macchina. Per esempio: 8.5.322 270.12.6/2084 8.5.322 - Versione del programma AVG installato. 270.12.6/2084 - Versione del database completo dei virus. 270.12.6 rappresenta la versione di definizione e 2084 è la versione di firma. Viene visualizzato con testo rosso se la versione di firma è più vecchia delle ultime 5 versioni di firma disponibili, oppure se la versione di definizione è più vecchia delle ultime 2 versioni di definizione disponibili e l'agente è attivo. [KES 2.1.0.87] - versione del software client KES. Ora pianificata Marcatura temporale che mostra il prossimo aggiornamento pianificato, se è pianificato manualmente o automaticamente. Per una macchina selezionata: 12
Se sono attivati gli aggiornamenti automatici per una macchina selezionata e KES rileva un aggiornamento AVG, viene visualizzata una marcatura temporale. Quando più macchine sono pianificate, le marcature temporali saranno diverse, in quanto gli aggiornamenti automatici utilizzano una pianificazione scaglionata. Se sono attivati gli aggiornamenti automatici ma non vengono rilevati aggiornamenti AVG, la cella della tabella è vuota, a meno che non sia pianificato anche un aggiornamento manuale. Se gli aggiornamenti automatici sono disabilitati, viene visualizzata un'icona con una croce rossa, anche se è pianificato un aggiornamento manuale. Se è pianificato un aggiornamento manuale viene visualizzata una marcatura temporale. Scansione pianificata Sicurezza > Scansione pianificata La pagina Scansione pianificata pianifica le scansioni di protezione di sicurezza degli ID macchina selezionati con licenza di utilizzo di Kaseya Endpoint Security. L'elenco di ID macchine selezionabili dipende dal filtro ID macchina / ID gruppo. Per essere visualizzati su questa pagina, gli ID macchina devono avere il software client KES installato sulla macchina gestita tramite la pagina Sicurezza > Installa/Rimuovi (pagina 19). Questa pagina mette a disposizione le seguenti azioni: Scansione - fare clic per pianificare una scansione degli ID macchina selezionati utilizzando le opzioni di scansione selezionate in precedenza. Annulla - fare clic per annullare una scansione pianificata. Immediato Selezionare la casella Immediata per iniziare la scansione appena viene fatto clic su Scansione. Data/ora Inserire anno, mese, giorno, ora e minuti per pianificare questa attività. Scagliona per È possibile distribuire il carico sulla rete scaglionando questa attività. Se si imposta questo parametro a 5 minuti, l'attività su ogni ID macchina è scaglionata di 5 minuti. Per esempio, la macchina 1 alle 10:00, la macchina 2 alle 10:05, la macchina 3 alle 10:10,... Salta se la macchina non è in linea Selezionare per eseguire questa attività solo all'orario pianificato, entro una finestra di15 minuti. Se la macchina non è in linea, salta ed esegui nel prossimo periodo e orario pianificato. Deselezionare per eseguire questa attività non appena la macchina si collega dopo l'orario pianificato. Ogni N periodi Selezionare la casella per rendere questa attività ricorrente. Inserire il numero di periodi da attendere prima di eseguire nuovamente questa attività. Stato accesso Queste icone indicano lo stato di accesso dell'agente su ciascuna macchina gestita. In linea ma in attesa del completamento della prima verifica Agente in linea 13
Agente in linea e utente attualmente connesso. L'icona visualizza un fumetto che riporta il nome di accesso. Agente in linea e utente collegato, ma non attivo per 10 minuti L'Agente è attualmente non in linea L'agente non si è mai collegato L'agente è in linea ma il controllo remoto è stato disabilitato L'agente è stato sospeso Nota: Se questo modulo è installato in un VSA 5.x vengono visualizzate immagini icone diverse. La pagina Controllo remoto > Controlla macchina visualizza una legenda delle icone specifiche utilizzate dal sistema VSA. (Seleziona tutte le caselle) Fare clic su questa casella per selezionare tutte le righe dell'area di impaginazione. Se selezionati, fare clic su questa casella per deselezionare tutte le righe dell'area di impaginazione. ID macchina.gruppo L'elenco degli ID macchina.gruppo visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Ultima scansione Questa marcatura temporale indica quando è stata effettuata l'ultima scansione. Quando questa data cambia, sono disponibili nuovi dati di scansione da visualizzare. Prossima scansione / pianificaz. Questa marcatura temporale mostra la prossima scansione pianificata. Le marcature temporali data/ora scadute vengono visualizzate con testo rosso ed evidenziazione gialla. Un segno di spunta verde indica che la scansione è ricorrente. Visualizza minacce Sicurezza > Visualizza minacce Informazioni analoghe vengono fornite utilizzando Centro informazioni > Report > Sicurezza. La pagina Visualizza minacce mostra le minacce per le quali è possibile intraprendere qualche azione. Le minacce sono raggruppate in base al loro stato in due schede differenti: Minacce correnti - elenca le minacce rilevate su macchine che non possono essere riparate automaticamente. Ogni minaccia non annullata rimane inalterata sulla macchina, e richiede quindi un'azione da parte dell'utente. Eliminando una minaccia sulla scheda Minacce correnti si elimina immediatamente il file, senza spostarlo nel Deposito virus. Nota: Quando una macchina viene scansionata, tutte le minacce correnti sono cancellate e marcate come risolte. Se una minaccia continua ad esistere, viene nuovamente rilevata e aggiunta all'elenco delle minacce correnti. Deposito virus - le minacce sono rilevate dalla scansione o dalla protezione residente. La riparazione della minaccia sostituisce il file originale con il file riparato. Il file originale, non riparato, viene spostato in una partizione nascosta del disco fisso del computer denominata Deposito virus. In pratica, il Deposito virus opera come una sorta di "cestino" per le minacce, permettendo di recuperare i file prima di eliminarli definitivamente dalle macchine. 14
Riparazione La riparazione prevede i seguenti passaggi: 1. Un tentativo di ripulire il file. 2. Se tale tentativo non riesce, si tenta di spostare il file nel Deposito virus. 3. Se non è possibile, viene fatto un tentativo di eliminare il file. Sicurezza 4. Se questo tentativo fallisce, il file rimane immutato sulla macchina e viene elencato nella scheda Minacce correnti della pagina Visualizza minacce. Minacce a MS Exchange Server Eventuali malware rilevati dalla protezione email di MS Exchange Server vengono immediatamente eliminati da MS Exchange Server e compaiono solo nella scheda Deposito virus. Minacce correnti La scheda Minacce correnti permette di eseguire le seguenti azioni: Riparazione - tenta di riparare un file senza eliminarlo. Le minacce riparate vengono eliminate dalla scheda Minacce correnti e compaiono nella scheda Deposito virus. Elimina - tenta di eliminazione. Le minacce vengono eliminate dal computer immediatamente. Nota: Se non riescono né la riparazione né la cancellazione, significa che il file è aperto. Terminare gli eventuali processi che tengono aperto il file e riprovare ad eliminarlo. Rimuovi da questo elenco - rimuove la minaccia dalla pagina Visualizza minacce senza eseguire altre azioni. Annulla operazione in sospeso - annulla eventuali altre azioni, se non sono state ancora completate. Aggiungi a lista di esclusione PUP - Una minaccia viene identificata come potenziale programma indesiderato, o PUP, visualizzando una (P) vicino al nome della minaccia nella pagina Visualizza minacce. Le minacce PUP possono essere aggiunte alla lista di esclusione per il profilo assegnato alla macchina nella quale sono state rilevate. Esclusione significa che il file non verrà più scansionato come minaccia potenziale su tutte le macchine assegnate a questo profilo. Eseguire questa azione solo se si è certi che il file è sicuro. L'intera lista di esclusione PUP è gestita tramite la scheda Definisci profilo (pagina 24) > Esclusioni PUP. Nota: Le minacce non PUP non possono essere aggiunte alla lista di esclusione PUP. Deposito virus La scheda Deposito virus permette di eseguire le seguenti azioni: Ripristina - ripristina il file originale identificato come minaccia. Eseguire questa azione solo se si è certi che il file è sicuro. Elimina - elimina il file originale identificato come minaccia dal Deposito virus. Nota: Non è possibile ripristinare un file eliminato dal Deposito virus. Rimuovi da questo elenco - rimuove la minaccia dalla pagina Visualizza minacce senza eseguire altre azioni. Annulla operazione in sospeso - annulla eventuali altre azioni, se non sono state ancora completate. Aggiungi a lista di esclusione PUP - Una minaccia viene identificata come potenziale programma indesiderato, o PUP, visualizzando una (P) vicino al nome della minaccia nella pagina Visualizza minacce. Le minacce PUP possono essere aggiunte alla lista di esclusione per il profilo assegnato alla macchina nella quale sono state rilevate. Esclusione significa che il file non verrà più scansionato come minaccia potenziale su tutte le macchine assegnate a questo profilo. Eseguire questa azione solo se si è certi che il file è sicuro. L'intera lista di esclusione PUP è gestita tramite la scheda Definisci profilo (pagina 24) > Esclusioni PUP. 15
Nota: Le minacce non PUP non possono essere aggiunte alla lista di esclusione PUP. Applica filtro / Reimposta filtro Fare clic su Applica filtro per filtrare le righe visualizzate dal testo inserito nei campi Macchina.Gruppo, Percorso minaccia o Nome minaccia. Il filtro in base a Ora e l'ordinamento per Azione avvengono immediatamente. Fare clic su Reimposta filtro per visualizzare tutte le righe di dati. Filtra campi Filtra la visualizzazione delle minacce utilizzando i campi testo, un intervallo di date e/o elenchi a tendina. Inserire un asterisco (*) nel testo che si inserisce per ottenere la corrispondenza di più record. Macchina.Gruppo - filtra per ID macchina.id gruppo le macchine gestite, riportando le minacce. Percorso minaccia - filtra per posizione nome percorso i file sulle macchine gestite, riportando le minacce. Ora - filtra per intervallo di date e ore di ultima rilevazione. Il filtro per Ora avviene immediatamente. Nome minaccia - filtra in base al nome della minaccia, come indicato dalle definizioni anti-malware utilizzate per rilevare una minaccia. Categoria - filtra per tipo di minaccia segnalata. Selezionare Tutto OFF o Tutto ON per abilitare o disabilitare tutte le categorie. Azione - filtra in base alle azioni completate o in sospeso intraprese in riferimento ai record minaccia. Selezionare Tutto OFF o Tutto ON per abilitare o disabilitare tutte le azioni. L'ordinamento in base all'azione avviene immediatamente. Visual.log Sicurezza > Visualizza log Informazioni analoghe vengono fornite utilizzando Centro informazioni > Report > Sicurezza. La pagina Visualizza log mostra il log eventi della protezione di sicurezza di ogni ID macchina con licenza di utilizzo di Kaseya Endpoint Security. L'elenco degli ID macchine visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Per essere visualizzati su questa pagina, gli ID macchina devono avere il software client KES installato sulla macchina gestita tramite la pagina Sicurezza > Installa/Rimuovi (pagina 19). Fare clic su un ID macchina.id gruppo per visualizzare un log eventi. Per ogni evento viene visualizzato un'ora, Codice evento, e nella maggior parte dei casi un Messaggio contenente ulteriori informazioni. I codici degli eventi della protezione di sicurezza descrivono uno dei tre tipi di voci di log. Errori Eventi Comandi Applica filtro / Reimposta filtro Fare clic su Applica filtro per filtrare le righe per l'intervallo di date inserito nei campi Ora e/o il testo inserito nel campo Messaggio. Fare clic su Reimposta filtro per visualizzare tutte le righe di dati. Filtra campi Filtra la visualizzazione delle minacce utilizzando i campi testo, un intervallo di date e/o elenchi a tendina. Inserire un asterisco (*) nel testo che si inserisce per ottenere la corrispondenza di più record. Le righe di impaginazione possono essere ordinate facendo clic sui collegamenti delle intestazioni delle colonne. 16
Ora, Min, Max - filtra per un intervallo di date e ore. Sicurezza Codice - filtra per categoria di eventi segnalati. Selezionare Tutto OFF o Tutto ON per abilitare o disabilitare tutte le categorie. Messaggio - filtra per testo di messaggio. Estendi/Rendi Sicurezza > Estendi/Rendi La pagina Estendi/Rendi estende il conteggio licenze annuali per gli ID macchina selezionati o restituisce le licenze annuali dagli ID macchina selezionati. Una licenza annuale può essere restituita da un ID macchina ed essere applicata a un altro ID macchina. Ad ogni ID macchina è possibile assegnare diversi anni di protezione di sicurezza. Le licenze KES sono assegnate agli ID gruppi tramite Sistema > License Manager. Nota: Vedere Gestione licenze KES nell'argomento Panoramica sicurezza (pagina 4). L'elenco di ID macchine selezionabili dipende dal filtro ID macchina / ID gruppo. Per essere visualizzati su questa pagina, gli ID macchina devono avere il software client KES installato sulla macchina gestita tramite la pagina Sicurezza > Installa/Rimuovi (pagina 19). La pagina rende disponibili le seguenti operazioni: Estendi - estende il conteggio delle licenze annuali per gli ID macchina selezionati. Rendi - restituisce le licenze annuali dagli ID macchina selezionati. Estendi automaticamente - abilita l'assegnazione automatica di una nuova licenza nel giorno di scadenza della vecchia licenza per gli ID macchina selezionati. le licenze parziali vengono assegnate per prime, seguite dalle licenze complete. Se non esistono licenze aggiuntive, l'assegnazione non riesce e la protezione di sicurezza per l'endpoint scade. Abilitata di default. Questa opzione viene visualizzata solo per utenti con ruolo Master. Rimuovi estensione automatica - disabilita l'estensione automatica per gli ID macchina selezionati. Questa opzione viene visualizzata solo per utenti con ruolo Master. Licenze usate Mostra il numero di licenze Kaseya Endpoint Security annuali usate, restituibili e parziali. Questi conteggi non vengono influenzati dal filtro ID macchina.id gruppo. Utilizzate - una licenza viene utilizzata se è stata assegnata almeno una volta a un ID macchina. Il conteggio delle licenze utilizzate comprende tutte le licenze restituibili, parziali e scadute. restituibili - numero totale delle licenze restituibili a disposizione. Parziali - numero totale delle licenze parzialmente usate a disposizione. Le licenze parzialmente consumate vengono rese disponibili quando KES è disinstallato da un ID macchina. Nota: Le date di scadenza delle licenze parziali rimangono valide e vengono consumate anche se non sono più assegnate a nessuna macchina. Per questo motivo le licenze parziali, se disponibili, sono sempre assegnate prima a un ID macchina che richiede una licenza KES. Mostra solo le licenze che scadono entro 30 giorni Limita la visualizzazione delle licenze nell'area di impaginazione a quelle in scadenza entro 30 giorni. 17
(Seleziona tutte le caselle) Fare clic su questa casella per selezionare tutte le righe dell'area di impaginazione. Se selezionati, fare clic su questa casella per deselezionare tutte le righe dell'area di impaginazione. ID macchina.gruppo L'elenco degli ID macchina.gruppo visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti. Restituibili Il numero di licenze annuali restituibili da un ID macchina. Un ID macchina con una sola licenza annuale non può restituire altre licenze annuali. Scade il Data in cui scade la protezione di sicurezza di un ID macchina, in base al numero di licenze annuali che possiede. Estensione automatica Se selezionato, per questo ID macchina viene attivata l'estensione automatica. Al limite Se si utilizza il numero massimo di licenze annuali disponibili per un ID gruppo, ogni ID macchina con licenza in quell'id gruppo visualizza Sì nella colonna Al Limite. Questo avvisa l'utente che potrebbe essere necessario assegnare altre licenze annuali a quell'id gruppo. Le licenze KES sono assegnate agli ID gruppi tramite Sistema > License Manager. Notifica Sicurezza > Notifica La pagina Notifica fornisce la notifica automatica della scadenza delle licenze KES. È possibile notificare i clienti, gli utenti VSA e gli utenti delle macchine diversi giorni prima della scadenza delle licenze KES. Le licenze KES sono assegnate agli ID gruppi tramite Sistema > License Manager. Nota: Vedere Gestione licenze KES nell'argomento Panoramica sicurezza (pagina 4). L'elenco di ID macchine selezionabili dipende dal filtro ID macchina / ID gruppo. Per essere visualizzati su questa pagina, gli ID macchina devono avere il software client KES installato sulla macchina gestita tramite la pagina Sicurezza > Installa/Rimuovi (pagina 19). Invia la notifica quando la licenza scade entro N giorni Inserire il numero di giorni prima della data di scadenza di una licenza KES per informare clienti e utenti. Destinatari email (indirizzi multipli separati da virgola) Specificare gli indirizzi email ai quali inviare i messaggi di notifica. È possibile separare con virgole più indirizzi email. Applica Fare clic su Applica per applicare i parametri agli ID macchina selezionati. Confermare che i parametri sono stati applicati correttamente all'elenco ID macchine. 18