Guida del client per
Symantec™ Endpoint
Protection e Symantec
Network Access Control
Guida del client per Symantec™ Endpoint Protection e
Symantec Network Access Control
Il software descritto nel presente manuale viene fornito in conformità a un contratto di
licenza e può essere utilizzato esclusivamente ai sensi di tale accordo.
Versione documentazione: 11.00.00.00.01
Note legali
Copyright © 2007 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec,
LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune
System, Norton e TruScan sono marchi o marchi registrati di Symantec Corporation o delle
relative consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi
commerciali dei rispettivi proprietari.
Il prodotto descritto nel presente documento è distribuito in base alle condizioni di una
licenza che ne limita l'utilizzo, la copia, la distribuzione e la decompilazione/decodificazione.
È vietato riprodurre qualsiasi parte di questo documento tramite qualsiasi mezzo senza
previo consenso scritto di Symantec Corporation e dei suoi eventuali concessori di licenza.
LA DOCUMENTAZIONE È FORNITA "TAL QUALE" E TUTTE LE CONDIZIONI ESPLICITE O
IMPLICITE, ASSICURAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI
COMMERCIABILITÀ, IDONEITÀ PER UN PARTICOLARE SCOPO E INVIOLABILITÀ, SONO
ESCLUSE, SALVO PER LE CLAUSOLE VESSATORIE. SYMANTEC CORPORATION NON SARÀ
RESPONSABILE PER ALCUN TIPO DI DANNO INCIDENTALE O CONSEQUENZIALE
COLLEGATO ALLA CONSEGNA, ALLE PRESTAZIONI O ALL'UTILIZZO DI QUESTA
DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NELLA PRESENTE
DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO.
Il software fornito in licenza e la documentazione sono da ritenersi un software commerciale
per computer come definito in FAR 12.212 e soggetti a diritti limitati, come definito nella
sezione FAR 52.227-19 "Commercial Computer Software - Restricted Rights" e DFARS
227.7202, "Rights in Commercial Computer Software or Commercial Computer Software
Documentation", ove applicabile, e ogni regolamentazione successiva. Ogni utilizzo, modifica,
versione per la riproduzione, prestazione, visualizzazione o divulgazione del software fornito
in licenza e della documentazione da parte del governo degli Stati Uniti dovranno essere
conformi ai termini del presente accordo.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014, Stati Uniti d'America.
http://www.symantec.it
Sommario
Sezione 1
Introduzione ..................................................................... 9
Capitolo 1
Presentazione del client Symantec ................................. 11
Informazioni sul client ..................................................................
Informazioni sui client gestiti e non gestiti .................................
Informazioni sull'icona dell'area di notifica .................................
Aggiornamento costante della protezione del computer ......................
Informazioni sul ruolo di Symantec Security Response .................
Aggiornamento della protezione sui client gestiti .........................
Aggiornamento della protezione sui client non gestiti ...................
Informazioni sulle politiche di sicurezza ..........................................
Aggiornamento della politica di sicurezza ...................................
Dove ottenere ulteriori informazioni ...............................................
Accesso alla Guida in linea .......................................................
Accesso al sito Web di Symantec Security Response .....................
Capitolo 2
Risposta al client ................................................................. 19
Informazioni sull'interazione del client ............................................
Interventi sui file infetti ................................................................
Informazioni sui danni causati dai virus .....................................
Informazioni sulle notifiche e gli avvisi ............................................
Risposta alle notifiche relative alle applicazioni ...........................
Risposta agli avvisi di sicurezza ................................................
Risposta alle notifiche di Network Access Control ........................
Capitolo 3
11
12
12
14
15
16
16
16
17
17
17
18
19
20
22
22
22
25
26
Gestione del client .............................................................. 27
Informazioni su LiveUpdate ...........................................................
Esecuzione di LiveUpdate a intervalli pianificati ................................
Esecuzione manuale di LiveUpdate ..................................................
Verifica della sicurezza del computer ...............................................
Informazioni sulle posizioni ...........................................................
Modifica delle posizioni .................................................................
Informazioni sulla protezione contro le manomissioni ........................
27
28
29
29
30
30
31
4
Sommario
Attivazione, disattivazione e configurazione di Protezione contro le
manomissioni ........................................................................ 32
Sezione 2
Symantec Endpoint Protection ........................... 33
Capitolo 4
Introduzione a Symantec Endpoint Protection ............. 35
Capitolo 5
Informazioni su Symantec Endpoint Protection .................................
Come Symantec Endpoint Protection protegge il computer ..................
Informazioni sulla protezione antivirus e antispyware ..................
Informazioni sulla protezione dalle minacce di rete ......................
Informazioni sulla protezione proattiva dalle minacce ..................
35
36
36
37
37
Principi fondamentali del client Symantec Endpoint
Protection .......................................................................
39
Informazioni sui virus e i rischi per la sicurezza ................................
Risposta del client a virus e rischi per la sicurezza ..............................
Attivazione e disattivazione dei componenti di protezione ...................
Attivazione e disattivazione della protezione antivirus e
antispyware ....................................................................
Attivazione e disattivazione della protezione dalle minacce di
rete ...............................................................................
Attivazione o disattivazione della protezione proattiva dalle
minacce ..........................................................................
Utilizzo del client con Centro sicurezza PC Windows ..........................
Pausa e posticipo delle scansioni .....................................................
Capitolo 6
39
42
43
44
46
46
47
48
Gestione della protezione antivirus e
antispyware .................................................................... 51
Informazioni sulla protezione antivirus e antispyware ........................
Informazioni sulla scansione dei file ..........................................
Rilevazione di un virus o un rischio per la sicurezza da parte del
client di Symantec Endpoint Protection ...............................
Informazioni su Auto-Protect .........................................................
Informazioni su Auto-Protect e i rischi per la sicurezza .................
Informazioni su Auto-Protect e la scansione e-mail ......................
Disattivazione della gestione di connessioni e-mail crittografate
da parte di Auto-Protect ....................................................
Visualizzazione delle statistiche di scansione di
Auto-Protect ...................................................................
Visualizzazione dell'elenco dei rischi .........................................
51
52
55
56
56
57
58
59
60
Sommario
Configurazione di Auto-Protect per determinare i tipi di file ..........
Disattivazione e attivazione di scansione e blocco dei rischi per
la sicurezza da parte di Auto-Protect ...................................
Configurazione delle impostazioni di scansione della rete ..............
Utilizzo delle scansioni antivirus e antispyware .................................
Rilevazione di virus e rischi per la sicurezza da parte del client
Symantec Endpoint Protection ...........................................
Informazioni sui file delle definizioni ........................................
Informazioni sulla scansione di file compressi .............................
Avvio delle scansioni su richiesta ..............................................
Configurazione della scansione antivirus e antispyware ......................
Creazione di scansioni pianificate .............................................
Creazione di scansioni su richiesta e all'avvio ..............................
Modifica ed eliminazione delle scansioni all'avvio, definite
dall’utente e pianificate .....................................................
Interpretazione dei risultati della scansione ......................................
Informazioni sull'interazione con i valori della scansione o i
risultati di Auto-Protect ....................................................
Invio di informazioni sulle scansioni antivirus e antispyware a
Symantec Security Response ....................................................
Configurazione delle azioni relative a virus e rischi per la
sicurezza ..............................................................................
Suggerimenti sull'assegnazione delle azioni secondarie per i
virus ..............................................................................
Suggerimenti sull'assegnazione delle azioni secondarie per i
rischi per la sicurezza .......................................................
Informazioni sulla valutazione dell'impatto dei rischi ...................
Configurazione delle notifiche relative a virus e rischi per la
sicurezza ..............................................................................
Configurazione delle eccezioni centralizzate per le scansioni antivirus
e antispyware ........................................................................
Informazioni sulla quarantena .......................................................
Informazioni sui file infettati in quarantena ...............................
Informazioni sulla gestione dei file infetti in quarantena ...............
Informazioni sulla gestione di file minacciati da rischi per la
sicurezza ........................................................................
Gestione della quarantena .............................................................
Visualizzazione dei file e dei relativi dettagli nella
quarantena .....................................................................
Ripetizione della scansione dei file in quarantena ........................
Quando un file riparato non può essere ripristinato nella
posizione originale ...........................................................
Cancellazione di elementi di backup ..........................................
60
61
62
63
64
66
67
67
68
68
71
74
74
75
77
78
81
82
82
83
86
88
89
89
90
90
91
91
92
92
5
6
Sommario
Eliminazione di file dalla quarantena ......................................... 92
Eliminazione automatica di file dalla quarantena ......................... 93
Invio di un file potenzialmente infetto a Symantec Security
Response per l'analisi ....................................................... 94
Capitolo 7
Gestione della protezione proattiva contro le
minacce ........................................................................... 95
Informazioni sulla tecnologia di scansione proattiva delle minacce
TruScan ............................................................................... 95
Informazioni sulle scansioni proattive delle minacce
TruScan ......................................................................... 96
Informazioni sulle eccezioni per le scansioni proattive delle
minacce TruScan ............................................................. 97
Informazioni sulle rilevazioni della scansione proattiva delle
minacce TruScan ............................................................. 98
Informazioni su come comportarsi con i falsi positivi ................... 99
Configurazione della frequenza di esecuzione delle scansioni proattive
delle minacce TruScan ............................................................ 99
Gestione delle rilevazioni proattive delle minacce TruScan ................ 100
Impostazione dell'azione per la rilevazione delle applicazioni
commerciali .................................................................. 101
Impostazione delle azioni e dei livelli di sensibilità per rilevare
Trojan horse, worm e keylogger ........................................ 102
Configurazione dei tipi di processi rilevati dalle scansioni
proattive delle minacce TruScan ....................................... 103
Configurazione delle notifiche per le rilevazioni tramite scansioni
proattive delle minacce TruScan ............................................. 103
Invio delle informazioni sulle scansioni proattive delle minacce
TruScan a Symantec Security Response .................................... 104
Configurazione di un'eccezione centralizzata per le scansioni proattive
delle minacce TruScan .......................................................... 105
Capitolo 8
Gestione della protezione della rete dalle
minacce .........................................................................
Informazioni sulla protezione della rete dalle minacce ......................
Modalità di protezione del client contro gli attacchi provenienti
dalla rete ......................................................................
Visualizzazione dell'attività di rete ..........................................
Configurazione del firewall ..........................................................
Informazioni sulle regole firewall ............................................
Aggiunta di regole ................................................................
Modifica dell'ordine delle regole ..............................................
107
107
108
112
113
114
119
119
Sommario
Attivazione e disattivazione delle regole ...................................
Esportazione e importazione di regole ......................................
Modifica ed eliminazione di regole ...........................................
Attivazione delle impostazioni del traffico e dello stealth di
esplorazione Web ...........................................................
Attivazione dei filtri del traffico intelligenti ..............................
Blocco del traffico .................................................................
Configurazione della prevenzione delle intrusioni ............................
Configurazione delle notifiche di prevenzione delle
intrusioni ......................................................................
Blocco di un computer autore dell'attacco .................................
Configurazione delle impostazioni specifiche dell'applicazione ...........
Rimozione delle limitazioni da un'applicazione ..........................
Attivazione e disattivazione della condivisione di file e
stampanti ...........................................................................
120
120
121
122
124
125
126
127
128
129
131
132
Sezione 3
Symantec Network Access Control ................. 133
Capitolo 9
Principi fondamentali di Symantec Network Access
Control ........................................................................... 135
Informazioni su Symantec Network Access Control ..........................
Funzionamento di Symantec Network Access Control .................
Informazioni sull'aggiornamento della politica di integrità
dell'host .......................................................................
Controllo di integrità dell'host ......................................................
Risoluzione dei problemi del computer ...........................................
Visualizzazione dei registri di Symantec Network Access
Control ...............................................................................
Informazioni sui moduli di applicazione Enforcer .............................
Configurazione del client per l'autenticazione 802.1x ........................
Riautenticazione del computer ................................................
135
136
137
137
138
138
139
139
142
Sezione 4
Monitoraggio e registrazione .............................. 145
Capitolo 10
Utilizzo e gestione dei registri ......................................... 147
Informazioni sui registri ..............................................................
Visualizzazione dei registri e dei dettagli del registro ........................
Filtro delle viste del registro ...................................................
Gestione della dimensione del registro ...........................................
147
153
154
156
7
8
Sommario
Configurazione dei tempi di mantenimento delle voci dei registri
di protezione antivirus e antispyware e di protezione
proattiva dalle minacce ...................................................
Configurazione della dimensione dei registri di protezione della
rete dalle minacce e dei registri di gestione client .................
Configurazione del tempo di mantenimento per le voci del
registro di protezione della rete dalle minacce e le voci del
registro di gestione client .................................................
Informazioni sull'eliminazione del contenuto del registro sistema
della protezione antivirus e antispyware ............................
Eliminazione del contenuto dei registri di protezione dalle
minacce di rete e dei registri di gestione client .....................
Invio alla quarantena di rischi e minacce dal registro dei rischi e dal
registro delle minacce ...........................................................
Utilizzo dei registri di protezione della rete dalle minacce e dei registri
di gestione client ..................................................................
Aggiornamento dei registri di protezione dalle minacce di rete
e dei registri di gestione client ..........................................
Attivazione del registro pacchetti ............................................
Interruzione della risposta attiva ............................................
Back trace degli eventi registrati all'origine ...............................
Utilizzo dei registri di gestione dei client con Symantec Network
Access Control ...............................................................
Esportazione dei dati dei registri ...................................................
157
157
157
158
158
159
159
160
160
161
161
163
163
Indice .................................................................................................................. 167
Sezione
Introduzione
■
Presentazione del client Symantec
■
Risposta al client
■
Gestione del client
1
10
Capitolo
1
Presentazione del client
Symantec
Il capitolo contiene i seguenti argomenti:
■
Informazioni sul client
■
Aggiornamento costante della protezione del computer
■
Informazioni sulle politiche di sicurezza
■
Dove ottenere ulteriori informazioni
Informazioni sul client
Symantec produce due prodotti per la sicurezza endpoint che possono essere
utilizzati insieme o separatamente: Symantec Endpoint Protection e Symantec
Network Access Control. Nel computer in uso sono stati installati uno o entrambi
i prodotti software client Symantec. Se il client è stato installato
dall'amministratore, i prodotti da attivare sul client sono stati specificati dallo
stesso.
Nota: se è stato installato soltanto uno di questi prodotti sul computer, il nome di
tale prodotto compare nella barra del titolo. Quando entrambi i tipi di protezione
sono attivati, sulla barra del titolo compare Symantec Endpoint Protection.
Symantec Endpoint Protection protegge il computer dalle minacce e dai rischi
per la sicurezza di Internet. Può effettuare le seguenti azioni:
■
Sottoporre a scansione il computer alla ricerca di virus, minacce note e rischi
per la sicurezza.
12
Presentazione del client Symantec
Informazioni sul client
■
Monitorare le porte alla ricerca di firme di attacco note.
■
Monitorare i programmi in esecuzione sul computer alla ricerca di
comportamenti sospetti.
Vedere "Informazioni su Symantec Endpoint Protection" a pagina 35.
Symantec Network Access Control assicura che le impostazioni di sicurezza del
computer siano conformi alle politiche di rete. Le impostazioni di sicurezza possono
comprendere le impostazioni del software, della configurazione del software, dei
file delle firme, delle patch o di altri elementi.
Vedere "Informazioni su Symantec Network Access Control" a pagina 135.
Informazioni sui client gestiti e non gestiti
L'amministratore del prodotto Symantec può installare il client come client non
gestito o come client gestito dall'amministratore. Per client non gestito si intende
un client Symantec di cui l'amministratore non controlla le impostazioni e le
azioni. Nei client non gestiti l'utente controlla tutte le impostazioni e le azioni.
In un ambiente gestito, l'amministratore utilizza Symantec Endpoint Protection
Manager per monitorare, configurare e aggiornare a distanza il client. Tale server
di gestione consente all'amministratore di determinare la misura in cui l'utente
controlla le impostazioni e le azioni del client. Il client accede al server di gestione
per determinare l'eventuale disponibilità di nuove informazioni o aggiornamenti
di politica.
In un ambiente gestito potrebbe non essere possibile visualizzare tutti i componenti
del client o accedervi. I componenti visibili e le azioni disponibili nel client
dipendono dal livello di accesso che l'amministratore ha assegnato al computer.
La disponibilità delle impostazioni del client e i relativi valori possono cambiare
periodicamente. Ad esempio, è possibile che un'impostazione venga modificata
quando l'amministratore aggiorna la politica che controlla la protezione del client.
In tutti gli ambienti il client visualizza richieste di informazioni e domande a cui
è necessario rispondere.
Vedere "Informazioni sull'interazione del client" a pagina 19.
Informazioni sull'icona dell'area di notifica
Il client ha un'icona nell'area di notifica, situata nell'angolo inferiore destro del
desktop. Fare clic con il pulsante destro del mouse su questa icona per mostrare
i comandi frequentemente utilizzati.
Presentazione del client Symantec
Informazioni sul client
Nota: nei client gestiti, questa icona non compare se l'amministratore l'ha
configurata in modo che non sia disponibile.
La Tabella 1-1 descrive i comandi che sono disponibili con l'icona dell'area di
notifica.
Tabella 1-1
Comandi dell'icona dell'area di notifica
Opzione
Descrizione
Apri Symantec Endpoint
Protection
Apre la finestra principale
Apri Symantec Network
Access Control
Aggiorna politica
Richiama le politiche di sicurezza più recenti dal server
Nota: questo comando è disponibile soltanto sui client
gestiti.
Riautenticazione
Riautentica il computer client.
Nota: questo comando è disponibile soltanto quando
l'amministratore configura il client come supplicant 802.1x
incorporato. Questo comando non è disponibile sui client
Symantec Endpoint Protection.
Vedere "Riautenticazione del computer" a pagina 142.
Disattiva Symantec Endpoint Disattiva le protezioni di cui l'amministratore ha autorizzato
Protection
la disattivazione.
Dopo la disattivazione del client, il testo del comando passa
da "Disattiva" a "Attiva". È possibile selezionare questo
comando per attivare completamente la protezione client.
Come nascondere e mostrare l'icona dell'area di notifica
È possibile nascondere l'icona dell'area di notifica se necessario. Per esempio, è
possibile nasconderla se è necessario più spazio nella barra delle attività di
Windows.
Nota: nei client gestiti non è possibile nascondere l'icona dell'area di notifica se
l'amministratore ha bloccato questa funzionalità.
13
14
Presentazione del client Symantec
Aggiornamento costante della protezione del computer
Per nascondere l'icona dell'area di notifica
1
Nella finestra principale, nella barra laterale, fare clic su Cambia
impostazioni.
2
Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su
Configura impostazioni.
3
Nella scheda Generale della finestra di dialogo Impostazioni per la gestione
client, sotto Opzioni di visualizzazione, deselezionare Mostra icona di
sicurezza Symantec nell'area delle notifiche.
4
Fare clic su OK.
Per mostrare l'icona dell'area di notifica
1
Nella finestra principale, nella barra laterale, fare clic su Cambia
impostazioni.
2
Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su
Configura impostazioni.
3
Nella scheda Generale della finestra di dialogo Impostazioni per la gestione
client, sotto Opzioni di visualizzazione, selezionare Mostra icona di sicurezza
Symantec nell'area delle notifiche.
4
Fare clic su OK.
Aggiornamento costante della protezione del
computer
I tecnici Symantec tengono traccia di ogni segnalazione di contagio dei virus
informatici al fine di identificarne di nuovi. Inoltre seguono le minacce di tipo
misto, i rischi per la sicurezza quali gli spyware ed altre vulnerabilità che possono
essere sfruttate quando il computer si connette a Internet. Dopo l'identificazione
di un rischio, i tecnici creano un profilo o firma (informazioni sul rischio) e lo
memorizzano in un file di definizioni. Questo file di definizioni contiene le
informazioni necessarie per rilevare, eliminare e riparare gli effetti del rischio.
Quando Symantec Endpoint Protection effettua le scansioni per i virus ed i rischi
per la sicurezza, ricerca tali tipi di profili.
Altri elementi che il client deve mantenere aggiornati sono gli elenchi dei processi
consentiti e vietati e delle firme di attacco. Gli elenchi dei processi assistono la
tecnologia di protezione proattiva dalle minacce TruScan™ nell'identificazione
del comportamento sospetto dei programmi, anche se il client non riconosce una
minaccia specifica. Le firme di attacco forniscono informazioni necessarie al
sistema di prevenzione delle intrusioni per mantenere il computer al sicuro dalle
intrusioni.
Presentazione del client Symantec
Aggiornamento costante della protezione del computer
Oltre ai file di definizioni, gli elenchi di processi e le firme di attacco, il client deve
aggiornare occasionalmente i propri componenti. Tali componenti possono
includere il motore di protezione antivirus e antispyware, il motore di scansione
proattiva delle minacce TruScan e il firewall di protezione della rete dalle minacce.
Questi aggiornamenti possono consistere in riparazioni di difetti secondari o in
aggiornamenti di prodotti.
Symantec rende disponibili aggiornamenti periodici. Le definizioni vengono
aggiornate quotidianamente nel sito Web Symantec Security Response. Sono
disponibili nuove definizioni da scaricare utilizzando LiveUpdate almeno una
volta la settimana e ogni volta che si presenta la minaccia di un nuovo virus
distruttivo.
Nota: l'amministratore può definire la frequenza dell'aggiornamento delle
definizioni nel client.
Vedere "Informazioni su LiveUpdate" a pagina 27.
Informazioni sul ruolo di Symantec Security Response
Symantec Security Response è alla base del funzionamento di Symantec Endpoint
Protection. I ricercatori di Symantec Security Response analizzano la struttura
di ogni campione di virus e rischio per la sicurezza per evidenziare le
caratteristiche e il comportamento che consentono di identificarlo. Grazie a queste
informazioni, vengono sviluppate definizioni utilizzate dai prodotti Symantec
per rilevare, eliminare e riparare gli effetti di virus e rischi per la sicurezza.
Data la notevole velocità con cui si diffondono i nuovi virus, Symantec Security
Response ha sviluppato strumenti software di analisi automatizzata. L'invio di
file infetti dal computer a Symantec Security Response riduce significativamente
il tempo che va dalla rilevazione all'analisi alla cura.
Inoltre i ricercatori di Symantec Security Response ricercano e producono le
tecnologie per proteggere i computer da rischi per la sicurezza, quali spyware,
adware e strumenti di hacking.
In Symantec Security Response viene mantenuta costantemente aggiornata
un'enciclopedia che include informazioni dettagliate sui virus e sui rischi per la
sicurezza. Se necessario, vengono fornite informazioni sulla rimozione del rischio.
L'enciclopedia si trova nel sito Web di Symantec Security Response al seguente
URL:
http://www.symantec.com/it/it/security_response/
15
16
Presentazione del client Symantec
Informazioni sulle politiche di sicurezza
Aggiornamento della protezione sui client gestiti
L'amministratore determina la modalità di aggiornamento delle definizioni dei
virus e dei rischi per la sicurezza. Potrebbe non essere necessario eseguire alcuna
operazione per ricevere le nuove definizioni.
L'amministratore può impostare la funzione LiveUpdate in Symantec Endpoint
Protection per assicurarsi che la protezione dai virus e dai rischi per la sicurezza
sia sempre aggiornata. LiveUpdate si connette a un computer che contiene gli
aggiornamenti, determina se il client deve essere aggiornato, quindi scarica e
installa i file adeguati. Il computer che memorizza gli aggiornamenti può essere
un server Symantec Endpoint Protection Manager interno all'azienda dell'utente.
In alternativa, può essere un server di Symantec LiveUpdate a cui si accede
attraverso Internet.
Vedere "Informazioni su LiveUpdate" a pagina 27.
Aggiornamento della protezione sui client non gestiti
Gli amministratori non aggiornano la protezione sui client non gestiti. È possibile
aggiornare il software ed i file di definizioni usando LiveUpdate. Se il client non
gestito utilizza le impostazioni predefinite di LiveUpdate, verifica l'eventuale
presenza di aggiornamenti tramite un server Symantec in Internet una volta alla
settimana.
È possibile cambiare la frequenza con cui LiveUpdate cerca gli aggiornamenti. È
anche possibile eseguire LiveUpdate manualmente se si è al corrente di un'epidemia
di virus o di un'epidemia di rischi per la sicurezza.
Vedere "Informazioni su LiveUpdate" a pagina 27.
Informazioni sulle politiche di sicurezza
Per politica di sicurezza si intende un insieme di impostazioni di sicurezza
configurate e distribuite ai client dall'amministratore di un client gestito. Le
politiche di sicurezza determinano le impostazioni del client, incluse le opzioni
visualizzabili a cui è possibile accedere.
I client gestiti sono connessi al server di gestione e ricevono automaticamente le
politiche di sicurezza più recenti. In caso di difficoltà con l'accesso alla rete,
l'amministratore può fornire istruzioni per eseguire l'aggiornamento manuale in
base alla politica di sicurezza.
Vedere "Aggiornamento della politica di sicurezza" a pagina 17.
Presentazione del client Symantec
Dove ottenere ulteriori informazioni
Aggiornamento della politica di sicurezza
Le impostazioni che controllano la protezione sul client sono memorizzate sul
computer in un file della politica. In genere questo file della politica di sicurezza
si aggiorna automaticamente. Tuttavia, l'amministratore potrebbe richiedere a
un utente di aggiornare la politica di sicurezza manualmente in determinate
circostanze.
Nota: è possibile visualizzare il registro di sistema per verificare che
l'aggiornamento della politica sia stato eseguito correttamente.
Vedere "Visualizzazione dei registri e dei dettagli del registro" a pagina 153.
Per aggiornare la politica di sicurezza
1
Nell'area di notifica di Windows, fare clic con il pulsante destro del mouse
sull'icona del client.
2
Nel menu di scelta rapida, fare clic su Aggiorna politica.
Dove ottenere ulteriori informazioni
Per maggiori informazioni, è possibile accedere alla Guida in linea. È possibile
ottenere ulteriori informazioni sui virus ed i rischi per la sicurezza nel sito Web
di Symantec Security Response al seguente URL:
http://www.symantec.com/it/it/security_response/
Accesso alla Guida in linea
Il sistema di Guida in linea del client contiene informazioni generali e procedure
che consentono di mantenere il computer al sicuro da virus e rischi per la sicurezza.
Nota: è possibile che l'amministratore abbia preferito non installare i file della
Guida in linea.
Per accedere alla Guida in linea
◆
Nella finestra principale effettuare una delle seguenti operazioni:
■
Fare clic su ? & Supporto e quindi fare clic su Guida in linea.
■
Fare clic su ? in qualsiasi finestra di dialogo.
La Guida sensibile al contesto è disponibile soltanto nelle schermate in
cui è possibile eseguire operazioni.
17
18
Presentazione del client Symantec
Dove ottenere ulteriori informazioni
■
Premere F1 in qualsiasi finestra. Se è disponibile contenuto della Guida
contestuale per quella finestra, viene visualizzata la Guida contestuale.
Se non è disponibile contenuto della Guida contestuale, viene visualizzato
l'intero sistema della Guida.
Accesso al sito Web di Symantec Security Response
Se si è connessi a Internet, è possibile visitare il sito Web di Symantec Security
Response per visualizzare i seguenti elementi:
■
Enciclopedia dei virus, contenente informazioni su tutti i virus conosciuti
■
Informazioni sui virus fasulli
■
White paper sui virus e sulle minacce virali in generale
■
Informazioni generali e dettagliate sui rischi per la sicurezza
Per accedere al sito Web di Symantec Security Response, utilizzare il seguente
URL:
■
Nel browser Internet, digitare il seguente indirizzo Web:
http://www.symantec.com/it/it/security_response/
Capitolo
2
Risposta al client
Il capitolo contiene i seguenti argomenti:
■
Informazioni sull'interazione del client
■
Interventi sui file infetti
■
Informazioni sulle notifiche e gli avvisi
Informazioni sull'interazione del client
Il client funziona in background per mantenere il computer sicuro da attività
nocive. A volte il client deve informare in merito a un'attività o richiedere feedback.
Se Symantec Endpoint Protection è attivato nel client, è possibile che si verifichino
i seguenti tipi di interazione con il client:
Rilevazione di virus o rischi per la
sicurezza
Se Auto-Protect o una scansione rileva un virus o
un rischio per la sicurezza, viene visualizzata la
finestra di dialogo relativa ai risultati della
rilevazione di Symantec Endpoint Protection
contenente i dettagli dell'infezione. Nella finestra
di dialogo viene visualizzata anche l'azione che
Symantec Endpoint Protection ha effettuato sul
rischio. Di solito non è necessario prendere ulteriori
provvedimenti se non esaminare l'attività e chiudere
la finestra di dialogo. Se necessario, è tuttavia
possibile intervenire.
Vedere "Interventi sui file infetti" a pagina 20.
20
Risposta al client
Interventi sui file infetti
Notifiche relative alle applicazioni
Quando un programma del computer cerca di
accedere a una rete, Symantec Endpoint Protection
potrebbe chiedere se concedere o negare il
permesso.
Vedere "Risposta alle notifiche relative alle
applicazioni" a pagina 22.
Avvisi di sicurezza
Symantec Endpoint Protection informa quando
blocca un programma o quando rileva un attacco
contro il computer.
Vedere "Risposta agli avvisi di sicurezza"
a pagina 25.
Se Symantec Network Access Control è attivato nel client, potrebbe venire
visualizzato un messaggio di Network Access Control. Questo messaggio compare
quando le impostazioni di sicurezza non si conformano agli standard che
l'amministratore ha configurato.
Vedere "Risposta alle notifiche di Network Access Control" a pagina 26.
Interventi sui file infetti
Per impostazione predefinita, Auto-Protect è sempre in esecuzione nel computer.
Per i client non gestiti viene eseguita una scansione Active Scan generata
automaticamente quando si avvia il computer. Per i client gestiti, l'amministratore
di solito configura una scansione completa da eseguire almeno una volta ogni
settimana. Auto-Protect visualizza una finestra di dialogo dei risultati quando
rileva un pericolo. Quando vengono eseguite le scansioni, viene visualizzata una
finestra di dialogo per mostrarne i risultati. Per i client gestiti, l'amministratore
potrebbe disattivare questi tipi di notifiche.
Se si ricevono questi tipi di notifiche, potrebbe essere necessario intervenire su
un file infettato.
Le opzioni predefinite di Auto-Protect e di tutti i tipi di scansione sono di ripulire
un file infettato dal virus quando viene rilevato. Se non è possibile ripulire un file,
il client registra il problema e sposta il file infettato in quarantena. La quarantena
locale è una posizione speciale che è riservata ai file infetti e ai relativi effetti
secondari sul sistema. Per i rischi per la sicurezza, il client mette in quarantena
i file infettati e rimuove o ripara i relativi effetti secondari. Il client registra la
rilevazione se non può riparare il file.
Risposta al client
Interventi sui file infetti
Nota: in quarantena il virus non può diffondersi. Quando il client sposta un file
in quarantena, non è possibile accedere al file.
Quando Symantec Endpoint Protection ripara un file infettato da virus, non è
necessario prendere ulteriori provvedimenti per proteggere il computer. Se il
client mette in quarantena un file minacciato da un rischio per la sicurezza e
quindi lo rimuove e lo ripara, non è necessario prendere provvedimenti
supplementari.
Potrebbe non essere necessario intervenire su un file ma si potrebbe desiderare
di effettuare un'ulteriore operazione sul file. Ad esempio, si potrebbe decidere di
eliminare un file riparato perché si preferisce sostituirlo con la versione originale
del file stesso.
È possibile utilizzare le notifiche per intervenire immediatamente sul file. È anche
possibile utilizzare la vista del registro o la quarantena per intervenire sul file
successivamente.
Vedere "Interpretazione dei risultati della scansione" a pagina 74.
Vedere "Invio alla quarantena di rischi e minacce dal registro dei rischi e dal
registro delle minacce" a pagina 159.
Vedere "Informazioni sulla quarantena" a pagina 88.
Per intervenire su un file infetto
1
2
Eseguire una delle seguenti operazioni:
■
Nella finestra di dialogo di avanzamento della scansione, selezionare i file
desiderati al termine della scansione.
■
Nella finestra di dialogo dei risultati, selezionare i file desiderati.
■
Nel client, nella barra laterale, fare clic su Visualizza registri e accanto
a Protezione antivirus e antispyware, fare clic su Visualizza registri. Nella
vista del registro, selezionare i file desiderati.
Fare clic con il pulsante destro del mouse sul file o sui file, quindi selezionare
una delle seguenti opzioni:
■
Annulla azione intrapresa: annulla l'azione intrapresa.
■
Ripulisci (solo virus): rimuove il virus dal file.
■
Elimina definitivamente: elimina il file infetto e i relativi effetti secondari.
Per i rischi per la sicurezza, utilizzare con prudenza questa azione. In
alcuni casi, se si eliminano i rischi per la sicurezza è possibile che
un'applicazione non funzioni più.
21
22
Risposta al client
Informazioni sulle notifiche e gli avvisi
■
Sposta in quarantena: mette i file infettati in quarantena. Per i rischi per
la sicurezza, il client cerca anche di rimuovere o riparare gli effetti
secondari.
■
Proprietà: visualizza informazioni sul virus o sul rischio per la sicurezza.
In alcuni casi, il client potrebbe non essere in grado di effettuare l'azione
selezionata.
Informazioni sui danni causati dai virus
Se Symantec Endpoint Protection trova un'infezione poco dopo che si verifica, il
file infettato potrebbe essere completamente utilizzabile dopo che il client lo
pulisce. In alcuni casi, tuttavia, Symantec Endpoint Protection può pulire un file
infettato già danneggiato da un virus. Ad esempio, Symantec Endpoint Protection
potrebbe trovare un virus che danneggia un file di documento. Symantec Endpoint
Protection rimuove il virus ma non può riparare il danno all'interno del file
infettato.
Informazioni sulle notifiche e gli avvisi
È possibile vedere vari tipi di notifiche sul computer. Queste notifiche solitamente
descrivono una situazione ed indicano come il client cerca di risolvere il problema.
È possibile vedere i seguenti tipi di notifiche:
■
Notifiche relative alle applicazioni
■
Avvisi di sicurezza
Risposta alle notifiche relative alle applicazioni
È possibile vedere una notifica che chiede se si desidera consentire l'esecuzione
di un'applicazione o di un servizio.
Questo tipo di notifica compare per uno dei seguenti motivi:
■
L'applicazione chiede di accedere alla connessione di rete.
■
Un'applicazione con accesso alla connessione di rete è stata aggiornata.
■
Il client ha eseguito un cambio di utente tramite Cambio rapido utente.
■
L'amministratore ha aggiornato il software client.
È possibile vedere il seguente tipo di messaggio, che viene visualizzato quando
un'applicazione o un servizio cerca di accedere al computer:
Risposta al client
Informazioni sulle notifiche e gli avvisi
23
Internet Explorer (IEXPLORE.EXE) sta tentando di connettersi a
www.symantec.it utilizzando la porta remota 80 (HTTP - World Wide Web).
Consentire l'accesso in rete al programma?
Per rispondere alle applicazioni che cercano di accedere alla rete
1
Nella finestra di messaggio fare clic su Dettagli.
È possibile visualizzare maggiori informazioni sulla connessione e
sull'applicazione, quali il nome del file, il numero di versione ed il percorso.
2
Se si desidera che l'opzione selezionata venga mantenuta la prossima volta
che l'applicazione cerca di accedere alla connessione di rete, fare clic su
Memorizza la risposta e non visualizzare più questo messaggio.
3
Eseguire una delle seguenti operazioni:
■
Per permettere all'applicazione di accedere alla connessione di rete, fare
clic su Sì.
Fare clic su Sì soltanto se si riconosce l'applicazione e si è sicuri di volerne
consentire l'accesso alla connessione di rete. In caso di dubbi sull'accesso
dell'applicazione alla connessione di rete, rivolgersi all'amministratore.
■
Per bloccare l'applicazione dall'accesso alla connessione di rete, fare clic
su No.
La Tabella 2-1 mostra come è possibile rispondere alle notifiche che richiedono
di permettere o bloccare un'applicazione.
Notifiche di autorizzazione applicazioni
Tabella 2-1
Se si fa clic
su
Se si seleziona la casella di
controllo "Memorizza la
risposta…"
Il client…
Sì
Sì
Consente l'accesso all'applicazione
e non visualizza la richiesta di
nuovo.
Sì
No
Consente l'accesso all'applicazione
e ripete la domanda ogni volta.
No
Sì
Blocca l'applicazione e non ripete
la domanda.
No
No
Blocca l'applicazione e ripete la
domanda ogni volta.
È anche possibile cambiare l'azione dell'applicazione nel campo Applicazioni in
esecuzione o nell'elenco delle applicazioni.
24
Risposta al client
Informazioni sulle notifiche e gli avvisi
Vedere "Configurazione delle impostazioni specifiche dell'applicazione"
a pagina 129.
Notifiche di modifiche applicazione
Occasionalmente potrebbe essere visualizzato un messaggio che indica che
un'applicazione è stata modificata.
"Il programma Telnet è stato modificato dall'ultima apertura.
È possibile che sia stato aggiornato di recente.
Consentirne l'accesso in rete?
L'applicazione che è elencata nel messaggio seguente cerca di accedere alla
connessione di rete. Il client riconosce il nome dell'applicazione, tuttavia alcune
impostazioni dell'applicazione sono cambiate dall'ultima volta che è stata utilizzata
nel client. Molto probabilmente, il prodotto è stato aggiornato di recente. Ogni
nuova versione di un prodotto utilizza un'impronta del file diversa da quella
utilizzata nella versione precedente. Il client rileva che l'impronta del file è
cambiata.
Notifiche di Cambio rapido utente
Se si utilizza Windows Vista o XP, è possibile vedere una delle seguenti notifiche:
"Impossibile visualizzare l'interfaccia utente. Se si utilizza la funzione
Cambio rapido utente di Windows XP, assicurarsi che tutti gli altri
utenti siano disconnessi da Windows, disconnettersi da Windows e quindi
rieseguire l'accesso. Se si utilizzano i
Servizi terminal, l'interfaccia
utente non è supportata."
o
"Symantec Endpoint Protection non era in esecuzione e verrà avviato,
Tuttavia non è possibile visualizzare l'interfaccia
utente. Se si utilizza la funzione Cambio rapido utente
di Windows XP, assicurarsi che tutti gli altri utenti
siano disconnessi da Windows, disconnettersi da Windows
e quindi rieseguire l'accesso. Se si utilizzano i Servizi
terminal, l'interfaccia utente non è supportata."
Cambio rapido utente è una funzione di Windows che permette di cambiare utente
rapidamente senza doversi disconnettere dal sistema. Più utenti possono
condividere simultaneamente un computer e possono accedere al sistema e
disconnettersi senza chiudere le applicazioni in esecuzione. Una di queste finestre
compare se si cambia utente tramite la funzione Cambio rapido utente.
Risposta al client
Informazioni sulle notifiche e gli avvisi
Per rispondere ad un messaggio relativo al cambio rapido utente, seguire le
istruzioni nella finestra di dialogo.
Notifiche degli aggiornamenti automatici
Se il software client è aggiornato automaticamente, è possibile vedere la seguente
notifica:
Symantec Endpoint Protection ha verificato che una nuova versione
del software è disponibile in Symantec Endpoint Protection Manager.
Scaricarla?
Per rispondere ad una notifica di aggiornamento automatico
1
2
Eseguire una delle seguenti operazioni:
■
Per scaricare immediatamente il software, fare clic su Scarica ora.
■
Per visualizzare un promemoria dopo l'intervallo di tempo specificato,
fare clic su Visualizza in seguito.
Se compare un messaggio dopo l'inizio del processo di installazione del
software aggiornato, fare clic su OK.
Risposta agli avvisi di sicurezza
Gli avvisi di sicurezza mostrano una notifica sopra l'icona dell'area di notifica. È
necessario solo confermare l'avvenuta lettura del messaggio facendo clic su OK.
Le notifiche compaiono per uno dei seguenti motivi:
Messaggi di applicazioni bloccate Un'applicazione che è stata avviata dal computer è stata bloccata in conformità
con le regole impostate dall'amministratore. Per esempio, è possibile vedere il
messaggio seguente:
L'applicazione Internet Explorer è stata bloccata,
il nome del file è IEXPLORE.EXE.
Queste notifiche indicano che il client ha bloccato il traffico specificato come non
attendibile. Se il client è configurato per bloccare tutto il traffico, queste notifiche
compaiono frequentemente. Se il client è configurato per permettere tutto il
traffico, queste notifiche non compaiono.
25
26
Risposta al client
Informazioni sulle notifiche e gli avvisi
Intrusioni
Contro il computer è stato avviato un attacco e un avviso informa l'utente della
situazione o fornisce istruzioni su come gestire l'attacco. Per esempio, è possibile
vedere il messaggio seguente:
Traffico dall'indirizzo IP 192.168.0.3 bloccato
dal 10/10/2006 alle 15:37:58 al 10/10/2006 alle 15:47:58.
Attacco scansione porte registrato.
L'amministratore potrebbe aver disattivato le notifiche di prevenzione delle
intrusioni nel computer client. Per vedere i tipi di attacchi rilevati dal client è
possibile permettere al client di visualizzare le notifiche di prevenzione delle
intrusioni.
Vedere "Configurazione delle notifiche di prevenzione delle intrusioni"
a pagina 127.
Risposta alle notifiche di Network Access Control
Se il client Symantec Network Access Control non è conforme alle politiche di
sicurezza potrebbe non essere in grado di accedere alla rete. In questo caso
potrebbe venire visualizzato un messaggio che informa che Symantec Enforcer
ha bloccato il traffico perché il controllo di integrità dell'host non è stato superato.
L'amministratore di rete potrebbe aver aggiunto del testo a questo messaggio per
suggerire le azioni possibili per risolvere il problema.
Per rispondere alle notifiche di Network Access Control
1
Seguire tutte le procedure suggerite che compaiono nella finestra di
messaggio.
2
Nella finestra di messaggio, fare clic su OK.
Dopo aver chiuso la finestra di messaggio, aprire il client per vedere se sono
visualizzate procedure suggerite per ripristinare l'accesso di rete.
Capitolo
3
Gestione del client
Il capitolo contiene i seguenti argomenti:
■
Informazioni su LiveUpdate
■
Esecuzione di LiveUpdate a intervalli pianificati
■
Esecuzione manuale di LiveUpdate
■
Verifica della sicurezza del computer
■
Informazioni sulle posizioni
■
Modifica delle posizioni
■
Informazioni sulla protezione contro le manomissioni
■
Attivazione, disattivazione e configurazione di Protezione contro le
manomissioni
Informazioni su LiveUpdate
LiveUpdate ottiene gli aggiornamenti della protezione e del programma usando
la connessione Internet.
Gli aggiornamenti del programma rappresentano piccoli miglioramenti apportati
al prodotto installato. Non costituiscono un aggiornamento del prodotto, che è
invece una nuova versione del prodotto completo. Gli aggiornamenti del
programma sono creati solitamente per estendere la compatibilità dell'hardware
o del sistema operativo, per risolvere un problema di prestazioni o per correggere
errori del programma. Gli aggiornamenti ai programmi vengono rilasciati quando
necessario.
28
Gestione del client
Esecuzione di LiveUpdate a intervalli pianificati
Nota: alcuni aggiornamenti del programma potrebbero richiedere il riavvio del
computer dopo l'installazione.
LiveUpdate automatizza il reperimento e l'installazione degli aggiornamenti del
programma individuando e scaricando i file da un sito Internet, installandoli ed
eliminando i file residui dal computer.
Gli aggiornamenti della protezione sono i file che mantengono i prodotti Symantec
aggiornati con la tecnologia di protezione dalle minacce più recente. Gli
aggiornamenti di protezione che si ricevono dipendono da quali prodotti sono
installati sul computer.
Per impostazione predefinita, LiveUpdate viene eseguito automaticamente ad
intervalli pianificati. In base alle impostazioni di sicurezza è possibile eseguire
manualmente LiveUpdate. È anche possibile disattivare LiveUpdate o cambiarne
la pianificazione.
Esecuzione di LiveUpdate a intervalli pianificati
È possibile pianificare l'esecuzione automatica di LiveUpdate a intervalli pianificati.
Per eseguire LiveUpdate a intervalli pianificati
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Gestione client, fare clic su Configura impostazioni.
3
Nella finestra di dialogo Impostazioni per la gestione client, fare clic su
Aggiornamenti pianificati.
4
Nella scheda Aggiornamenti pianificati, selezionare Attiva aggiornamenti
automatici.
5
Nella casella di gruppo Frequenza, selezionare se eseguire aggiornamenti
quotidiani, settimanali o mensili.
6
Nella casella di gruppo Quando, selezionare il giorno o la settimana e l'ora in
cui si desidera eseguire gli aggiornamenti.
7
Per impostare la gestione di aggiornamenti mancati, fare clic su Avanzate.
8
Nella finestra di dialogo Opzioni di pianificazione avanzate, selezionare le
opzioni per eseguire nuove esecuzioni degli aggiornamenti mancati con
LiveUpdate.
Per ulteriori informazioni su queste opzioni, fare clic su ?.
9
Fare clic su OK.
10 Fare clic su OK.
Gestione del client
Esecuzione manuale di LiveUpdate
Esecuzione manuale di LiveUpdate
È possibile aggiornare il software e i file delle definizioni usando LiveUpdate.
LiveUpdate recupera i nuovi file delle definizioni da un sito Symantec e quindi
sostituisce i vecchi file delle definizioni. I prodotti Symantec utilizzano
informazioni aggiornate per proteggere il computer dalle nuove minacce rilevate.
Symantec fornisce queste informazioni tramite LiveUpdate.
Per ricevere gli aggiornamenti utilizzando LiveUpdate
◆
Nel client, nella barra laterale, fare clic su LiveUpdate.
LiveUpdate si connette al server Symantec, cerca gli aggiornamenti disponibili,
quindi li scarica e li installa automaticamente.
Verifica della sicurezza del computer
È possibile verificare l'efficacia della risposta del computer a minacce e virus
esterni sottoponendolo a scansione. Questa scansione è una misura importante
che è possibile prendere per assicurare che il computer sia protetto da possibili
intrusi. I risultati possono aiutare l'utente ad impostare le varie opzioni del client
per proteggere il computer dagli attacchi.
Per verificare la sicurezza del computer
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
3
Fare clic su Strumenti > Prova sicurezza di rete.
4
Nel sito Web di Symantec Security Check, effettuare una delle operazioni
seguenti:
5
■
Per cercare le minacce on-line, fare clic su Scansione "Security Risk".
■
Per cercare virus, fare clic su Scansione dei virus.
Nella finestra di dialogo Contratto di licenza, fare clic su Accetto, quindi su
Avanti.
Se si è fatto clic su Scansione dei virus nel punto 4, fare clic su Accetto, quindi
su Avanti.
Per arrestare in qualunque momento la scansione, fare clic su Interrompi.
6
Quando la scansione è finita, chiudere la finestra di dialogo.
29
30
Gestione del client
Informazioni sulle posizioni
Informazioni sulle posizioni
Una posizione fa riferimento a una politica di sicurezza che è basata sull'ambiente
di rete. Ad esempio, se si effettua la connessione alla rete dell'ufficio da casa con
il portatile, l'amministratore può impostare una posizione denominata Casa. Se
si utilizza il portatile in ufficio, è possibile usare una posizione denominata Ufficio.
Altre posizioni possono corrispondere a VPN, sede secondaria o hotel.
Il client passa da una posizione all'altra perché le esigenze di impiego e di sicurezza
possono differire fra i vari ambienti di rete. Ad esempio, quando il portatile si
connette alla rete dell'ufficio, il client potrebbe utilizzare un set restrittivo di
politiche configurate dall'amministratore. Quando si connette alla rete domestica,
tuttavia, il client potrebbe utilizzare un set di politiche che danno l'accesso ad
altre opzioni di configurazione. L'amministratore programma e configura il client
di conseguenza in modo che tenga automaticamente conto di queste differenze.
Nota: In un ambiente gestito, è possibile cambiare le posizioni solo se
l'amministratore ha consentito l'accesso necessario.
Modifica delle posizioni
Se necessario è possibile modificare una posizione. Ad esempio, potrebbe essere
necessario passare a una posizione che consenta a un collega di accedere ai file
del proprio computer. L'elenco delle posizioni disponibili è basato sulle politiche
di sicurezza e sulla rete attiva del computer.
Nota: in base alle politiche di sicurezza disponibili, è possibile o meno avere accesso
a più di una posizione. Potrebbe accadere che facendo clic su una posizione non
si acceda a essa. Ciò significa che la configurazione di rete non è adatta a tale
posizione. Ad esempio, una posizione denominata Ufficio può essere disponibile
soltanto quando viene rilevata la rete locale dell'ufficio (LAN). Se al momento non
ci si trova in tale rete, non è possibile passare a quella posizione.
Per cambiare una posizione
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Nella pagina Cambia impostazioni, accanto a Gestione client, fare clic su
Configura impostazioni.
3
Nella scheda Generale, sotto Opzioni posizione, selezionare la posizione a cui
si desidera passare.
4
Fare clic su OK.
Gestione del client
Informazioni sulla protezione contro le manomissioni
Informazioni sulla protezione contro le manomissioni
La protezione contro le manomissioni fornisce una protezione in tempo reale per
le applicazioni Symantec. Contrasta gli attacchi di software nocivo, ad esempio
worm, Trojan horse, virus e rischi per la sicurezza.
È possibile impostare la protezione contro le manomissioni per intraprendere le
azioni seguenti:
■
Bloccare i tentativi di manomissione e registrare l'evento
■
Registrare l'evento di manomissione senza interferire con esso
La protezione contro le manomissioni è attivata sia per i client gestiti che per i
client non gestiti, eccetto nel caso in cui l'amministratore abbia modificato le
impostazioni predefinite. Quando Protezione contro le manomissioni rileva un
tentativo di manomissione, l'azione che esegue per impostazione predefinita è la
registrazione dell'evento nel registro di protezione dalle manomissioni. È possibile
configurare Protezione contro le manomissioni in modo che visualizzi una notifica
nel computer quando rileva un tentativo di manomissione. È possibile
personalizzare il messaggio. Protezione contro le manomissioni non notifica
all'utente i tentativi di manomissione a meno che non sia attivata tale funzionalità.
Se si utilizza un client non gestito, è possibile modificare le impostazioni di
Protezione contro le manomissioni. Se si utilizza un client gestito, è possibile
modificare queste impostazioni se l'amministratore lo consente.
Le prime volte che si utilizza Symantec Endpoint Protection è consigliabile non
modificare l'azione predefinita Registra soltanto ed eseguire il monitoraggio dei
registri una volta alla settimana. Quando si è sicuri che non sono presenti falsi
positivi, impostare Protezione contro le manomissioni su Blocca e registra.
Nota: se contro i rischi per la sicurezza si utilizza un programma di scansione di
terze parti che rileva adware e spyware indesiderati e fornisce protezione contro
di essi, in genere la scansione incide sui processi Symantec. Se si attiva Protezione
contro le manomissioni mentre si esegue una scansione di terze parti per la
rilevazione di rischi per la sicurezza, Protezione contro le manomissioni genera
numerose notifiche e voci di registro. È consigliabile lasciare sempre attivata
Protezione contro le manomissioni e utilizzare il filtro del registro se il numero
degli eventi generati è troppo elevato.
31
32
Gestione del client
Attivazione, disattivazione e configurazione di Protezione contro le manomissioni
Attivazione, disattivazione e configurazione di
Protezione contro le manomissioni
È possibile attivare o disattivare Protezione contro le manomissioni. Se Protezione
contro le manomissioni è attivata, è possibile scegliere i provvedimenti che deve
prendere quando rileva un tentativo di manomissione del software Symantec. È
anche possibile fare in modo che Protezione contro le manomissioni visualizzi
un messaggio per inviare una notifica sui tentativi di manomissione. Per
personalizzare il messaggio, utilizzare le variabili predefinite che Protezione
contro le manomissioni sostituirà con le informazioni appropriate.
Per informazioni sulle variabili predefinite, fare clic su ? nella scheda Protezione
contro le manomissioni.
Per attivare o disattivare Protezione contro le manomissioni
1
Nella finestra principale, nella barra laterale, fare clic su Cambia
impostazioni.
2
Accanto a Gestione client, fare clic su Configura impostazioni.
3
Nella scheda Protezione contro le manomissioni, selezionare o deselezionare
l'opzione Proteggi il software di protezione Symantec da manomissioni o
arresti.
4
Fare clic su OK.
Per configurare Protezione contro le manomissioni
1
Nella finestra principale, nella barra laterale, fare clic su Cambia
impostazioni.
2
Accanto a Gestione client, fare clic su Configura impostazioni.
3
Nell'elenco a discesa Azione da intraprendere della scheda Protezione contro
le manomissioni, selezionare Blocca e registra o Registra soltanto.
4
Per ricevere una notifica quando Protezione contro le manomissioni rileva
un comportamento sospetto, selezionare l'opzione Visualizza il messaggio
seguente quando vengono individuate manomissioni.
Se si attivano questi messaggi di notifica, si potrebbero ricevere notifiche
relative sia ai processi di Windows che a quelli di Symantec.
5
Per personalizzare il messaggio da visualizzare, digitare il nuovo testo o
eliminare tutto il testo non desiderato nel campo del messaggio.
6
Fare clic su OK.
Sezione
2
Symantec Endpoint
Protection
■
Introduzione a Symantec Endpoint Protection
■
Principi fondamentali del client Symantec Endpoint Protection
■
Gestione della protezione antivirus e antispyware
■
Gestione della protezione proattiva contro le minacce
■
Gestione della protezione della rete dalle minacce
34
Capitolo
4
Introduzione a Symantec
Endpoint Protection
Il capitolo contiene i seguenti argomenti:
■
Informazioni su Symantec Endpoint Protection
■
Come Symantec Endpoint Protection protegge il computer
Informazioni su Symantec Endpoint Protection
È possibile installare Symantec Endpoint Protection come installazione
indipendente o come installazione gestita dall'amministratore. In una installazione
autonoma il software di Symantec Endpoint Protection non è gestito da un
amministratore, pertanto è un client indipendente.
Se è l'utente a gestire il computer, è necessario che questo sia di uno dei seguenti
tipi:
■
Computer indipendente non connesso a una rete, quale un computer di casa
o un portatile. Il computer deve includere un'installazione Symantec Endpoint
Protection che utilizza impostazioni di opzioni predefinite o preimpostate
dall'amministratore.
■
Computer remoto che si connette alla rete aziendale e che deve soddisfare i
requisiti di sicurezza prima della connessione.
Le impostazioni predefinite per Symantec Endpoint Protection garantiscono la
protezione antivirus e antispyware, la protezione proattiva contro le minacce e
la protezione della rete dalle minacce.. È possibile regolare le impostazioni
predefinite per adattarle alle necessità dell'azienda, ottimizzare le prestazioni del
sistema e disattivare le opzioni che non si applicano.
36
Introduzione a Symantec Endpoint Protection
Come Symantec Endpoint Protection protegge il computer
Se un amministratore gestisce il computer, alcune opzioni possono essere bloccate
o non disponibili, a seconda della politica di sicurezza dell'amministratore.
Quest'ultimo esegue le scansioni sul computer e può impostare scansioni
pianificate.
L'amministratore può fornire suggerimenti relativi alle attività da eseguire per
l'utilizzo di Symantec Endpoint Protection.
Come Symantec Endpoint Protection protegge il
computer
Symantec Endpoint Protection fornisce una politica di sicurezza che contiene vari
tipi di protezioni per il computer.
I seguenti tipi di protezione funzionano insieme per proteggere il computer dai
rischi:
■
Protezione antivirus e antispyware
■
Protezione della rete dalle minacce
■
Protezione proattiva dalle minacce
Informazioni sulla protezione antivirus e antispyware
La protezione antivirus e antispyware assicura che il computer sia protetto dai
virus e dai rischi per la sicurezza noti. I virus individuati e rimossi tempestivamente
dal computer non possono diffondersi in altri file provocando danni. Gli effetti
dei rischi per la sicurezza e dei virus possono essere riparati. Quando il client
Symantec Endpoint Protection rileva un virus o un rischio per la sicurezza, per
impostazione predefinita notifica la rilevazione. Per non visualizzare l’avviso,
l'utente o l'amministratore può configurare il client per la gestione automatica
dei rischi.
La protezione antivirus e antispyware fornisce scansioni basate su firme ed include
quanto segue:
■
Scansioni Auto-Protect
Auto-Protect viene eseguito costantemente e assicura la protezione del
computer in tempo reale mediante il monitoraggio del computer. Auto-Protect
cerca i virus e i rischi per la sicurezza quando un file viene eseguito o aperto.
Cerca inoltre i virus e rischi per la sicurezza quando si apportano modifiche a
un file. Ad esempio, è possibile rinominare, salvare, spostare o copiare un file
tra cartelle.
■
Scansioni pianificate, all'avvio e su richiesta
Introduzione a Symantec Endpoint Protection
Come Symantec Endpoint Protection protegge il computer
L'utente o l'amministratore può configurare altre scansioni da eseguire nel
computer. Queste scansioni cercano firme di virus residue in file infetti. Cercano
anche le firme dei rischi per la sicurezza nei file e nelle informazioni di sistema
infettati. L'utente o l'amministratore può avviare le scansioni per controllare
sistematicamente che nei file del computer non siano presenti virus e rischi
per la sicurezza. I rischi per la sicurezza potrebbero includere adware o
spyware.
Informazioni sulla protezione dalle minacce di rete
Il client Symantec Endpoint Protection fornisce un firewall personalizzabile che
protegge il computer dall'intrusione e dall'uso improprio se nocivo o involontario.
Rileva e identifica le scansioni note delle porte e altri attacchi comuni. A sua volta,
il firewall autorizza o blocca selettivamente i vari servizi di rete, applicazioni,
porte e componenti. Comprende diversi tipi di regole firewall di protezione e di
impostazioni di sicurezza che consentono di proteggere i computer client dal
traffico di rete che può causare danni.
La protezione dalle minacce di rete fornisce un firewall e firme di prevenzione
delle intrusioni che impediscono gli attacchi di intrusioni e il contenuto nocivo.
Il firewall autorizza o blocca il traffico in base a vari criteri.
Le regole firewall determinano se il computer autorizza o blocca un'applicazione
o un servizio in entrata o in uscita che cerca di accedere al computer attraverso
la connessione di rete. Le regole firewall autorizzano o bloccano sistematicamente
le applicazioni in entrata o in uscita nonché il traffico proveniente da o diretto a
indirizzi IP e porte specifici. Le impostazioni di sicurezza rilevano e identificano
gli attacchi comuni, inviano messaggi di e-mail dopo un attacco, visualizzano
messaggi personalizzabili ed effettuano altre attività di sicurezza correlate.
Informazioni sulla protezione proattiva dalle minacce
La protezione proattiva dalle minacce include la tecnologia di scansione proattiva
delle minacce TruScan, che assicura che il computer sia protetto dagli attacchi
zero-day di minacce sconosciute. Questa tecnologia utilizza scansioni euristiche
che analizzano la struttura del programma, il relativo comportamento e altri
attributi alla ricerca di caratteristiche simili a virus. In molti casi può proteggere
dalle minacce rappresentate dai worm di distribuzione di massa e dai virus delle
macro. È possibile trovare worm e virus delle macro prima di aggiornare le
definizioni dei rischi per la sicurezza e dei virus. Le scansioni proattive delle
minacce cercano minacce basate su script in formato HTML, VBScript e JavaScript.
Le scansioni proattive delle minacce rilevano anche applicazioni commerciali che
possono essere utilizzate per scopi nocivi. Queste applicazioni commerciali
includono i programmi di controllo remoti o i keylogger.
37
38
Introduzione a Symantec Endpoint Protection
Come Symantec Endpoint Protection protegge il computer
È possibile configurare le scansioni proattive delle minacce per la messa in
quarantena delle minacce rilevate. È possibile ripristinare manualmente gli
elementi che sono stati messi in quarantena durante le scansioni. Il client può
anche ripristinare automaticamente gli elementi in quarantena.
Capitolo
5
Principi fondamentali del
client Symantec Endpoint
Protection
Il capitolo contiene i seguenti argomenti:
■
Informazioni sui virus e i rischi per la sicurezza
■
Risposta del client a virus e rischi per la sicurezza
■
Attivazione e disattivazione dei componenti di protezione
■
Utilizzo del client con Centro sicurezza PC Windows
■
Pausa e posticipo delle scansioni
Informazioni sui virus e i rischi per la sicurezza
Il client di Symantec Endpoint Protection può eseguire la scansione per i virus e
i rischi per la sicurezza, quali spyware o adware. Tali rischi possono mettere il
computer, così come una rete, a rischio. Le scansioni antivirus e antispyware
rilevano anche rootkit di livello kernel. I rootkit sono tutti i programmi che cercano
di nascondersi dal sistema operativo del computer e potrebbero essere utilizzati
per attività nocive.
Per impostazione predefinita tutte le scansioni antivirus e antispyware, incluse
le scansioni di Auto-Protect, ricercano virus, Trojan horse, worm e tutte le categorie
di rischi per la sicurezza.
La Tabella 5-1 descrive i tipi di virus e di rischi per la sicurezza.
40
Principi fondamentali del client Symantec Endpoint Protection
Informazioni sui virus e i rischi per la sicurezza
Tabella 5-1
Virus e rischi per la sicurezza
Rischio
Descrizione
Virus
Codice o programmi che creano una copia di sé stessi e la associano a un altro programma o
documento durante l'esecuzione. Quando viene eseguito un programma infetto o si apre un
documento contenente un virus delle macro, il programma contenente il virus si attiva. Il virus
può quindi propagarsi ad altri programmi e documenti.
Generalmente, i virus recapitano un carico detto "payload", come la visualizzazione di un
messaggio in una determinata data. Alcuni virus danneggiano in modo specifico i dati alterando
programmi, eliminando file o riformattando dischi.
Bot nocivi per
Internet
Programmi che eseguono attività automatizzate in Internet per scopi nocivi.
Worm
Programmi che si replicano senza infettare altri programmi. Alcuni worm si diffondono copiando
sé stessi da disco a disco, mentre altri si replicano solo nella memoria rallentando la velocità
del computer.
Trojan horse
Programmi contenenti codice mascherato o nascosto, ad esempio in giochi o utilità
apparentemente normali.
Minacce di tipo
misto o blended
Minacce che combinano le caratteristiche di virus, worm, Trojan horse per individuare le
vulnerabilità di server e Internet e avviare, trasmettere o diffondere un attacco. Le minacce
blended usano metodi e tecniche diverse per diffondersi rapidamente e causare danni diffusi
nella rete.
Adware
Programmi stand-alone o aggiunti in grado di raccogliere segretamente informazioni personali
tramite Internet e inviarle a un altro computer. Gli adware possono registrare le abitudini di
navigazione degli utenti e inviare contenuti pubblicitari.
I bot possono essere utilizzati per automatizzare gli attacchi ai computer o per raccogliere
informazioni dai siti Web.
Gli adware vengono scaricati dai siti Web, in genere come shareware o freeware, ad insaputa
degli utenti oppure inviati con messaggi di e-mail o da software di messaggistica immediata.
Spesso un adware viene scaricato inavvertitamente accettando un Contratto di licenza per
l'utente finale da un programma di software.
Dialer
Programmi che utilizzano un computer, senza autorizzazione dell'utente o a sua insaputa, per
collegarsi, tramite Internet, a un numero a pagamento o a un sito FTP e addebitare le spese
telefoniche.
Strumenti di
hacking
Programmi utilizzati da un hacker per ottenere l'accesso non autorizzato al computer dell'utente.
Ad esempio, uno strumento di hacking è un programma che controlla la pressione dei tasti,
tiene traccia delle singole battute e le registra per inviarle all'hacker, che può quindi eseguire
scansioni sulle porte o ricercare i punti vulnerabili. Gli strumenti di hacking possono inoltre
essere utilizzati per creare virus.
Principi fondamentali del client Symantec Endpoint Protection
Informazioni sui virus e i rischi per la sicurezza
Rischio
Descrizione
Programmi
scherzo
Programmi che alterano o interrompono il funzionamento di un computer in modo sorprendente
o preoccupante. Ad esempio, è possibile che da un sito Web, da un messaggio di e-mail o da un
programma di messaggistica immediata venga scaricato un programma di questo tipo Può
quindi allontanare il cestino dal mouse quando l'utente cerca di eliminarlo. Può inoltre far sì
che i clic del mouse ottengano l'effetto opposto.
Altro
Qualsiasi altra categoria di rischi per la sicurezza che non corrisponde alle definizioni precise
di virus, Trojan horse, worm, o di altre categorie di rischi per la sicurezza.
Programmi di
accesso remoto
Programmi che consentono l'accesso tramite Internet da un altro computer, al fine di raccogliere
informazioni, o di attaccare o alterare il computer di un utente. È possibile che si installi un
programma legittimo di accesso remoto. Un processo può installare questo tipo di applicazione
all'insaputa dell'utente. Il programma può quindi essere utilizzato per fini pericolosi con o
senza la modifica del programma originale di accesso remoto.
Spyware
Programmi stand-alone in grado di controllare segretamente l'attività del sistema, rilevare
password e altre informazioni riservate e inviarle a un altro computer.
Gli spyware vengono scaricati dai siti Web, in genere come shareware o freeware, ad insaputa
degli utenti oppure inviati con messaggi di e-mail o da software di messaggistica immediata.
Spesso uno spyware viene scaricato inavvertitamente accettando un Contratto di licenza per
l'utente finale da un programma di software.
Trackware
Applicazioni stand-alone o aggiunte che tengono traccia del percorso di navigazione di un
utente su Internet e inviano le informazioni al sistema di destinazione. Ad esempio, è possibile
che da un sito Web, da un messaggio di e-mail o da un programma di messaggistica immediata
venga scaricata un'applicazione che raccoglie informazioni riservate sul comportamento
dell'utente.
Per impostazione predefinita, le scansioni antivirus e antispyware fanno quanto
segue:
■
Rilevano, rimuovono e riparano gli effetti distruttivi di virus, worm, Trojan
horse e minacce di tipo blended.
■
Rilevano, rimuovono e riparano gli effetti distruttivi dei rischi per la sicurezza
quali adware, dialer, strumenti di hacking, programmi scherzo, programmi di
accesso remoto, spyware, trackware e altri.
Sul sito Web di Symantec™ Security Response sono disponibili informazioni
aggiornate sulle minacce e i rischi per la sicurezza. Il sito contiene inoltre
esaurienti informazioni di riferimento, ad esempio white paper e informazioni
dettagliate sui virus e i rischi per la sicurezza.
La Figura 5-1 mostra informazioni relative a uno strumento di hacking e su come
Symantec Security Response suggerisce di gestirlo.
41
42
Principi fondamentali del client Symantec Endpoint Protection
Risposta del client a virus e rischi per la sicurezza
Figura 5-1
Descrizione dei rischi per la sicurezza di Symantec Security Response
Risposta del client a virus e rischi per la sicurezza
Il client protegge i computer da virus e rischi per la sicurezza indipendentemente
dalla loro origine. I computer vengono protetti dai virus e dai rischi per la sicurezza
che si diffondono tramite i dischi rigidi, i dischi floppy e altri elementi che
prevedono l'utilizzo delle reti. I computer sono protetti anche dai virus e dai rischi
per la sicurezza che si diffondono tramite gli allegati dei messaggi e-mail o in altri
modi. Ad esempio, un rischio per la sicurezza può autoinstallarsi sul computer
all'insaputa dell'utente quando questi accede a Internet.
Principi fondamentali del client Symantec Endpoint Protection
Attivazione e disattivazione dei componenti di protezione
I file all'interno di altri file compressi vengono analizzati e ripuliti da virus e rischi
per la sicurezza. Non sono necessari altri programmi o modifiche alle opzioni per
i virus provenienti da Internet. Auto-Protect esegue automaticamente la scansione
dei file di documento e di programma non compressi quando vengono scaricati.
Quando il client rileva un virus, per impostazione predefinita cerca di pulire il
virus dal file infetto. Il client cerca anche di riparare gli effetti del virus. Se il client
pulisce il file, il rischio viene completamente rimosso dal computer. Se il client
non può pulire il file, il file infetto viene messo in quarantena. Il virus non può
diffondersi dall'area di quarantena.
Quando il computer viene aggiornato con le nuove definizioni virus, il client
verifica automaticamente l'area di quarantena. È possibile sottoporre di nuovo a
scansione gli elementi nell'area di quarantena. Le definizioni più recenti potrebbero
pulire o riparare i file precedentemente messi in quarantena.
Nota: è possibile che l'amministratore scelga di eseguire automaticamente la
scansione dei file nell'area di quarantena.
Per impostazione predefinita, in presenza di rischi per la sicurezza il client mette
in quarantena i file infetti. Il client ripristina anche lo stato precedente delle
informazioni di sistema modificate dal rischio per la sicurezza. Alcuni rischi per
la sicurezza non possono essere rimossi completamente senza causare il
malfunzionamento di un altro programma presente sul computer, ad esempio un
browser Web. Le impostazioni antivirus e antispyware potrebbero non essere in
grado di gestire automaticamente il rischio. In quel caso, il client richiede la
conferma dell'utente prima di interrompere un processo o riavviare il computer.
In alternativa, è possibile impostare solo l'azione di registrazione per i rischi per
la sicurezza.
Quando il software client rileva un rischio per la sicurezza, include un collegamento
a Symantec Security Response nella finestra di scansione. Nel sito Web di Symantec
Security Response è possibile ottenere ulteriori informazioni relative a tale rischio
per la sicurezza. L'amministratore di sistema può inoltre inviare un messaggio
personalizzato.
Attivazione e disattivazione dei componenti di
protezione
È possibile attivare o disattivare le protezioni nel computer.
Se una o più protezioni sono disattivate, la barra di stato nella parte superiore
della pagina di stato indica che la protezione è disattivata. È possibile fare clic
43
44
Principi fondamentali del client Symantec Endpoint Protection
Attivazione e disattivazione dei componenti di protezione
sull'opzione Correggi per attivare tutte le protezioni disattivate o attivare
separatamente le singole protezioni.
Attivazione e disattivazione della protezione antivirus e antispyware
Se le impostazioni predefinite delle opzioni non sono state modificate, Auto-Protect
viene caricato all'avvio del computer in modo da proteggerlo da virus e rischi per
la sicurezza. Auto-Protect controlla i programmi per il virus e i rischi per la
sicurezza mentre vengono eseguiti. Esegue inoltre il monitoraggio di eventuali
attività che possono indicare la presenza di virus o rischi per la sicurezza. Quando
viene rilevato un virus, un'attività simile a virus (un evento che potrebbe essere
il risultato dell'attività di un virus) o un rischio per la sicurezza, l'utente riceve
un avviso da Auto-Protect.
È possibile attivare o disattivare Auto-Protect per i file e i processi oppure per i
messaggi e-mail di Internet e per le applicazioni di e-mail groupware. Negli
ambienti gestiti, l'amministratore può bloccare queste impostazioni.
Casi in cui può risultare utile disattivare Auto-Protect
In alcuni casi è possibile che venga segnalata un'attività simile a virus che l'utente
riconosce come non pericolosa. Per esempio, è possibile ricevere un avviso quando
si installano nuove applicazioni. Se si prevede di installare altre applicazioni, per
fare in modo che gli avvisi non vengano visualizzati è possibile disattivare
temporaneamente Auto-Protect. Assicurarsi di riattivarlo al termine
dell'operazione in modo da garantire la protezione del computer.
Se si disattiva Auto-Protect, altri tipi di scansioni (pianificate o di avvio) vengono
comunque eseguite se sono state configurate dall'utente o dall'amministratore.
L'amministratore può bloccare completamente la disattivazione Auto-Protect. In
alternativa, l'amministratore può specificare che è possibile disattivare
temporaneamente Auto-Protect, ma che Auto-Protect verrà riattivato
automaticamente dopo un periodo di tempo specificato.
Informazioni su Auto-Protect e lo stato della protezione
antivirus e antispyware
Le impostazioni di Auto-Protect determinano lo stato della protezione antivirus
e antispyware nel client e nell'area di notifica di Windows.
Quando qualsiasi tipo di Auto-Protect è disattivato, lo stato della protezione
antivirus e antispyware appare in rosso nella pagina di stato.
L'icona di client compare come uno scudo completo nella barra delle applicazioni,
nell'angolo inferiore destro del desktop di Windows. In alcune configurazioni,
Principi fondamentali del client Symantec Endpoint Protection
Attivazione e disattivazione dei componenti di protezione
l'icona non compare. Quando si fa clic con il pulsante destro del mouse sull'icona,
un segno di spunta compare accanto a Attiva Auto-Protect se Auto-Protect per i
file e i processi è attivato.
Quando si disattiva Auto-Protect per i file e i processi, l'icona del client appare
come un segno universale, un cerchio rosso con una barra diagonale. Un puntino
verde compare nell'icona quando è attivato Auto-Protect per file system, anche
se Auto-Protect per l'e-mail è disattivato.
Attivazione o disattivazione di Auto-Protect per file system
È possibile attivare o disattivare il monitoraggio di Auto-Protect per file system
a meno che l'amministratore blocchi l'impostazione.
Per attivare o disattivare Auto-Protect per file system dalla barra delle applicazioni
◆
Nel desktop di Windows, nell'area di notifica, fare clic con il pulsante destro
del mouse sull'icona del client e quindi eseguire una delle seguenti operazioni:
■
Fare clic su Attiva Symantec Endpoint Protection.
■
Fare clic su Disattiva Symantec Endpoint Protection.
Per attivare o disattivare Auto-Protect per file system dal client
◆
Nel client, nella pagina Stato, accanto a Protezione antivirus e antispyware,
eseguire una delle seguenti operazioni:
■
Fare clic su Opzioni > Attiva protezione antivirus e antispyware.
■
Fare clic su Opzioni > Disattiva protezione antivirus e antispyware.
Attivazione o disattivazione di Auto-Protect per l'e-mail
È possibile attivare o disattivare Auto-Protect per l'e-mail di Internet, l'e-mail di
Microsoft Outlook o l'e-mail di Lotus Notes. L'amministratore potrebbe bloccare
queste impostazioni.
Per attivare o disattivare Auto-Protect per l'e-mail
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione antivirus e antispyware, fare clic su Configura
impostazioni.
3
Eseguire una delle seguenti operazioni:
■
Nella scheda Auto-Protect per l'e-mail Internet, selezionare o deselezionare
Attiva Auto-Protect per l'e-mail Internet.
■
Nella scheda Auto-Protect per Outlook, selezionare o deselezionare Attiva
Auto-Protect per Microsoft Outlook.
45
46
Principi fondamentali del client Symantec Endpoint Protection
Attivazione e disattivazione dei componenti di protezione
■
4
Nella scheda Auto-Protect per Notes, selezionare o deselezionare Attiva
Auto-Protect per Lotus Notes.
Fare clic su OK.
Attivazione e disattivazione della protezione dalle minacce di rete
In alcuni casi può essere opportuno disattivare la protezione dalle minacce di rete.
Ad esempio, è possibile che si desideri installare un'applicazione che potrebbe
essere bloccata dal client.
L'amministratore può avere impostato i seguenti limiti su quando e per quanto
tempo è possibile disattivare la protezione:
■
Il client autorizza tutto il traffico o solo il traffico in uscita.
■
Durata della disattivazione della protezione.
■
Quante volte è possibile disattivare la protezione prima di riavviare il client.
Se l'utente può disattivare la protezione, può riattivarla in qualunque momento.
L'amministratore può anche attivare e disattivare la protezione in qualunque
momento, anche se questa operazione sovrascrive lo stato impostato per la
protezione dall'utente.
Vedere "Informazioni sulla protezione della rete dalle minacce" a pagina 107.
Vedere "Blocco di un computer autore dell'attacco" a pagina 128.
Per attivare o disattivare la protezione dalle minacce di rete
◆
Nel client, nella pagina Stato, accanto a Protezione della rete dalle minacce,
eseguire una di seguenti azioni:
■
Fare clic su Opzioni> Attiva protezione dalle minacce di rete.
■
Fare clic su Opzioni> Disattiva protezione dalle minacce di rete.
Attivazione o disattivazione della protezione proattiva dalle minacce
La protezione proattiva dalle minacce è attivata quando sono attivate entrambe
le impostazioni Ricerca Trojan e worm e Ricerca keylogger. Se una delle due
impostazioni è disattivata, il client indica lo stato di protezione proattiva contro
le minacce come disattivato.
Vedere "Informazioni sulla tecnologia di scansione proattiva delle minacce
TruScan" a pagina 95.
Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare
clic su ?.
Principi fondamentali del client Symantec Endpoint Protection
Utilizzo del client con Centro sicurezza PC Windows
Per attivare o disattivare la protezione proattiva dalle minacce
◆
Nel client, nella pagina Stato, accanto a Protezione proattiva dalle minacce,
eseguire una delle seguenti operazioni:
■
Fare clic su Opzioni > Attiva protezione proattiva dalle minacce.
■
Fare clic su Opzioni > Disattiva protezione proattiva dalle minacce.
Utilizzo del client con Centro sicurezza PC Windows
Se si utilizza Centro sicurezza PC Windows (WSC) in Windows XP con Service
Pack 2 per monitorare lo stato della sicurezza, è possibile visualizzare lo stato di
Symantec Endpoint Protection in WSC.
Nella Tabella 5-2 è incluso un reporting sullo stato della protezione in Centro
sicurezza PC Windows.
Tabella 5-2
Reporting sullo stato della protezione in Centro sicurezza PC
Windows
Condizione del prodotto Symantec
Stato della
protezione
Symantec Endpoint Protection non è installato
NON TROVATO (rosso)
Symantec Endpoint Protection è installato con protezione
completa
ATTIVATO (verde)
Symantec Endpoint Protection è installato ma le definizioni dei NON AGGIORNATO
virus e dei rischi per la sicurezza non sono aggiornate
(rosso)
Symantec Endpoint Protection è installato ma Auto-Protect del DISATTIVATO (rosso)
file system non è attivato
Symantec Endpoint Protection è installato, Auto-Protect del file DISATTIVATO (rosso)
system non è attivato e le definizioni dei virus e dei rischi per la
sicurezza non sono aggiornate
Symantec Endpoint Protection è installato e Rtvscan è stato
disattivato manualmente
DISATTIVATO (rosso)
Nella Tabella 5-3 è incluso un reporting sullo stato del firewall Symantec Endpoint
Protection in Centro sicurezza PC Windows.
47
48
Principi fondamentali del client Symantec Endpoint Protection
Pausa e posticipo delle scansioni
Tabella 5-3
Reporting dello stato del firewall in Centro sicurezza PC Windows
Condizione del prodotto Symantec
Stato del firewall
Il firewall Symantec non è installato
NON TROVATO (rosso)
Il firewall Symantec è installato e attivato
ATTIVATO (verde)
Il firewall Symantec è installato ma non attivato
DISATTIVATO (rosso)
Il firewall Symantec non è installato o attivato, ma è installato e ATTIVATO (verde)
attivato un firewall di terze parti
Nota: in Symantec Endpoint Protection, Windows Firewall è disattivato per
impostazione predefinita.
Se esistono più firewall attivati, Centro sicurezza PC riferisce che sono installati
e attivati più firewall.
Pausa e posticipo delle scansioni
La funzione Pausa consente di sospendere in qualsiasi momento una scansione e
di riprenderla successivamente. È possibile sospendere qualsiasi scansione avviata.
L'amministratore di rete determina se l'utente può sospendere una scansione
pianificata dall'amministratore stesso.
Per le scansioni pianificate avviate dall'amministratore di rete, è anche possibile
che l'utente sia autorizzato a posticipare la scansione. Se l'amministratore ha
attivato la funzione di posticipo, è possibile ritardare una scansione pianificata
dall'amministratore per un determinato intervallo di tempo. Quando viene ripresa
l'esecuzione, la scansione viene riavviata dall'inizio.
Sospendere la scansione se si desidera riattivarla dopo un'interruzione temporanea.
Utilizzare la funzione di posticipo per ritardare la scansione di un periodo più
lungo.
Seguire le seguenti procedure per interrompere una scansione che l'utente o
l'amministratore ha avviato. Se il pulsante Sospendi la scansione non è disponibile,
l'amministratore di rete ha disattivato la funzione di pausa.
Nota: se si sospende una scansione mentre è in corso la scansione di un file
compresso, potrebbero essere necessari parecchi minuti per rispondere alla
richiesta di pausa.
Principi fondamentali del client Symantec Endpoint Protection
Pausa e posticipo delle scansioni
Per sospendere una scansione
1
Durante l'esecuzione della scansione, nella finestra di dialogo della scansione
fare clic sull'icona di pausa.
Se la scansione è stata avviata dall'utente, essa si arresta nel punto raggiunto
e la finestra di dialogo di scansione rimane aperta fino a quando la scansione
non viene riavviata.
Se la scansione è stata avviata dall'amministratore, viene visualizzata la
finestra di dialogo Pausa scansione pianificata.
2
Nella finestra di dialogo Pausa scansione pianificata, fare clic su Pausa.
La scansione pianificata dall'amministratore viene interrotta e la finestra di
dialogo di scansione rimane visualizzata finché non viene riavviata la
scansione.
3
Nella finestra di dialogo di scansione, fare clic sull'icona di avvio per
continuare la scansione.
49
50
Principi fondamentali del client Symantec Endpoint Protection
Pausa e posticipo delle scansioni
Per posticipare una scansione pianificata dall'amministratore
1
Nella finestra di dialogo della scansione in corso, fare clic su Sospendi la
scansione.
2
Nella finestra di dialogo Pausa scansione pianificata, fare clic su Posticipo
di 1 ora oppure su Posticipo di 3 ore.
Il periodo di posticipo della scansione consentito viene specificato
dall'amministratore. Quando la pausa raggiunge il limite, la scansione viene
riavviata dall'inizio. L'amministratore specifica per quante volte l'utente può
posticipare la scansione pianificata prima che la funzione venga disattivata.
Capitolo
6
Gestione della protezione
antivirus e antispyware
Il capitolo contiene i seguenti argomenti:
■
Informazioni sulla protezione antivirus e antispyware
■
Informazioni su Auto-Protect
■
Utilizzo delle scansioni antivirus e antispyware
■
Configurazione della scansione antivirus e antispyware
■
Interpretazione dei risultati della scansione
■
Invio di informazioni sulle scansioni antivirus e antispyware a Symantec
Security Response
■
Configurazione delle azioni relative a virus e rischi per la sicurezza
■
Configurazione delle notifiche relative a virus e rischi per la sicurezza
■
Configurazione delle eccezioni centralizzate per le scansioni antivirus e
antispyware
■
Informazioni sulla quarantena
■
Gestione della quarantena
Informazioni sulla protezione antivirus e antispyware
Il client di Symantec Endpoint Protection include le impostazioni antivirus e
antispyware predefinite adeguate alla maggior parte degli utenti. È possibile
modificare le impostazioni per personalizzarle per la rete di sicurezza. È possibile
52
Gestione della protezione antivirus e antispyware
Informazioni sulla protezione antivirus e antispyware
personalizzare le impostazioni delle politiche per scansioni Auto-Protect,
pianificate, all'avvio e su richiesta.
Di seguito sono elencate alcune impostazioni antivirus e antispyware:
■
Elementi da sottoporre a scansione
■
Operazioni da eseguire se viene rilevato un virus o un rischio per la sicurezza
Informazioni sulla scansione dei file
Le scansioni antivirus e antispyware analizzano tutti i tipi di file per impostazione
predefinita. Anche le scansioni pianificate, all'avvio e su richiesta esaminano tutti
i tipi di file per impostazione predefinita.
È possibile scegliere di eseguire la scansione dei file in base all'estensione, ma
viene ridotta la protezione da virus e da rischi per la sicurezza. Se si selezionano
le estensioni dei file da sottoporre a scansione, Auto-Protect può determinare il
tipo di file anche se un virus cambia l'estensione.
Vedere "Configurazione di Auto-Protect per determinare i tipi di file" a pagina 60.
È inoltre possibile scegliere di escludere file specifici dalla scansione. Ad esempio,
i file che non attivano avvisi di virus durante la scansione possono essere esclusi
dalle scansioni successive.
Utilizzo di un unico file per la posta in arrivo nell'applicazione
di posta elettronica
Se l'applicazione di posta elettronica memorizza tutti i messaggi di e-mail in un
singolo file, è necessario creare un'eccezione centralizzata per escludere il file
della posta in arrivo dalle scansioni. Le applicazioni di posta elettronica che
memorizzano tutti i messaggi di e-mail in un singolo file della posta in arrivo
includono Outlook Express, Eudora, Mozilla o Netscape. Il client potrebbe essere
configurato per mettere in quarantena un virus rilevato. Se il client rileva il virus
nel file della posta in arrivo, mette in quarantena l'intera casella della posta in
arrivo. Se il client mette in quarantena la casella della posta in arrivo, non è
possibile accedere alla posta elettronica.
In genere non è consigliabile escludere file dalle scansioni. Tuttavia, quando si
esclude il file della posta in arrivo dalle scansioni, il client può ancora rilevare
eventuali virus quando si aprono i messaggi di e-mail. Se il client trova un virus
quando viene aperto un messaggio e-mail, può mettere in quarantena o eliminare
il messaggio in condizioni di sicurezza.
È possibile escludere il file configurando un'eccezione centralizzata.
Gestione della protezione antivirus e antispyware
Informazioni sulla protezione antivirus e antispyware
Vedere "Configurazione delle eccezioni centralizzate per le scansioni antivirus e
antispyware" a pagina 86.
Informazioni sulla scansione in base all'estensione
Il client può sottoporre a scansione i file del computer in base alle estensioni.
È possibile scegliere fra i tipi di estensione di file riportati di seguito.
File di documento
Includono i documenti di Microsoft Word e Microsoft Excel e i file
modello a essi associati. Il client cerca le infezioni da virus macro
nei file di documento.
File di programma
Includono i file delle librerie di collegamento dinamico (.dll), i file
batch (.bat), i file di comando (.com), i file eseguibili (.exe) e altri file
di programma. Il client cerca infezioni da virus di file nei file di
programma.
Per aggiungere estensioni di file all'elenco delle scansioni di Auto-Protect
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Fare clic su Cambia impostazioni accanto a Protezione antivirus e
antispyware.
3
Nella scheda Auto-Protect per file system della finestra di dialogo Impostazioni
di protezione antivirus e antispyware,, sotto Tipi di file, fare clic su
Selezionati.
4
Fare clic su Estensioni.
5
Nella casella di testo, digitare l'estensione da aggiungere e quindi fare clic su
Aggiungi.
6
Ripetere il passaggio 5 secondo le necessità.
7
Fare clic su OK.
Per aggiungere estensioni di file all'elenco delle scansioni per scansioni su richiesta,
pianificate o all'avvio
1
Nel client, nella barra laterale, fare clic su Ricerca minacce.
2
Fare clic con il pulsante destro del mouse sulla scansione per cui si desidera
aggiungere estensioni di file, quindi selezionare Modifica.
Le modifiche si applicano solo alla scansione specifica selezionata.
3
Nella scheda Opzioni, sotto Tipi di file, selezionare Estensioni selezionate,
quindi fare clic su Estensioni.
4
Digitare l'estensione da aggiungere, quindi fare clic su Aggiungi.
53
54
Gestione della protezione antivirus e antispyware
Informazioni sulla protezione antivirus e antispyware
5
Ripetere il passaggio 4 secondo le necessità.
6
Fare clic su OK.
Informazioni sulla scansione di tutti i tipi di file
È possibile eseguire la scansione di tutti i file presenti nel computer,
indipendentemente dall'estensione. La scansione di tutti i tipi di file garantisce
la protezione più completa. Richiede tuttavia più tempo della scansione in base
all'estensione, sebbene offra una maggiore protezione da virus e rischi per la
sicurezza.
Informazioni sull'esclusione di elementi dalle scansioni
È possibile configurare il client per escludere un rischio per la sicurezza dalle
scansioni. In alcuni casi si potrebbe volere escludere un rischio dalla scansione.
Ad esempio, si potrebbe avere bisogno di un particolare adware nel proprio lavoro.
Il client potrebbe non consentire tale adware. Se la politica di sicurezza dell'azienda
consente quell'adware, è possibile escludere tale rischio dalle scansioni.
Il client potrebbe contrassegnare un file come infettato ma il file non contiene un
virus. Ciò può verificarsi se una particolare definizione dei virus è stata progettata
per l'individuazione di tutte le varianti possibili di un virus. Poiché la definizione
dei virus deve essere necessariamente ampia, è possibile che un file non infetto
venga indicato come file infetto.
Se le scansioni antivirus e antispyware continuano a segnalare un file pulito come
infettato, è possibile escludere il file dalle scansioni. Le esclusioni rappresentano
gli elementi che non si ritiene opportuno sottoporre a scansione.
La politica di sicurezza aziendale potrebbe consentire di eseguire il software che
il client segnala come rischio. In tal caso è possibile escludere le cartelle che
contengono il software.
Le eccezioni centralizzate si utilizzano per escludere alcuni elementi dalle
scansioni. L'eccezione si applica a tutte le scansioni antivirus e antispyware
eseguite. Anche l'amministratore potrebbe configurare delle eccezioni. Le eccezioni
definite dall'amministratore hanno la precedenza sulle eccezioni definite
dall'utente.
Vedere "Configurazione delle eccezioni centralizzate per le scansioni antivirus e
antispyware" a pagina 86.
Avvertimento: impostare le esclusioni con particolare attenzione. Se un file escluso
da una scansione viene infettato da un virus, su di esso non verrà eseguita alcuna
azione di pulizia. Ciò può costituire un pericolo per la sicurezza del computer.
Gestione della protezione antivirus e antispyware
Informazioni sulla protezione antivirus e antispyware
Informazioni su come impedire le infezioni da virus macro
Il client rileva e rimuove automaticamente la maggior parte dei virus delle macro
di Excel e di Microsoft Word. Quando si eseguono regolarmente scansioni
pianificate, è possibile proteggere il computer dalle infezioni da virus macro.
Anche Auto-Protect cerca ed elimina regolarmente tutti i virus delle macro che
rileva.
Per impedire in modo ottimale le infezioni da virus macro, effettuare le seguenti
operazioni:
■
Attivare Auto-Protect. Auto-Protect esamina costantemente i file a cui si accede
o che vengono modificati.
■
Eseguire Auto-Protect per l'e-mail, se disponibile.
■
Proteggere i file del modello globale disattivando le macro automatiche.
Rilevazione di un virus o un rischio per la sicurezza da parte del client
di Symantec Endpoint Protection
Quando virus e rischi per la sicurezza infettano i file, il client risponde ai diversi
tipi di rischi in modi diversi. Per ciascun tipo di rischio, il client utilizza una prima
azione e quindi applica una seconda azione se la prima non riesce.
Per impostazione predefinita, quando il client rileva un virus, cerca in primo luogo
di eliminare il virus dal file infetto. Se il client non riesce a pulire il file, registra
il problema e sposta il file infetto in quarantena.
Per impostazione predefinita, quando il client rileva un rischio per la sicurezza,
mette in quarantena il rischio. Prova inoltre a rimuovere o riparare tutte le
modifiche apportate dal rischio per la sicurezza. Se il client non riesce a mettere
in quarantena un rischio per la sicurezza, registra il rischio senza intervenire
ulteriormente.
Nota: in quarantena il rischio non può diffondersi. Quando un client sposta un
file in quarantena, non è possibile accedere al file. Il client può inoltre annullare
le modifiche apportate agli elementi messi in quarantena.
Per ogni tipo di scansione è possibile modificare le impostazioni di gestione di
virus e rischi per la sicurezza da parte del client. È possibile impostare diverse
azioni per ogni categoria di rischio e per i diversi rischi per la sicurezza.
55
56
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
Nota: in alcuni casi, può capitare di installare inavvertitamente un’applicazione
che include un rischio per la sicurezza quale un adware o uno spyware. Se
Symantec ha determinato che mettere in quarantena il rischio non causa problemi
al computer, il client mette in quarantena il rischio. Se il client mette in quarantena
il rischio immediatamente, la relativa azione può determinare uno stato di
instabilità del computer. Il client attende invece il completamento dell'installazione
dell'applicazione prima di mettere in quarantena il rischio, quindi ripara gli effetti
del rischio.
Informazioni su Auto-Protect
Auto-Protect rappresenta la miglior difesa contro gli attacchi dei virus. Ogni volta
che si accede, si copia, si salva, si sposta o si apre un file, Auto-Protect lo esamina
per controllare che non sia infetto da un virus.
Auto-Protect sottopone a scansione tutte le estensioni di file che contengono
codice eseguibile e tutti i file .doc ed .exe. Auto-Protect può determinare il tipo di
file anche se un virus ne cambia l'estensione. Ad esempio, un virus potrebbe
cambiare un'estensione di file con una che differisce dalle estensioni di file
configurate in Auto-Protect per la scansione.
È possibile attivare o disattivare Auto-Protect se l'amministratore non blocca
l'impostazione.
Vedere "Attivazione e disattivazione della protezione antivirus e antispyware"
a pagina 44.
Informazioni su Auto-Protect e i rischi per la sicurezza
Per impostazione predefinita Auto-Protect esegue le azioni riportate di seguito:
■
Scansione dei rischi per la sicurezza, quali adware e spyware
■
Quarantena dei file infetti
■
Rimozione o riparazione degli effetti secondari dei rischi per la sicurezza
È possibile disattivare la scansione dei rischi per la sicurezza in Auto-Protect.
Vedere "Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza
da parte di Auto-Protect " a pagina 61.
Se Auto-Protect rileva un processo che scarica di continuo un rischio per la
sicurezza nel computer, visualizza una notifica e registra la rilevazione.
(Auto-Protect deve essere configurato per l'invio di notifiche.) Se il processo
continua a scaricare lo stesso rischio per la sicurezza, vengono visualizzate nel
computer più notifiche e Auto-Protect registra più eventi. Per impedire la
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
visualizzazione di più notifiche e la registrazione di più eventi, Auto-Protect
interrompe automaticamente l'invio di notifiche relative al rischio per la sicurezza
dopo tre rilevazioni. Auto-Protect interrompe anche la registrazione dell'evento
dopo tre rilevazioni.
In alcune circostanze Auto-Protect non interrompe l'invio di notifiche e la
registrazione degli eventi di rischio per la sicurezza.
Auto-Protect continua a inviare notifiche e a registrare eventi quando si verifica
una delle seguenti circostanze:
■
Nei computer client l'utente o l'amministratore può disattivare il blocco
dell'installazione dei rischi per la sicurezza (attivato per impostazione
predefinita).
■
L'azione per il tipo di rischio per la sicurezza scaricato dal processo è impostata
su Non intervenire.
Informazioni su Auto-Protect e la scansione e-mail
Auto-Protect sottopone a scansione anche i client di e-mail dei groupware
supportati.
Tale protezione viene fornita per i seguenti client di e-mail:
■
Lotus Notes 4.5x, 4.6, 5.0 e 6.x
■
Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
■
Client di Microsoft Exchange 5.0 e 5.5
Nota: Auto-Protect funziona solo nei client e-mail supportati non nei server di
e-mail.
La protezione antivirus e antispyware prevede anche la scansione Auto-Protect
di ulteriori programmi di e-mail Internet attraverso il controllo di tutto il traffico
che utilizza i protocolli di comunicazione POP3 o SMTP. È possibile configurare
il software client per sottoporre alla scansione dei rischi i messaggi in entrata e
in uscita. Le scansioni dell'e-mail in uscita contribuiscono a impedire la diffusione
delle minacce che si avvalgono dei client di e-mail per replicarsi e distribuirsi
attraverso una rete.
Nota: la scansione dell'e-mail Internet non è supportata per i computer con sistemi
a 64 bit.
57
58
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
Per le scansioni dell'e-mail di Microsoft Exchange e di Lotus Notes, Auto-Protect
sottopone a scansione soltanto gli allegati che sono associati all'e-mail.
Per la scansione dei messaggi e-mail di Internet che utilizzano i protocolli SMTP
o POP3, Auto-Protect sottopone a scansione i seguenti elementi:
■
Il corpo del messaggio
■
Qualsiasi allegato al messaggio
Quando si apre un messaggio con un allegato, l'allegato viene immediatamente
scaricato nel computer e sottoposto a scansione quando si verificano le seguenti
condizioni:
■
Si utilizza un client Microsoft Exchange client o Microsoft Outlook con
interfaccia MAPI.
■
Auto-Protect è attivato per l'e-mail.
In caso di connessioni lente, lo scaricamento di messaggi con allegati di grandi
dimensioni può influire sulle prestazioni del sistema di posta. Gli utenti che
ricevono regolarmente allegati di grandi dimensioni possono disattivare questa
funzione.
Vedere "Disattivazione e attivazione di scansione e blocco dei rischi per la sicurezza
da parte di Auto-Protect " a pagina 61.
Nota: se viene rilevato un virus all'apertura del messaggio, quest’ultimo verrà
aperto solo al termine della scansione di Auto-Protect, che potrebbe richiedere
alcuni istanti.
La scansione dell'e-mail non supporta i seguenti client di e-mail:
■
Client IMAP
■
Client AOL
■
E-mail basata su Web come Hotmail, Yahoo! Mail e GMAIL
Disattivazione della gestione di connessioni e-mail crittografate da
parte di Auto-Protect
È possibile inviare e ricevere e-mail attraverso un collegamento protetto. Per
impostazione predefinita, Auto-Protect per e-mail Internet supporta la crittografia
di password ed e-mail su connessioni SMTP e POP3. Se si utilizzano connessioni
POP3 o SMTP con SSL (Secure Sockets Layer), il client rileva le connessioni protette
ma non sottopone a scansione i messaggi crittografati.
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
Anche se Auto-Protect non sottopone a scansione l'e-mail che utilizza connessioni
protette, continua a proteggere i computer dai rischi presenti negli allegati.
Auto-Protect esegue la scansione degli allegati quando l'allegato viene salvato nel
disco rigido.
Nota: per motivi di prestazione, Auto-Protect per l'e-mail Internet con protocollo
POP3 non è supportato nei sistemi operativi server.
Se necessario, la gestione dei messaggi di e-mail crittografati può essere disattivata.
Quando queste opzioni sono disattivate, Auto-Protect sottopone a scansione i
messaggi e-mail non crittografati inviati o ricevuti ma blocca i messaggi
crittografati. Se si riattivano le opzioni e si prova a inviare i messaggi crittografati,
Auto-Protect li blocca finché non si riavvia l'applicazione di e-mail.
Nota: se si disattivano le connessioni crittografate per Auto-Protect, la modifica
non ha effetto fino a quando non si effettua nuovamente l'accesso a Windows.
Per far sì che la modifica abbia effetto immediatamente, disconnettersi dal sistema
ed effettuare di nuovo l'accesso.
Per disattivare la gestione di connessioni e-mail crittografate da parte di
Auto-Protect
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Fare clic su Configura impostazioni accanto a Protezione antivirus e
antispyware.
3
Nella scheda Auto-Protect per l'e-mail Internet fare clic su Avanzate.
4
Sotto Impostazioni di connessione, deselezionare il Consenti connessioni
POP3 crittografate e Consenti connessioni SMTP crittografate.
5
Fare clic su OK.
Visualizzazione delle statistiche di scansione di Auto-Protect
In Statistiche di scansione Auto-Protect viene visualizzato lo stato dell'ultima
scansione di Auto-Protect, il nome dell'ultimo file analizzato e le informazioni
sulle infezioni da virus e sui rischi per la sicurezza.
Per visualizzare le statistiche di scansione di Auto-Protect
◆
Nel client, alla pagina di stato, accanto a Protezione antivirus e antispyware,
fare clic su Opzioni > Visualizza statistiche Auto-Protect per File System.
59
60
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
Visualizzazione dell'elenco dei rischi
È possibile visualizzare i rischi attuali rilevati dalla protezione antivirus e
antispyware. L'elenco corrisponde alle attuali definizioni dei virus.
Per visualizzare l'elenco dei rischi
◆
Nel client, alla pagina Stato, accanto a Protezione antivirus e antispyware,
fare clic su Opzioni > Visualizza elenco minacce.
Configurazione di Auto-Protect per determinare i tipi di file
Auto-Protect è preimpostato per eseguire la scansione di tutti i file. Se eseguita
solo sui file con le estensioni selezionate, la scansione potrebbe venire completata
più rapidamente.
Ad esempio, è possibile sottoporre a scansione soltanto le seguenti estensioni:
■
.exe
■
.com
■
.dll
■
.doc
■
.xls
In genere i virus attaccano soltanto determinati tipi di file. Se si esegue la scansione
dei file con le estensioni selezionate, tuttavia, si ottiene una protezione minore
in quanto Auto-Protect non esamina tutti i file. L'elenco predefinito di estensioni
riporta i file generalmente a rischio di infezioni da virus.
Auto-Protect sottopone a scansione le estensioni di file che contengono il codice
eseguibile e tutti i file .doc e .exe. Può inoltre determinare il tipo di file anche se
un virus ne cambia l'estensione. Ad esempio, esamina i file .doc anche se un virus
ne cambia l'estensione.
È necessario configurare Auto-Protect per sottoporre a scansione tutti i tipi di
file per assicurarsi che il computer abbia la massima protezione da virus e rischi
per la sicurezza.
Per configurare Auto-Protect per determinare i tipi di file
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione antivirus e antispyware, fare clic su Configura
impostazioni.
3
In una scheda Auto-Protect qualsiasi, sotto Tipi di file, eseguire una delle
seguenti operazioni:
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
■
Fare clic su Tutti i tipi per eseguire la scansione di tutti i file.
■
Fare clic su Selezionati per eseguire esclusivamente la scansione dei file
corrispondenti alle estensioni elencate, quindi fare clic su Estensioni per
modificare l'elenco predefinito delle estensioni di file.
4
Se si è selezionato Selezionati, selezionare o deselezionare l'opzione
Determina i tipi di file in base all'esame del contenuto.
5
Fare clic su OK.
Disattivazione e attivazione di scansione e blocco dei rischi per la
sicurezza da parte di Auto-Protect
Per impostazione predefinita, Auto-Protect esegue le seguenti azioni:
■
Ricerca i rischi per la sicurezza quali adware e spyware
■
Mette in quarantena i file infettati
■
Cerca di rimuovere o riparare gli effetti dei rischi per la sicurezza
Quando il blocco dell'installazione di un rischio per la sicurezza non influisce
sulla stabilità di un computer, Auto-Protect lo effettua per impostazione
predefinita. Se Symantec determina che il blocco di un rischio per la sicurezza
potrebbe compromettere la stabilità del computer, Auto-Protect consente
l'installazione del rischio. Inoltre, Auto-Protect prende immediatamente i
provvedimenti che sono stati configurati per il rischio.
Di tanto in tanto, tuttavia, è possibile che si abbia la necessità di disattivare la
ricerca dei rischi per la sicurezza nelle scansioni di file di Auto-Protect e quindi
di riattivarla. Potrebbe essere necessario disattivare anche il blocco dei rischi per
la sicurezza, allo scopo di controllare il momento in cui Auto-Protect reagisce a
determinati rischi per la sicurezza.
Nota: l'amministratore potrebbe bloccare queste impostazioni.
Per disattivare o attivare la scansione e il blocco dei rischi per la sicurezza da parte
di Auto-Protect
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione antivirus e antispyware, fare clic su Configura
impostazioni.
3
Nella scheda Auto-Protect per file system, sotto Opzioni, eseguire una delle
seguenti operazioni:
■
Selezionare o deselezionare l'opzione Ricerca rischi per la sicurezza.
61
62
Gestione della protezione antivirus e antispyware
Informazioni su Auto-Protect
4
■
Selezionare o deselezionare l'opzione Blocca l'installazione di rischi per
la sicurezza.
■
Selezionare o deselezionare l'opzione Esegui scansioni di file su unità di
rete.
Fare clic su OK.
Configurazione delle impostazioni di scansione della rete
La configurazione delle scansioni della rete include le seguenti opzioni:
■
Affidabilità dei file nei computer remoti che eseguono Auto-Protect.
■
Utilizzo di una cache per memorizzare un record dei file sottoposti a scansione
da Auto-Protect da una rete.
Per impostazione predefinita, Auto-Protect esegue la scansione dei file durante
la scrittura degli stessi dal computer a un computer remoto. Auto-Protect esamina
inoltre i file quando vengono scritti da un computer remoto al computer.
Durante la lettura dei file in un computer remoto, tuttavia, Auto-Protect potrebbe
non eseguire la scansione dei file. Per impostazione predefinita, Auto-Protect
considera affidabili le versioni remote di Auto-Protect. Se l'opzione di affidabilità
è attivata su entrambi i computer, Auto-Protect locale controlla le impostazioni
Auto-Protect del computer remoto. Se nelle impostazioni di Auto-Protect remoto
è specificato un livello di sicurezza elevato quanto quello delle impostazioni locali,
Auto-Protect locale considera affidabile Auto-Protect remoto. In questo caso non
sottopone a scansione i file che legge dal computer remoto. Il computer locale
considera già eseguita la scansione dei file da parte di Auto-Protect.
Nota: Auto-Protect locale esamina sempre i file copiati da un computer remoto.
L'opzione di affidabilità è attivata per impostazione predefinita. Se si disattiva
tale opzione, si potrebbero riscontrare prestazioni di rete più scadenti.
Per disattivare l'affidabilità nelle versioni remote di Auto-Protect
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Fare clic su Cambia impostazioni accanto a Protezione antivirus e
antispyware.
3
Nella scheda Auto-Protect per file system, fare clic su Avanzate.
4
Nella finestra di dialogo Opzioni avanzate di Auto-Protect, sotto Opzioni
avanzate aggiuntive, fare clic su Rete.
Gestione della protezione antivirus e antispyware
Utilizzo delle scansioni antivirus e antispyware
5
Sotto Impostazioni di scansione di rete, deselezionare Considera sicuri i file
su computer remoti che eseguono Auto-Protect.
6
Fare clic su OK fino a quando non viene visualizzata nuovamente la finestra
principale.
È possibile configurare il computer per l'utilizzo di una cache di rete. La cache di
rete memorizza un record dei file che Auto-Protect ha sottoposto a scansione da
un computer remoto. Se si utilizza una cache di rete, si evita che Auto-Protect
esegua la scansione dello stesso file più di una volta. Impedendo più scansioni
dello stesso file, è possibile migliorare le prestazioni del sistema. È possibile non
solo impostare il numero di file (voci) di cui si desidera eseguire la scansione e la
memorizzazione con Auto-Protect, ma anche il tempo che deve trascorrere prima
che le voci vengano rimosse dalla cache. Allo scadere del tempo impostato, le voci
vengono rimosse. Auto-Protect esegue quindi la scansione dei file se vengono
nuovamente richiesti al computer remoto.
Per configurare una cache di rete
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Fare clic su Configura impostazioni accanto a Protezione antivirus e
antispyware.
3
Nella scheda Auto-Protect per file system della finestra di dialogo Impostazioni
antivirus e antispyware, fare clic su Avanzate.
4
Nella finestra di dialogo Opzioni avanzate di Auto-Protect, sotto Opzioni
avanzate aggiuntive, fare clic su Rete.
5
Nella finestra di dialogo Impostazioni di scansione di rete , selezionare o
deselezionare Cache di rete.
6
Se è stata attivata la cache di rete, utilizzare le impostazioni predefinite o
effettuare una delle azioni seguenti:
7
■
Utilizzare le frecce o digitare il numero di file (voci) di cui si desidera
eseguire la scansione e la memorizzazione con Auto-Protect.
■
Digitare il numero di secondi di mantenimento delle voci nella cache prima
che questa venga rimossa.
Fare clic su OK.
Utilizzo delle scansioni antivirus e antispyware
Auto-Protect è la difesa più potente contro infezioni da virus e rischi per la
sicurezza. Oltre ad Auto-Protect, la protezione antivirus e antispyware include
diversi tipi di scansioni per offrire ulteriore protezione.
63
64
Gestione della protezione antivirus e antispyware
Utilizzo delle scansioni antivirus e antispyware
Nella Tabella 6-1 sono descritte le scansioni disponibili
Tabella 6-1
Scansioni disponibili
Tipo
Descrizione
Scansione
personalizzata
Consente di eseguire in qualsiasi momento la scansione di file,
cartelle, unità disco o di tutto il computer. L'utente seleziona le aree
del computer per le quali eseguire una scansione.
Active Scan
Esegue rapidamente la scansione della memoria e delle posizioni
soggette ad attacchi frequenti da parte di virus e rischi per la
sicurezza.
Scansione completa Esegue la scansione dell'intero computer, inclusi il settore di avvio
e la memoria di sistema. Per la scansione delle unità di rete è
necessario immettere una password.
Scansione
pianificata
Viene eseguita in base alla frequenza specificata, senza l'intervento
dell'utente.
Scansione all'avvio
Viene eseguita ogni volta che si avvia il computer e si esegue
l'accesso.
Definita dall’utente
Esegue la scansione di gruppi di file specificati in qualsiasi momento.
Se è attivato Auto-Protect, una scansione Active Scan quotidiana e una singola
scansione pianificata settimanale di tutti i file forniscono una protezione
sufficiente. Se il computer è soggetto ad attacchi frequenti di virus, considerare
la possibilità di aggiungere una scansione completa all'avvio o una scansione
pianificata quotidiana.
È inoltre possibile configurare la frequenza delle scansioni per la ricerca di
comportamenti sospetti anziché di rischi noti.
Vedere "Configurazione della frequenza di esecuzione delle scansioni proattive
delle minacce TruScan" a pagina 99.
Rilevazione di virus e rischi per la sicurezza da parte del client
Symantec Endpoint Protection
Le infezioni da virus in un computer vengono impedite mediante la scansione del
settore di avvio, della memoria e dei file alla ricerca di virus e rischi per la
sicurezza. Il motore di scansione utilizza le firme dei virus e dei rischi per la
sicurezza che si trovano nei file delle definizioni. Il motore di scansione ricerca
in modo approfondito tutti i virus noti che si trovano all'interno dei file eseguibili.
Le scansioni antivirus e antispyware cercano nelle parti eseguibili dei file di
documento per trovare i virus macro.
Gestione della protezione antivirus e antispyware
Utilizzo delle scansioni antivirus e antispyware
È possibile eseguire una scansione su richiesta oppure pianificarne l'esecuzione
quando non si utilizza il computer.
Nella Tabella 6-2 vengono descritti i componenti del computer che il client
sottopone a scansione.
Tabella 6-2
Componenti del computer sottoposti a scansione dal client
Componente
Descrizione
Memoria del
computer
Il client cerca nella memoria del computer. Qualsiasi virus di file,
del settore di avvio o di macro può risiedere nella memoria. I virus
residenti in memoria si sono autoreplicati nella memoria del
computer. Un virus può restare nascosto nella memoria fino a
quando non si verifica un evento di attivazione, dopodiché può
diffondersi su un dischetto floppy presente nella relativa unità
oppure sull'hard disk. Se un virus è nella memoria, non può essere
ripulito. Tuttavia, è possibile rimuoverlo riavviando il computer,
quando viene chiesto di eseguire questa operazione.
Settore di avvio
Il client cerca nel settore di avvio del computer per verificare la
presenza di virus di avvio. Vengono controllati due elementi: le
tabelle di partizione e il record di avvio principale.
Unità a dischetto
Un modo comune con cui si diffonde un virus è tramite dischi floppy.
Un disco floppy potrebbe rimanere in un'unità disco quando si avvia
o si spegne il computer. Quando una scansione inizia, il client cerca
nel settore di avvio e nelle tabelle di partizione del disco floppy che
si trova nell'unità disco. Quando si spegne il computer viene chiesto
di rimuovere il disco per impedire una possibile infezione.
65
66
Gestione della protezione antivirus e antispyware
Utilizzo delle scansioni antivirus e antispyware
Componente
Descrizione
File selezionati
Il client sottopone a scansione singoli file. Nella maggior parte dei
casi, è possibile scegliere i file sui quali eseguire la scansione. Il
software client utilizza la scansione basata su profili per cercare
tracce di virus all'interno dei file. Le tracce dei virus sono dette
profili o firme.
Ciascun file viene confrontato con firme innocue contenute in un
file delle definizioni dei virus, in modo da identificare virus specifici.
Alla rilevazione di un virus, per impostazione predefinita viene
eseguito un tentativo di pulizia del file. Se non è possibile ripulire
il file, quest’ultimo viene messo in quarantena per impedire ulteriori
infezioni del computer.
Le scansioni basate su profili vengono eseguite anche per ricercare
segni di rischi per la sicurezza all'interno di file e chiavi di registro.
Se viene rilevato un rischio per la sicurezza, per impostazione
predefinita i file infetti vengono messi in quarantena e gli effetti
del rischio riparati. Se non riesce a mettere in quarantena i file, il
client registra il tentativo.
Informazioni sui file delle definizioni
I file dei virus includono parti di codice che quando vengono esaminate in dettaglio
risultano caratterizzate da determinati profili. È possibile rintracciare tali profili
nei file infettati. I profili sono chiamati anche firme. Anche ai rischi per la
sicurezza, come adware e spyware, sono associate firme riconoscibili.
I file delle definizioni contengono un elenco di firme di virus note, senza il codice
nocivo del virus, e di firme note per i rischi per la sicurezza. Il software di scansione
cerca all'interno dei file del computer per identificare le firme note incluse nei
file delle definizioni. L'individuazione di una corrispondenza indica che il file è
infetto. Il file delle definizioni viene utilizzato per determinare il virus che ha
causato l’infezione e per ripararne gli effetti secondari. Se trova un rischio per la
sicurezza, il client utilizza i file delle definizioni per mettere in quarantena il
rischio e per riparare i relativi effetti secondari.
Nuovi virus e rischi per la sicurezza vengono introdotti frequentemente nella
comunità di computer. È necessario assicurarsi che i file delle definizioni del
computer siano aggiornati. È necessario assicurarsi che il client possa rilevare e
ripulire anche il virus e i rischi per la sicurezza più recenti.
Gestione della protezione antivirus e antispyware
Utilizzo delle scansioni antivirus e antispyware
Informazioni sulla scansione di file compressi
Le scansioni antivirus e antispyware sottopongono a scansione i file compressi.
Ad esempio, vengono sottoposti a scansione i file.zip. L'amministratore può
specificare la scansione fino a un massimo di 10 livelli per i file compressi
contenenti altri file compressi. Per i tipi di scansione di file compressi supportati,
contattare l'amministratore.
Se Auto-Protect è attivato, tutti i file all'interno di un file compresso sono sottoposti
a scansione.
Avvio delle scansioni su richiesta
È possibile eseguire la scansione manuale alla ricerca di virus e rischi per la
sicurezza quali adware e spyware, in qualunque momento. Selezionare un qualsiasi
elemento da analizzare, ad esempio un singolo file, un disco floppy o l'intero
computer. Le scansioni su richiesta includono la scansione Active Scan e la
scansione completa. È inoltre possibile creare una scansione personalizzata da
eseguire su richiesta.
Vedere "Creazione di scansioni su richiesta e all'avvio" a pagina 71.
Per ulteriori informazioni sulle opzioni di questa procedura, è possibile fare clic
su ?.
Per avviare una scansione da Windows
◆
Nella finestra Risorse del computer o Esplora risorse, fare clic con il pulsante
destro del mouse su un file, cartella o unità disco, quindi scegliere Scansione
alla ricerca di virus.
Questa funzionalità non è supportata nei sistemi operativi a 64 bit.
Per avviare una scansione dal client
◆
Eseguire una delle seguenti operazioni:
■
Nel client, alla pagina Stato, accanto a Protezione antivirus e antispyware,
fare clic su Opzioni > Esegui Active Scan.
■
Nel client, nella barra laterale, fare clic su Ricerca minacce.
Eseguire una delle seguenti operazioni:
■
Sotto Active Scan, fare clic su Active Scan.
■
Sotto Scansione completa, fare clic su Scansione completa.
■
Nell'elenco delle scansioni, fare clic con il pulsante destro del mouse
su una scansione, quindi scegliere Esegui scansione ora.
Viene avviata la scansione. Viene visualizzata una finestra di
avanzamento in cui è indicato lo stato della scansione e i risultati.
67
68
Gestione della protezione antivirus e antispyware
Configurazione della scansione antivirus e antispyware
Configurazione della scansione antivirus e
antispyware
È possibile configurare diversi tipi di scansione per proteggere il computer da
virus e rischi per la sicurezza.
Creazione di scansioni pianificate
Le scansioni pianificate sono componenti importanti della protezione contro le
minacce e i rischi per la sicurezza. È necessario pianificare una scansione da
eseguire almeno una volta alla settimana per assicurare l'assenza di virus e rischi
per la sicurezza dal computer. Quando si crea una nuova scansione, questa viene
visualizzata nell'elenco delle scansioni della finestra Ricerca minacce.
Nota: se l'amministratore ha creato una scansione pianificata per l'utente, questa
viene visualizzata nell'elenco delle scansioni della finestra Ricerca minacce.
Quando viene eseguita la scansione pianificata, il computer deve essere acceso e
i servizi di Symantec Endpoint Protection caricati. Per impostazione predefinita,
i servizi di Symantec Endpoint Protection vengono caricati all'avvio del computer.
Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare
clic su ?.
Per creare una scansione pianificata
1
Nel client, nella barra laterale, fare clic su Ricerca minacce.
2
Fare clic su Crea nuova scansione.
3
Nella finestra di dialogo Elementi da sottoporre a scansione, selezionare uno
di seguenti tipi di scansioni da pianificare:
■
Active: sottopone a scansione le zone del computer più comunemente
infettate da virus e rischi per la sicurezza.
■
Completa: sottopone a scansione l'intero computer per rilevare virus e
rischi per la sicurezza.
■
Personalizzata: sottopone a scansione le zone selezionate del computer
per rilevare virus e rischi per la sicurezza.
Gestione della protezione antivirus e antispyware
Configurazione della scansione antivirus e antispyware
4
Se si sceglie Personalizzata, selezionare le caselle di controllo appropriate
per specificare i percorsi da sottoporre a scansione.
Ai simboli seguenti corrispondono le descrizioni riportate:
Il file, l'unità disco o la cartella non è selezionato. Se l'elemento è
un'unità disco o una cartella, anche le cartelle e i file in esse contenuti
non sono selezionati.
È selezionato il singolo file o la singola cartella.
È selezionata la singola cartella o unità. Sono selezionati anche tutti
gli elementi contenuti nella cartella o nell’unità.
La singola cartella o unità non è selezionata, ma sono selezionati uno
o più elementi al suo interno.
5
Fare clic su Avanti.
6
Nella finestra di dialogo Opzioni di scansione, è possibile effettuare una delle
azioni seguenti:
■
Modificare le impostazioni predefinite relative agli elementi sottoposti a
scansione.
Per impostazione predefinita viene eseguita una scansione di tutti i file.
■
Specificare come risponde il client se viene rilevato un virus o un rischio
per la sicurezza.
Per impostazione predefinita, il client rimuove il virus dai file infettati e
ripara tutti gli effetti secondari. Se non riesce a rimuovere il virus, mette
in quarantena il file.
Per impostazione predefinita, il client mette in quarantena i rischi per la
sicurezza e rimuove o ripara tutti gli effetti secondari. Se il client non
riesce a mettere in quarantena e riparare il rischio, registra l'evento.
7
Sotto Miglioramenti di scansione, selezionare le posizioni desiderate.
8
Fare clic su Avanzate.
9
È possibile impostare una delle seguenti opzioni:
■
Opzioni file compressi
■
Opzioni di backup
■
Opzioni di dialogo
■
Opzioni ottimizzazione
69
70
Gestione della protezione antivirus e antispyware
Configurazione della scansione antivirus e antispyware
■
Opzioni di migrazione archivi
10 Sotto Opzioni di dialogo, nell'elenco a discesa, fare clic su Mostra
avanzamento scansione, quindi su OK.
11 Fare clic su OK.
12 Nella finestra di dialogo Opzioni di scansione è possibile anche modificare le
seguenti opzioni:
■
Azioni: modifica la prima e la seconda azione da intraprendere quando
vengono trovati virus e rischi per la sicurezza.
■
Notifica: crea un messaggio da visualizzare quando viene trovato un virus
o un rischio per la sicurezza. È anche possibile configurare se venire
notificati prima dell'esecuzione delle azioni di rimedio.
■
Eccezioni centralizzate: crea un'eccezione per la rilevazione di un rischio
per la sicurezza.
13 Fare clic su Avanti.
14 Nella finestra di dialogo Quando eseguire la scansione, fare clic su A orari
specificati, quindi su Avanti.
15 Nella finestra di dialogo Pianifica, specificare la frequenza e quando eseguire
la scansione.
16 Fare clic su Avanzate.
17 Nella finestra di dialogo Opzioni di pianificazione avanzate, effettuare le
seguenti operazioni:
■
Selezionare Esegui nuova scansione pianificata entro <numero> ore
dall'orario pianificato. Specificare il numero di ore entro cui si desidera
effettuata la scansione. È ad esempio possibile stabilire che una sessione
settimanale di scansione venga eseguita solo se rientra nei tre giorni
successivi al momento programmato per l'evento non eseguito.
■
Selezionare o deselezionare Esegui scansione pianificata definita
dall'utente anche se l'utente non ha effettuato l'accesso. Le scansioni
definite dall'utente vengono sempre eseguite se l'utente ha effettuato
l'accesso, indipendentemente da questa impostazione.
Per i client gestiti, l'amministratore potrebbe modificare la priorità di queste
impostazioni.
18 Fare clic su OK.
19 Nella finestra di dialogo Pianifica, fare clic su Avanti.
Gestione della protezione antivirus e antispyware
Configurazione della scansione antivirus e antispyware
20 Nella finestra di dialogo Nome scansione, digitare un nome e una descrizione
per la scansione.
Ad esempio, denominare la scansione Venerdì mattina
21 Fare clic su Fine.
Informazioni sulla creazione di più scansioni pianificate
Se nello stesso computer vengono pianificate più scansioni e le scansioni iniziano
alla stessa ora, queste vengono eseguite in sequenza. Dopo che una scansione
finisce ne inizia un'altra. Ad esempio, è possibile pianificare tre scansioni separate
da eseguire nel computer alle ore 13.00. Ogni scansione viene eseguita su un'unità
differente. La prima scansione viene eseguita sull'unità C, la seconda sull'unità D
e la terza sull'unità E. In questo esempio, una soluzione migliore consiste nel
creare una scansione pianificata delle unità C, D ed E.
Creazione di scansioni su richiesta e all'avvio
Oltre alla scansione pianificata, alcuni utenti preferiscono eseguire un'ulteriore
scansione ogni volta che avviano o accedono al computer. Spesso, la scansione
all'avvio viene impostata in modo da esaminare solo le cartelle critiche e a rischio
di infezione elevato, ad esempio la cartella di Windows e le cartelle contenenti i
modelli di Microsoft Word e Microsoft Excel.
Nota: se si creano più scansioni all'avvio, queste vengono eseguite in sequenza,
nell'ordine in cui sono state create.
La protezione antivirus e antispyware comprende anche una scansione all'avvio
detta Active Scan generata automaticamente. La scansione generata
automaticamente controlla i punti di infezione comuni del computer ogni volta
che un utente accede al computer. È possibile modificare questa scansione nello
stesso modo in cui è possibile configurare la scansione su richiesta. Tuttavia, non
è possibile disattivare le scansioni dei file nella memoria e degli altri punti di
infezione comuni del computer.
Se si esegue regolarmente la scansione di uno stesso gruppo di file o cartelle, è
possibile creare una scansione su richiesta limitata a tali elementi. In qualunque
momento è possibile verificare rapidamente che i file e le cartelle specificati sono
esenti da virus e rischi per la sicurezza.
Le scansioni su richiesta devono essere iniziate manualmente.
Vedere "Avvio delle scansioni su richiesta" a pagina 67.
71
72
Gestione della protezione antivirus e antispyware
Configurazione della scansione antivirus e antispyware
Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare
clic su ?.
Per creare una scansione di avvio o su richiesta
1
Nel client, nella barra laterale, fare clic su Ricerca minacce.
2
Fare clic su Crea nuova scansione.
3
Fare clic su Avanti.
4
Nella finestra di dialogo Elementi da sottoporre a scansione, selezionare uno
di seguenti tipi di scansioni da pianificare:
■
Active
■
Completa
■
Personalizzata
5
Fare clic su Avanti.
6
Se si seleziona Personalizzata nella finestra di dialogo di selezione dei file,
selezionare i file e la cartella da esaminare.
Ai simboli seguenti corrispondono le descrizioni riportate:
Il file, l'unità disco o la cartella non è selezionato. Se l'elemento è
un'unità disco o una cartella, anche le cartelle e i file in esse contenuti
non sono selezionati.
È selezionato il singolo file o la singola cartella.
È selezionata la singola cartella o unità. Sono selezionati anche tutti
gli elementi contenuti nella cartella o nell’unità.
La singola cartella o unità non è selezionata, ma sono selezionati uno
o più elementi al suo interno.
7
Fare clic su Avanti.
8
Nella finestra di dialogo Opzioni di scansione è possibile effettuare le azioni
seguenti:
■
Modificare le impostazioni predefinite relative agli elementi sottoposti a
scansione.
Per impostazione predefinita viene eseguita una scansione di tutti i file.
■
Specificare come risponde il client se viene rilevato un virus o un rischio
per la sicurezza.
Gestione della protezione antivirus e antispyware
Configurazione della scansione antivirus e antispyware
Per impostazione predefinita, il client rimuove il virus dai file infettati e
ripara tutti gli effetti secondari. Se non può rimuovere il virus, il client
mette in quarantena il file.
Per impostazione predefinita, il client mette in quarantena i rischi per la
sicurezza e rimuove o ripara tutti gli effetti secondari. Se il client non
riesce a mettere in quarantena e riparare il rischio, il client registra
l'evento.
9
Sotto Miglioramenti di scansione, selezionare le posizioni desiderate.
10 Fare clic su Avanzate.
11 Nella finestra di dialogo Opzioni di scansione avanzate, è possibile impostare
le seguenti opzioni:
■
Opzioni file compressi
■
Opzioni di backup
■
Opzioni di dialogo
■
Opzioni ottimizzazione
■
Opzioni di migrazione archivi
12 Sotto Opzioni di dialogo, nell'elenco a discesa, fare clic su Mostra
avanzamento scansione e fare clic su OK.
13 Dopo aver impostato tutte le opzioni avanzate, fare clic su OK.
14 È anche possibile modificare le seguenti opzioni:
■
Azioni: modifica la prima e la seconda azione da intraprendere quando
vengono trovati virus e rischi per la sicurezza.
■
Notifiche: crea un messaggio da visualizzare quando viene trovato un
virus o un rischio per la sicurezza. È anche possibile configurare se venire
notificati prima dell'esecuzione delle azioni di rimedio.
■
Eccezioni centralizzate: crea le eccezioni per la scansione.
15 Una volta terminata la configurazione delle opzioni di scansione, fare clic su
OK.
16 Nella finestra di dialogo Quando eseguire la scansione, eseguire una delle
seguenti azioni:
■
Fare clic su Su richiesta.
■
Fare clic su All'avvio.
17 Nella finestra di dialogo Opzioni scansione, fare clic su Avanti.
73
74
Gestione della protezione antivirus e antispyware
Interpretazione dei risultati della scansione
18 Digitare un nome e una descrizione per la scansione.
Ad esempio, denominare la scansione Scansione1
19 Fare clic su Fine.
Modifica ed eliminazione delle scansioni all'avvio, definite dall’utente
e pianificate
È possibile modificare ed eliminare le scansioni all'avvio, definite dall’utente e
pianificate esistenti. Alcune opzioni potrebbero non essere disponibili se non è
possibile configurarle per un particolare tipo di scansione.
Per modificare una scansione
1
Nel client, nella barra laterale, fare clic su Ricerca minacce.
2
Nell'elenco di scansioni, fare clic con il pulsante destro del mouse sulla
scansione da modificare, quindi fare clic su Modifica.
3
Eseguire le modifiche desiderate nelle schede Elementi da sottoporre a
scansione, Opzioni e Generale.
Per le scansioni pianificate, è anche possibile modificare la pianificazione.
4
Fare clic su OK.
Per eliminare una scansione
1
Nel client, nella barra laterale, fare clic su Ricerca minacce.
2
Nell'elenco di scansioni, fare clic con il pulsante destro del mouse sulla
scansione da eliminare, quindi fare clic su Elimina.
3
Nella finestra di dialogo Conferma eliminazione, fare clic su Sì.
Interpretazione dei risultati della scansione
Ogni volta che viene eseguita una scansione su richiesta, pianificata, all'avvio o
definita dall'utente, per impostazione predefinita il software client visualizza una
finestra di dialogo per indicare l'avanzamento della scansione. Inoltre, Auto-Protect
può visualizzare una finestra di dialogo di risultati ogni volta che rileva un virus
o un rischio per la sicurezza. È possibile disattivare queste notifiche.
In una rete a gestione centralizzata è possibile che la finestra di dialogo di
avanzamento della scansione non venga visualizzata nel caso di scansioni avviate
dall'amministratore. Analogamente, l'amministratore può scegliere di non
mostrare i risultati quando il client rileva un virus o un rischio per la sicurezza.
Gestione della protezione antivirus e antispyware
Interpretazione dei risultati della scansione
Se il client rileva dei rischi durante la scansione, la finestra di dialogo di
avanzamento della scansione mostra i risultati con le seguenti informazioni:
■
I nomi dei file infettati
■
I nomi del virus o dei rischi per la sicurezza
■
Le azioni che il client ha effettuato sui rischi
Per impostazione predefinita, quando viene individuato un virus o un rischio per
la sicurezza, viene visualizzato un messaggio di notifica.
Nota: la lingua del sistema operativo in cui si esegue il client potrebbe non essere
in grado di interpretare alcuni caratteri nei nomi dei virus. Se il sistema operativo
non riesce a interpretare i caratteri, i caratteri appaiono come punti interrogativi
nelle notifiche. Ad esempio, alcuni nomi di rischi in formato Unicode potrebbero
contenere caratteri a doppio byte. Nei computer che eseguono il client in un
sistema operativo italiano, questi caratteri appaiono come punti interrogativi.
Se si configura il software client per visualizzare una finestra di dialogo di
avanzamento della scansione, è possibile sospendere, riavviare o interrompere il
processo di scansione. Al termine della scansione, i risultati vengono visualizzati
in un elenco. Se non viene rilevato alcun virus o rischio per la sicurezza, l’elenco
rimane vuoto e la scansione risulta completata.
Vedere "Pausa e posticipo delle scansioni" a pagina 48.
Informazioni sull'interazione con i valori della scansione o i risultati
di Auto-Protect
La finestra di dialogo di avanzamento della scansione e la finestra di dialogo dei
risultati di Auto-Protect hanno opzioni simili. Se è necessario terminare un
processo o un’applicazione oppure arrestare un servizio, l'opzione Rimuovi rischio
è attiva. Potrebbe non essere possibile chiudere la finestra di dialogo se i rischi
presenti nella finestra richiedono l'intervento dell'utente.
Nella Tabella 6-3 sono descritte le opzioni della finestra di dialogo dei risultati.
75
76
Gestione della protezione antivirus e antispyware
Interpretazione dei risultati della scansione
Tabella 6-3
Opzioni della finestra di dialogo dei risultati
Pulsante
Descrizione
Rimuovi rischi ora
Apre la finestra di dialogo Rimuovi rischio.
Nella finestra di dialogo Rimuovi rischio, è possibile selezionare
una delle seguenti opzioni per ogni rischio:
Sì
Il client rimuove il rischio. La rimozione del rischio potrebbe
richiedere un riavvio. Le informazioni nella finestra di dialogo
indicano se è richiesto il riavvio.
■ No
Quando si chiude la finestra di dialogo dei risultati viene
visualizzata una finestra di dialogo. La finestra di dialogo
ricorda che il problema non è ancora stato risolto ed è
necessario intervenire. Tuttavia, la finestra di dialogo Rimuovi
rischio viene chiusa fino a quando non si riavvia il computer.
■
Chiudi
Chiude la finestra di dialogo dei risultati se non è necessario
intervenire su alcun rischio.
Se è necessario intervenire, viene visualizzata una delle seguenti
notifiche:
Rimozione del rischio richiesta
Appare quando un rischio richiede l'arresto di un processo. Se
si sceglie di eliminare il rischio, viene nuovamente visualizzata
la finestra di dialogo dei risultati. Se è necessario riavviare il
sistema, le informazioni presenti nella riga relativa al rischio
all'interno della finestra di dialogo segnalano tale necessità.
■ Riavvio richiesto.
Appare quando un rischio richiede un riavvio.
■ Rimozione del rischio e riavvio richiesti.
Appare quando un rischio richiede l'arresto di un processo e
un altro rischio richiede un riavvio.
■
Se è richiesto il riavvio, la rimozione o la riparazione non viene completata fino
a quando non si riavvia il computer.
Se è necessario intervenire su un rischio, è possibile scegliere di non farlo subito.
In questo caso il rischio può essere rimosso o riparato successivamente nei seguenti
modi:
■
È possibile aprire il registro dei rischi, fare clic con il pulsante destro del mouse
sul rischio e quindi prendere i provvedimenti necessari.
Gestione della protezione antivirus e antispyware
Invio di informazioni sulle scansioni antivirus e antispyware a Symantec Security Response
■
È possibile eseguire una scansione per rilevare il rischio e riaprire la finestra
di dialogo dei risultati.
È anche possibile intervenire facendo clic con il pulsante destro del mouse su un
rischio nella finestra di dialogo e selezionando un'azione. I provvedimenti che si
possono prendere dipendono dalle azioni che sono state configurate per il tipo
particolare di rischio che la scansione ha rilevato.
Vedere "Interventi sui file infetti" a pagina 20.
Invio di informazioni sulle scansioni antivirus e
antispyware a Symantec Security Response
È possibile impostare l'invio automatico delle informazioni sulla frequenza di
rilevazione di scansione o di Auto-Protect a Symantec Security Response. Le
informazioni sulla frequenza di rilevazione consentono potenzialmente di
migliorare gli aggiornamenti di definizioni dei virus Symantec. Tali informazioni
indicano i virus e i rischi per la sicurezza maggiormente rilevati dai clienti.
Symantec Security Response può rimuovere le firme non rilevate e fornire un
elenco di firme segmentato per i clienti che lo richiedono. Gli elenchi segmentati
consentono di ottenere migliori prestazioni di scansione antivirus e antispyware.
L'invio delle frequenze di rilevazione è attivato per impostazione predefinita.
Nota: l'amministratore potrebbe bloccare le impostazioni di invio.
È possibile anche inviare gli elementi in quarantena a Symantec.
Vedere "Invio di un file potenzialmente infetto a Symantec Security Response per
l'analisi" a pagina 94.
Per inviare informazioni sulle scansioni antivirus e antispyware a Symantec Security
Response
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Fare clic su Configura impostazioni accanto a Protezione antivirus e
antispyware.
3
Nella scheda Invii, selezionare Invia automaticamente rilevazioni antivirus
e antispyware.
4
Fare clic su OK.
77
78
Gestione della protezione antivirus e antispyware
Configurazione delle azioni relative a virus e rischi per la sicurezza
Configurazione delle azioni relative a virus e rischi
per la sicurezza
È possibile configurare le azioni che il client Symantec Endpoint Protection deve
intraprendere quando rileva un virus o un rischio per la sicurezza. È possibile
configurare una prima e una seconda azione da eseguire qualora la prima azione
non andasse a buon fine.
Nota: se su un computer gestito dall’amministratore è visualizzata un’icona a
forma di lucchetto in corrispondenza delle opzioni, significa che non è possibile
modificare queste opzioni perché l’amministratore le ha bloccate.
Le azioni per qualunque tipo di scansione si configurano nello stesso modo. Ogni
scansione ha una propria configurazione per le azioni da intraprendere. È possibile
configurare azioni differenti per scansioni differenti.
Per ulteriori informazioni sulle opzioni utilizzate nelle procedure, è possibile fare
clic su ?.
Per configurare le operazioni relative a virus e rischi per la sicurezza
1
Nella finestra di dialogo Azioni di scansione, selezionare un tipo di virus o di
rischio per la sicurezza nella struttura.
Per impostazione predefinita, ogni sottocategoria di rischio per la sicurezza
è configurata automaticamente per utilizzare le azioni che sono impostate
per l'intera categoria Rischi per la sicurezza.
2
Per configurare una categoria o istanze specifiche di una categoria in modo
che utilizzino azioni diverse, selezionare Sovrascrivi le azioni configurate
per Rischi per la sicurezza, quindi impostare le azioni per la categoria
desiderata.
Gestione della protezione antivirus e antispyware
Configurazione delle azioni relative a virus e rischi per la sicurezza
3
Selezionare una prima e una seconda azione tra le seguenti opzioni:
Pulisci rischio
Rimuove il virus dal file infetto. Rappresenta la prima azione
predefinita per i virus.
Nota: questa azione è disponibile solo come prima azione
per i virus e non si applica ai rischi per la sicurezza.
Questa impostazione dovrebbe sempre essere la prima azione
per i virus. Se un file viene ripulito da un virus, non sarà
necessario eseguire altre azioni in quanto il computer non
contiene più il virus e non è soggetto alla diffusione di tale
virus in altre aree.
Quando pulisce un file, il client rimuove il virus dal file, dal
settore di avvio o dalle tabelle di partizione infettate. Elimina
inoltre la capacità del virus di diffondersi. Di solito il client
può trovare e pulire un virus prima che danneggi il computer.
Per impostazione predefinita, il client esegue una copia di
backup del file.
In alcuni casi, tuttavia, il file pulito potrebbe non essere
utilizzabile in quanto il virus potrebbe aver causato troppi
danni.
Alcuni file infetti non possono essere ripuliti.
Rischio quarantena
Sposta fisicamente il file infetto dalla posizione originale alla
quarantena. I file infetti in quarantena non possono
diffondere i virus.
Per i virus, sposta il file infetto dalla posizione originale
mettendolo in quarantena. Rappresenta la seconda azione
predefinita per i virus.
Per i rischi per la sicurezza, sposta il file infetto dalla
posizione originale mettendolo in quarantena e tenta di
rimuovere o riparare eventuali effetti secondari. Rappresenta
la prima azione predefinita per i rischi per la sicurezza.
La quarantena contiene un record di tutte le azioni che sono
state effettuate. È possibile riportare il computer allo stato
in cui si trovava prima che il client rimuovesse il rischio.
79
80
Gestione della protezione antivirus e antispyware
Configurazione delle azioni relative a virus e rischi per la sicurezza
Elimina rischio
Elimina il file infetto dal disco rigido del computer. Se il client
non può eliminare un file, le informazioni relative all'azione
che il client ha effettuato appaiono nella finestra di dialogo
Notifica. Le informazioni appaiono anche nel registro eventi.
Utilizzare questa azione soltanto se è possibile sostituire il
file con una copia di backup esente da virus o rischi per la
sicurezza. Quando elimina un rischio, il client lo elimina
permanentemente. Il file infettato non può essere recuperato
dal cestino.
Nota: utilizzare con prudenza questa azione quando si
configurano le azioni da intraprendere per i rischi per la
sicurezza. In alcuni casi, l’eliminazione di un rischio per la
sicurezza comporta problemi di funzionamento in alcune
applicazioni.
Non intervenire (solo
registrazione)
Lascia il file invariato.
Se si utilizza questa azione per i virus, il virus rimane nei file
infettati. Il virus può diffondersi ad altre aree del computer.
In Cronologia rischi viene inserita una voce per tenere traccia
del file infetto.
È possibile utilizzare Non intervenire (solo registrazione)
come seconda azione per i virus macro e non macro.
Non selezionare questa azione quando si effettuano scansioni
su vasta scala e automatizzate, quali le scansioni pianificate.
È possibile utilizzare questa azione per visualizzare i risultati
della scansione e prendere ulteriori provvedimenti
successivamente. Un'azione supplementare potrebbe
consistere nello spostare il file in quarantena.
Per i rischi per la sicurezza, il file infetto viene lasciato
invariato nella stessa posizione e nella Cronologia dei rischi
viene inserita una voce per tenere traccia del rischio.
Utilizzare questa opzione per assumere il controllo manuale
della gestione di un rischio per la sicurezza da parte del client.
Questa impostazione rappresenta la seconda azione
predefinita in relazione ai rischi per la sicurezza.
L'amministratore di sistema può inviare un messaggio
personalizzato che indica all'utente gli interventi da eseguire.
Vedere "Suggerimenti sull'assegnazione delle azioni secondarie per i virus"
a pagina 81.
Vedere "Suggerimenti sull'assegnazione delle azioni secondarie per i rischi
per la sicurezza" a pagina 82.
Gestione della protezione antivirus e antispyware
Configurazione delle azioni relative a virus e rischi per la sicurezza
4
Ripetere i passaggi 1 e 3 per ogni categoria per la quale si desidera impostare
azioni specifiche.
5
Se si seleziona una categoria di rischi per la sicurezza è possibile selezionare
azioni personalizzate per una o più istanze specifiche di tale categoria di
rischi. È possibile escludere un rischio per la sicurezza dalla scansione. Ad
esempio, è possibile escludere una parte dell'adware che è necessario utilizzare
nel proprio lavoro.
6
Fare clic su OK.
Suggerimenti sull'assegnazione delle azioni secondarie per i virus
Quando si seleziona un’azione secondaria per i virus, è importante considerare i
seguenti elementi:
Come vengono gestiti
i file nel computer
Se si memorizzano sul computer file importanti senza eseguirne
copie di backup, è consigliabile evitare di utilizzare azioni quali
Elimina rischio poiché, sebbene questa opzione consenta di
eliminare un virus, può determinare la perdita di dati importanti.
Un altro elemento importante è rappresentato dai file di sistema.
I virus di solito attaccano i file eseguibili. È possibile utilizzare le
azioni Non intervenire (solo registrazione) o Quarantena per
verificare quali file sono stati infettati. Ad esempio, un virus
potrebbe attaccare Command.com. Se il client non è stato in grado
di rimuovere l'infezione potrebbe non essere possibile ripristinare
il file. Il file è essenziale per il sistema. È possibile utilizzare
l'azione Non intervenire per assicurarsi che il file sia accessibile.
Il tipo di virus che ha
infettato il computer
A seconda del tipo, i virus attaccano aree diverse del computer. I
virus di avvio infettano i settori di avvio, le tabelle di partizione,
i record di avvio principali e talvolta la memoria. Se i virus di avvio
sono multivalenti, possono infettare anche i file eseguibili e
l'infezione può essere trattata con modalità simili a quelle
utilizzate per un virus di file. I virus di file infettano in genere i
file con estensione exe, com o dll. I virus macro infettano i file di
documento e le macro associate. Selezionare le azioni in base ai
tipi di file che potrebbe essere necessario ripristinare.
81
82
Gestione della protezione antivirus e antispyware
Configurazione delle azioni relative a virus e rischi per la sicurezza
Il tipo di scansione che Tutte le scansioni eseguono automaticamente determinate azioni
si esegue nel computer senza richiesta di conferma da parte dell'utente. Se le azioni non
vengono modificate prima di una scansione, vengono utilizzate
quelle predefinite. Le azioni secondarie predefinite hanno lo scopo
di mantenere sotto controllo una possibile epidemia. Per le
scansioni che vengono eseguite automaticamente quali le scansioni
pianificate e le scansioni di Auto-Protect, non definire azioni
secondarie che abbiano effetti permanenti. Ad esempio, è possibile
effettuare una scansione su richiesta quando si sa già che un file
è infettato. È possibile limitare le azioni Elimina rischio e Pulisci
rischio a questa scansione su richiesta.
Suggerimenti sull'assegnazione delle azioni secondarie per i rischi per
la sicurezza
Quando si seleziona un'azione secondaria per i rischi per la sicurezza, è necessario
considerare il livello di controllo che è necessario mantenere sui file. Se sul
computer sono memorizzati file importanti senza copie di backup, si sconsiglia
di utilizzare l'azione Elimina rischio. Pur neutralizzando un rischio per la sicurezza,
questa potrebbe infatti causare l'arresto di altre applicazioni in esecuzione sul
computer. Utilizzare invece l'azione Rischio in quarantena che consente, se
necessario, di annullare le modifiche apportate.
Informazioni sulla valutazione dell'impatto dei rischi
Symantec valuta i rischi per la sicurezza allo scopo di determinarne il potenziale
impatto su un computer.
I seguenti fattori sono valutati come basso, medio o alto:
■
Impatto sulla privacy
■
Impatto sulle prestazioni
■
Stealth
■
Difficoltà di rimozione
Un fattore valutato come basso ha un effetto minimo. Un fattore valutato come
medio ha un certo impatto. Un fattore valutato come alto ha un impatto
significativo in quell'area. Per i rischi non ancora sottoposti a valutazione si
utilizzano le classificazioni predefinite. Se il rischio è stato valutato, ma non è
possibile applicarvi un fattore particolare, si ricorre alla valutazione "nessuno".
Queste valutazioni compaiono nella finestra di dialogo Eccezioni ai rischi per la
sicurezza quando si configura un'eccezione centralizzata per i rischi per la
Gestione della protezione antivirus e antispyware
Configurazione delle notifiche relative a virus e rischi per la sicurezza
sicurezza noti. Queste valutazioni sono utili per determinare i rischi per la
sicurezza da escludere dalle scansioni e consentirne la permanenza nel computer.
Nella Tabella 6-4 vengono descritti i fattori di valutazione e il significato della
valutazione alta.
Tabella 6-4
Fattori di impatto dei rischi
Fattore di
valutazione
Descrizione
Impatto sulla privacy
Consente di misurare il livello di privacy che è possibile perdere
a causa della presenza di rischi per la sicurezza nel computer.
Un valore di valutazione elevato indica la possibilità che vengano
sottratti dati personali o altre informazioni riservate.
Impatto sulle
prestazioni
Consente di misurare fino a che punto un rischio per la sicurezza
sia in grado di compromettere le prestazioni di un computer.
Un valore di valutazione elevato indica che le prestazioni possono
subire una riduzione significativa.
Valutazione stealth
Consente di misurare il grado di semplicità con cui è possibile
stabilire se il rischio per la sicurezza risulta, o meno, presente sul
computer.
Un valore di valutazione elevato indica che il rischio per la
sicurezza cerca di nascondere la sua presenza.
Valutazione sulla
rimozione
Misura il grado di difficoltà di rimozione del rischio per la
sicurezza da un computer.
Un valore di valutazione elevato indica che l'eliminazione del
rischio è difficoltosa.
Valutazione generale
La valutazione generale rappresenta una media degli altri fattori.
Programma
dipendente
Questa valutazione indica se il corretto funzionamento di un'altra
applicazione dipende dalla presenza di questo rischio per la
sicurezza.
Configurazione delle notifiche relative a virus e rischi
per la sicurezza
Per impostazione predefinita, se durante una scansione viene rilevato un virus o
un rischio per la sicurezza, viene visualizzata una notifica. Per impostazione
predefinita, viene inviata una notifica anche quando il software di scansione deve
83
84
Gestione della protezione antivirus e antispyware
Configurazione delle notifiche relative a virus e rischi per la sicurezza
terminare i servizi o i processi di arresto. È possibile che il software di scansione
abbia dovuto rimuovere o riparare gli effetti del virus o del rischio per la sicurezza.
È possibile configurare le seguenti notifiche per le scansioni:
Opzioni di rilevazione Comporre il messaggio da visualizzare quando viene rilevato un
virus o un rischio per la sicurezza.
Quando si configura Auto-Protect del file system, è possibile
selezionare un'opzione supplementare per visualizzare una
finestra di dialogo. La finestra di dialogo contiene i risultati dei
rischi rilevati da Auto-Protect.
Opzioni di risoluzione Specificare se si desidera ricevere una notifica quando il client
trova un virus o un rischio per la sicurezza. È possibile anche
ricevere una notifica se il client deve terminare un processo o
arrestare un servizio per rimuovere o riparare un rischio.
È possibile comporre il messaggio di rilevazione che si desidera visualizzare sul
computer. Per comporre il messaggio, digitare direttamente nel campo del
messaggio. È possibile fare clic con il tasto destro del mouse nel campo del
messaggio per selezionare le variabili da includere nel messaggio.
Nella Tabella 6-5 sono descritti i campi delle variabili disponibili per i messaggi
di notifica.
Tabella 6-5
Campi di variabile del messaggio
Campo
Descrizione
VirusName
Nome del virus o del rischio per la sicurezza rilevato.
ActionTaken
L'azione intrapresa dal client al momento della rilevazione del
virus o del rischio per la sicurezza. Può trattarsi della prima o
della seconda azione configurata.
Status
Stato del file: infetto, non infetto o eliminato.
Per impostazione predefinita, questa variabile di messaggio non
viene utilizzata. Se si desidera che questa informazione venga
visualizzata, aggiungere manualmente la variabile al messaggio.
Filename
Il nome del file infettato dal virus o dal rischio per la sicurezza.
PathAndFilename
Il percorso completo e il nome del file infettato dal virus o dal
rischio per la sicurezza.
Location
Unità del computer nella quale il virus o il rischio per la sicurezza
è stato rilevato.
Gestione della protezione antivirus e antispyware
Configurazione delle notifiche relative a virus e rischi per la sicurezza
Campo
Descrizione
Computer
Nome del computer in cui è stato rilevato il virus o il rischio per
la sicurezza.
User
Nome dell'utente collegato quando è stato rilevato il virus o il
rischio per la sicurezza.
Event
Tipo di evento, ad esempio "Rischio trovato".
LoggedBy
Il tipo di scansione che ha rilevato il virus o il rischio per la
sicurezza.
DateFound
Data di rilevazione del virus o del rischio per la sicurezza.
StorageName
Area interessata dell'applicazione, ad esempio Auto-Protect per
File System o Auto-Protect per Lotus Notes.
ActionDescription
Descrizione completa delle azioni eseguite in risposta alla
rilevazione del virus o del rischio per la sicurezza.
È possibile configurare le notifiche per le scansioni definite dall'utente e per
Auto-Protect. La configurazione di notifica include le opzioni di risoluzione. Le
opzioni di risoluzione sono disponibili solo per le scansioni e Auto-Protect del file
system.
Per ulteriori informazioni sulle opzioni utilizzate in questa procedura, è possibile
fare clic su ?.
Per configurare le notifiche relative a virus e rischi per la sicurezza
1
Eseguire una delle seguenti operazioni:
■
Per una nuova scansione, nella finestra di dialogo Opzioni di scansione,
fare clic su Notifiche.
■
Per una scansione esistente, fare clic su Notifiche nella scheda Opzioni
di scansione.
■
Per Auto-Protect, in una delle schede Auto-Protect della finestra di dialogo
Impostazioni di protezione antivirus e antispyware, fare clic su Notifiche.
2
Nella finestra di dialogo Opzioni notifiche, sotto Opzioni di rilevazione,
selezionare Visualizza messaggio di notifica sul computer infettato.
Selezionare questa opzione se si desidera visualizzare un messaggio quando
viene rilevato un virus o un rischio per la sicurezza tramite la scansione.
3
Per comporre il messaggio desiderato eseguire una o più delle seguenti
operazioni nella finestra di messaggio:
■
Fare clic per digitare o modificare il testo.
85
86
Gestione della protezione antivirus e antispyware
Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware
4
■
Fare clic con il pulsante destro del mouse, scegliere Inserisci campo,
quindi scegliere il campo della variabile da inserire.
■
Fare clic con il pulsante destro del mouse e selezionare Taglia, Copia,
Incolla, Cancella o Annulla.
Per la configurazione di Auto-Protect, selezionare o deselezionare Visualizza
la finestra di dialogo dei risultati di Auto-Protect.
Questo parametro attiva o disattiva la finestra di dialogo che contiene i
risultati quando vengono rilevati virus e rischi per la sicurezza tramite
Auto-Protect del file system.
5
6
Sotto Opzioni di risoluzione, selezionare le opzioni che si desidera impostare
per la scansione o per Auto-Protect del file system. Le opzioni disponibili
sono:
Termina
automaticamente i
processi
Configura la terminazione automatica dei processi al
momento della scansione se tale terminazione è necessaria
per rimuovere o riparare un virus o un rischio per la
sicurezza. Il salvataggio dei dati viene richiesto solo quando
vengono terminati i processi.
Arresta
automaticamente i
servizi
Configura l'interruzione automatica dei servizi di arresti al
momento della scansione se tale interruzione è necessaria
per rimuovere o riparare un virus o un rischio per la
sicurezza. Il salvataggio dei dati viene richiesto solo quando
vengono interrotti i servizi.
Fare clic su OK.
Configurazione delle eccezioni centralizzate per le
scansioni antivirus e antispyware
Le eccezioni centralizzate sono gli elementi che si desidera escludere dalla
scansione, quali uno specifico rischio per la sicurezza o un file specifico. In genere
non è necessario creare eccezioni.
Nei client gestiti, l'amministratore può creare eccezioni centralizzate per le
scansioni. È possibile visualizzare le eccezioni impostate dall'amministratore, ma
non modificarle. Se si crea un'eccezione centralizzata in conflitto con un'eccezione
definita dall'amministratore, l'eccezione definita dall'amministratore ha la
precedenza.
Di seguito è riportata la procedura per configurare un'eccezione centralizzata
dalla pagina Cambia impostazioni. È inoltre possibile configurare le eccezioni
Gestione della protezione antivirus e antispyware
Configurazione delle eccezioni centralizzate per le scansioni antivirus e antispyware
quando si crea o si modifica una scansione su richiesta, pianificata o all'avvio
oppure quando si modificano le impostazioni di Auto-Protect. Le eccezioni vengono
applicate a tutte le scansioni antivirus e antispyware. Se si configura un'eccezione
quando si crea o si modifica una scansione specifica, l'eccezione viene applicata
a tutte le scansioni antivirus e antispyware.
Nota: è inoltre possibile configurare eccezioni centralizzate per le scansioni
proattive delle minacce TruScan.
Per ulteriori informazioni sulle opzioni utilizzate in queste procedure, è possibile
fare clic su ?.
Per escludere un rischio per la sicurezza dalle scansioni
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Fare clic su Configura impostazioni accanto a Eccezioni centralizzate.
3
Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni
centralizzate, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza >
Rischi noti.
4
Nella finestra di dialogo Aggiungi eccezioni note ai rischi per la sicurezza ,
selezionare i rischi per la sicurezza che si desidera escludere dalle scansioni.
5
Se si desidera registrare un evento quando il rischio per la sicurezza è rilevato
e ignorato, selezionare Registra quando viene individuato un rischio per la
sicurezza.
6
Fare clic su OK.
7
Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi.
Per escludere un file dalle scansioni
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Eccezioni centralizzate, fare clic su Configura impostazioni.
3
Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni
centralizzate, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza >
File.
4
Nella finestra di dialogo Aggiungi eccezione file rischi per la sicurezza,
selezionare il file che si desidera escludere, quindi fare clic su Aggiungi.
5
Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi.
87
88
Gestione della protezione antivirus e antispyware
Informazioni sulla quarantena
Per escludere una cartella dalle scansioni
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Eccezioni centralizzate, fare clic su Configura impostazioni.
3
Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni
centralizzate, fare clic su Aggiungi > Eccezioni ai rischi per la sicurezza >
Cartella.
4
Nella finestra di dialogo Aggiungi eccezione cartella rischi per la sicurezza,
selezionare la cartella che si desidera escludere, quindi fare clic su Aggiungi.
5
Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi.
Per escludere le estensioni dalle scansioni
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Eccezioni centralizzate, fare clic su Configura impostazioni.
3
Nella scheda Eccezioni definite dall'utente della finestra di dialogo Eccezioni
centralizzate, fare clic su Aggiungi > Eccezioni estensioni rischi per la
sicurezza.
4
Nella finestra di dialogo Aggiungi eccezioni estensione, digitare l'estensione
che si desidera escludere.
Nella casella di testo è possibile includere solo un nome di estensione. Se si
digitano più estensioni, il client tratta la voce come un unico nome di
estensione.
5
Fare clic su Aggiungi.
6
Per aggiungere più estensioni, ripetere i passaggi4 e 5.
7
Fare clic su OK.
8
Nella finestra di dialogo Eccezioni centralizzate, fare clic su Chiudi.
Informazioni sulla quarantena
In alcuni casi il client rileva un virus sconosciuto che non può essere eliminato
con le definizioni dei virus correnti. Potrebbe esistere un file che si ritiene infettato
ma con le scansioni non viene rilevata alcuna infezione. In questi casi, è possibile
utilizzare la quarantena per isolare in modo sicuro i file potenzialmente infetti.
Quando si mette in quarantena un virus, il virus non può diffondersi nel computer
o in altri computer nella rete.
Gestione della protezione antivirus e antispyware
Informazioni sulla quarantena
Informazioni sui file infettati in quarantena
È possibile visualizzare i file infettati in quarantena.
È possibile visualizzare le seguenti informazioni sui file:
■
Rischio
■
Nome file
■
Tipo
■
Posizione originale
■
Stato
■
Data
Nota: la lingua del sistema operativo in cui si esegue il client potrebbe non essere
in grado di interpretare alcuni caratteri nei nomi dei rischi. Se il sistema operativo
non riesce a interpretare i caratteri, i caratteri appaiono come punti interrogativi
nelle notifiche. Ad esempio, alcuni nomi di rischi in formato Unicode potrebbero
contenere caratteri a doppio byte. Nei computer che eseguono il client in un
sistema operativo italiano, questi caratteri appaiono come punti interrogativi.
Quando il client sposta un file infettato nella quarantena, il rischio non può
moltiplicarsi e infettare altri file. Questa è un'azione secondaria consigliata per
le infezioni da virus macro e non macro.
Tuttavia, lo spostamento dei file in quarantena non elimina il rischio. Il rischio
rimane nel computer fino a quando il client non elimina il rischio o il file. I virus
e i virus macro possono essere messi in quarantena. I virus di avvio non possono
essere messi in quarantena. In genere, i virus di avvio risiedono nel settore di
avvio o nelle tabelle di partizione di un computer. Tali elementi non possono
essere spostati in quarantena.
È possibile anche visualizzare le proprietà del file infetto.
Vedere "Visualizzazione dei file e dei relativi dettagli nella quarantena"
a pagina 91.
Informazioni sulla gestione dei file infetti in quarantena
Una volta spostato un file in quarantena, è possibile effettuare una delle azioni
seguenti:
■
Ripristinare il file selezionato nella posizione originale.
■
Eliminare definitivamente il file selezionato.
89
90
Gestione della protezione antivirus e antispyware
Gestione della quarantena
■
Sottoporre nuovamente a scansione i file dopo aver ricevuto le definizioni dei
virus aggiornate.
■
Esportare il contenuto della cartella Quarantine in un file delimitato da virgole
(*.csv) o in un file del database Access (*.mdb).
■
Aggiungere manualmente un file alla cartella Quarantine. È possibile cercare
e selezionare il file che si desidera mettere in quarantena.
■
Inviare un file a Symantec Security Response. Seguire le istruzioni della
procedura guidata sullo schermo per inviare il file selezionato e sottoporlo ad
analisi.
Vedere "Gestione della quarantena" a pagina 90.
Informazioni sulla gestione di file minacciati da rischi per la sicurezza
È possibile lasciare in quarantena i file minacciati da rischi per la sicurezza oppure
eliminarli. È necessario lasciare i file infetti in quarantena finché non si è certi
che le applicazioni installate nel computer funzionano correttamente.
Se si eliminano i file associati a un rischio per la sicurezza, nel computer potrebbero
verificarsi malfunzionamenti di alcune applicazioni. È possibile che alcune
applicazioni dipendano dai file eliminati. La quarantena è un'alternativa più sicura
in quanto reversibile. È possibile ripristinare i file se una o più applicazioni del
computer presentano problemi di funzionamento dopo l'inserimento in quarantena
dei file di programma.
Nota: una volta eseguita l'applicazione, è possibile eliminare i file per liberare
spazio su disco.
Gestione della quarantena
I file vengono inseriti in quarantena tramite uno dei metodi seguenti:
■
Il client viene configurato in modo che sposti in quarantena gli elementi
infettati rilevati durante Auto-Protect o la scansione.
■
L'utente seleziona manualmente un file e lo aggiunge alla quarantena.
Per impostazione predefinita, Auto-Protect e tutti i tipi di scansione eliminano i
virus da un file infettato quando vengono rilevati. Il software di scansione mette
il file in quarantena se il file non può essere pulito. Per quanto riguarda i rischi
per la sicurezza, l'opzione predefinita consiste nel mettere in quarantena i file
infetti e tentare di riparare gli effetti secondari del rischio per la sicurezza.
Gestione della protezione antivirus e antispyware
Gestione della quarantena
Per aggiungere manualmente un file alla quarantena
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Fare clic su Aggiungi.
3
Selezionare il file da aggiungere alla quarantena e quindi fare clic su Aggiungi.
Visualizzazione dei file e dei relativi dettagli nella quarantena
È possibile visualizzare i file che sono stati messi in quarantena. È possibile
visualizzare i dettagli di ogni i file. I dettagli comprendono il nome del virus e il
nome del computer in cui il file è stato trovato.
Per visualizzare i file e i relativi dettagli nella quarantena
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Fare clic con il pulsante destro del mouse sul file da visualizzare, quindi
scegliere Proprietà.
Ripetizione della scansione dei file in quarantena
Se un file viene trasferito in quarantena, aggiornare le definizioni dei virus. Quando
si aggiornano le definizioni, i file in quarantena potrebbero essere sottoposti a
scansione, puliti e ripristinati automaticamente. È possibile sottoporre nuovamente
a scansione i file in quarantena se viene visualizzata la Procedura di riparazione
guidata.
Se il client non riesce a eliminare il virus dopo avere sottoposto di nuovo a
scansione i file in quarantena, è possibile inviare il file infettato a Symantec
Security Response in modo che venga analizzato.
Vedere "Invio di un file potenzialmente infetto a Symantec Security Response per
l'analisi" a pagina 94.
Per ripetere la scansione dei file in quarantena mediante la Procedura guidata di
riparazione
1
Quando viene visualizzata la Procedura di riparazione guidata fare clic su Sì.
2
Fare clic su Avanti.
Seguire le istruzioni visualizzate per sottoporre di nuovo a scansione i file in
quarantena
Ripetizione manuale della scansione dei file
È possibile ripetere manualmente la scansione di un file in quarantena per cercare
i virus ma non i rischi per la sicurezza.
91
92
Gestione della protezione antivirus e antispyware
Gestione della quarantena
Per ripetere manualmente la scansione antivirus di un file in quarantena
1
Aggiornare le definizioni.
2
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
3
Selezionare il file e quindi fare clic su Ripulisci.
Quando un file riparato non può essere ripristinato nella posizione
originale
Talvolta, la posizione originale del file non è più identificabile, ad esempio quando
un allegato infetto viene estratto dal messaggio di e-mail di appartenenza e messo
in quarantena. È necessario rilasciare il file e specificare la posizione desiderata.
Per rilasciare un file pulito dalla quarantena
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Fare clic con il pulsante destro del mouse sul file riparato, quindi scegliere
Ripristina.
3
Specificare la posizione del file pulito.
Cancellazione di elementi di backup
Prima di cercare di pulire o riparare degli elementi, per impostazione predefinita
il client esegue copie di backup degli elementi infettati. Dopo che il client rimuove
un virus, è necessario eliminare manualmente l'elemento dalla quarantena perché
il backup è ancora infettato. È inoltre possibile definire un periodo di tempo nel
quale i file vengono eliminati automaticamente.
Vedere "Eliminazione automatica di file dalla quarantena" a pagina 93.
Per cancellare manualmente gli elementi di backup
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Selezionare uno o più file di backup.
3
Fare clic su Elimina.
Eliminazione di file dalla quarantena
È possibile eliminare manualmente dalla quarantena i file non più necessari e
definire un periodo di tempo trascorso il quale i file vengono eliminati
automaticamente.
Gestione della protezione antivirus e antispyware
Gestione della quarantena
Nota: è possibile che l'amministratore abbia impostato il numero massimo di
giorni di permanenza dei file in quarantena. Trascorso tale periodo, i file vengono
eliminati automaticamente.
Per eliminare manualmente i file dalla quarantena
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Selezionare uno o più file.
3
Fare clic su Elimina.
Eliminazione automatica di file dalla quarantena
È possibile impostare il software per rimuovere automaticamente gli elementi
dall'elenco della quarantena dopo un intervallo di tempo specificato. È anche
possibile specificare che il client rimuova degli elementi quando la cartella in cui
sono memorizzati raggiunge una determinata dimensione. Ciò impedisce
l'accumulo di file che si potrebbe dimenticare di eliminare manualmente.
Per eliminare automaticamente i file
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Fare clic su Opzioni eliminazione.
3
Nella finestra di dialogo Opzioni eliminazione, selezionare una delle seguenti
schede:
4
■
Elementi di quarantena
■
Elementi di backup
■
Elementi riparati
Selezionare o deselezionare La durata di memorizzazione supera.
Il client elimina i file allo scadere del tempo configurato.
5
Se si seleziona la casella di controllo di La durata di memorizzazione supera,
digitare o fare clic su una freccia per immettere la durata.
6
Selezionare l'unità di tempo dall'elenco a discesa. L'impostazione predefinita
è 30 giorni.
93
94
Gestione della protezione antivirus e antispyware
Gestione della quarantena
7
Se si seleziona la casella di controllo La dimensione complessiva della cartella
supera, digitare la dimensione massima consentita in MB. L'impostazione
predefinita è 50 megabyte.
Se si selezionano entrambe le caselle di controllo, i file con data precedente
a quella definita vengono eliminati per primi. Se la dimensione della cartella
supera ancora il limite impostato, il client elimina individualmente i file meno
recenti. Il client elimina i file meno recenti fino a quando la dimensione della
cartella non rientra nel limite.
8
Ripetere i passaggi da 4 a 7 per le altre schede.
9
Fare clic su OK.
Invio di un file potenzialmente infetto a Symantec Security Response
per l'analisi
In alcuni casi il client non è in grado di rimuovere un virus da un file oppure si
sospetta che un file sia infettato e che il client non rilevi l'infezione. Inviandolo
a Symantec Security Response, esso verrà analizzato per garantire che non sia
infetto. Per inviare un campione è necessario poter accedere a Internet.
Nota: l'opzione Invia a Symantec Security Response non è disponibile se
l'amministratore disattiva questi tipi di invii.
Per inviare un file a Symantec Security Response dalla quarantena
1
Nel client, nella barra laterale, fare clic su Visualizza quarantena.
2
Selezionare il file nell'elenco degli elementi in quarantena.
3
Fare clic su Invia.
4
Seguire le istruzioni della procedura guidata per raccogliere le informazioni
necessarie, quindi inviare il file da analizzare.
Capitolo
7
Gestione della protezione
proattiva contro le minacce
Il capitolo contiene i seguenti argomenti:
■
Informazioni sulla tecnologia di scansione proattiva delle minacce TruScan
■
Configurazione della frequenza di esecuzione delle scansioni proattive delle
minacce TruScan
■
Gestione delle rilevazioni proattive delle minacce TruScan
■
Configurazione delle notifiche per le rilevazioni tramite scansioni proattive
delle minacce TruScan
■
Invio delle informazioni sulle scansioni proattive delle minacce TruScan a
Symantec Security Response
■
Configurazione di un'eccezione centralizzata per le scansioni proattive delle
minacce TruScan
Informazioni sulla tecnologia di scansione proattiva
delle minacce TruScan
Le scansioni proattive delle minacce TruScan forniscono la protezione da attacchi
zero-day. Per protezione da attacchi zero-day si intende una protezione contro le
minacce o le vulnerabilità sconosciute. Le scansioni proattive delle minacce
sottopongono a scansione il computer per individuare processi attivi che
manifestano un comportamento potenzialmente nocivo. Poiché le minacce
sconosciute non hanno firme identificative, le scansioni di minaccia proattiva
identificano i rischi potenziali contrassegnando il comportamento sospetto.
96
Gestione della protezione proattiva contro le minacce
Informazioni sulla tecnologia di scansione proattiva delle minacce TruScan
Le impostazioni predefinite della scansione proattiva delle minacce sono adatte
per molti utenti. È possibile cambiare le impostazioni per soddisfare il livello di
protezione euristica che il computer richiede.
È necessario porsi le seguenti domande prima di apportare modifiche alle
impostazioni di scansione proattiva delle minacce:
■
Si desidera essere informati quando una minaccia si presenta nel computer?
■
Ogni quanto tempo e quando si desidera sottoporre a scansione i processi?
■
Quante risorse del computer si desidera utilizzare per le scansioni proattive
delle minacce?
Nota: se l'amministratore non blocca le impostazioni di scansione proattiva delle
minacce, è possibile configurarle. Le impostazioni bloccate presentano un'icona
di lucchetto chiuso. Le etichette sulle impostazioni bloccate sono visualizzate in
grigio.
Informazioni sulle scansioni proattive delle minacce TruScan
Le scansioni proattive delle minacce differiscono dalle scansioni antivirus e
antispyware. Le scansioni proattive delle minacce esaminano determinati tipi di
processi o di applicazioni che manifestano un comportamento sospetto.
Le scansioni proattive delle minacce rilevano i processi con un comportamento
analogo a quello di Trojan horse, worm o keylogger. È possibile attivare o
disattivare la rilevazione.
Nota: TruScan è il nuovo nome della scansione proattiva delle minacce.
Oltre a Trojan horse, worm e keylogger, le scansioni proattive delle minacce
rilevano i processi che si comportano in modo simile ad adware e spyware. Non è
possibile configurare il modo in cui le scansioni proattive delle minacce gestiscono
questi tipi di rilevazioni. Se le scansioni proattive delle minacce rilevano adware
o spyware che si desidera autorizzare nei computer client, l'utente o
l'amministratore deve creare un'eccezione centralizzata.
Vedere "Configurazione di un'eccezione centralizzata per le scansioni proattive
delle minacce TruScan" a pagina 105.
Le scansioni proattive delle minacce rilevano anche applicazioni commerciali ben
note che possono essere utilizzate con intenti nocivi. Symantec gestisce un elenco
di queste applicazioni commerciali e periodicamente aggiorna l'elenco. Queste
applicazioni comprendono le applicazioni commerciali che monitorano o registrano
le sequenze di dati digitati dall'utente o che controllano in remoto il computer
Gestione della protezione proattiva contro le minacce
Informazioni sulla tecnologia di scansione proattiva delle minacce TruScan
dell'utente. È possibile impostare azioni con cui Symantec Endpoint Protection
gestisce queste rilevazioni.
Nella Tabella 7-1 sono descritti i processi rilevati tramite le scansioni proattive
delle minacce.
Tabella 7-1
Processi rilevati dalle scansioni proattive delle minacce TruScan
Tipo di processi
Descrizione
Trojan horse e worm
Processi che presentano le caratteristiche dei Trojan horse o
dei worm.
Le scansioni proattive delle minacce si avvalgono dell'euristica
per cercare i processi che si comportano come Trojan horse o
worm. Questi processi possono essere minacce o meno.
Keylogger
Processi che presentano le caratteristiche dei keylogger.
Le scansioni proattive delle minacce rilevano non solo i
keylogger commerciali, ma anche processi sconosciuti che
presentano un comportamento simile ai keylogger.
Applicazioni
commerciali
Applicazioni commerciali note che potrebbero essere utilizzate
con intenti nocivi.
Le scansioni proattive delle minacce rilevano vari tipi di
applicazioni commerciali. È possibile configurare le azioni per
due tipi: keylogger e programmi di controllo remoto.
Adware e spyware
Processi che presentano le caratteristiche di adware e spyware
Le scansioni proattive delle minacce si avvalgono dell'euristica
per rilevare i processi sconosciuti che si comportano come
adware e spyware. Questi processi possono essere rischi o meno.
Informazioni sulle eccezioni per le scansioni proattive delle minacce
TruScan
È possibile creare eccezioni per le scansioni proattive delle minacce se
l'amministratore non ha bloccato le impostazioni delle eccezioni centralizzate.
Anche l'amministratore può creare eccezioni centralizzate per le scansioni
proattive delle minacce. Non è possibile modificare le eccezioni create
dall'amministratore.
Vedere "Configurazione di un'eccezione centralizzata per le scansioni proattive
delle minacce TruScan" a pagina 105.
97
98
Gestione della protezione proattiva contro le minacce
Informazioni sulla tecnologia di scansione proattiva delle minacce TruScan
Informazioni sulle rilevazioni della scansione proattiva delle minacce
TruScan
Le scansioni proattive delle minacce registrano, mettono in quarantena o
terminano i processi potenzialmente nocivi che rilevano. È possibile visualizzare
le rilevazioni nella finestra di dialogo dei risultati della scansione, nei registri di
TruScan o nell'elenco di quarantena.
Vedere "Informazioni sull'interazione con i valori della scansione o i risultati di
Auto-Protect" a pagina 75.
Vedere "Gestione della quarantena" a pagina 90.
Vedere "Visualizzazione dei registri e dei dettagli del registro" a pagina 153.
Nota: le impostazioni di scansione proattiva delle minacce non hanno effetto sulle
scansioni antivirus e antispyware, che utilizzano firme per rilevare i rischi noti.
Symantec Endpoint Protection rileva prima i rischi noti.
Per impostazione predefinita il client esegue le seguenti azioni:
■
Registra la rilevazione delle applicazioni commerciali note
■
Registra la rilevazione dei processi che si comportano come Trojan horse,
worm o keylogger
■
Mette in quarantena i processi che si comportano come Trojan horse, worm o
keylogger e che richiedono un rimedio
Quando una scansione proattiva delle minacce mette in quarantena gli elementi
rilevati, gestisce tutti gli effetti secondari del processo. Se il client sottopone di
nuovo a scansione gli elementi rilevati dopo che gli aggiornamenti del contenuto
sono stati scaricati nel computer, il client potrebbe ripristinare il processo nel
computer. Il client ripristina il processo se quest'ultimo non è più considerato
nocivo. Il client ripristina anche tutti gli effetti secondari del processo, senza
tuttavia riavviare automaticamente il processo.
Per la rilevazione di keylogger commerciali o di applicazioni di controllo remoto,
l'utente o l'amministratore può specificare un'azione differente. Ad esempio, è
possibile ignorare la rilevazione delle applicazioni commerciali di keylogger.
Quando il client ignora un'applicazione, autorizza l'applicazione e non registra
la relativa rilevazione.
Per le rilevazioni di Trojan horse, worm o keylogger, è possibile specificare
un'azione particolare che il client può utilizzare sempre quando effettua una
rilevazione.
Gestione della protezione proattiva contro le minacce
Configurazione della frequenza di esecuzione delle scansioni proattive delle minacce TruScan
Informazioni su come comportarsi con i falsi positivi
A volte le scansioni proattive delle minacce TruScan rilevano falsi positivi. Queste
scansioni cercano applicazioni e processi con un comportamento sospetto piuttosto
che virus o rischi per la sicurezza noti. Per loro natura, queste scansioni
contrassegnano in genere gli elementi che non si desidera rilevare.
Se una scansione proattiva delle minacce rileva un processo che non si considera
un problema, è possibile creare un'eccezione in modo che le scansioni future non
contrassegnino il processo. Se esiste un conflitto fra un'eccezione definita
dall'utente e un'eccezione definita dall'amministratore, l'eccezione definita
dall'amministratore ha la precedenza.
Vedere "Configurazione di un'eccezione centralizzata per le scansioni proattive
delle minacce TruScan" a pagina 105.
Per ridurre al minimo le rilevazioni di falsi positivi, assicurarsi che il contenuto
Symantec per le scansioni proattive delle minacce sia aggiornato. La versione
viene visualizzata nella pagina Stato in Protezione proattiva dalle minacce. È
possibile scaricare l'ultimo contenuto eseguendo LiveUpdate.
Nota: l'amministratore potrebbe pianificare gli aggiornamenti automatici.
Se si sceglie di gestire di persona la rilevazione di Trojan horse, worm e keylogger,
è possibile modificare il livello di sensibilità delle scansioni proattive delle minacce.
Tuttavia, la modifica della sensibilità potrebbe non avere effetto sul numero di
falsi positivi, mentre incide solo sul numero di rilevazioni totali.
Vedere "Gestione delle rilevazioni proattive delle minacce TruScan" a pagina 100.
Configurazione della frequenza di esecuzione delle
scansioni proattive delle minacce TruScan
È possibile configurare la frequenza con cui eseguire le scansioni proattive delle
minacce.
Nota: una frequenza maggiore di esecuzione delle scansioni proattive delle minacce
può incidere sulle prestazioni del computer.
È possibile fare clic su ? per ulteriori informazioni sulle opzioni utilizzate nella
procedura.
99
100
Gestione della protezione proattiva contro le minacce
Gestione delle rilevazioni proattive delle minacce TruScan
Per configurare la frequenza di esecuzione delle scansioni proattive delle minacce
TruScan
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione proattiva dalle minacce, fare clic su Configura
impostazioni.
3
Nella scheda Frequenza scansione della finestra di dialogo Impostazioni
TruScan, selezionare Con frequenza personalizzata.
4
Eseguire una o più operazioni seguenti:
■
Accanto a Scansione ogni, impostare la durata espressa in numero di
giorni, ore e minuti fra i processi di scansione.
■
Selezionare Esegui scansione dei nuovi processi immediatamente per
sottoporre a scansione i nuovi processi quando vengono rilevati.
Gestione delle rilevazioni proattive delle minacce
TruScan
Gli amministratori possono bloccare le impostazioni di rilevamento proattivo
delle minacce. Se le impostazioni sono sbloccate, o se si sta eseguendo un client
non gestito, è possibile configurare i tipi di processi rilevati dal rilevamento
proattivo delle minacce.
Nota: la rilevazione dei Trojan horse, dei worm e dei keylogger non è supportata
sui sistemi operativi Windows Server. Sui client che eseguono su sistemi operativi
server, le opzioni di scansione non sono disponibili. Se l'amministratore modifica
queste opzioni in una politica applicata al computer, le opzioni potrebbero
sembrare selezionate e non disponibili.
Quando la rilevazione dei Trojan horse, dei worm o dei keylogger è attivata, è
possibile scegliere come gestire le rilevazioni. Per impostazione predefinita, le
scansioni proattive delle minacce utilizzano le impostazioni predefinite Symantec.
Ciò significa che il client determina l'azione per la rilevazione. (Le impostazioni
predefinite che non sono disponibili nell'interfaccia utente non corrispondono
alle impostazioni predefinite Symantec. Le impostazioni non disponibili riflettono
le impostazioni predefinite che si utilizzano per la gestione manuale delle
rilevazioni.)
In genere, le impostazioni predefinite Symantec rappresentano il metodo migliore
per la gestione delle rilevazioni. Se tuttavia si conosce la dinamica dei risultati
delle scansioni nel computer, è possibile configurare manualmente le azioni ed i
Gestione della protezione proattiva contro le minacce
Gestione delle rilevazioni proattive delle minacce TruScan
livelli di sensibilità. Per configurare questi parametri, disattivare l'opzione delle
impostazioni predefinite Symantec.
Per ridurre al minimo i falsi positivi, Symantec consiglia di utilizzare inizialmente
le impostazioni predefinite gestite da Symantec. Dopo un certo tempo, è possibile
osservare il numero dei falsi positivi rilevati dai client. Se il numero è basso, sarà
possibile regolare gradualmente le impostazioni di scansione proattiva delle
minacce. Per esempio, per la rilevazione dei Trojan horse e dei worm, può risultare
utile spostare il dispositivo di scorrimento della sensibilità un po' più in alto
rispetto all'impostazione predefinita. È possibile osservare i risultati della
scansione proattiva delle minacce dopo l'impostazione della nuova configurazione.
Nota: per i client gestiti, l'amministratore configura in genere le impostazioni di
scansione proattiva delle minacce adatte per il computer.
Per le applicazioni commerciali, è possibile specificare il tipo di azione da eseguire
quando una scansione proattiva delle minacce rileva applicazioni commerciali
per il controllo remoto o keylogger commerciali. È possibile cambiare queste
impostazioni indipendentemente dalla configurazione per i Trojan horse, i worm
o i keylogger.
Impostazione dell'azione per la rilevazione delle applicazioni
commerciali
È possibile cambiare l'azione eseguita dal client quando una scansione proattiva
delle minacce rileva determinati tipi di applicazioni commerciali.
Fare clic su ? per maggiori informazioni sulle opzioni utilizzate nella procedura.
Per impostare l'azione per le rilevazioni di applicazioni commerciali
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione proattiva dalle minacce, fare clic su Configura
impostazioni.
3
Nella scheda Dettagli scansione della finestra di dialogo Impostazioni di
TruScan, sotto Applicazioni commerciali, eseguire una delle seguenti
operazioni:
4
■
Impostare l'azione per i keylogger commerciali su Registra, Termina,
Quarantena, o Ignora.
■
Impostare l'azione per le applicazioni commerciali per il controllo remoto
su Registra, Termina, Quarantena, o Ignora.
Fare clic su OK.
101
102
Gestione della protezione proattiva contro le minacce
Gestione delle rilevazioni proattive delle minacce TruScan
Impostazione delle azioni e dei livelli di sensibilità per rilevare Trojan
horse, worm e keylogger
Se si sceglie la gestione personalizzata della rilevazione di Trojan horse, worm o
keylogger, è possibile configurare l'azione da eseguire quando questi processi
vengono rilevati. Tale azione viene utilizzata ogni volta che viene eseguita una
rilevazione tramite la scansione proattiva delle minacce. Ad esempio, è possibile
impostare l'azione di sola registrazione. Se una scansione proattiva delle minacce
rileva un processo catalogato come vero positivo, il client registra la rilevazione.
Il client non mette in quarantena il processo.
È inoltre possibile impostare livelli di sensibilità diversi per la rilevazione di Trojan
horse, worm e keylogger. Il livello di sensibilità determina il grado di sensibilità
delle scansioni proattive delle minacce per i processi. Con un livello di sensibilità
più elevato si ottengono più rilevazioni. Tenere presente che alcune di queste
rilevazioni potrebbero essere falsi positivi. L'impostazione del livello di sensibilità
su un valore più basso o più alto non incide sulla percentuale dei falsi positivi
prodotti dalle scansioni proattive delle minacce, ma solo sul numero delle
rilevazioni totali.
È possibile mantenere più basso il livello di sensibilità fino a quando non vengono
visualizzati i risultati delle scansioni proattive delle minacce nel computer. Se
con un livello di sensibilità più basso non viene eseguita alcuna rilevazione dalle
scansioni proattive delle minacce, è possibile aumentare la sensibilità.
Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare
clic su ?.
Per impostare l'azione e il livello di sensibilità per i Trojan horse e i worm
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione proattiva dalle minacce, fare clic su Configura
impostazioni.
3
Nella scheda Dettagli scansione della finestra di dialogo Impostazioni di
TruScan, sotto Trojan e worm, assicurarsi che sia selezionato Ricerca Trojan
e worm, quindi deselezionare Usa impostazioni predefinite di Symantec.
4
Sotto Sensibilità, spostare il dispositivo di scorrimento rispettivamente a
sinistra o a destra per ridurre o aumentare la sensibilità.
5
Nell'elenco a discesa, selezionare Registra, Termina o Quarantena.
6
Fare clic su OK.
Gestione della protezione proattiva contro le minacce
Configurazione delle notifiche per le rilevazioni tramite scansioni proattive delle minacce TruScan
Per impostare l'azione e il livello di sensibilità per i keylogger
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione proattiva dalle minacce, fare clic su Configura
impostazioni.
3
Nella scheda Dettagli scansione della finestra di dialogo Impostazioni TruScan,
sotto Keylogger, assicurarsi che sia selezionato Ricerca keylogger, quindi
deselezionare Usa impostazioni predefinite di Symantec.
4
Per il livello di sensibilità, selezionare Basso o Alto.
5
Nell'elenco a discesa, selezionare Registra, Termina o Quarantena.
6
Fare clic su OK.
Configurazione dei tipi di processi rilevati dalle scansioni proattive
delle minacce TruScan
È possibile configurare se rilevare o meno Trojan horse e worm o keylogger tramite
le scansioni proattive delle minacce. L'amministratore può bloccare alcune di
queste impostazioni.
È possibile fare clic su ? per ulteriori informazioni sulle opzioni utilizzate nella
procedura.
Per specificare i tipi di processi rilevati dalle scansioni proattive delle minacce
TruScan
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione proattiva dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di TruScan, nella scheda Dettagli
scansione, sotto Trojan e worm, selezionare o deselezionare Ricerca Trojan
e worm.
4
Sotto Keylogger, selezionare o deselezionare Ricerca keylogger.
5
Fare clic su OK.
Configurazione delle notifiche per le rilevazioni
tramite scansioni proattive delle minacce TruScan
È possibile configurare la visualizzazione di messaggi quando vengono eseguite
rilevazioni tramite scansioni proattive delle minacce. Per impostazione predefinita,
il client visualizza i messaggi quando vengono eseguite rilevazioni. Viene inoltre
103
104
Gestione della protezione proattiva contro le minacce
Invio delle informazioni sulle scansioni proattive delle minacce TruScan a Symantec Security Response
inviata una notifica quando una rilevazione richiede l'interruzione dei servizi o
dei processi nel client.
Nota: l'amministratore potrebbe bloccare queste impostazioni.
Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare
clic su ?.
Per attivare o disattivare le notifiche delle rilevazioni eseguite tramite le scansioni
proattive delle minacce TruScan
1
Nel client, fare clic su Cambia impostazioni.
2
Accanto a Protezione proattiva dalle minacce, fare clic su Configura
impostazioni.
3
Nella scheda Notifiche della finestra di dialogo Impostazioni di TruScan,
selezionare Visualizza un messaggio quando viene individuato un rischio.
4
Selezionare o deselezionare Avvisa prima di terminare un processo e Avvisa
prima di interrompere un servizio.
5
Fare clic su OK.
Invio delle informazioni sulle scansioni proattive delle
minacce TruScan a Symantec Security Response
Per impostazione predefinita le scansioni proattive delle minacce inviano le
informazioni sui processi rilevati a Symantec Security Response. Quando le
scansioni inviano le informazioni, Symantec le analizza per determinare se una
minaccia è reale. Se Symantec determina che la minaccia è reale, può generare
una firma per far fronte alla minaccia. Symantec include la firma nelle versioni
aggiornate delle definizioni.
Quando si inviano le informazioni su un processo, l'invio comprende le seguenti
informazioni:
■
Il percorso dell'eseguibile
■
L'eseguibile
■
Le informazioni sul file e i punti di caricamento del registro che si riferiscono
alla minaccia
■
Le informazioni sullo stato interno
■
La versione del contenuto che la scansione proattiva delle minacce ha utilizzato
Gestione della protezione proattiva contro le minacce
Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan
Alcune informazioni personali che possono identificare il computer non vengono
inviate.
L'invio delle rilevazioni della scansione proattiva delle minacce a Symantec
Security Response è attivato per impostazione predefinita.
Nota: l'amministratore può bloccare le impostazioni di invio.
Per ulteriori informazioni sulle opzioni utilizzate nella procedura, è possibile fare
clic su ?.
Per attivare o disattivare l'invio di informazioni a Symantec Security Response
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione antivirus e antispyware, fare clic su Configura
impostazioni.
3
Nella scheda Invii della finestra di dialogo Impostazioni di protezione antivirus
e antispyware, selezionare o deselezionare Inviaautomaticamenterilevazioni
di TruScan.
4
Fare clic su OK.
Configurazione di un'eccezione centralizzata per le
scansioni proattive delle minacce TruScan
È possibile creare eccezioni per le scansioni proattive delle minacce, a meno che
l'amministratore blocchi le impostazioni.
Per creare un'eccezione, si seleziona un file che è attualmente disponibile sul
computer. Quando una scansione proattiva delle minacce rileva un processo attivo
che utilizza il file, il client applica l'azione specificata nell'eccezione.
Ad esempio, sul computer si esegue un'applicazione che utilizza un file chiamato
foo.exe. Quando il file foo.exe viene eseguito, si attiva una scansione proattiva
delle minacce. Il client determina che foo.exe potrebbe essere nocivo. Viene
visualizzata la finestra di dialogo dei risultati della scansione, indicante che foo.exe
è stato posto in quarantena. È possibile creare un'eccezione che specifica che le
scansioni proattive delle minacce ignorino foo.exe. Il client quindi ripristina
foo.exe. Quando si torna ad eseguire foo.exe il client ignora il file.
Anche l'amministratore può creare eccezioni centralizzate per le scansioni. È
possibile visualizzare le eccezioni definite dall'amministratore, ma non è possibile
modificarle. Se si crea un'eccezione centralizzata che è in conflitto con un'eccezione
105
106
Gestione della protezione proattiva contro le minacce
Configurazione di un'eccezione centralizzata per le scansioni proattive delle minacce TruScan
definita dall'amministratore, l'eccezione definita dall'amministratore ha la
precedenza.
Fare clic su ? per maggiori informazioni sulle opzioni utilizzate nella procedura.
Per configurare un'eccezione centralizzata per le scansioni proattive delle minacce
TruScan
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Eccezioni centralizzate, fare clic su Configura impostazioni.
3
Nella scheda Eccezioni definite dall'utente, fare clic su Aggiungi e selezionare
Eccezione TruScan.
4
Nella finestra di dialogo Aggiungi eccezione TruScan, digitare un nome
processo o selezionare un file per il quale si desidera creare un'eccezione.
5
Nell'elenco a discesa Azione, selezionare Ignora, Solo registrazione,
Quarantena o Termina.
6
Fare clic su Aggiungi.
Capitolo
8
Gestione della protezione
della rete dalle minacce
Il capitolo contiene i seguenti argomenti:
■
Informazioni sulla protezione della rete dalle minacce
■
Configurazione del firewall
■
Configurazione della prevenzione delle intrusioni
■
Configurazione delle impostazioni specifiche dell'applicazione
■
Attivazione e disattivazione della condivisione di file e stampanti
Informazioni sulla protezione della rete dalle minacce
Gli attacchi provenienti dalla rete si avvalgono della modalità utilizzata dai
computer per trasferire le informazioni. Il client Symantec Endpoint Protection
protegge il computer monitorando le informazioni trasmesse da e verso il computer
e bloccando i tentativi di attacco.
Le informazioni viaggiano su Internet sotto forma di pacchetti, che includono
un'intestazione con informazioni sul computer di origine, il destinatario previsto,
la modalità di elaborazione dei dati e la porta che deve ricevere il pacchetto.
Le porte sono i canali di suddivisione del flusso di informazioni provenienti da
Internet in percorsi separati, gestiti dalle diverse applicazioni. Quando vengono
eseguite su un computer, le applicazioni Internet ascoltano su una o più porte e
accettano le informazioni inviate a tali porte.
Gli attacchi provenienti dalla rete sono organizzati in modo da sfruttare i punti
deboli di alcuni programmi Internet. Gli autori degli attacchi utilizzano appositi
programmi per inviare a una determinata porta pacchetti di dati contenenti codice
108
Gestione della protezione della rete dalle minacce
Informazioni sulla protezione della rete dalle minacce
pericoloso. Se un programma vulnerabile a questo tipo di attacchi è in ascolto su
tale porta, il codice può consentire all'autore dell'attacco di accedere, disattivare
o assumere il pieno controllo del sistema attaccato. Il codice pericoloso utilizzato
per generare gli attacchi può essere contenuto all'interno di un singolo pacchetto
o suddiviso in più pacchetti.
Il client è installato con le impostazioni predefinite per la protezione della rete
dalle minacce. Nella maggior parte dei casi non è necessario cambiare le
impostazioni. È in genere sicuro mantenere le impostazioni predefinite. Se tuttavia
si conoscono a fondo le reti, è possibile apportare molte modifiche al firewall del
client, per personalizzare la protezione.
Modalità di protezione del client contro gli attacchi provenienti dalla
rete
Il client include i seguenti strumenti che proteggono il computer dai tentativi di
intrusione:
Firewall
Controlla tutte le comunicazioni Internet e crea uno scudo che
blocca o limita i tentativi di visualizzare le informazioni sul
computer.
Prevenzione delle
intrusioni
Analizza tutte le informazioni in entrata e in uscita per rilevare
i profili di dati tipici di un attacco.
Per valutare come proteggere meglio il computer, è possibile verificare la
vulnerabilità del computer agli attacchi di rete esterni e ai virus. Per verificare la
protezione del computer è possibile eseguire varie scansioni.
Vedere "Verifica della sicurezza del computer" a pagina 29.
Informazioni sul firewall
Il firewall è un'applicazione software che crea una barriera fra il computer e
Internet. Il firewall impedisce agli utenti non autorizzati di accedere alle reti e ai
computer privati connessi a Internet. Inoltre rileva i possibili attacchi di hacker,
protegge le informazioni riservate ed elimina le fonti indesiderate di traffico di
rete, quali i tentativi di intrusione.
Gestione della protezione della rete dalle minacce
Informazioni sulla protezione della rete dalle minacce
Il firewall controlla i
tentativi di accesso da
Internet
Internet
Computer
client
Il firewall consente o
blocca il traffico di
rete specificato dalla
politica firewall
Tutte le informazioni che entrano o escono dalla rete privata devono passare
attraverso il firewall. Il firewall esamina i pacchetti di informazioni e blocca quelli
che non soddisfano i criteri di sicurezza specificati. I pacchetti vengono esaminati
mediante le regole del firewall. Le politiche del firewall sono costituite da una o
più regole, che funzionano insieme per consentire o bloccare l'accesso degli utenti
alla rete. Soltanto il traffico autorizzato può passare attraverso il firewall. Una
politica del firewall definisce il traffico autorizzato.
Il firewall opera in background. L'amministratore determina il livello di interazione
dell'utente con il client, autorizzando o bloccando le opzioni di configurazione
delle regole e delle impostazioni del firewall. L'amministratore può autorizzare
l'utente a interagire con il client soltanto quando il client stesso segnala nuove
connessioni di rete o possibili problemi, oppure consentire l'accesso completo
all'interfaccia utente.
Modalità di monitoraggio delle comunicazioni mediante il firewall
Quando il firewall è attivo, effettua il monitoraggio delle comunicazioni fra il
computer e gli altri computer su Internet.
Il firewall garantisce la protezione dai tentativi di connessione impropri, usando
uno di seguenti metodi:
■
Blocco del traffico in entrata e in uscita.
109
110
Gestione della protezione della rete dalle minacce
Informazioni sulla protezione della rete dalle minacce
■
Segnalazione dei tentativi di connessione eseguiti da parte di altri computer
e dei tentativi di connessione ad altri computer eseguiti dalle applicazioni
installate sul computer in uso.
Possibilità di controllare il livello di protezione personalizzando la protezione del
firewall.
Informazioni sul sistema di prevenzione delle intrusioni
Il sistema di prevenzione delle intrusioni (IPS) rappresenta il secondo livello di
difesa del client di Symantec Endpoint Protection dopo il firewall. Il sistema di
prevenzione delle intrusioni è un sistema basato sulla rete che funziona in ogni
computer in cui il client è installato e il sistema di IPS è attivato. Se viene rilevato
un attacco noto, una o più tecnologie di prevenzione delle intrusioni possono
bloccarlo automaticamente.
Il sistema di prevenzione delle intrusioni analizza tutte le informazioni in entrata
e in uscita per i dati che sono tipici di un attacco. Consente di rilevare e bloccare
il traffico pericoloso e i tentativi di attacco al computer da parte di utenti esterni.
La prevenzione delle intrusioni controlla inoltre il traffico in uscita e impedisce
il diffondersi di worm.
La Tabella 8-1 elenca i problemi di sicurezza comuni monitorati dal sistema di
prevenzione delle intrusioni.
Tabella 8-1
Problemi di sicurezza comuni
Problema
Protezione
Scansione delle porte
Vengono nascoste le porte non attive del computer e rilevate
eventuali scansioni effettuate sulle porte.
Attacchi di Denial of
service
Vengono esaminati tutti i pacchetti della rete per attacchi noti
specifici che limitano l'uso dei servizi normalmente utilizzati da
parte del computer.
Intrusioni
Vengono rilevati e bloccati il traffico pericoloso e i tentativi di
attacco al computer da parte di utenti esterni ed eseguita la
scansione del traffico in uscita per impedire la diffusione di worm.
Come la prevenzione delle intrusioni analizza il traffico
Il sistema di prevenzione delle intrusioni esegue la scansione di ogni pacchetto
che entra ed esce dai computer della rete per rilevare la presenza di eventuali
firme di attacco e sequenze di pacchetti che identificano il tentativo di un autore
di attacchi di sfruttare la vulnerabilità nota di un programma o del sistema
operativo.
Gestione della protezione della rete dalle minacce
Informazioni sulla protezione della rete dalle minacce
Se le informazioni corrispondono a quelle di un attacco noto, l'IPS elimina
automaticamente il pacchetto. L'IPS può anche interrompere la connessione con
il computer da cui sono stati inviati i dati per un periodo di tempo specificato.
Questa funzione è chiamata risposta attiva e protegge i computer della rete.
Il client comprende i seguenti tipi di motori IPS che identificano le firme di attacco.
Firme IPS Symantec
Le firme IPS Symantec utilizzano un motore basato sul flusso
che esegue la scansione di pacchetti multipli. Le firme IPS
Symantec intercettano i dati della rete a livello di sessione e
acquisiscono i segmenti di messaggi che vengono trasferiti da
un'applicazione allo stack di rete e viceversa.
Il sistema IPS Symantec esamina i pacchetti in due modi. Esegue
la scansione di ogni singolo pacchetto per ricercare i criteri non
conformi alle specifiche e che possono bloccare lo stack del
protocollo TCP/IP. Controlla inoltre i pacchetti come flusso delle
informazioni per ricercare i comandi destinati a un determinato
servizio in grado di sfruttare o bloccare il sistema. Il sistema IPS
è in grado di ricordare l'elenco dei criteri o dei criteri parziali dei
pacchetti precedenti e di utilizzare queste informazioni per le
ispezioni successive dei pacchetti.
Il sistema IPS utilizza un elenco completo di firme di attacco per
rilevare e bloccare le attività di rete sospette. È possibile utilizzare
Symantec LiveUpdate per aggiornare l'elenco delle minacce note
fornito da Symantec nel client. Il motore IPS Symantec e il set
di firme IPS corrispondenti sono installati nel client per
impostazione predefinita.
Firme IPS
personalizzate
Le firme IPS personalizzate utilizzano un motore basato sul
pacchetto che sottopone a scansione ogni singolo pacchetto.
Sia i motori basati sul flusso che quelli basati sul pacchetto
rilevano le firme nei dati della rete che attaccano lo stack TCP/IP,
i componenti del sistema operativo e le applicazioni. Tuttavia,
le firme basate sul pacchetto possono rilevare gli attacchi allo
stack TCP/IP prima delle firme basate sul flusso. Il motore basato
sul pacchetto non rileva le firme suddivise in più pacchetti. Il
motore IPS basato sul pacchetto è più limitato, perché non
bufferizza le corrispondenze parziali e sottopone a scansione
solo i payload di singoli pacchetti.
Il sistema di prevenzione delle intrusioni registra gli attacchi rilevati nel registro
sicurezza. Le firme IPS personalizzate possono registrare gli attacchi rilevati nel
registro dei pacchetti.
Vedere "Configurazione della prevenzione delle intrusioni" a pagina 126.
111
112
Gestione della protezione della rete dalle minacce
Informazioni sulla protezione della rete dalle minacce
Visualizzazione dell'attività di rete
È possibile visualizzare informazioni sul traffico in entrata e in uscita dal computer.
È inoltre possibile visualizzare un elenco delle applicazioni e dei servizi che sono
stati eseguiti dall'avvio del servizio client.Tabella 8-2 visualizza le icone che
rappresentano i provvedimenti che il client prende per le applicazioni che accedono
al computer client o alla rete.
Tabella 8-2
Icona
Azioni che il client prende quando le applicazioni accedono al client
o alla rete
Azione
Descrizione
Consenti
Consente al traffico in entrata l'accesso al computer client
ed al traffico in uscita l'accesso alla rete.
Se il client riceve traffico, l'icona mostra un piccolo puntino
blu nell'angolo inferiore sinistro. Se il client invia traffico,
l'icona mostra il puntino nell'angolo inferiore destro.
Chiedi
Chiede se consentire al traffico in entrata l'accesso al
computer o alla rete aziendale.
Se l'utente o l'amministratore hanno configurato il client
in modo che richieda l'autorizzazione per consentire alle
applicazioni l'accesso alle risorse di rete, l'icona appare con
un piccolo punto interrogativo giallo. È possibile impostare
il client in modo che registri le risposte e non le richieda
nuovamente.
Blocca
Blocca il traffico in entrata e in uscita impedendo l'accesso
alla rete o alla connessione a Internet.
Nota: Il client non rileva il traffico di rete dai dispositivi PDA (personal digital
assistant, assistente digitale personale).
Per visualizzare la cronologia del traffico
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
Per maggiori informazioni sui grafici e sui campi, fare clic su ?.
3
Fare clic su Chiudi.
Gestione della protezione della rete dalle minacce
Configurazione del firewall
È possibile mostrare il traffico come traffico di trasmissione o traffico unicast. Il
traffico di trasmissione è il traffico di rete inviato ad ogni computer in una subnet
particolare, e non indirizzato specificamente al computer dell'utente. Il traffico
unicast è il traffico indirizzato specificamente verso il computer dell'utente.
Per mostrare o nascondere i servizi Windows ed il traffico di trasmissione
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
3
Nella finestra di dialogo Attività della rete, fare clic con il pulsante destro del
mouse sul campo Applicazioni in esecuzione ed eseguire le seguenti azioni:
4
■
Per mostrare o nascondere i servizi Windows, selezionare o deselezionare
Mostra servizi di Windows.
■
Per mostrare il traffico di trasmissione, selezionare Mostra traffico di
trasmissione.
■
Per mostrare il traffico unicast, deselezionare Mostra traffico di
trasmissione.
Fare clic su Chiudi.
Per cambiare la visualizzazione dell'icona di applicazione
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
3
Nel campo Applicazioni in esecuzione, fare clic con il pulsante destro del
mouse sull'applicazione, quindi fare clic su una delle seguenti viste:
4
■
Icone grandi
■
Icone piccole
■
Elenco
■
Dettagli applicazione
■
Dettagli connessione
Fare clic su Chiudi.
Configurazione del firewall
Le impostazioni predefinite del firewall proteggono il computer. Se le impostazioni
predefinite non sono adeguate, è possibile personalizzare la politica firewall. Per
113
114
Gestione della protezione della rete dalle minacce
Configurazione del firewall
personalizzare la politica firewall, aggiungere o modificare le seguenti funzioni
del firewall:
Regole firewall
Controlla tutte le comunicazioni Internet e crea uno scudo che
blocca o limita i tentativi di visualizzare le informazioni sul
computer. Le regole firewall possono rendere il computer
invisibile ad altri utenti in Internet.
Le regole firewall proteggono gli utenti remoti dagli attacchi degli
hacker e impediscono agli hacker di ottenere accesso illecito alla
rete aziendale tramite questi computer. È possibile informare gli
utenti quando il firewall blocca un'applicazione sul loro computer.
Filtri del traffico
intelligenti
Autorizza tipi specifici di traffico richiesti nella maggior parte
delle reti. Questo tipo di traffico include il traffico DHCP, DNS e
WINS.
Impostazioni traffico e Attiva funzioni aggiuntive del traffico quali protezione a livello
stealth
di driver, protezione NetBIOS, traffico Token Ring, ricerca DNS
inversa e impostazioni in modalità stealth.
L'amministratore può concedere o meno l'autorizzazione a personalizzare le
regole e le impostazioni del firewall. Se non si dispone dell'autorizzazione,
l'amministratore crea le regole del firewall, attiva le impostazioni in una politica
firewall e distribuisce la politica al client. Se si dispone dell'autorizzazione, è
possibile creare le regole e modificare le impostazioni del client in base all'ambiente
di rete di rete utilizzato. L'amministratore può configurare il client in modo che
vengano unite le regole create dall'amministratore e quelle create dall'utente.
È possibile disattivare la protezione in momenti specifici, ad esempio durante
l'installazione di nuovo software.
Vedere "Attivazione e disattivazione della protezione dalle minacce di rete"
a pagina 46.
Informazioni sulle regole firewall
Quando un computer cerca di connettersi a un altro computer, il firewall confronta
il tipo di connessione con il relativo elenco di regole firewall. Le regole firewall
determinano la modalità di protezione del computer client dal traffico nocivo in
entrata e in uscita. Il firewall confronta automaticamente tutti i pacchetti in
entrata e in uscita con queste regole. Il firewall quindi autorizza o blocca i pacchetti
che sono basati sulle informazioni che sono specificate nelle regole.
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Informazioni sugli elementi di una regola
Una regola firewall descrive le condizioni in base alle quali una connessione di
rete può essere consentita o bloccata.
La Tabella 8-3 descrive i criteri utilizzati per definire una regola firewall.
Tabella 8-3
Condizioni delle regole firewall
Condizione
Descrizione
Trigger
Applicazioni, host, protocolli e schede di rete.
È possibile associare le definizioni di trigger per formare regole più
complesse, ad esempio per identificare un protocollo particolare in
relazione a un indirizzo di destinazione specifico. Quando il firewall
valuta la regola, affinché si verifichi una corrispondenza valida è
necessario che tutti i trigger siano validi. Se un qualsiasi trigger non è
valido rispetto all'attuale pacchetto, il firewall non può applicare la
regola.
Condizioni
Pianificazione e stato dello screen saver.
I parametri condizionali non descrivono un aspetto di una connessione
di rete ma determinano lo stato attivo di una regola. I parametri
condizionali sono facoltativi e se non sono stati definiti non sono
significativi. È possibile impostare una pianificazione o identificare uno
stato dello screen saver in base a cui una regola è considerata attiva o
disattiva. Il firewall non valuta le regole disattive quando riceve i
pacchetti.
Azioni
Autorizza o blocca e registra o non registra.
I parametri di azione specificano le azioni eseguite dal firewall quando
il firewall identifica una corrispondenza valida di una regola. Se la regola
viene selezionata in risposta a un pacchetto ricevuto, il firewall effettua
tutte le azioni. Il firewall autorizza o blocca il pacchetto e registra o non
registra il pacchetto.
Se consente il traffico, il firewall autorizza il traffico specificato dalla
regola ad accedere alla rete.
Se blocca il traffico, il firewall blocca il traffico specificato dalla regola
in modo che non acceda alla rete.
Ad esempio, una regola può stabilire che la porta remota 80 può accedere
all'indirizzo IP 192.58.74.0 fra le 9.00 e le 17.00 di ogni giorno.
La Tabella 8-4 descrive i trigger che è possibile definire in una regola firewall.
115
116
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Tabella 8-4
Trigger di regole firewall
Trigger
Descrizione
Applicazione
Quando l'applicazione è l'unico trigger definito in una regola per
consentire il traffico, il firewall consente all'applicazione di eseguire
qualsiasi operazione di rete. Il valore significativo è rappresentato
dall'applicazione e non dalle operazioni di rete eseguite dall'applicazione.
Ad esempio, se si autorizza l'applicazione Internet Explorer senza
definire nessun altro trigger, gli utenti possono accedere ai siti remoti
che utilizzano HTTP, HTTPS, FTP, Gopher e qualunque altro protocollo
supportato da tale browser Web. È possibile definire trigger
supplementari per descrivere i protocolli di rete e gli host particolari
con cui è permessa la comunicazione.
Host
L'host locale è sempre il computer client locale e l'host remoto è sempre
un computer remoto in un'altra posizione della rete. Questa relazione
fra host è indipendente dalla direzione del traffico. Quando si definiscono
trigger degli host, specificare l'host dal lato remoto della connessione
di rete descritta.
Protocollo
Un trigger di protocollo identifica uno o più protocolli di rete che sono
significativi rispetto al traffico di rete descritto.
Il computer dell'host locale gestisce sempre la porta locale e il computer
remoto gestisce sempre la porta remota. Questo rapporto fra porte è
indipendente dalla direzione del traffico.
È possibile definire i seguenti tipi di protocolli:
■
■
■
■
■
Scheda di rete
Tutti i protocolli IP
Qualsiasi protocollo.
TCP
Porta o intervalli di porte.
UDP
Porta o intervalli di porte.
ICMP
Tipo e codice.
Protocollo IP specifico
Numero di protocollo (tipo di IP).
Esempi: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Se si definisce un trigger della scheda di rete, la regola si applica soltanto
al traffico trasmesso o ricevuto usando il tipo di scheda specificato. È
possibile specificare qualsiasi scheda o quella associata correntemente
al computer client.
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Informazioni sul processo stateful inspection
Il firewall utilizza il processo stateful inspection, che controlla le informazioni
sulle attuali connessioni, quali gli indirizzi IP, le porte e le applicazioni di origine
e destinazione, e così via. Il client regola il flusso del traffico usando queste
informazioni di connessione prima di verificare le regole firewall.
Se ad esempio una regola firewall consente a un client di connettersi a un server
Web, il firewall registra le informazioni sulla connessione. Quando il server
risponde, il firewall rileva una risposta prevista dal server Web al client e consente
il flusso del traffico del server Web verso il client che ha avviato la connessione,
senza ispezionare la base di regole. È necessario che una regola consenta il traffico
in uscita iniziale prima che il firewall registri la connessione.
Il processo stateful inspection semplifica le basi di regole, poiché elimina la
necessità di creare regole che consentano il traffico in entrambe le direzioni per
il traffico avviato generalmente in una sola direzione, ad esempio il traffico Telnet
(porta 23), HTTP (porta 80) e HTTPS (porta 443). Poiché i client avviano questo
traffico in uscita, è sufficiente creare una regola che consenta il traffico in uscita
per questi protocolli. Il firewall autorizzerà il traffico di ritorno.
La configurazione delle sole regole in uscita, quando possibile, consente di
aumentare la sicurezza del client nei modi indicati di seguito:
■
Riducendo la complessità della base di regole
■
Eliminando la possibilità che un worm o altri programmi pericolosi possano
avviare connessioni a un client sulle porte configurate solo per il traffico in
uscita. È inoltre possibile configurare solo regole in entrata, per il traffico
diretto ai client e non avviato da questi ultimi.
Il processo stateful inspection supporta tutte le regole che gestiscono il traffico
TCP, mentre non supporta le regole che filtrano il traffico ICMP. Per ICMP è
necessario creare regole che consentano il traffico in entrambe le direzioni quando
necessario. Ad esempio, per far sì che i client utilizzino il comando ping e ricevano
risposte, è necessario creare una regola che consenta il traffico ICMP in entrambe
le direzioni.
Informazioni sulle connessioni UDP
Per le comunicazioni UDP, il client analizza il primo datagramma UDP e applica
l'azione intrapresa a fronte del datagramma UDP iniziale a tutti i datagrammi
UDP successivi per la sessione corrente dell'applicazione. Il traffico in entrata o
in uscita tra gli stessi computer viene considerato parte della connessione UDP.
Per il traffico UDP di tipo stateful, quando viene stabilita una connessione UDP,
la comunicazione UDP in entrata è consentita anche se la regola firewall la blocca.
Ad esempio, se una regola blocca le comunicazioni UDP in entrata per
117
118
Gestione della protezione della rete dalle minacce
Configurazione del firewall
un'applicazione specifica, ma si decide di autorizzare un datagramma UDP in
uscita, verranno consentite tutte le comunicazioni UDP in entrata nell'ambito
della sessione corrente dell'applicazione. Per il traffico UDP non stateful, è
necessario creare una regola firewall per consentire la risposta in entrata alla
comunicazione UDP.
Una sessione UDP scade dopo 60 secondi se la porta viene chiusa dall'applicazione.
Informazioni sull'ordine di elaborazione delle regole
Le regole firewall vengono ordinate in sequenza, da quella con la priorità più alta
a quella con la priorità più bassa oppure dall'alto verso il basso nell'elenco delle
regole. Il firewall controlla le regole in quest'ordine. Se la prima regola non
specifica come gestire un pacchetto, il firewall controlla la seconda regola per
informazioni sulla gestione di un pacchetto. Questo processo continua fino a
quando il firewall non trova una corrispondenza. Dopo che il firewall trova una
corrispondenza, esegue l'azione specificata dalla regola e le regole successive con
priorità più bassa non vengono controllate. Ad esempio, se una regola che blocca
tutto il traffico viene elencata per prima, seguita da una regola che consente tutto
il traffico, il client blocca tutto il traffico.
È possibile ordinare le regole all'interno delle categorie di priorità in modo che il
firewall valuti le regole in una sequenza logica. È possibile ordinare le regole in
modo che vengano valutate in base alla restrittività, a partire dalle più restrittive
fino a quelle più generali. Ad esempio, se si creano delle regole che bloccano il
traffico, è necessario disporre queste regole all'inizio perché altre regole potrebbero
permettere il traffico.
La Tabella 8-5 mostra l'ordine in cui il firewall elabora le regole e le impostazioni.
Tabella 8-5
Ordine di elaborazione delle regole, delle impostazioni del firewall,
delle firme IPS e delle impostazioni IPS da parte del firewall
Priorità
Impostazione
Prima
Firme IPS personalizzate
Seconda
Impostazioni di prevenzione delle intrusioni, impostazioni del traffico
e impostazioni stealth
Terza
Filtri del traffico intelligenti
Quarta
Regole firewall
Quinta
Controlli della scansione delle porte
Sesta
Firme IPS che vengono scaricate con LiveUpdate
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Aggiunta di regole
Quando si aggiunge una regola firewall, è necessario decidere l'effetto desiderato
per la regola. Ad esempio, è possibile autorizzare tutto il traffico proveniente da
un'origine particolare o bloccare i pacchetti UDP di un sito Web.
Per aggiungere regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella finestra di dialogo Configura regole firewall, fare clic su Aggiungi.
4
Nella scheda Generale, digitare un nome per la regola e fare clic su Blocca
questo traffico o Autorizza questo traffico.
5
Per definire la scheda di rete per la regola, nell'elenco a discesa Applica la
regola alla seguente scheda di rete, selezionare una scheda di rete.
6
Per scegliere se si desidera attivare la regola in base allo stato dello screen
saver, selezionare un'opzione nell'elenco a discesa Applica la regola quando
lo screen saver è.
7
Per specificare lo stato dello screen saver, selezionare un'opzione nell'elenco
a discesa Applica la regola quando lo screen saver è.
8
Per definire i trigger per la regola, selezionare una delle seguenti schede:
■
Host
■
Porte e protocolli
■
Applicazioni
Per ulteriori informazioni sulle opzioni di ogni scheda, fare clic su ?.
9
Per definire il periodo di tempo di attivazione o disattivazione della regola,
fare clic su Pianificazione, quindi impostare una pianificazione.
10 Al termine delle modifiche, fare clic su OK.
11 Nella finestra di dialogo Configura regole firewall, assicurarsi che nella
colonna Nome regola sia visualizzato il segno di spunta per attivare la regola.
12 Fare clic su OK.
Modifica dell'ordine delle regole
Il firewall elabora l'elenco delle regole firewall dall'alto verso il basso. È possibile
impostare l'elaborazione delle regole firewall modificandone l'ordine. Questo tipo
di modifica incide sull'ordine solo nella posizione attualmente selezionata.
119
120
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Vedere "Informazioni sull'ordine di elaborazione delle regole" a pagina 118.
Per modificare l'ordine delle regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella finestra di dialogo Configura regole firewall, selezionare la regola che
si desidera spostare.
4
Eseguire una delle seguenti operazioni:
5
■
Per impostare il firewall in modo che elabori una regola prima di quella
nella posizione precedente, fare clic sulla freccia SU di colore blu.
■
Per impostare il firewall in modo che elabori una regola dopo di quella
nella posizione successiva, fare clic sulla freccia GIÙ di colore blu.
Al termine dell'operazione, fare clic su OK.
Attivazione e disattivazione delle regole
È necessario attivare le regole in modo che vengano elaborate dal firewall. Quando
si aggiungono regole, queste vengono attivate automaticamente.
È possibile disattivare una regola firewall se è necessario autorizzare l'accesso
specifico a un computer o a un'applicazione.
Per attivare e disattivare le regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella colonna Nome regola della finestra di dialogo Configura regole firewall,
selezionare o deselezionare la casella di controllo accanto alla regola che si
desidera attivare o disattivare.
4
Fare clic su OK.
Esportazione e importazione di regole
È possibile condividere le regole con un altro client in modo che non sia necessario
ricrearle. È possibile esportare le regole da un altro computer e importarle in
quello utilizzato. Quando si importano le regole, queste vengono aggiunte nella
parte inferiore dell'elenco di regole firewall. Le regole importate non vengono
sovrascritte alle regole esistenti, anche se identiche.
Le regole esportate e quelle importate vengono salvate in un file .sar.
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Per esportare le regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella finestra di dialogo Configura regole firewall, selezionare le regole che
si desidera esportare.
4
Fare clic con il tasto destro del mouse sulle regole e quindi fare clic su Esporta
regole selezionate.
5
Nella finestra di dialogo Esporta, digitare un nome file e quindi fare clic su
Salva.
6
Fare clic su OK.
Per importare le regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella finestra di dialogo Configura regole firewall, fare clic con il tasto destro
del mouse sull'elenco di regole firewall, quindi fare clic su Importa regola.
4
Nella finestra di dialogo Importa, individuare il file .sar che contiene le regole
da importare.
5
Fare clic su Apri.
6
Fare clic su OK.
Modifica ed eliminazione di regole
È possibile modificare le regole se non funzionano nel modo desiderato.
È possibile rimuovere le regole firewall aggiunte se non sono più necessarie.
Per modificare le regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella finestra di dialogo Configura regole firewall, selezionare la regola e
quindi fare clic su Modifica.
4
Modificare le impostazioni nelle relative schede.
5
Al termine delle modifiche, fare clic su OK.
121
122
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Per eliminare le regole
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Configura
regole firewall.
3
Nella finestra di dialogo Configura regole firewall, selezionare una o più regole
e fare clic su Elimina.
4
Nella finestra di messaggio che viene visualizzata, fare clic su Sì.
5
Fare clic su OK.
Attivazione delle impostazioni del traffico e dello stealth di esplorazione
Web
È possibile attivare varie impostazioni del traffico e dello stealth di esplorazione
Web nella politica dei firewall per proteggere il sistema da determinati tipi di
attacchi alla rete sul client.
La Tabella 8-6 definisce le impostazioni di traffico e stealth che è possibile attivare.
Tabella 8-6
Impostazioni del traffico e dello stealth di esplorazione Web
Opzioni
Descrizione
Attiva protezione a
livello di driver
Verifica il traffico proveniente dallo stack del protocollo TCP/IP e da altri driver di protocollo.
Attiva protezione
NetBIOS
Blocca il traffico NetBIOS da un gateway esterno.
La maggior parte degli attacchi a una rete aziendale si verificano tramite le connessioni
TCP/IP di Windows. Altri attacchi possono potenzialmente essere avviati attraverso altri
driver di protocollo. Tutti i driver di protocollo che accedono ad una rete sono applicazioni
della rete. Il client quindi blocca i driver di protocollo dall'accesso alla rete a meno che una
regola non ne consenta specificamente l'accesso. Se un driver di protocollo cerca di accedere
alla rete, viene richiesto se si desidera consentire l'accesso.
È possibile utilizzare il file e la condivisione di stampanti di Risorse di rete su una LAN e
proteggere un computer dai rischi NetBIOS provenienti da qualsiasi rete esterna. Questa
opzione blocca i pacchetti NetBIOS che provengono dagli indirizzi IP che non fanno parte
degli intervalli interni ICANN definiti. Gli intervalli interni ICANN includono 10.x.x.x,
172.16.x.x, 192.168.x.x e 169.254.x.x, con l'eccezione delle subnet 169.254.0.x e
169.254.255.x. I pacchetti NetBIOS includono UDP 88, UDP 137, UDP 138, TCP 135, TCP
139, TCP 445 e TCP 1026.
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Opzioni
Descrizione
Consenti traffico
Token Ring
Permette ai computer client che si connettono tramite un adattatore Token Ring di accedere
alla rete, indipendentemente dalle regole dei firewall sul client.
Se si disattiva questa impostazione, tutto il traffico proveniente dai computer che si
connettono tramite un adattatore Token Ring non sarà in grado di accedere alla rete
aziendale. Il firewall non filtra il traffico Token Ring: consente o blocca tutto il traffico
Token Ring.
Blocca tutto il traffico Blocca tutto il traffico in entrata e in uscita dal computer client quando il firewall non è in
fino all'avvio del
esecuzione per alcun motivo.
firewall e dopo la sua Il computer non è protetto:
disattivazione
■ Dopo che il computer client si accende e prima che venga avviato il servizio del firewall.
■
Dopo l'arresto del servizio del firewall e del computer.
Questo periodo di tempo è un piccolo buco nella sicurezza che può permettere la
comunicazione non autorizzata. Questa impostazione impedisce alle applicazioni non
autorizzate di comunicare con altri computer.
Consenti il traffico
DHCP e NetBIOS
iniziale
Permette il traffico iniziale che attiva la connettività della rete. Questo traffico comprende
il traffico DHCP e NetBIOS iniziale che permette che il client ottenga un indirizzo IP.
Attiva modalità stealth Rileva il traffico HTTP proveniente da un browser Web in qualsiasi porta e rimuove il nome
di esplorazione Web
ed il numero di versione del browser, il sistema operativo e la pagina Web di riferimento.
Impedisce ai siti Web di sapere quali sistemi operativi e browser sono utilizzati dal computer.
Non rileva il traffico HTTPS (SSL).
Attiva nuova sequenza Impedisce la contraffazione o lo spoofing di un singolo indirizzo IP.
TCP
Gli hacker si servono dello spoofing di indirizzi IP per attaccare una sessione di
comunicazione fra due computer, ad esempio tra il computer A e il computer B. Un hacker
può inviare un pacchetto di dati che induce il computer A ad interrompere la comunicazione.
Quindi l'hacker può fingere di essere il computer A e comunicare con ed attaccare il computer
B.
Per proteggere il computer, con la nuova sequenza TCP viene eseguita l'assegnazione
casuale dei numeri di sequenza TCP.
Attiva mascheramento Impedisce la rilevazione del sistema operativo di un computer client.
impronta del sistema
Il client cambia il TTL ed il valore di identificazione dei pacchetti TCP/IP per impedire
operativo
l'identificazione di un sistema operativo.
Attiva protezione da
spoofing MAC
Permette il traffico ARP (Address Resolution Protocol) in entrata e in uscita soltanto se una
richiesta ARP è stata fatta a quell'host specifico. Blocca tutto il traffico ARP inatteso
rimanente e lo registra nel registro di sicurezza.
123
124
Gestione della protezione della rete dalle minacce
Configurazione del firewall
Per attivare le impostazioni del traffico e dello stealth di esplorazione Web
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Firewall.
4
Nella scheda Firewall, nelle caselle di gruppo Impostazioni traffico e
Impostazioni stealth, selezionare le relative caselle di controllo per attivare
le impostazioni.
5
Fare clic su OK.
Attivazione dei filtri del traffico intelligenti
È possibile attivare filtri del traffico intelligenti per consentire il traffico DHCP,
DNS e WINS nella maggior parte delle reti. I filtri del traffico intelligenti
consentono le richieste in uscita e le risposte in entrata per le connessioni di rete
che sono state configurate per utilizzare DHCP, DNS e WINS rispettivamente.
I filtri del traffico intelligenti consentono al client DHCP, DNS, o WINS di ricevere
un indirizzo IP da un server mentre proteggono il client dagli attacchi provenienti
dalla rete, come segue:
■
Se il client invia una richiesta al server, il client attende cinque secondi per
permettere una risposta in entrata.
■
Se il client non invia una richiesta al server, nessuno dei filtri autorizza il
pacchetto.
I filtri intelligenti autorizzano il pacchetto se è stata emessa una richiesta, ma
non bloccano i pacchetti. Le regole del firewall autorizzano o bloccano i pacchetti.
Per attivare i filtri del traffico intelligenti
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Firewall.
4
Selezionare una o più delle seguenti caselle di controllo:
■
Attiva Smart DHCP
■
Attiva Smart DNS
Gestione della protezione della rete dalle minacce
Configurazione del firewall
■
5
Attiva Smart WINS
Fare clic su OK.
Blocco del traffico
È possibile configurare il computer per il blocco del traffico in entrata e in uscita
nelle seguenti situazioni:
■
Quando viene attivato lo screen saver del computer.
È possibile configurare il computer per il blocco di tutto il traffico in entrata
e in uscita di Risorse di rete quando viene attivato lo screen saver del computer.
Non appena lo screen saver viene disattivato, il computer ritorna al livello di
sicurezza precedentemente definito.
■
Quando il firewall non è in esecuzione.
Il computer non è protetto tra l'avvio del computer client e quello del servizio
del firewall e tra l'arresto del servizio del firewall e quello del computer. Questo
periodo di tempo rappresenta una zona non protetta, che può permettere
comunicazioni non autorizzate.
■
Quando si desidera bloccare in qualunque momento tutto il traffico in entrata
e in uscita.
È possibile voler bloccare tutto il traffico quando un virus particolarmente
distruttivo attacca la rete o la subnet dell'azienda. In circostanze normali non
si procederebbe al blocco di tutto il traffico. l'amministratore può aver
configurato questa opzione in modo che non sia disponibile.
Per bloccare il traffico quando lo screen saver è attivato
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Rete Microsoft Windows.
4
Nella scheda Rete Microsoft Windows, fare clic su Blocca il traffico di rete
di Microsoft Windows quando è attivo lo screen saver.
5
Fare clic su OK.
Per bloccare traffico quando il firewall non è in esecuzione
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
125
126
Gestione della protezione della rete dalle minacce
Configurazione della prevenzione delle intrusioni
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Firewall.
4
Nella scheda Firewall, fare clic su Blocca tutto il traffico fino all'avvio del
firewall e dopo la sua disattivazione.
5
Facoltativamente fare clic su Consenti il traffico DHCP e NetBIOS iniziale.
6
Fare clic su OK.
Per bloccare in qualunque momento tutto il traffico di rete
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
3
Fare clic su Strumenti > Blocca tutto il traffico.
4
Per confermare, fare clic su Sì.
5
Per ritornare alle precedenti impostazioni del firewall utilizzate dal client,
deselezionare Strumenti > Blocca tutto il traffico.
È possibile permettere tutto il traffico disattivando la protezione della rete dalle
minacce.
Vedere "Attivazione e disattivazione della protezione dalle minacce di rete"
a pagina 46.
Configurazione della prevenzione delle intrusioni
È possibile personalizzare le impostazioni di prevenzione delle intrusioni per
cambiare la protezione predefinita.
È possibile attivare:
■
Firme del sistema di prevenzione delle intrusioni che rilevano ed impediscono
gli attacchi provenienti dalla rete.
■
Impostazioni di prevenzione delle intrusioni che impediscono le scansioni
delle porte e gli attacchi denial-of-service.
■
Risposta attiva, che blocca automaticamente i computer che inviano gli attacchi.
In genere, quando si disattivano le impostazioni di prevenzione delle intrusioni
sul computer, il computer è meno sicuro. Tuttavia, può essere necessario disattivare
queste impostazioni per impedire i falsi positivi o per risolvere problemi nei
computer client.
Gestione della protezione della rete dalle minacce
Configurazione della prevenzione delle intrusioni
Il client registra gli attacchi e gli eventi di sicurezza rilevati dal sistema di
prevenzione delle intrusioni nel registro di sicurezza. Il client può registrare gli
attacchi e gli eventi nel registro dei pacchetti.
Nota: l'amministratore può aver configurato queste opzioni in modo che non siano
disponibili.
Per attivare le impostazioni di prevenzione delle intrusioni
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Prevenzione intrusioni.
4
Per attivare un'impostazione, selezionare una delle seguenti caselle di
controllo:
■
Attiva prevenzione delle intrusioni
■
Attivare rilevamento minacce Denial of service
■
Attiva rilevamento scansione porte
Per maggiori informazioni sulle impostazioni, fare clic su ?.
5
Fare clic su OK.
Configurazione delle notifiche di prevenzione delle intrusioni
È possibile configurare le notifiche da visualizzare quando il client rileva un
attacco di rete nel computer o quando blocca l'accesso di un'applicazione al
computer. È possibile impostare la durata di visualizzazione delle notifiche e un
eventuale segnale acustico di avvertimento.
È necessario attivare il sistema di prevenzione delle intrusioni affinché le notifiche
di prevenzione delle intrusioni siano visualizzate.
Nota: l'amministratore potrebbe avere disattivato queste opzioni durante la
configurazione.
Per configurare le notifiche di prevenzione delle intrusioni
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
127
128
Gestione della protezione della rete dalle minacce
Configurazione della prevenzione delle intrusioni
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Prevenzione intrusioni.
4
Selezionare Visualizza notifiche di prevenzione delle intrusioni.
5
Per emettere un segnale acustico quando la notifica viene visualizzata,
selezionare Utilizza notifiche con segnale acustico.
6
Digitare l'intervallo di tempo desiderato per la visualizzazione delle notifiche
nel campo Durata di visualizzazione delle notifiche in secondi.
7
Fare clic su OK.
Blocco di un computer autore dell'attacco
Quando il client di Symantec Endpoint Protection rileva un attacco alla rete, può
bloccare automaticamente la connessione per assicurare che il computer client
sia sicuro. Il client attiva una risposta attiva, che blocca automaticamente tutte
le comunicazioni a e dall'indirizzo IP del computer autore dell'attacco per un
periodo di tempo specificato. L'indirizzo IP del computer autore dell'attacco è
bloccato per una singola posizione.
Anche le firme IPS aggiornate, le firme Denial of service aggiornate e le scansioni
delle porte attivano una risposta attiva.
È possibile visualizzare l'indirizzo IP del computer autore dell'attacco nel registro
di sicurezza. È anche possibile sbloccare un attacco arrestando la risposta attiva
nel registro di sicurezza.
Per bloccare un computer autore dell'attacco
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Prevenzione intrusioni.
4
Selezionare Numero di secondi per il blocco automatico dell'indirizzo IP
autore attacco e quindi immettere un numero di secondi.
Immettere in un numero compreso tra un secondo e 999.999 secondi. Il
numero predefinito è di 600 secondi o 10 minuti.
5
Fare clic su OK.
Se non si desidera attendere il tempo predefinito per sbloccare l'indirizzo IP,
è possibile sbloccarlo immediatamente.
Gestione della protezione della rete dalle minacce
Configurazione delle impostazioni specifiche dell'applicazione
Per sbloccare un computer autore dell'attacco
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
Accanto a Gestione client, fare clic su Visualizza registri > Registro sicurezza.
3
Nel registro di sicurezza, selezionare la riga che contiene la risposta attiva
nella colonna del tipo di evento, quindi fare clic su Azione > Arresta risposta
attiva.
Per sbloccare gli indirizzi IP bloccati, fare clic su Azione > Arresta tutte le
risposte attive. Se si sblocca una risposta attiva, la colonna del tipo di evento
mostra la risposta attiva annullata. Se si verifica il timeout della risposta
attiva, la colonna del tipo di evento mostra la risposta attiva disattivata.
4
Nella finestra di messaggio che compare, fare clic su OK.
5
Fare clic su File > Esci.
Configurazione delle impostazioni specifiche
dell'applicazione
È possibile configurare le impostazioni per un'applicazione che è in esecuzione
dall'avvio del servizio client o che ha chiesto l'autorizzazione di accesso alla rete.
È possibile configurare le limitazioni quali gli indirizzi IP e le porte che
l'applicazione può utilizzare. È possibile visualizzare e cambiare i provvedimenti
che il client prende per ogni applicazione che cerca di accedere con la connessione
di rete. Mediante la configurazione delle impostazioni per un'applicazione specifica
si crea una regola del firewall basata sull'applicazione.
Nota: Se c'è un conflitto fra una regola del firewall e un'impostazione specifica
dell'applicazione, la regola del firewall ha la precedenza. Ad esempio, una regola
del firewall che blocca tutto il traffico tra l'una e le otto sovrascrive la
pianificazione per un'applicazione video specifica.
Le applicazioni che vengono visualizzate nella finestra di dialogo Attività di rete
sono le applicazioni e i servizi che sono in esecuzione dall'avvio del servizio client.
Vedere "Visualizzazione dell'attività di rete" a pagina 112.
Per configurare le impostazioni specifiche dell'applicazione
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
impostazioni applicazioni.
129
130
Gestione della protezione della rete dalle minacce
Configurazione delle impostazioni specifiche dell'applicazione
3
Nella finestra di dialogo Visualizza impostazioni applicazioni, selezionare
l'applicazione che si desidera configurare, quindi fare clic su Configura.
4
Nella finestra di dialogo Configura impostazioni applicazione, nel campo
Indirizzi IP attendibili per l'applicazione, digitare un indirizzo IP o un
intervallo di indirizzi IP.
5
Nelle caselle di gruppo Porte server remoto o Porte locali, selezionare un TCP
o una porta UDP.
6
Per specificare la direzione del traffico, fare clic su una o entrambe le opzioni
seguenti:
■
Per consentire il traffico in uscita, fare clic su Consenti connessioni in
uscita.
■
Per consentire il traffico in entrata, fare clic su Consenti connessioni in
entrata.
7
Per applicare la regola quando lo screen saver è attivato, fare clic su Consenti
quando lo screen saver è attivato.
8
Per impostare una pianificazione quando le limitazioni sono o non sono attive,
fare clic su Attiva pianificazione.
9
Selezionare una delle opzioni seguenti:
■
Per specificare il periodo in cui sono attive le limitazioni, fare clic su
Durante l'intervallo sottostante.
■
Per specificare il periodo in cui le limitazioni non sono attive, fare clic su
Al di fuori dell'intervallo sottostante.
10 Impostare la pianificazione.
11 Fare clic su OK.
12 Nella finestra di dialogo Visualizza impostazioni applicazioni, cambiare
l'azione, fare clic con il pulsante destro del mouse sull'applicazione, quindi
fare clic su Consenti o Blocca..
13 Fare clic su OK.
È inoltre possibile cambiare l'azione per l'applicazione dalla finestra di dialogo
Attività di rete.
Per cambiare l'azione di un'applicazione dalla finestra di dialogo Attività di rete
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
Gestione della protezione della rete dalle minacce
Configurazione delle impostazioni specifiche dell'applicazione
3
Nella finestra di dialogo Attività di rete, nel campo Applicazioni in esecuzione,
fare clic con il pulsante destro del mouse sull'applicazione o sul servizio,
quindi fare clic su Consenti o Blocca..
4
Fare clic su Chiudi.
Quando si cambia l'azione dell'applicazione, l'applicazione viene visualizzata
nella finestra di dialogo Visualizza impostazioni applicazioni.
Per arrestare un'applicazione o un servizio
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
attività di rete.
3
Nel campo Applicazioni in esecuzione, fare clic con il pulsante destro del
mouse sull'applicazione, quindi fare clic su Termina.
4
Fare clic su OK.
Rimozione delle limitazioni da un'applicazione
È possibile rimuovere le limitazioni da un'applicazione. Quando si rimuovono le
limitazioni viene eliminata anche l'azione che il client effettua sull'applicazione.
Quando l'applicazione o il servizio cerca di connettersi di nuovo alla rete è possibile
che venga chiesto se autorizzare o bloccare l'applicazione.
È possibile arrestare l'esecuzione di un'applicazione o di un servizio fino al
momento in cui l'applicazione cerca di accedere di nuovo al computer, ad esempio
quando si riavvia il computer.
Per rimuovere le limitazioni da un'applicazione
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Protezione della rete dalle minacce, fare clic su Opzioni > Visualizza
impostazioni applicazioni.
3
Nella finestra di dialogo Visualizza impostazioni applicazioni, eseguire una
delle seguenti operazioni:
4
■
Per rimuovere un'applicazione dall'elenco, selezionarla e quindi fare clic
su Rimuovi.
■
Per rimuovere tutte le applicazioni dall'elenco, fare clic su Rimuovi tutto.
Fare clic su OK.
131
132
Gestione della protezione della rete dalle minacce
Attivazione e disattivazione della condivisione di file e stampanti
Attivazione e disattivazione della condivisione di file
e stampanti
Per proteggere il computer è possibile disattivare la condivisione di file e stampanti
per prevenire attacchi tramite la rete. Per il client è possibile attivare la
condivisione di file e stampanti nella rete locale e consentire ad altri di accedere
ai propri file e stampanti.
Se una regola firewall blocca questo traffico, la regola ha la priorità su questa
impostazione.
Per attivare e disattivare la condivisione di file e stampanti
1
Nel client, nella barra laterale, fare clic su Cambia impostazioni.
2
Accanto a Protezione della rete dalle minacce, fare clic su Configura
impostazioni.
3
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Rete Microsoft Windows.
4
Nella scheda Rete Microsoft Windows, per individuare altri computer e
stampanti della rete selezionata fare clic su Sfoglia file e stampanti di rete.
5
Per consentire ad altri utenti di sfogliare i file del proprio computer fare clic
su Condividi file e stampanti in rete con altri utenti.
6
Fare clic su OK.
Sezione
3
Symantec Network Access
Control
■
Principi fondamentali di Symantec Network Access Control
134
Capitolo
9
Principi fondamentali di
Symantec Network Access
Control
Il capitolo contiene i seguenti argomenti:
■
Informazioni su Symantec Network Access Control
■
Controllo di integrità dell'host
■
Risoluzione dei problemi del computer
■
Visualizzazione dei registri di Symantec Network Access Control
■
Informazioni sui moduli di applicazione Enforcer
■
Configurazione del client per l'autenticazione 802.1x
Informazioni su Symantec Network Access Control
Il client Symantec Network Access Control valuta se un computer è protetto
correttamente e conforme alle politiche di sicurezza prima di consentire la
connessione alla rete aziendale.
Il client verifica che il computer sia conforme ad una politica di sicurezza
configurata dall'amministratore. La politica di sicurezza controlla se il computer
esegue il software di sicurezza più recente, ad esempio le applicazioni firewall e
antivirus. Se il computer non esegue il software necessario, l'utente o il client
deve aggiornare il software. Se il software di sicurezza non è aggiornato, è possibile
che al computer non venga consentita la connessione alla rete. Il client esegue
136
Principi fondamentali di Symantec Network Access Control
Informazioni su Symantec Network Access Control
controlli periodici per verificare che il computer sia sempre conforme alla politica
di sicurezza.
Funzionamento di Symantec Network Access Control
Il client Symantec Network Access Control convalida e applica la conformità alle
politiche ai computer che provano a connettersi alla rete. Questo processo di
convalida e applicazione comincia prima che il computer si connetta alla rete e
continua per tutta la durata della connessione. La politica di integrità dell'host è
la politica di sicurezza che funge da base per tutte le valutazioni e azioni.
Questo processo del controllo di accesso alla rete viene eseguito in base alla
procedura seguente:
■
Il client valuta costantemente la propria conformità.
L'utente accende il computer client. Il client esegue un controllo di integrità
dell'host che confronta la configurazione del computer alla politica di integrità
dell'host scaricata dal server di gestione. Il controllo di integrità dell'host
valuta la conformità di software antivirus, patch, correzioni rapide e altri
requisiti di sicurezza del computer con la politica di integrità dell'host. Ad
esempio, la politica può controllare se le relative definizioni antivirus sono
state aggiornate recentemente e se le ultime patch sono state applicate al
sistema operativo.
■
Symantec Enforcer autentica il computer client e autorizza l'accesso del
computer alla rete o blocca e mette in quarantena i computer non conformi.
Se il computer è conforme a tutti i requisiti previsti dalla politica, il controllo
di integrità dell'host viene superato. Enforcer concede l'accesso completo alla
rete ai computer che superano il controllo di integrità dell'host.
Se il computer non è conforme a tutti i requisiti previsti dalla politica, il
controllo di integrità dell'host non viene superato. Quando un controllo di
integrità dell'host non viene superato, il client o uno dei moduli di applicazione
Enforcer di Symantec blocca o mette in quarantena il computer fino a quando
non si risolvono i problemi. I computer in quarantena non hanno alcun accesso
o hanno un accesso limitato alla rete.
Vedere "Informazioni sui moduli di applicazione Enforcer" a pagina 139.
L'amministratore può impostare la politica in modo che un controllo di integrità
dell'host venga superato anche se non viene soddisfatto un requisito specifico.
È possibile visualizzare nel client una notifica ogni volta che il controllo di
integrità dell'host viene superato.
Vedere "Risposta alle notifiche di Network Access Control" a pagina 26.
■
Il client corregge i computer non conformi.
Se nel client viene rilevata una richiesta di politica di integrità dell'host non
soddisfatta, viene installato il software richiesto o ne viene richiesta
Principi fondamentali di Symantec Network Access Control
Controllo di integrità dell'host
l'installazione all'utente. Una volta risolto il problema nel computer, viene
tentato nuovamente l'accesso alla rete. Se il computer soddisfa tutti i requisiti,
viene autorizzato l'accesso alla rete.
Vedere "Risoluzione dei problemi del computer" a pagina 138.
■
Il client esegue il monitoraggio dinamico della conformità.
Il client esegue attivamente il monitoraggio dello stato di conformità di tutti
i computer client. Se in qualunque momento lo stato di conformità del computer
cambia, vengono modificati anche i privilegi di accesso del computer alla rete.
È possibile visualizzare ulteriori informazioni sui risultati del controllo di integrità
dell'host nel registro di sicurezza.
Informazioni sull'aggiornamento della politica di integrità dell'host
Il client aggiorna la politica di integrità dell'host a intervalli regolari. A scopo di
test, l'amministratore può richiedere all'utente di aggiornare la politica di integrità
dell'host prima del successivo aggiornamento pianificato, altrimenti non è
necessario aggiornare la politica.
Vedere "Aggiornamento della politica di sicurezza" a pagina 17.
Controllo di integrità dell'host
L'amministratore configura la frequenza utilizzata dal client per eseguire un
controllo di integrità dell'host. Può essere necessario eseguire un controllo di
integrità dell'host immediatamente anziché attendere quello successivo. Ad
esempio, è possibile che un controllo di integrità dell'host non venga superato
perché è necessario aggiornare l'applicazione antivirus nel computer. Il client
può consentire di scegliere se scaricare immediatamente il software richiesto o
posticipare il download. Se si scarica il software immediatamente, è necessario
eseguire nuovamente il controllo di integrità dell'host per verificare di disporre
del software corretto. È possibile attendere l'esecuzione del successivo controllo
di integrità dell'host pianificato o eseguire il controllo immediatamente.
Per eseguire un controllo di integrità dell'host
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Network Access Control, fare clic su Opzioni > Controlla ora.
3
Se viene visualizzato un messaggio in cui viene confermata l'esecuzione del
controllo di integrità dell'host, fare clic su OK.
Se l'accesso alla rete non era stato autorizzato, è necessario riottenerlo dopo
l'aggiornamento del computer in conformità alla politica di sicurezza.
137
138
Principi fondamentali di Symantec Network Access Control
Risoluzione dei problemi del computer
Risoluzione dei problemi del computer
Se il client rileva un requisito della politica di integrità dell'host non soddisfatto,
risponde in uno di seguenti modi:
■
Il client scarica automaticamente l'aggiornamento del software.
■
Il client richiede di scaricare l'aggiornamento del software necessario.
Per risolvere i problemi del computer
◆
Nella finestra di dialogo Symantec Endpoint Protection che viene visualizzata,
procedere in uno dei modi seguenti:
■
Per visualizzare i requisiti di sicurezza non soddisfatti dal computer, fare
clic su Dettagli.
■
Per installare immediatamente il software, fare clic su Ripristina ora
L'opzione per annullare l'installazione una volta che è stata avviata può
essere disponibile o meno.
■
Per posticipare l'installazione del software, fare clic su Visualizza in
seguito e selezionare un intervallo di tempo nell'elenco a discesa.
L'amministratore può configurare il numero massimo di volte consentito
per posticipare l'installazione.
Visualizzazione dei registri di Symantec Network
Access Control
Il client Symantec Network Access Control utilizza i seguenti registri per
monitorare vari aspetti del relativo funzionamento:
Sicurezza
Registra i risultati e lo stato dei controlli di integrità dell'host.
Sistema
Registra tutti i cambiamenti operativi del client, quali la connessione
al server di gestione e gli aggiornamenti della politica di sicurezza del
client.
Se si utilizza un client gestito, è possibile caricare regolarmente nel server entrambi
i registri. L'amministratore può utilizzare il contenuto dei registri per analizzare
lo stato generale di sicurezza della rete.
È possibile esportare i dati di questi registri.
Principi fondamentali di Symantec Network Access Control
Informazioni sui moduli di applicazione Enforcer
Per visualizzare i registri di Symantec Network Access Control
1
Nel client, nella barra laterale, fare clic su Stato.
2
Per visualizzare il registro di sistema, accanto a Network Access Control fare
clic su Opzioni > Visualizza registri.
3
Per visualizzare il registro di sicurezza, nella finestra di dialogo Registri
gestione client - Registro sistema, fare clic su Visualizza > Registro sicurezza.
4
Fare clic su File > Chiudi.
Vedere "Informazioni sui registri" a pagina 147.
Informazioni sui moduli di applicazione Enforcer
Il client interagisce con i moduli di applicazione Enforcer. Viene assicurato che
tutti i computer che accedono alla rete protetti tramite questi moduli eseguano
il software client e abbiano una politica di sicurezza adeguata.
Un Enforcer deve autenticare l'utente o il computer client prima di autorizzarne
l'accesso alla rete. Symantec Network Access Control interagisce con diversi tipi
di moduli di applicazione Enforcer per autenticare il computer client. Symantec
Enforcer è il dispositivo hardware di rete che verifica i risultati di integrità dell'host
e l'identità del computer client prima di consentire al computer l'accesso alla rete.
Enforcer verifica le seguenti informazioni prima di consentire al client di accedere
alla rete:
■
Symantec Network Access Control è in esecuzione.
■
Il client ha un identificativo univoco (UID).
■
Il client è stato aggiornato con la politica di integrità dell'host più recente.
■
Il computer client ha superato il controllo di integrità dell'host.
Configurazione del client per l'autenticazione 802.1x
Se la rete aziendale utilizza LAN Enforcer per l'autenticazione, il computer client
deve essere configurato per l'esecuzione dell'autenticazione 802.1x. Il client può
essere configurato dall'utente o dall'amministratore. L'amministratore può avere
concesso o meno l'autorizzazione per configurare l'autenticazione 802.1x.
Il processo di autenticazione 802.1x comprende i seguenti passaggi:
■
Un client non autenticato o un supplicant di terze parti invia le informazioni
sull'utente e le informazioni di conformità a uno switch di rete 802.11 gestito.
139
140
Principi fondamentali di Symantec Network Access Control
Configurazione del client per l'autenticazione 802.1x
■
Lo switch di rete trasmette le informazioni a LAN Enforcer. LAN Enforcer invia
le informazioni sull'utente al server di autenticazione per l'autenticazione. Il
server di autenticazione è il server RADIUS.
■
Se l'autenticazione del client a livello dell'utente non riesce o non è conforme
alla politica di integrità dell'host, Enforcer può bloccare l'accesso alla rete.
Enforcer colloca il computer client non conforme in una rete di quarantena in
cui può essere riparato.
■
Dopo che il client ha riparato e reso conforme il computer, viene eseguita
nuovamente l'autenticazione del computer mediante il protocollo 802.1x e al
computer viene concesso l'accesso alla rete.
Per utilizzare LAN Enforcer, il client può usare un supplicant di terze parti o un
supplicant integrato.
Nella Tabella 9-1 sono descritti i tipi di opzioni che è possibile configurare per
l'autenticazione 802.1x.
Tabella 9-1
Opzioni di autenticazione 802.1x
Opzione
Descrizione
Supplicant di terze parti
Utilizza un supplicant 802.1x di terze parti.
LAN Enforcer utilizza un server RADIUS e supplicant 802.1x
di terze parti per effettuare l'autenticazione dell'utente. Il
supplicant 802.1x richiede l'immissione delle informazioni
sull'utente che LAN Enforcer trasmette al server RADIUS per
l'autenticazione a livello dell'utente. Il client invia il profilo
client e lo stato di integrità dell'host a Enforcer in modo che
Enforcer autentichi il computer.
Nota: se si desidera utilizzare il client Symantec Network
Access Control con un supplicant di terze parti, è necessario
installare il modulo di protezione della rete dalle minacce del
client Symantec Endpoint Protection.
Principi fondamentali di Symantec Network Access Control
Configurazione del client per l'autenticazione 802.1x
Opzione
Descrizione
Modalità trasparente
Utilizza il client come supplicant 802.1x.
Ricorrere a questo metodo se l'amministratore non desidera
utilizzare un server RADIUS per effettuare l'autenticazione
dell'utente. LAN Enforcer viene eseguito in modalità
trasparente e funge da server RADIUS.
Nella modalità trasparente il supplicant non richiede
l'immissione delle informazioni sull'utente. In questa modalità
il client funge da supplicant 802.1x. Il client soddisfa la
richiesta EAP dello switch con il profilo client e lo stato di
integrità dell'host. Lo switch, a sua volta, trasmette le
informazioni a LAN Enforcer che funge da server RADIUS.
LAN Enforcer convalida le informazioni relative al profilo
client e all'integrità dell'host ricevute dallo switch e può
autorizzare, bloccare o assegnare dinamicamente una VLAN
in base alle necessità.
Nota: per utilizzare un client come supplicant 802.1x, è
necessario disinstallare o disattivare i supplicant 802.1x di
terze parti nel computer client.
Supplicant integrato
Utilizza il supplicant 802.1x integrato del computer client.
I protocolli di autenticazione integrati includono Smart Card,
PEAP o TLS. Dopo avere attivato l'autenticazione 802.1x, è
necessario specificare quale protocollo di autenticazione
utilizzare.
Avvertimento: contattare l'amministratore prima di configurare il client per
l'autenticazione 802.1x. È necessario sapere se la rete aziendale utilizza il server
RADIUS come server di autenticazione. Se si configura in modo errato
l'autenticazione 802.1x, è possibile perdere la connessione alla rete.
Per configurare il client per l'utilizzo di un supplicant di terze parti
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Controllo dell'accesso alla rete, fare clic su Opzioni > 802.1x.
3
Fare clic su Attiva autenticazione 802.1x.
4
Fare clic su OK.
È anche necessario impostare una regola firewall che consenta l'accesso alla
rete ai driver dei supplicant 802.1x di terze parti.
Vedere "Aggiunta di regole" a pagina 119.
141
142
Principi fondamentali di Symantec Network Access Control
Configurazione del client per l'autenticazione 802.1x
È possibile configurare il client per l'utilizzo del supplicant integrato. Attivare il
client per l'autenticazione 802.1x e come supplicant 802.1x.
Per configurare il client per l'utilizzo della modalità trasparente o di un supplicant
integrato
1
Nel client, nella barra laterale, fare clic su Stato.
2
Accanto a Controllo dell'accesso alla rete, fare clic su Opzioni > 802.1x.
3
Fare clic su Attiva autenticazione 802.1x.
4
Fare clic su Utilizza client come supplicant 802.1x.
5
Eseguire una delle seguenti operazioni:
6
■
Per impostare la modalità trasparente, selezionare Utilizza modalità
trasparente Symantec.
■
Per configurare un supplicant integrato, fare clic su Consente di scegliere
il protocollo di autenticazione.
Scegliere quindi il protocollo di autenticazione per la connessione di rete.
Fare clic su OK.
Per scegliere un protocollo di autenticazione
1
Nel computer client fare clic su Start > Impostazioni > Connessioni di rete,
quindi fare doppio clic su Connessione alla rete locale (LAN).
2
Nella finestra di dialogo Proprietà - Connessione alla rete locale (LAN), fare
clic su Autenticazione.
3
Nella scheda Autenticazione fare clic nell'elenco a discesa Tipo EAP e
selezionare uno dei seguenti protocolli di autenticazione:
■
Smart Card o altro certificato
■
Protected EAP (PEAP)
■
Modalità trasparente Symantec
Verificare che la casella di controllo Attiva autenticazione IEEE 802.1x per
questa rete sia selezionata.
4
Fare clic su OK.
5
Fare clic su Chiudi.
Riautenticazione del computer
Se il computer ha superato il controllo di integrità dell'host ma l'Enforcer lo blocca,
potrebbe essere necessario riautenticare il computer. In circostanze normali non
è mai necessario riautenticare il computer.
Principi fondamentali di Symantec Network Access Control
Configurazione del client per l'autenticazione 802.1x
L'Enforcer può bloccare il computer quando si verifica uno dei seguenti eventi:
■
Il computer client non ha superato l'autenticazione dell'utente perché il nome
utente o la password sono stati digitati in modo errato.
■
Il computer client è nella VLAN errata.
■
Il computer client non ottiene una connessione di rete. In genere la connessione
di rete si interrompe perché lo switch fra il computer client e LAN Enforcer
non ha autenticato il nome utente e la password.
■
È necessario accedere a un computer client che ha autenticato un precedente
utente.
■
Il computer client non ha superato il controllo di conformità.
È possibile riautenticare il computer soltanto se l'utente o l'amministratore ha
configurato il computer con un supplicant incorporato.
Nota: l'amministratore potrebbe non aver configurato il client in modo che
visualizzi il comando di riautenticazione.
Per riautenticare il computer
1
Fare clic con il pulsante destro del mouse sull'icona dell'area di notifica.
2
Fare clic su Riautenticazione.
3
Nella finestra di dialogo di riautenticazione, digitare il nome utente e la
password.
4
Fare clic su OK.
143
144
Principi fondamentali di Symantec Network Access Control
Configurazione del client per l'autenticazione 802.1x
Sezione
4
Monitoraggio e registrazione
■
Utilizzo e gestione dei registri
146
Capitolo
10
Utilizzo e gestione dei
registri
Il capitolo contiene i seguenti argomenti:
■
Informazioni sui registri
■
Visualizzazione dei registri e dei dettagli del registro
■
Gestione della dimensione del registro
■
Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro
delle minacce
■
Utilizzo dei registri di protezione della rete dalle minacce e dei registri di
gestione client
■
Esportazione dei dati dei registri
Informazioni sui registri
I registri contengono i record delle attività associate alla sicurezza eseguite sul
computer, che includono le attività relative a virus e rischi per la sicurezza, le
modifiche alla configurazione e gli errori. Includono inoltre informazioni sui file
delle definizioni dei virus e dei rischi per la sicurezza, sullo stato del computer e
sul traffico che entra o esce dal computer. Questi record sono chiamati eventi o
voci. I registri mostrano questi eventi con tutte le informazioni supplementari
relative. Se si utilizza un client gestito, i relativi registri possono essere caricati
regolarmente sul server di gestione. Un amministratore può utilizzarne i dati per
analizzare lo stato di sicurezza generale della rete.
I registri sono un metodo importante per il rilevamento dell'attività del computer
e dell'interazione del computer con altri computer e reti. È possibile utilizzare le
148
Utilizzo e gestione dei registri
Informazioni sui registri
informazioni dei registri per rilevare le tendenze che si riferiscono ai virus, ai
rischi per la sicurezza e agli attacchi al computer. Se lo stesso computer è utilizzato
da più utenti sarà possibile identificare l'utente che introduce rischi e consigliare
l'implementazione di misure precauzionali adeguate. I registri di protezione di
rete possono assistere nel rilevamento di attività pericolose quali la scansione
delle porte. Possono inoltre essere utilizzati per risalire all'origine dei diversi
flussi di traffico. È possibile anche utilizzare i registri di protezione di rete per
contribuire a risolvere i problemi di connettività o gli eventuali attacchi provenienti
dalla rete.
Se è stato installato Symantec Endpoint Protection sono disponibili le seguenti
viste del registro:
■
Registro di scansione della protezione antivirus e antispyware
■
Registro dei rischi della protezione antivirus e antispyware
■
Registro sistema della protezione antivirus e antispyware
■
Registro minacce della protezione proattiva dalle minacce
■
Registro sistema della protezione proattiva dalle minacce
■
Registro di protezione contro le manomissioni della protezione contro le
manomissioni
■
Registro traffico della protezione della rete dalle minacce
■
Registro pacchetti della protezione della rete dalle minacce
■
Registro sicurezza della gestione client e della protezione della rete dalle
minacce
■
Registro controllo della gestione client
■
Registro sistema della gestione client
Se è stato installato Symantec Network Access Control sono disponibili i seguenti
registri:
■
Registro sicurezza
■
Registro di sistema
I registri possono indicare se il computer è stato escluso dalla rete e consentono
di determinare il motivo del blocco dell'accesso alla rete.
Per maggiori informazioni su un registro, premere F1 per visualizzare la Guida
per quel registro.
Tabella 10-1 descrive ciascun registro e le attività che consente di eseguire.
Utilizzo e gestione dei registri
Informazioni sui registri
Tabella 10-1
Registri client e descrizione
Registro
Descrizione
Registro di scansione
Il registro delle scansioni contiene le voci delle scansioni che sono state eseguite nel
computer.
È possibile eseguire le seguenti attività nel registro delle scansioni:
Visualizzare un elenco delle scansioni eseguite sul computer. Le scansioni vengono
visualizzate insieme a importanti informazioni aggiuntive.
■ Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre
applicazioni.
■ Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.
■
Registro dei rischi
Il registro dei rischi contiene voci relative a virus e rischi per la sicurezza, quali adware e
spyware, che hanno infettato il computer. I rischi per la sicurezza comprendono un
collegamento alla pagina Web di Symantec Security Response che fornisce ulteriori
informazioni.
È possibile effettuare le seguenti attività nel registro dei rischi:
■
Visualizzare un elenco degli eventi relativi a virus e rischi per la sicurezza.
Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre
applicazioni.
■ Eliminare un rischio dal computer.
■
■
Eliminare permanentemente un rischio dal computer.
Annullare le modifiche apportate da Symantec Endpoint Protection al momento
dell'eliminazione di un rischio o della riparazione dei relativi effetti secondari.
■ Mettere in quarantena i rischi che sono stati rilevati sul computer.
■
■
Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.
Registro sistema della Il Registro sistema della protezione antivirus e antispyware contiene informazioni sulle
protezione antivirus e attività di sistema del computer associabili a virus e rischi per la sicurezza. Tali informazioni
antispyware
includono le modifiche alla configurazione, gli errori e informazioni relative ai file delle
definizioni.
È possibile effettuare le seguenti attività nel Registro sistema della Protezione antivirus e
antispyware:
■
Visualizzare un elenco degli eventi antispyware e antivirus.
Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre
applicazioni.
■ Filtrare le informazioni del registro per visualizzare soltanto un tipo o alcuni tipi di
eventi.
■ Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.
■
149
150
Utilizzo e gestione dei registri
Informazioni sui registri
Registro
Descrizione
Registro minacce
Il Registro minacce contiene informazioni sulle minacce che le scansioni proattive delle
minacce TruScan hanno rilevato sul computer. Le minacce includono le applicazioni
commerciali che possono essere utilizzate per attività nocive. Sono esempi i Trojan horse,
i worm, o keylogger, i worm di distribuzione di massa, i virus macro e le minacce basate su
script.
È possibile effettuare le seguenti attività nel Registro minacce:
Visualizzare l'elenco degli eventi associati alle minacce della scansione proattiva delle
minacce TruScan.
■ Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre
applicazioni.
■ Terminare i programmi nocivi o i processi nocivi che sono stati trovati sul computer.
■
■
Ripristinare elementi dalla Quarantena.
■
Mettere in Quarantena le minacce rilevate sul computer.
■
Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.
Nota: I pulsanti di azione disponibili dipendono dalle azioni appropriate per la voce di
registro selezionata.
Registro sistema della Il Registro sistema della protezione proattiva dalle minacce contiene le informazioni sulle
protezione proattiva
attività del sistema del computer che sono collegate alle scansioni proattive delle minacce
dalle minacce
TruScan.
È possibile eseguire le seguenti operazioni nel Registro sistema della protezione proattiva
dalle minacce:
■
Visualizzare gli eventi di sistema relativi alle scansioni proattive delle minacce TruScan.
■
Esportare i dati in un file di testo delimitato da virgole, per uso in altre applicazioni.
Filtrare le informazioni del registro per visualizzare soltanto un tipo o alcuni tipi di
eventi.
■ Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.
■
Registro di protezione Il registro di protezione contro le manomissioni contiene voci relative ai tentativi di alterare
contro le
le applicazioni Symantec sul computer. Queste voci contengono informazioni sui tentativi
manomissioni
che la protezione contro le manomissioni ha rilevato o rilevato e contrastato.
È possibile effettuare le seguenti attività nel registro di protezione contro le manomissioni:
■
Visualizzare l'elenco degli eventi associati alla protezione contro le manomissioni.
Esportare i dati del registro in un file di testo delimitato da virgole, per uso in altre
applicazioni.
■ Fare clic con il pulsante destro del mouse su una voce e visualizzare le relative proprietà.
■
Utilizzo e gestione dei registri
Informazioni sui registri
Registro
Descrizione
Registro del traffico
Il registro del traffico contiene le informazioni sulle connessioni che il computer stabilisce
attraverso la rete.
È possibile effettuare le seguenti attività nel registro del traffico:
Visualizzare un elenco degli eventi del traffico in entrata e in uscita registrati quando
il computer si connette a una rete.
■ Dal menu File, cancellare tutte le voci dal registro.
■
Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni,
per uso in altre applicazioni.
■ Dal menu File, accedere alle impostazioni di protezione della rete dalle minacce e
cambiare le impostazioni modificabili.
■ Dal menu Visualizza, alternare tra una vista locale e una vista di origine.
■
■
Dal menu Filtro, filtrare le voci selezionando un intervallo di tempo.
■
Dal menu Azione, effettuare il back trace (analisi retroattiva) dei pacchetti di dati
utilizzati nei tentativi di attacco, per individuarne l'origine. La funzionalità di back trace
non è disponibile per tutte le voci.
Nota: Le azioni non appropriate per una voce particolare o non consentite
dall'amministratore non sono disponibili.
Registro pacchetti
Il registro dei pacchetti contiene informazioni sui pacchetti di dati che entrano ed escono
attraverso le porte del computer.
È possibile effettuare le seguenti attività nel registro dei pacchetti:
Visualizzare un elenco degli eventi del traffico in entrata e in uscita registrati quando
il computer si connette a una rete.
■ Dal menu File, cancellare tutte le voci dal registro.
■
Dal menu File, esportare i dati in un file di testo delimitato da tabulazioni, in formato
di controllo della rete o in formato Netxray, per l'uso in altre applicazioni.
■ Dal menu File, accedere alle impostazioni di protezione della rete dalle minacce e
cambiare le impostazioni modificabili.
■ Dal menu Visualizza, alternare tra una vista locale e una vista di origine.
■
■
Dal menu Filtro, filtrare le voci selezionando un intervallo di tempo.
■
Dal menu Azione, effettuare il back trace (analisi retroattiva) dei pacchetti di dati
utilizzati nei tentativi di attacco per individuarne l'origine. La funzionalità di back trace
non è disponibile per tutte le voci.
151
152
Utilizzo e gestione dei registri
Informazioni sui registri
Registro
Descrizione
Registro di controllo
Il registro di controllo contiene informazioni sulle chiavi di registro, i file e le DLL a cui
accede un'applicazione, nonché informazioni sulle applicazioni eseguite dal computer.
È possibile effettuare le seguenti attività nel registro di controllo:
■
Visualizzare un elenco degli eventi di controllo.
■
Dal menu File, cancellare tutte le voci dal registro.
Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni,
per uso in altre applicazioni.
■ Dal menu Visualizza, alternare tra una vista locale e una vista di origine.
■
■
Registro sicurezza
Dal menu Filtro, filtrare le voci selezionando un intervallo di tempo.
Il Registro sicurezza contiene informazioni sulle attività indirizzate al computer che possono
costituire una minaccia. Alcuni esempi sono attività quali gli attacchi Denial of Service, le
scansioni delle porte e le alterazioni dei file eseguibili.
È possibile eseguire le seguenti attività nel registro di sicurezza:
■
Visualizzare eventi relativi alla sicurezza.
■
Dal menu File, cancellare tutte le voci dal registro.
Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni,
per uso in altre applicazioni.
■ Dal menu Visualizza, alternare tra una vista locale e una vista di origine.
■
■
Dal menu Filtro, filtrare le voci, in base a un intervallo di tempo o in base alla gravità.
Dal menu Azione, effettuare il back trace (analisi retroattiva) dei pacchetti di dati
utilizzati nei tentativi di attacco per individuarne l'origine. La funzionalità di back trace
non è disponibile per tutte le voci.
■ Interrompere il bloccaggio da parte del client degli attacchi effettuati da altri computer.
■
Registro di sistema
Il Registro sistema contiene informazioni su tutte le modifiche operative che si sono
verificate nel computer. Gli esempi includono attività quali l'avvio o l'arresto di un servizio,
il rilevamento di applicazioni di rete o la configurazione di software.
È possibile effettuare le seguenti attività nel registro di sistema:
■
Visualizzare l'elenco degli eventi di sistema quando il computer si connette a una rete.
■
Dal menu File, cancellare tutte le voci dal registro.
Dal menu File, esportare i dati del registro in un file di testo delimitato da tabulazioni,
per uso in altre applicazioni.
■ Dal menu Filtro, filtrare le voci, in base a un intervallo di tempo o in base alla gravità.
■
Utilizzo e gestione dei registri
Visualizzazione dei registri e dei dettagli del registro
Nota: Se si è eseguito l'accesso a un client gestito, alcune opzioni in alcuni registri
potrebbero non essere disponibili. La disponibilità di tali opzioni dipende da che
cosa viene ammesso dall'amministratore. Questa nota è valida per i registri della
protezione della rete dalle minacce, della gestione client, dei pacchetti, di controllo,
di sicurezza e di sistema.
Le opzioni non appropriate per una determinata voce in un registro potrebbero
non risultare disponibili.
Visualizzazione dei registri e dei dettagli del registro
È possibile visualizzare i registri sul computer per analizzare i dettagli degli eventi
che si sono verificati.
Per visualizzare un registro
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
Accanto al tipo di registro da visualizzare, fare clic su Visualizza registri e
quindi fare clic sul nome del registro.
Da una vista di un qualsiasi registro di protezione della rete dalle minacce e
dai registri di gestione client è possibile passare a una vista degli altri registri.
Utilizzare il menu Visualizza nella parte superiore della finestra di dialogo
per accedere agli altri registri.
3
Se è stata aperta una vista di uno dei registri di Protezione della rete dalle
minacce o di Gestione client, fare clic su Vista locale o Vista origine.
Le colonne del registro cambiano a seconda che si scelga la vista locale o la
vista di origine. La vista locale mostra il contenuto in base alla prospettiva
della porta locale e della porta remota. Tale prospettiva è utilizzata più
comunemente in un firewall basato su host. La vista di origine mostra il
contenuto in base alla prospettiva della porta di origine e della porta di
destinazione. Tale prospettiva è utilizzata più comunemente in un firewall
basato sulla rete.
Se nelle voci nei registri di protezione della rete dalle minacce e nei registri di
gestione client sono disponibili maggiori informazioni, queste compaiono nelle
seguenti posizioni:
■
Le informazioni descrittive compaiono nel riquadro inferiore sinistro della
vista del registro.
■
Le informazioni sui dati compaiono nel riquadro inferiore destro della vista
del registro.
153
154
Utilizzo e gestione dei registri
Visualizzazione dei registri e dei dettagli del registro
È inoltre possibile visualizzare i particolari di qualsiasi voce nei registri di
protezione antivirus e antispyware, di protezione contro le manomissioni e di
protezione proattiva dalle minacce. Per il registro dei rischi i dettagli forniscono
ulteriori informazioni che non sono disponibili nella finestra della vista principale
del registro.
Per visualizzare i particolari delle voci di registro nei registri di protezione antivirus
e antispyware, di protezione contro le manomissioni e di protezione proattiva dalle
minacce
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
Accanto a Protezione antivirus e antispyware, Gestione client o Protezione
proattiva dalle minacce, fare clic su Visualizza registri.
3
Fare clic sul nome del registro da visualizzare.
4
Fare clic con il pulsante destro del mouse su una voce dell'elenco e selezionare
Proprietà.
Filtro delle viste del registro
È possibile filtrare la vista di alcuni registri in vari modi. È possibile filtrare gli
eventi nei registri di protezione della rete dalle minacce e di gestione client in
base al periodo di tempo in cui gli eventi stessi si sono verificati. È possibile filtrare
gli eventi in alcuni registri di protezione della rete dalle minacce in base al livello
di gravità. È possibile filtrare per tipo gli eventi nel registro sistema della
protezione antivirus e antispyware e nel registro sistema della protezione proattiva
dalle minacce.
Filtro delle voci in base al periodo di tempo
È possibile applicare filtri ad alcuni registri in base al periodo di tempo durante
il quale gli eventi si sono verificati.
Per filtrare le voci di registro in base al periodo di tempo
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
A destra di Protezione della rete dalle minacce o di Gestione client, fare clic
su Visualizza registri.
3
Fare clic sul nome del registro da visualizzare.
4
Nella finestra della vista del registro, fare clic su Filtro e quindi selezionare
il periodo di tempo per il quale visualizzare gli eventi del registro.
Per esempio, se si seleziona Registri 2 settimane, il visualizzatore file di
registro mostra gli eventi che sono stati registrati negli ultimi 14 giorni.
Utilizzo e gestione dei registri
Visualizzazione dei registri e dei dettagli del registro
Filtro delle voci in base al livello di gravità
È possibile filtrare le informazioni nelle viste del registro della protezione dalle
minacce di rete, del registro di sicurezza della gestione client e del registro di
sistema in base al livello di gravità. Per impostazione predefinita, vengono
visualizzati gli eventi con tutti i livelli di gravità.
Per filtrare le voci di registro in base al livello di gravità
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
A destra di Protezione della rete dalle minacce o Gestione client, fare clic su
Visualizza registri.
3
Fare clic sul nome del registro da visualizzare.
4
Nella finestra di visualizzazione del registro, fare clic su Filtro e quindi su
Gravità.
5
Selezionare una delle opzioni seguenti da deselezionare:
■
Critico (solo registro di sicurezza)
■
Grave (solo registro di sicurezza)
■
Non grave (solo registro di sicurezza)
■
Errore (solo registro di sistema)
■
Avviso (solo registro di sistema)
■
Informazioni
La deselezione di un elemento elimina tutti gli eventi con lo stesso livello di
gravità dalla vista.
6
È possibile fare clic su Gravità e selezionare un altro livello per eliminare
livelli di gravità aggiuntivi dalla vista.
Filtro dei registri di sistema per categoria di evento
Nel registro sistema della protezione antivirus e antispyware e nel registro sistema
della protezione proattiva dalle minacce, gli eventi sono categorizzati come segue:
■
Modifica della configurazione
■
Avvio/chiusura di Symantec AntiVirus
■
File delle definizioni dei virus
■
Omissioni della scansione
■
Inoltro al server di quarantena
■
Invio a Symantec Security Response
155
156
Utilizzo e gestione dei registri
Gestione della dimensione del registro
■
Caricamento/scaricamento di Auto-Protect
■
Gestione e roaming di client
■
Inoltro registro
■
Avvisi di comunicazioni non autorizzate (accesso negato)
■
Accesso e gestione certificati
■
Conformità client
■
Errore di caricamento scansione proattiva delle minacce
■
Errore di caricamento applicazioni commerciali scansione proattiva delle
minacce
■
Sistema operativo per scansione proattiva delle minacce non supportato
È possibile ridurre il numero di eventi che appaiono nei due registri sistema
visualizzando soltanto determinati tipi di eventi. Per esempio, per visualizzare
soltanto gli eventi che sono collegati con Auto-Protect, è possibile selezionare
soltanto il tipo Caricamento/scaricamento di Auto-Protect. Se si seleziona un tipo,
la registrazione degli eventi nelle altre categorie non si ferma. Semplicemente le
altre categorie non vengono visualizzate quando si mostra il registro sistema.
Nota: soltanto gli eventi validi sono disponibili per l'esclusione dalla vista.
Per filtrare il registro sistema per categoria di evento
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
Accanto a Protezione antivirus e antispyware o Protezione proattiva dalle
minacce, fare clic su Visualizza registri.
3
Fare clic su Registro sistema.
4
Fare clic su Filtro.
5
Selezionare o deselezionare una o più categorie di eventi.
6
Fare clic su OK.
Gestione della dimensione del registro
È possibile configurare per quanto tempo si desidera mantenere le voci nei registri.
Se si eliminano le voci più vecchie, i registri non utilizzano troppo spazio su disco.
Per i registri di protezione della rete dalle minacce e i registri di gestione client,
è anche possibile impostare la quantità di spazio utilizzata.
Utilizzo e gestione dei registri
Gestione della dimensione del registro
Configurazione dei tempi di mantenimento delle voci dei registri di
protezione antivirus e antispyware e di protezione proattiva dalle
minacce
Per impostare il tempo di mantenimento delle voci di registro
1
Nella pagina Stato del client, accanto a Protezione antivirus e antispyware o
Protezione proattiva dalle minacce, fare clic su Opzioni e quindi su Cambia
impostazioni.
2
Nella scheda Generale, impostare il valore numerico e l'unità di tempo per il
mantenimento delle voci nei registri. Le voci precedenti al valore impostato
vengono eliminate.
3
Fare clic su OK.
Configurazione della dimensione dei registri di protezione della rete
dalle minacce e dei registri di gestione client
È possibile impostare la dimensione di ogni registro di protezione della rete dalle
minacce e di ogni registro di gestione client.
Per cambiare la dimensione dei registri
1
Nel client, nella pagina Stato, a destra di Protezione della rete dalle minacce,
fare clic su Opzioni e quindi su Cambia impostazioni.
2
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
nella scheda Registri, nel campo di testo Dimensioni massime file di registro,
digitare il numero massimo di kilobyte per la dimensione del file di registro.
È necessario limitare la dimensione del file di registro a causa dello spazio a
disposizione sul computer. La dimensione predefinita per tutti i registri è 512
KB, tranne per il registro di controllo e il registro del pacchetto. La dimensione
predefinita per il registro di controllo e il registro del pacchetto è 1024 KB.
3
Fare clic su OK.
Configurazione del tempo di mantenimento per le voci del registro di
protezione della rete dalle minacce e le voci del registro di gestione
client
È possibile specificare per quanti giorni le voci vengono mantenute in ogni registro.
Dopo che è trascorso il numero massimo di giorni, le voci più vecchie vengono
sostituite. È inoltre possibile eliminare le voci per liberare dello spazio o mantenere
le voci per esaminare la sicurezza del computer.
157
158
Utilizzo e gestione dei registri
Gestione della dimensione del registro
Per impostare il numero di giorni di mantenimento delle voci di registro
1
Nel client, nella pagina Stato, a destra di Protezione della rete dalle minacce
o Gestione client, fare clic su Opzioni e quindi su Cambia impostazioni.
2
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
nella scheda Registri, nel campo di testo Salva ciascuna voce di registro per,
digitare il numero massimo di giorni di mantenimento delle voci di registro.
3
Fare clic su OK.
Informazioni sull'eliminazione del contenuto del registro sistema della
protezione antivirus e antispyware
Non è possibile rimuovere permanentemente i record degli eventi dal registro
sistema usando l'interfaccia utente.
Eliminazione del contenuto dei registri di protezione dalle minacce di
rete e dei registri di gestione client
Se l'amministratore lo consente, è possibile rimuovere il contenuto del registro
di protezione dalle minacce di rete e dei registri di gestione client. Dopo avere
rimosso il contenuto, ogni registro inizia subito a salvare le nuove voci.
Nota: se l'opzione Cancella non è disponibile, non si dispone del permesso per
eliminare il contenuto del registro.
Se si dispone di questo permesso, è anche possibile eliminare il contenuto dal
menu File del registro.
Per eliminare il contenuto di un registro
1
Nel client, alla pagina Stato, a destra di Protezione della rete dalla minacce,
fare clic su Opzioni, quindi fare clic su Cambia impostazioni.
2
Nella finestra di dialogo Configura Protezione della rete dalle minacce, nella
scheda Registri, accanto al registro desiderato, fare clic su Cancella registro.
3
Alla richiesta di conferma, fare clic su Sì.
4
Fare clic su OK.
Utilizzo e gestione dei registri
Invio alla quarantena di rischi e minacce dal registro dei rischi e dal registro delle minacce
Invio alla quarantena di rischi e minacce dal registro
dei rischi e dal registro delle minacce
È possibile mettere in quarantena le minacce che sono state registrate nel registro
di cronologia minacce della protezione proattiva dalle minacce. È possibile mettere
in quarantena i rischi registrati nel registro dei rischi della protezione antivirus
e antispyware. È inoltre possibile pulire e eliminare rischi dal registro dei rischi
della protezione antivirus e antispyware.
Per mettere in quarantena un rischio o una minaccia
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
Accanto a Protezione antivirus e antispyware o Protezione proattiva dalle
minacce, fare clic su Visualizza registri e quindi sul nome del registro
desiderato.
3
Selezionare un rischio o una minaccia e quindi fare clic su Quarantena.
Sulla base dell'azione preimpostata per la rilevazione del rischio, è possibile
che Symantec Endpoint Protection non sia in grado di eseguire l'operazione
selezionata. Se il passaggio della minaccia o rischio alla quarantena riesce,
viene visualizzato un messaggio indicante la riuscita dell'operazione. Non è
necessario prendere ulteriori provvedimenti per garantire la sicurezza del
computer da questo rischio o minaccia. È possibile lasciare in quarantena i
file infetti con rischi oppure eliminarli. È necessario lasciare i file infetti in
quarantena finché non si è certi che le applicazioni installate sul computer
funzionino correttamente.
Vedere "Informazioni sui file infettati in quarantena" a pagina 89.
Nei casi in cui Symantec Endpoint Protection non riesce a spostare il rischio
o la minaccia in quarantena, appare un messaggio di errore. In tali casi, può
essere utile contattare l'amministratore.
È inoltre possibile pulire ed eliminare i rischi e le minacce, nonché nei casi previsti
annullare le azioni di questi registri.
Vedere "Interventi sui file infetti" a pagina 20.
Utilizzo dei registri di protezione della rete dalle
minacce e dei registri di gestione client
I registri di protezione della rete dalle minacce e i registri di gestione client
consentono di seguire l'attività del computer e la relativa interazione con altri
computer e reti. Questi registri registrano informazioni sul traffico che cerca di
159
160
Utilizzo e gestione dei registri
Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client
accedere al o uscire dal computer attraverso la connessione di rete. Questi registri
registrano inoltre informazioni sui risultati della politica del firewall che è
applicata al client.
È possibile gestire i registri di protezione della rete dalle minacce e i registri di
gestione client del client da una posizione centrale. I registri di sicurezza, del
traffico e del pacchetto permettono di rintracciare l'origine di alcuni dati. A questo
scopo viene usato ICMP per determinare tutti i punti di passaggio fra il computer
e un intruso su un altro computer.
Nota: Alcune opzioni per questi registri possono non essere disponibili, a seconda
del tipo di controllo che l'amministratore ha impostato per il client.
Aggiornamento dei registri di protezione dalle minacce di rete e dei
registri di gestione client
Per aggiornare un registro
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
A destra di Protezione della rete dalle minacce o di Gestione client, fare clic
su Visualizza registri e quindi fare clic sul nome del registro desiderato.
3
Nel menu Visualizza, fare clic su Aggiorna.
Attivazione del registro pacchetti
Tutti i registri di protezione dalle minacce di rete e i registri di gestione client
sono attivati per impostazione predefinita a eccezione del registro pacchetti. Se
consentito dall'amministratore, è possibile attivare e disattivare il registro
pacchetti.
Per attivare il registro pacchetti
1
Nel client, nella pagina Stato, a destra di Protezione della rete dalle minacce,
fare clic su Opzioni e quindi su Cambia impostazioni.
2
Nella finestra di dialogo Impostazioni di protezione della rete dalle minacce,
fare clic su Registri.
3
Selezionare Attiva registro dei pacchetti.
4
Fare clic su OK.
Utilizzo e gestione dei registri
Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client
Interruzione della risposta attiva
Tutte le intrusioni rilevate nel client avviano una risposta attiva che blocca
automaticamente l'indirizzo IP di un intruso noto per un tempo specifico. Se
autorizzati dall'amministratore, è possibile interrompere la risposta attiva
immediatamente dal registro di sicurezza.
Vedere "Blocco di un computer autore dell'attacco" a pagina 128.
Back trace degli eventi registrati all'origine
È possibile eseguire il back trace di alcuni eventi per individuare l'origine dei dati
di un evento registrato. In modo analogo a un agente investigativo che rintraccia
il percorso di un criminale a partire dalla scena del delitto, il back trace consente
di visualizzare i punti di passaggio precisi attraversati dal traffico in entrata. Un
punto di passaggio è un punto di transizione quale un router che un pacchetto
attraversa mentre passa da un computer all'altro in Internet. Il back trace rintraccia
a ritroso il percorso del pacchetto di dati, individuando i router attraverso i quali
sono passati i dati prima di raggiungere il computer.
Nella Figura 10-1 è mostrato in che modo il client individua l'origine dei dati di
un evento registrato.
161
162
Utilizzo e gestione dei registri
Utilizzo dei registri di protezione della rete dalle minacce e dei registri di gestione client
Back trace di un pacchetto
Figura 10-1
Computer utente
Computer hacker
Dati
Hop 1
Hop 2
Hop 3
Hop 4
Hop 5
Hop 6
Router nella rete pubblica
Alcune voci di registro consentono di rintracciare il pacchetto di dati utilizzato
in un tentativo di attacco. Ogni router attraversato da un pacchetto di dati ha un
indirizzo IP. È possibile visualizzare l'indirizzo IP e altri dettagli. Le informazioni
visualizzate non garantiscono che sia stato individuato l'hacker responsabile
dell'attacco. L'indirizzo IP del punto di passaggio finale indica il proprietario del
router a cui si sono connessi gli hacker, non necessariamente gli hacker.
È possibile eseguire il back trace di alcuni eventi registrati nel registro della
sicurezza e nel registro del traffico.
Per eseguire il back trace di un evento registrato
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
A destra di Protezione della rete dalle minacce o di Gestione client, fare clic
su Visualizza registri. Fare clic sul registro che contiene la voce che si desidera
rintracciare.
3
Nella finestra di visualizzazione del registro, selezionare la riga della voce
che si desidera rintracciare.
4
Fare clic su Azione, quindi su Back trace.
Utilizzo e gestione dei registri
Esportazione dei dati dei registri
5
Nella finestra di dialogo Informazioni back trace, fare clic su Chi>> per
visualizzare informazioni dettagliate su ogni punto di passaggio.
Un pannello a discesa mostra le informazioni dettagliate sul proprietario
dell'indirizzo IP da cui l'evento del traffico ha avuto origine. È possibile
utilizzare Ctrl-C e Ctrl-V per tagliare e incollare le informazioni del pannello
in un messaggio di e-mail da inviare all'amministratore.
6
Fare clic su Chi<< di nuovo per nascondere le informazioni.
7
Al termine, fare clic su OK.
Utilizzo dei registri di gestione dei client con Symantec Network Access
Control
Se è installato Symantec Network Access Control, è possibile eseguire le attività
seguenti dal menu Azione del registro di sicurezza e del registro di sistema:
■
Aggiornare una politica
Vedere "Aggiornamento della politica di sicurezza" a pagina 17.
■
Controllare l'integrità dell'host
Vedere "Controllo di integrità dell'host" a pagina 137.
Esportazione dei dati dei registri
È possibile esportare i dati di determinati registri in file in formato testo separato
da virgole (.csv) o in formato database di MS Access (*.mdb). Il formato csv è un
formato di file comune, utilizzato per l'importazione di dati nella maggior parte
dei programmi di database e dei fogli di calcolo. Una volta importati in un altro
programma, i dati sono utilizzabili per creare presentazioni, grafici, o per l'unione
con altre informazioni. È possibile esportare i dati dei registri della protezione
della rete dalle minacce e dei registri della gestione client in file di testo delimitato
da tabulazioni.
È possibile esportare i seguenti registri in file mdb o csv:
■
Registro di sistema della protezione antivirus e antispyware
■
Registro rischi della protezione antivirus e antispyware
■
Registro scansione della protezione antivirus e antispyware
■
Registro sistema TruScan
■
Registro minacce TruScan
■
Registro della protezione contro le manomissioni
163
164
Utilizzo e gestione dei registri
Esportazione dei dati dei registri
Nota: se i dati di registro vengono filtrati in qualsiasi modo e quindi esportati,
verranno esportati soltanto i dati filtrati. Questa limitazione non è valida per i
registri esportati in un file di testo delimitato da tabulazioni. Tutti i dati di tali
registri vengono esportati.
Vedere "Filtro delle viste del registro" a pagina 154.
È possibile esportare i seguenti registri in file di testo delimitato da tabulazioni
(txt):
■
Registro controllo della gestione client
■
Registro pacchetti della protezione della rete dalle minacce
■
Registro sicurezza della gestione client
■
Registro sistema della gestione client
■
Registro traffico della protezione della rete dalle minacce
Nota: oltre che in un file di testo delimitato da tabulazioni, è possibile esportare
i dati dal registro pacchetti in formato di controllo di rete o in formato NetXray.
Per esportare dati in un file csv
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
Accanto a Protezione antivirus e antispyware, Protezione proattiva dalle
minacce o Protezione contro le manomissioni, fare clic su Visualizza registri.
3
Fare clic sul nome del registro desiderato.
4
Nella finestra del registro, assicurarsi che i dati da salvare siano visualizzati.
Fare clic su Esporta.
5
Nella finestra di dialogo Salva con nome, digitare un nome per il file.
6
Selezionare la directory in cui si desidera salvare il file.
7
Fare clic su Salva.
Per esportare i dati del registro della protezione della rete dalle minacce o della
gestione client in un file di testo
1
Nel client, nella barra laterale, fare clic su Visualizza registri.
2
A destra di Protezione della rete dalle minacce o di Gestione client, fare clic
su Visualizza registri.
3
Fare clic sul nome del registro dal quale esportare i dati.
Utilizzo e gestione dei registri
Esportazione dei dati dei registri
4
Fare clic su File e quindi su Esporta.
Se si è selezionato il registro pacchetti, è possibile fare clic su Esporta nel
formato di controllo di rete o su Esporta nel formato Netxray.
5
Nella finestra di dialogo Salva con nome, digitare un nome per il file.
6
Selezionare la directory in cui si desidera salvare il file.
Fare clic su Salva.
165
166
Utilizzo e gestione dei registri
Esportazione dei dati dei registri
Indice
A
Adware 40
Altre categorie di rischi 41
Ambienti gestiti
informazioni 12
Ambienti non gestiti
informazioni 12
Applicazione
informazioni 139
Applicazioni
autorizzazione o blocco 129
definizione 116
Attacchi
blocco 107
firme 110
rete 110
attività di rete
visualizzazione 112
Autenticazione 802.1x
configurazione 141
informazioni 139
riautenticazione 12
Auto-Protect
affidabilità delle versioni remote 62
attivazione e disattivazione per file system 45
attivazione e disattivazione per l'e-mail 45
cache di rete 63
client di e-mail groupware 57
connessioni crittografate di e-mail 58
determinazione dei tipi di file 60
disattivazione della scansione dei rischi per la
sicurezza 61
disattivazione temporanea 44
impostazioni di scansione della rete 62
per client di Microsoft Exchange 57
per l'e-mail di Internet 57
per Lotus Notes 57
rischi per la sicurezza 56
scansione in base all'estensione 53
stato 44
utilizzo 56
visualizzazione dell'elenco dei rischi 60
visualizzazione delle statistiche di scansione 59
Autorizzazione del traffico 119, 129
Azioni
assegnazione di azioni secondarie per i virus 81
suggerimenti sull'assegnazione di azioni
secondarie per rischi per la sicurezza 82
B
Blocco del traffico 119, 125, 129
Blocco di un computer autore dell'attacco 128
Bot 40
C
Cache di rete
impostazioni di Auto-Protect 63
Cartella Elementi di backup
cancellazione 92
Cartelle
esclusione dalle scansioni 86
Centro sicurezza PC Windows (WSC)
visualizzazione dello stato del firewall 48
visualizzazione dello stato dell’antivirus 47
Client
apertura 12
disattivazione 12
informazioni 11
interazioni 19
Client gestiti
aggiornamento 16
e client indipendenti 35
Client indipendenti
e client gestiti 35
Client non gestiti
aggiornamento 16
Comandi
icona dell'area di notifica 12
Computer a 64 bit 67
Condivisione di file e cartelle 132
Condivisione di stampanti 132
168
Indice
Connessioni UDP
informazioni 117
Controllo dell'accesso alla rete
informazioni 135
Controllo di accesso della rete
risoluzione dei problemi del computer 138
Controllo di integrità dell'host
esecuzione 137
D
Definite
scansioni 110
Dialer 40
E
Firewall
impostazioni 113, 122
informazioni 108
Firme IPS
informazioni 110
G
Guida in linea
accesso 17
H
Hacking, strumenti 40
Host
definizione 116
E-mail
connessioni crittografate 58
esclusione del file della posta in arrivo dalle
scansioni 52
rilascio di allegati dalla quarantena 92
Eccezioni centralizzate
esclusione di elementi dalle scansioni 54
per scansioni antivirus e antispyware 86
rilevazioni di scansione proattiva delle
minacce 105
Esclusioni
creazione per le scansioni 54
Estensioni
esclusione dalle scansioni 86
inclusione nelle scansioni 53
I
F
M
File
Mascheramento fingerprint del sistema operativo
attivazione 122
Messaggi
prevenzione delle intrusioni 127
risposta 22
Minacce
di tipo misto 40
Minacce di tipo misto 40
Modalità stealth di esplorazione Web
attivazione 122
backup 92
esclusione dalle scansioni 86
invio a Symantec Security Response 94
rilascio dalla quarantena 92
ripetizione automatica della scansione dei file
in quarantena 91
ripetizione manuale della scansione dei file in
quarantena 92
ripristino dei file riparati 92
scansione 52
File delle definizioni 14, 66
File infettato
interventi 20
Filtri del traffico intelligenti
definizione 124
Icona dell'area di notifica
informazioni 12
nascondere e mostrare 13
Impostazioni
firewall 113
prevenzione delle intrusioni 127
Infezioni da virus macro
blocco 55
Internet, bot 40
L
LiveUpdate
funzionamento 16
N
Network Access Control
informazioni 136
notifiche 26
Indice
Notifiche
informazioni 19
interazione dell’utente 75
Network Access Control 26
prevenzione delle intrusioni 127
risposta 22
Nuova sequenza TCP
attivazione 122
O
Opzioni
non disponibili 36
P
Politiche
aggiornamento 12, 17
informazioni 16
Porte
informazioni 107
Posizioni
informazioni 30
modifica 30
Prevenzione delle intrusioni
attivazione 127
configurazione 126
informazioni 110
notifiche 127
risposta 25
Profili 14
Programmi di accesso remoto 41
Programmi scherzo 41
Protezione
aggiornamento 14, 16
attivazione e disattivazione dei tipi 43
tipi 11
Protezione a livello di driver
attivazione 122
Protezione antivirus e antispyware
attivazione e disattivazione 44
informazioni 36, 52
stato 44
Protezione contro le manomissioni
attivazione e disattivazione 32
configurazione 32
informazioni 31
Protezione da attacchi zero-day 95
Protezione da spoofing MAC
attivazione 122
Protezione dalle minacce di rete
attivazione e disattivazione 46
informazioni 37
Protezione della rete dalle minacce
informazioni 107
Protezione NetBIOS
attivazione 122
Protezione proattiva dalle minacce
attivazione o disattivazione 46
informazioni 37
Protocollo
definizione 116
Prova del computer 29
Q
Quarantena 88
eliminazione di file 90, 93
eliminazione manuale dei file 93
gestione 90
gestione dei file infettati 89
gestione di file minacciati da rischi per la
sicurezza 90
invio di file a Symantec Security Response 94
rilascio di file 92
rimozione dei file di backup 92
ripetizione automatica della scansione dei file 91
ripetizione manuale della scansione dei file 92
spostamento di file 89
visualizzazione dei dettagli dei file 91
visualizzazione dei file infettati 89
R
Registri
aggiornamento 160
attivazione del registro pacchetti 160
back trace delle voci 161
configurazione dei tempi di mantenimento delle
voci 157
configurazione del tempo di mantenimento delle
voci 157
configurazione della dimensione 157
descrizione 148
eliminazione 158
esportazione delle voci di registro filtrate 164
esportazione di dati 163
filtro 154
filtro in base al livello di gravità 155
filtro in base al periodo di tempo 154
169
170
Indice
filtro per categoria di evento 156
formati di esportazione 163–164
gestione client 159
informazioni 147
limitazione della dimensione 156
messa in quarantena di rischi e minacce 159
Network Access Control 138
protezione della rete dalle minacce 159
Symantec Endpoint Protection 148
Symantec Network Access Control 148
visualizzazione 153
visualizzazione delle proprietà delle voci 154
Registro dei rischi 149
Registro del traffico 151
Registro di controllo 152
Registro di protezione contro le manomissioni 150
Registro di scansione 149
Registro di sistema 152
protezione proattiva dalle minacce 150
Registro minacce 150
Registro pacchetti 151
attivazione 160
Registro sicurezza 152
Registro sistema
eliminazione di voci 158
Registro sistema della protezione antivirus e
antispyware 149
Regole firewall
attivazione e disattivazione 120
creazione 119
eliminazione 122
esportazione 121
importazione 121
informazioni 115
modifica 121
modifica dell'ordine 120
ordine di elaborazione 118
programmazione 115
registrazione 115
regole firewall
informazioni 114
Rete, controllo di accesso
applicazione 139
Riautenticazione 142
Rilevazione, frequenza
invio di informazioni a Symantec 77
Rischi per la sicurezza 39
configurazione delle notifiche 83
configurazione di azioni 78
esclusione dalle scansioni 86
il processo continua a essere scaricato 57
operazioni da eseguire quando vengono
rilevati 55
opzioni di rilevazione 84
opzioni di risoluzione 84
rilevazione da parte del client 64
risposta del client 42
suggerimenti sull'assegnazione di azioni
secondarie 82
Risposta attiva
informazioni 128
Rootkit 39
S
Sblocco di un computer autore dell'attacco 129
Scansione dei rischi per la sicurezza
disattivazione in Auto-Protect 61
Scansione della rete
impostazioni di Auto-Protect 62
Scansione e-mail. Vedere Auto-Protect
Scansioni
eccezioni centralizzate per 86
esclusione di file 54
file 52
file compressi 67
interpretazione dei risultati 74
opzioni di posticipo 50
pianificate 68
posticipo 48
scansione di file in base all'estensione 53
sospensione 48
tutti i tipi di file 54
scansioni. Vedere Antivirus e antispyware
Scansioni all'avvio
creazione 71
modifica ed eliminazione 74
scansione in base all'estensione 53
Scansioni definite dall'utente
modifica ed eliminazione 74
Scansioni delle porte
porta 110
Scansioni manuali. Vedere Scansioni su richiesta
Scansioni pianificate
creazione 68
modifica ed eliminazione 74
multiple 71
scansione in base all'estensione 53
Indice
Scansioni proattive delle minacce. Vedere Scansioni
proattive delle minacce TruScan
Scansioni proattive delle minacce TruScan
applicazioni commerciali 101
azioni 102
eccezioni centralizzate 105
falsi positivi 99
frequenza 99
gestione 100
informazioni 95–96
invio di informazioni 104
livello di sensibilità 102
notifiche per 104
registri 150
rilevazioni 98
tipi di processi da rilevare 103
Scansioni su richiesta
avvio 67
creazione 71
scansione in base all'estensione 53
Schede di rete
definizione 116
Servizi Windows
visualizzazione 113
Smart DHCP 124
Smart DNS 124
Smart WINS 124
Spyware 41
Stateful inspection
creazione di regole per il traffico 117
informazioni 117
Symantec Security Response
accesso 18
informazioni 15
invio di file 94
sito Web 17–18
T
Tipi di scansione
manuale 67
Trackware 41
Traffico
autorizzazione o blocco 129
blocco 125
traffico
visualizzazione 112
traffico di trasmissione
visualizzazione 113
Traffico Token Ring
attivazione 122
Trojan horse 40
V
Valutazione dell'impatto dei rischi 82
Virus 39–40
assegnazione di azioni secondarie 81
configurazione delle notifiche 83
configurazione di azioni 78
danni ai file 22
non riconosciuti 94
operazioni da eseguire quando vengono
rilevati 55
opzioni di rilevazione 84
opzioni di risoluzione 84
rilevazione da parte del client 64
risposta del client 42
W
Worm 40
171
