Endpoint Security 10.5 Produkthandbok
Produkthandbok McAfee Endpoint Security 10.5 COPYRIGHT © 2016 Intel Corporation VARUMÄRKEN Intel och Intel-logotypen är registrerade varumärken som tillhör Intel Corporation i USA och/eller andra länder. McAfee, McAfee-logotypen, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource och VirusScan är registrerade varumärken eller varumärken som tillhör McAfee, Inc. eller dess dotterbolag i USA och andra länder. Övriga namn och varumärken kan tillhöra andra. LICENSINFORMATION Licensavtal MEDDELANDE TILL ALLA ANVÄNDARE: LÄS NOGA TILLHÖRANDE JURIDISKA AVTAL FÖR DEN LICENS DU HAR KÖPT. I AVTALET ANGES ALLMÄNNA VILLKOR FÖR ANVÄNDNINGEN AV DEN LICENSIERADE PROGRAMVARAN. OM DU INTE VET VILKEN TYP AV LICENS DU HAR KAN DU SE DET PÅ FAKTURA/KVITTO ELLER DE LICENS-/INKÖPSHANDLINGAR SOM MEDFÖLJER FÖRPACKNINGEN ELLER SOM DU ERHÖLL SEPARAT VID KÖPET (BROSCHYR, FIL PÅ CD-SKIVAN MED PRODUKTEN ELLER FIL PÅ DEN WEBBPLATS DÄR DU HÄMTADE PROGRAMPAKETET). OM DU INTE ACCEPTERAR ALLA VILLKOR I AVTALET SKA DU INTE INSTALLERA PROGRAMVARAN. SKICKA I SÅ FALL TILLBAKA PRODUKTEN TILL MCAFEE ELLER TILL STÄLLET DÄR DU KÖPTE PRODUKTEN FÖR ATT FÅ PENGARNA TILLBAKA. 2 McAfee Endpoint Security 10.5 Produkthandbok Innehåll 1 McAfee Endpoint Security 7 Introduktion 9 Endpoint Security-moduler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Så här skyddar Endpoint Security din dator . . . . . . . . . . . . . . . . . . . . . . . Så här uppdateras skyddet . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommunicera med Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet . . . . . . . . . Om aviseringsmeddelanden . . . . . . . . . . . . . . . . . . . . . . . . . . Använda Endpoint Security-klient . . . . . . . . . . . . . . . . . . . . . . . . 2 Använda Endpoint Security-klient 19 Öppna Endpoint Security-klient . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hjälp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Svara på frågor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Svara på en avkänningsfråga vid hot . . . . . . . . . . . . . . . . . . . . . . . Svara på en genomsökningsfråga . . . . . . . . . . . . . . . . . . . . . . . . Få information om ditt skydd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hanteringstyp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uppdatera innehåll och programvara manuellt . . . . . . . . . . . . . . . . . . . . . . Vad som uppdateras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visa Händelselogg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Namn och platser för Endpoint Security-loggfiler . . . . . . . . . . . . . . . . . . Hantera Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Logga in som administratör . . . . . . . . . . . . . . . . . . . . . . . . . . Låsa upp klientgränssnittet . . . . . . . . . . . . . . . . . . . . . . . . . . . Inaktivera och aktivera funktioner . . . . . . . . . . . . . . . . . . . . . . . . Ändra innehållsversionen för AMCore . . . . . . . . . . . . . . . . . . . . . . Använd Extra.DAT-filer . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurera gemensamma inställningar . . . . . . . . . . . . . . . . . . . . . . Konfigurera uppdateringsbeteende . . . . . . . . . . . . . . . . . . . . . . . . Endpoint Security-klient gränssnittsreferens – Delade . . . . . . . . . . . . . . . . . . . Sidan Händelselogg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Delade – Alternativ Sidan . . . . . . . . . . . . . . . . . . . . . . . . . . . Gemensamma – Aktiviteter . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Använda Hotdetektering 19 20 20 20 21 21 22 22 23 23 24 26 26 26 27 27 28 29 33 39 39 41 48 55 Genomsök datorn efter skadlig programvara . . . . . . . . . . . . . . . . . . . . . . . Typer av genomsökning . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kör en Fullständig genomsökning eller en Snabbgenomsökning . . . . . . . . . . . . Genomsöka en fil eller mapp . . . . . . . . . . . . . . . . . . . . . . . . . . Hantera hotavkänningar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hantera objekt som satts i karantän . . . . . . . . . . . . . . . . . . . . . . . . . . Avkänningsnamn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Göra en ny genomsökning av objekt i karantän . . . . . . . . . . . . . . . . . . McAfee Endpoint Security 10.5 9 10 10 12 12 14 14 55 55 56 58 59 60 61 63 Produkthandbok 3 Innehåll Hantera Hotdetektering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Konfigurera undantag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Skydda systemets åtkomstpunkter . . . . . . . . . . . . . . . . . . . . . . . 65 Blockerar utnyttjande av buffertspill . . . . . . . . . . . . . . . . . . . . . . . 74 Känner av eventuellt oönskade program . . . . . . . . . . . . . . . . . . . . . 79 Konfigurera gemensamma inställningar för genomsökning . . . . . . . . . . . . . . 81 Så här fungerar McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Konfigurera Genomsökning vid åtkomst inställningar . . . . . . . . . . . . . . . . 82 Konfigurera Genomsökning på begäran inställningar . . . . . . . . . . . . . . . . 89 Konfigurera, schemalägga och köra genomsökningar . . . . . . . . . . . . . . . . 93 Endpoint Security-klient gränssnittsreferens – Hotdetektering . . . . . . . . . . . . . . . . 94 Sidan Karantän . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Hotdetektering – Åtkomstskydd . . . . . . . . . . . . . . . . . . . . . . . . 95 Sidan Hotdetektering – Utnyttjandeskydd . . . . . . . . . . . . . . . . . . . . 107 Hotdetektering – Genomsökning vid åtkomst . . . . . . . . . . . . . . . . . . . 113 Hotdetektering – Genomsökning på begäran . . . . . . . . . . . . . . . . . . . 117 Genomsök platser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Åtgärder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Lägg till undantag eller Redigera undantag . . . . . . . . . . . . . . . . . . . . 126 Hotdetektering – Alternativ . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Klientaktiviteten Återställ AMCore-innehåll . . . . . . . . . . . . . . . . . . . . 128 4 Använda Brandvägg 129 Så här fungerar Brandvägg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen . . . . . . . . . . . . . Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen . . . . . . . . . . Om tidsbegränsade grupper . . . . . . . . . . . . . . . . . . . . . . . . . . Hantera Brandvägg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ändra Brandvägg-alternativ . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurera Brandvägg regler och grupper . . . . . . . . . . . . . . . . . . . . Endpoint Security-klient gränssnittsreferens – Brandvägg . . . . . . . . . . . . . . . . . Brandvägg – Alternativ . . . . . . . . . . . . . . . . . . . . . . . . . . . Brandvägg – Regler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Använda Webbkontroll 157 Om funktioner i Webbkontroll . . . . . . . . . . . . . . . . . . . . . . . . . . . . Så här blockerar eller varnar Webbkontroll om webbplatser eller hämtningar . . . . . . Knappen Webbkontroll identifierar hot vid surfning . . . . . . . . . . . . . . . . . Säkerhetsikoner identifierar hot vid sökning . . . . . . . . . . . . . . . . . . . Webbplatsrapporter innehåller detaljer . . . . . . . . . . . . . . . . . . . . . Så här fastställs säkerhetsklassificeringar . . . . . . . . . . . . . . . . . . . . Få åtkomst till funktionerna i Webbkontroll . . . . . . . . . . . . . . . . . . . . . . . Aktivera plugin-programmet Webbkontroll i webbläsaren . . . . . . . . . . . . . . Visa information om en webbplast medan du surfar . . . . . . . . . . . . . . . . Visa webbplatsrapport under genomsökning . . . . . . . . . . . . . . . . . . . Hantera Webbkontroll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurera alternativ för Webbkontroll . . . . . . . . . . . . . . . . . . . . . Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier Endpoint Security-klient gränssnittsreferens – Webbkontroll . . . . . . . . . . . . . . . . Webbkontroll – Alternativ Sidan . . . . . . . . . . . . . . . . . . . . . . . . Webbkontroll – Innehållsåtgärder . . . . . . . . . . . . . . . . . . . . . . . 6 Använda Adaptivt skydd mot hot 129 129 130 130 130 131 135 144 144 148 157 159 159 160 160 161 162 162 163 164 164 164 167 168 168 171 175 Om Adaptivt skydd mot hot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Fördelar med Adaptivt skydd mot hot . . . . . . . . . . . . . . . . . . . . . . 175 4 McAfee Endpoint Security 10.5 Produkthandbok Innehåll Adaptivt skydd mot hot komponenter . . . . . . . . . . . . . . . . . . . . . . Så här fungerar Adaptivt skydd mot hot . . . . . . . . . . . . . . . . . . . . . Så här fastställs ett rykte . . . . . . . . . . . . . . . . . . . . . . . . . . . Svara på en filryktesbegäran . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hantera Adaptivt skydd mot hot . . . . . . . . . . . . . . . . . . . . . . . . . . . Komma igång . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Innesluta program dynamiskt . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurera alternativ för Adaptivt skydd mot hot . . . . . . . . . . . . . . . . . Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot . . . . . . . . . . . Sidan Adaptivt skydd mot hot – Dynamisk programinneslutning . . . . . . . . . . . Sidan Adaptivt skydd mot hot – Alternativ . . . . . . . . . . . . . . . . . . . . Index McAfee Endpoint Security 10.5 176 178 179 181 182 182 184 190 191 191 194 199 Produkthandbok 5 Innehåll 6 McAfee Endpoint Security 10.5 Produkthandbok McAfee Endpoint Security ® McAfee Endpoint Security är en omfattande lösning för säkerhetshantering som körs på nätverksdatorer för att identifiera och stoppa hot automatiskt. Hjälpen förklarar hur du använder de grundläggande säkerhetsfunktionerna och felsöker problem. För att det ska gå att använda Endpoint Security Hjälp med Internet Explorer, måste Säkerhetsinställningar | Skript | Active Scripting vara aktiverat i webbläsaren. Komma igång • Endpoint Security-moduler på sidan 9 • Så här skyddar Endpoint Security din dator på sidan 10 • Kommunicera med Endpoint Security på sidan 12 Vanliga aktiviteter • Öppna Endpoint Security-klient på sidan 19 • Uppdatera innehåll och programvara manuellt på sidan 22 • Genomsök datorn efter skadlig programvara på sidan 55 • Låsa upp klientgränssnittet på sidan 26 Mer information Mer information om den här produkten finns i: • McAfee Endpoint Security Installationshandbok • Endpoint Security-brandvägg Hjälp • Migreringsguide för McAfee Endpoint Security • Endpoint Security-webbkontroll Hjälp • Versionsinformation för McAfee Endpoint Security • Endpoint Securitys adaptiva skydd mot hot Hjälp • Endpoint Security-hotdetektering Hjälp • McAfee support McAfee Endpoint Security 10.5 Produkthandbok 7 McAfee Endpoint Security 8 McAfee Endpoint Security 10.5 Produkthandbok 1 Introduktion Endpoint Security är en omfattande lösning för säkerhetshantering som körs på nätverksdatorer för att identifiera och stoppa hot automatiskt. Hjälpen förklarar hur du använder de grundläggande säkerhetsfunktionerna och felsöker problem. Om din dator hanteras kan en administratör att installera och konfigurera Endpoint Security men en av dessa hanteringsservrar: • McAfee ePolicy Orchestrator (McAfee ePO ) • McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) ® ® ® ® ® ™ ™ Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB87057. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee ePO Cloud. Om din dator är självhanterad, kallas också ej hanterad, kan du eller din administratör konfigurera programvaran med Endpoint Security-klient. Innehåll Endpoint Security-moduler Så här skyddar Endpoint Security din dator Kommunicera med Endpoint Security Endpoint Security-moduler Administratören konfigurerar och installerar en eller fleraEndpoint Security-moduler på klientdatorer. • Hotdetektering – Söker efter virus, spionprogram, oönskade program och andra hot genom att genomsöka objekt automatiskt varje gång du använder dem, eller på begäran. • Brandvägg – Övervakar kommunikation mellan datorn och resurser i nätverket eller på Internet. Stoppar misstänkt kommunikation. • Webbkontroll – Visar säkerhetsklassificeringar och rapporter för webbsidor under online-navigering och sökning. Med Webbkontroll kan webbplatsadministratören blockera åtkomst till webbplatser baserat på säkerhetsklassificering eller innehåll. • Adaptivt skydd mot hot – Analyserar innehåll från ditt företag och beslutar vad som ska göras baserat på filrykte, regler och rykteströsklar. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee ePO Cloud. McAfee Endpoint Security 10.5 Produkthandbok 9 1 Introduktion Så här skyddar Endpoint Security din dator Dessutom har modulen Delade inställningar för vanliga funktioner, såsom säkerhet för gränssnitt och loggning. Den här modulen installeras automatiskt om någon annan modul installeras. Så här skyddar Endpoint Security din dator Vanligtvis konfigureras Endpoint Security av en administratör som även installerar programvaran i klientdatorerna, övervakar säkerhetsstatus och konfigurerar säkerhetsregler som kallas för principer. Som klientdatoranvändare kommunicerar du med Endpoint Security via klientprogramvaran som är installerad på datorn. Principerna som bestäms av administratören avgör hur funktionerna fungerar på din dator och huruvida du kan ändra inställningarna. Om Endpoint Security är självhanterat går det att ange hur modulerna och funktionerna fungerar. Visa Om-sidan för att fastställa hanteringstypen. Klientprogramvaran på datorn ansluter regelbundet till en webbplats på Internet för att komponenterna ska kunna uppdateras. Samtidigt skickas data om avkänningar på datorn till hanteringsservern. Informationen används för att skapa rapporter åt administratören om avkänningar och säkerhetsproblem på din dator. Vanligtvis körs klientprogramvaran i bakgrunden utan att du behöver vidta några åtgärder alls. Ibland kan du dock behöva ingripa. Du kan exempelvis vilja söka efter programuppdateringar eller skadlig programvara manuellt. Beroende på de principer som bestämts av administratören kan du också anpassa säkerhetsinställningarna. Om du är administratör kan du hantera och konfigurera klientprogramvaran centralt med hjälp av McAfee ePO eller McAfee ePO Cloud. Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB87057. Se även Få information om ditt skydd på sidan 21 Så här uppdateras skyddet Regelbundna uppdateringar av Endpoint Security säkerställer att din dator alltid är skyddad från de senaste hoten. Vid uppdateringar ansluts klientprogramvaran på datorn till en lokal server eller en fjärrserver vid McAfee ePO eller direkt till en webbplats på Internet. Endpoint Security söker efter följande: • Uppdateringar av innehållsfiler som används för att identifiera hot. Innehållsfiler innehåller definitioner av hot, t.ex. virus och spionprogram, och dessa definitioner uppdateras när nya hot upptäcks. • Uppgraderingar för programkomponenter, till exempel korrigeringar och snabbkorrigeringar. För att underlätta terminologin refererar Hjälpen till uppdateringar både för uppdateringar och uppgraderingar. Uppdateringar sker vanligen automatiskt i bakgrunden. Du kan också behöva söka efter uppdateringar manuellt. Beroende på inställningarna, går det att uppdatera ditt skydd manuellt frånEndpoint Security-klient genom att klicka på . Se även Uppdatera innehåll och programvara manuellt på sidan 22 10 McAfee Endpoint Security 10.5 Produkthandbok 1 Introduktion Så här skyddar Endpoint Security din dator Så här fungerar innehållsfiler När genomsökningsmotorn söker efter hot i filer jämförs innehållet i de genomsökta filerna med information om kända hot som är lagrade i AMCore-innehållsfilerna. Utnyttjandeskydd använder egna innehållsfiler för att skydda mot utnyttjande. McAfee Labs hittar och lägger till information om kända hot (signaturer) till innehållsfilerna. Förutom signaturer innehåller innehållsfilerna information om rensning och åtgärder för skador som kan orsakas av den identifierade skadliga programvaran. Nya hot visas och McAfee Labs släpper uppdaterade innehållsfiler regelbundet. Om en hotsignatur inte finns i de installerade innehållsfilerna kan genomsökningsmotorn inte identifiera detta hot och datorn har inget skydd mot angrepp. Endpoint Security lagrar den aktuella inlästa innehållsfilen och de två tidigare versionerna i Program Files\Common Files\McAfee\Engine\content folder. Det går att återställa till en tidigare version vid behov. Om ny skadlig programvara upptäcks och en extra avkänning krävs utanför det vanliga schemat för innehållsuppdatering, publicerar McAfee Labs en Extra.DAT-fil. AMCore-innehållspaket McAfee Labs släpper AMCore-innehållspaket varje dag kl. 19.00. (GMT/UTC). Om ett nytt hot motiverar det, kan de dagliga AMCore-innehållsfilerna släppas tidigare och ibland kan versioner fördröjas. Om du vill ta emot varningar om fördröjningar eller viktiga aviseringar, kan du prenumerera på SNS-tjänsten (Support Notification Service). Se KB67828. AMCore-innehållspaketet innehåller följande komponenter: • AMCore – Motor och innehåll Innehåller uppdateringar av genomsökningsmotorn Hotdetektering och signaturer som baseras på resultatet av ständig hotforskning. • Adaptivt skydd mot hot – Genomsökning och regler Innehåller regler för att dynamiskt beräkna ryktet för filer och processer på slutpunkterna. McAfee släpper nya innehållsfiler till Adaptivt skydd mot hot varannan månad. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. • Real Protect – Motor och innehåll Innehåller uppdateringar av genomsökningsmotorn Real Protect och signaturer som baseras på resultatet av ständig hotforskning. Real Protect är en komponent i tillvalsmodulen Adaptivt skydd mot hot. Innehållspaket för Utnyttjandeskydd Innehållspaketet för Utnyttjandeskydd omfattar: • Signaturer för minnesskydd – Allmänt skydd mot buffertspill, validering av anropare, allmän detektering av behörighetseskalering och riktad API-övervakning. • Programskyddslista - Processer som skyddas av Utnyttjandeskydd. Innehållet i Utnyttjandeskydd liknar innehållsfilerna i McAfee Host IPS. Se KB51504. McAfee Endpoint Security 10.5 Produkthandbok 11 1 Introduktion Kommunicera med Endpoint Security McAfee släpper nya innehållsfiler för Utnyttjandeskydd en gång i månaden. Kommunicera med Endpoint Security Endpoint Security innehåller visuella komponenter för kommunikation med Endpoint Security-klient. • McAfee-ikonen i Windows-systemfältet – Här kan du starta Endpoint Security-klient och visa säkerhetsstatusen. • Aviseringsmeddelanden – Varnar dig om intrångsavkänningar i sökningar och brandvägg samt filer med okänt rykte, och uppmanar dig att vidta åtgärder. • Sidan Genomsökning vid åtkomst visar listan över identifierade hot när genomsökning vid åtkomst känner av ett hot. • Endpoint Security-klient – Visar aktuell skyddsstatus och ger åtkomst till funktioner. Administratören konfigurerar och tilldelar principer för att ange vilka komponenter som visas. Se även Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet på sidan 12 Om aviseringsmeddelanden på sidan 14 Hantera hotavkänningar på sidan 59 Använda Endpoint Security-klient på sidan 14 Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet Via McAfee-ikonen i systemfältet i Windows kommer du åt Endpoint Security-klient och vissa grundläggande aktiviteter. Med konfigurationsinställningarna avgör du om McAfee-ikonen ska visas. Högerklicka på McAfee-ikonen i systemfältet för att: Kontrollera säkerhetsstatus. Välj Visa säkerhetsstatus för att visa sidan McAfee säkerhetsstatus. 12 Öppna Endpoint Security-klient. Välj McAfee Endpoint Security. Uppdatera skydd och programvara manuellt. Välj Uppdatera säkerhet. McAfee Endpoint Security 10.5 Produkthandbok 1 Introduktion Kommunicera med Endpoint Security Inaktivera eller återaktivera Välj Inaktivera Endpoint Security-brandvägg på menyn Snabbinställningar. Brandvägg. När Brandvägg är inaktiverad är alternativet Aktivera Endpoint Security-brandvägg. Aktivera, inaktivera eller visa Brandvägg brandväggsgrupper. Välj ett alternativ på menyn Snabbinställningar: • Aktivera tidsbegränsade brandväggsgrupper – Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. • Visa tidsbegränsade brandväggsgrupper – Visar namnen på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. Hur ikonen visar statusen för Endpoint Security Ikonens utseende ändras för att visa statusen för Endpoint Security. Håll pekaren över ikonen för att visa ett meddelande som beskriver statusen. Ikon Visar... Endpoint Security skyddar ditt system och hittade inga problem. Endpoint Security registrerar ett problem med säkerheten, till exempel en inaktiverad modul eller teknik. • Brandvägg är inaktiverad. • Hotdetektering – utnyttjandeskydd, genomsökning vid åtkomst eller ScriptScan är inaktiverade. Endpoint Security rapporterar problem på olika vis beroende på hanteringstyp. • Självhanterad: • En eller flera tekniker är inaktiverade. • En eller flera tekniker svarar inte. • Hanterad: • En eller flera tekniker har inaktiverats, men inte som ett resultat av principaktivering från hanteringsservern eller Endpoint Security-klient. • En eller flera tekniker svarar inte. När ett problem registreras visar sidan McAfee säkerhetsstatus vilken modul eller teknik som inaktiverats. Se även Vad som uppdateras på sidan 23 McAfee Endpoint Security 10.5 Produkthandbok 13 1 Introduktion Kommunicera med Endpoint Security Om aviseringsmeddelanden Endpoint Security använder två typer av meddelanden som aviserar problem med ditt skydd eller som kräver åtgärder från din sida. Vissa meddelanden visas eventuellt inte beroende på hur inställningarna är konfigurerade. McTray.exe-processen måste köras för att Endpoint Security ska kunna visa aviseringar. Endpoint Security skickar två typer av aviseringar: • Varningar visas i popup-fönster från McAfeeMcAfee-ikonen under fem sekunder och försvinner sedan. Varningar aviserar dig om avkända hot, som intrångsförsök iBrandvägg eller när en genomsökning på begäran har pausats eller återupptagits. De kräver ingen åtgärd från din sida. • Frågor öppnar en sida längst ned på skärmen som visas tills du har valt ett alternativ. Exempel: • En schemalagd genomsökning på begäran ska just starta. Då kanEndpoint Security begära att du ska senarelägga genomsökningen. • När genomsökning vid åtkomst känner av ett hot, kan Endpoint Security begära att du vidtar en åtgärd. • Om Adaptivt skydd mot hot upptäcker en fil med okänt rykte kan det hända att Endpoint Security frågar om du vill tillåta eller blockera filen. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Se även Svara på en avkänningsfråga vid hot på sidan 20 Svara på en genomsökningsfråga på sidan 21 Svara på en filryktesbegäran på sidan 181 Använda Endpoint Security-klient Med hjälp av Endpoint Security-klient kan du kontrollera skyddsstatus och få åtkomst till funktioner i datorn. • Alternativ i Åtgärd-menyn Inställningar ger åtkomst till funktioner. Konfigurerar funktionsinställningar. Det här menyalternativet finns tillgängligt om något av följande är sant: • Inställningen i Klientgränssnittsläget är Fullständig åtkomst. • Du är inloggad som administratör. Läs in Extra.DAT Gör det möjligt att installera den hämtade filen Extra.DAT. Återställ AMCore-innehåll Återställer AMCore-innehåll till en tidigare version. Det här menyalternativet finns tillgängligt om en tidigare version av AMCore-innehåll finns i systemet och om något av följande är sant: • Inställningen i Klientgränssnittsläget är Fullständig åtkomst. • Du är inloggad som administratör. Hjälp 14 Visar Hjälp. McAfee Endpoint Security 10.5 Produkthandbok 1 Introduktion Kommunicera med Endpoint Security Supportlänkar Visar en sida med länkar till sidor som kan vara till hjälp, till exempel McAfee ServicePortal och Kunskapscenter. Logga in som administratör Loggar in som platsadministratör. (Detta kräver autentiseringsuppgifter för administratör.) Detta menyalternativ är tillgängligt om Klientgränssnittsläget inte är inställt på Fullständig åtkomst. Om du redan är inloggad som administratör är det här menyalternativet Logga ut som administratör. • Om Visar information om Endpoint Security. Avsluta Avslutar Endpoint Security-klient. Knapparna överst till höger på sidan ger snabb åtkomst till vanliga aktiviteter. Sök efter skadlig programvara med en fullständig genomsökning eller snabbgenomsökning av systemet. Den här knappen är endast tillgänglig om modulen Hotdetektering är installerad. Uppdaterar innehållsfiler och andra programvarukomponenter på din dator. Den här knappen visas eventuellt inte beroende på hur inställningarna är konfigurerade. • Knapparna till vänster på sidan ger information om ditt skydd. Status Återgår till huvudsidan för Status. Händelselogg Visar loggfilen för alla skydds- och hothändelser på den här datorn. Quarantine (Karantän) Öppnar Quarantine Manager. Den här knappen är endast tillgänglig om modulen Hotdetektering är installerad. • I Hotsammanfattning får du information om hot som upptäckts av Endpoint Security i ditt system under de senaste 30 dagarna. Se även Ladda en Extra.DAT-fil på sidan 29 Logga in som administratör på sidan 26 Genomsök datorn efter skadlig programvara på sidan 55 Uppdatera innehåll och programvara manuellt på sidan 22 Visa Händelselogg på sidan 23 Hantera objekt som satts i karantän på sidan 60 Hantera Endpoint Security på sidan 26 Om Hotsammanfattning på sidan 15 Om Hotsammanfattning Endpoint Security-klient-statussidan innehåller en sammanfattning i realtid av alla hot som upptäckts i ditt system under de senaste 30 dagarna. Allt eftersom nya hot identifierats kommer statussidan att uppdatera data dynamist i området för Hotsammanfattning i panelen längst ned. McAfee Endpoint Security 10.5 Produkthandbok 15 1 Introduktion Kommunicera med Endpoint Security Hotsammanfattningen innehåller: • Datumet för det senaste eliminerade hotet • De två viktigaste hoten som kan medföra smitta, efter kategori: Hot från webbplatser eller hämtningar. Webb Externa enheter eller media Hot från externa enheter, t.ex USB, 1394 Firewire, eSATA, band, CD, DVD eller disk. • Nätverk Hot från nätverk (förutom fildelning via nätverk). Lokalt system Hot från den lokala bootfilens systemenhet (oftast C:) eller övriga enheter som inte klassificeras som Externa enheter eller media. Fildelning Hot från fildelning via nätverk. E-post Hot från e-postmeddelanden. Snabbmeddelande Hot från snabbmeddelanden. Okänt Hot där smittkällan för attacken inte kan identifieras (på grund av feltillstånd eller övriga felfall). Antal hot per hotande smittkälla Om Endpoint Security-klient inte kan nå Händelsehanteraren, visar Endpoint Security-klient ett kommunikationsfelmeddelande. Om detta är fallet, starta om ditt systemet för att visa en Hotsammanfattning. Hur inställningar påverkar din klientåtkomst Inställningar för Klientgränssnittsläge som tilldelats din dator avgör vilka moduler och funktioner som du kan få åtkomst till. Ändra Klientgränssnittsläge under Delade-inställningarna. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. I Klientgränssnittsläget är klientalternativen följande: 16 McAfee Endpoint Security 10.5 Produkthandbok Introduktion Kommunicera med Endpoint Security 1 Fullständig åtkomst Aktiverar åtkomst till alla funktioner, inklusive: • Aktivera och inaktivera enskilda moduler och funktioner. • Åtkomst till sidan Inställningar för att visa eller ändra alla inställningar för Endpoint Security-klient. (Standard) Standardåtkomst Visar skyddsstatus och tillåter åtkomst till de flesta funktioner: • Uppdaterar innehållsfiler och andra programvarukomponenter på din dator (om detta har aktiverats av administratören). • Gör en noggrann kontroll av alla delar av systemet, vilket är en rekommendation om du misstänker att datorn är infekterad. • Gör en snabb kontroll (2 minuter) av de delar av systemet som är mest känsliga för infektioner. • Åtkomst till Händelseloggen. • Hantera objekt i Karantän. Från gränssnittsläget för Standardåtkomst kan du logga in som administratör för att få åtkomst till alla funktioner, inklusive alla inställningar. Lås klientgränssnitt Det krävs ett lösenord för att få åtkomst till klienten. När du har låst upp klientgränssnittet får du åtkomst till alla funktioner. Kontakta administratören om du inte får åtkomst till Endpoint Security-klient eller specifika aktiviteter och funktioner som du behöver för att utföra ditt jobb. Se även Kontrollera åtkomst till klientgränssnittet på sidan 31 Hur installerade moduler påverkar klienten Vissa klientaspekter är eventuellt inte tillgängliga, beroende på vilka moduler som är installerade på din dator. De här funktionerna är endast tillgängliga omHotdetektering är installerat: • Knappen • Karantän-knapp McAfee Endpoint Security 10.5 Produkthandbok 17 1 Introduktion Kommunicera med Endpoint Security Vilka funktioner som är installerade i systemet fastställer vilka funktioner som visas: • I Händelselogg i listrutan för Filtrera efter modul. • På sidan Inställningar. Delade Visas om en modul är installerad. Hotdetektering Visas enbart om Hotdetektering är installerat. Brandvägg Visas enbart om Brandvägg är installerat. Webbkontroll Visas enbart om Webbkontroll är installerat. Adaptivt skydd mot hot Visas enbart om Adaptivt skydd mot hot och Hotdetektering är installerade. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee ePO Cloud. Vissa av funktionerna finns eventuellt inte tillgängliga, beroende på vilket Klientgränssnittsläge som används och hur administratören har konfigurerat din åtkomst. Se även Hur inställningar påverkar din klientåtkomst på sidan 16 18 McAfee Endpoint Security 10.5 Produkthandbok 2 Använda Endpoint Security-klient Använd klienten i läget Standardåtkomst för att utföra de flesta funktioner, inklusive systemgenomsökningar och hantera objekt i karantän. Innehåll Öppna Endpoint Security-klient Hjälp Svara på frågor Få information om ditt skydd Uppdatera innehåll och programvara manuellt Visa Händelselogg Hantera Endpoint Security Endpoint Security-klient gränssnittsreferens – Delade Öppna Endpoint Security-klient Öppna Endpoint Security-klient för att visa status för skyddsfunktionerna som är installerade på datorn. Om gränssnittsläget är angett till Lås klientgränssnitt måste du ange administratörslösenordet för att öppna Endpoint Security-klient. Åtgärd 1 2 Använd någon av dessa metoder för att visa Endpoint Security-klient: • Högerklicka på ikonen i systemfältet och välj sedan McAfee Endpoint Security. • Välj Starta | Alla program | McAfee | McAfee Endpoint Security. • I Windows 8 och 10: starta appen McAfee Endpoint Security. 1 Tryck på Windows-tangenten. 2 AngeMcAfee Endpoint Security i sökrutan och dubbelklicka eller tryck sedan på appen McAfee Endpoint Security. Om det efterfrågas anger du administratörslösenordet på sidan Logga in som administratör och sedan klickar du på Logga in. Endpoint Security-klient öppnas i gränssnittsläget som konfigurerats av administratören. Se även Låsa upp klientgränssnittet på sidan 26 McAfee Endpoint Security 10.5 Produkthandbok 19 2 Använda Endpoint Security-klient Hjälp Hjälp Det finns två metoder för att få hjälp när man använder klienten, menyalternativet Hjälp och ?-ikonen. För att det ska gå att använda Endpoint Security Hjälp med Internet Explorer, måste Säkerhetsinställningar | Skript | Active Scripting vara aktiverat i webbläsaren. Åtgärd 1 Öppna Endpoint Security-klient. 2 Beroende på vilken sida du är på: • Sidorna Status, Händelselogg och Karantän: från menyn Åtgärd • Sidorna Inställningar, Uppdatering, Genomsök system, Återställ AMCore-innehåll och Ladda Extra.DAT: klicka på ? i gränssnittet. , välj Hjälp. Svara på frågor Beroende på hur inställningarna är konfigurerade kan Endpoint Security begära en åtgärd från dig när ett hot upptäcks eller när en genomsökning på begäran just ska starta. Åtgärder • Svara på en avkänningsfråga vid hot på sidan 20 När ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. • Svara på en genomsökningsfråga på sidan 21 En schemalagd genomsökning på begäran ska just starta. Då kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om genomsökningen har konfigurerats så att du kan senarelägga, pausa, återuppta eller avbryta genomsökningen. Svara på en avkänningsfråga vid hot När ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. • På sidan Genomsökning vid åtkomst väljer du alternativ för att hantera hotavkänningar. Det går att öppna sidan för genomsökning för att hantera avkänningar när som helst. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Se även Hantera hotavkänningar på sidan 59 20 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Få information om ditt skydd 2 Svara på en genomsökningsfråga En schemalagd genomsökning på begäran ska just starta. Då kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om genomsökningen har konfigurerats så att du kan senarelägga, pausa, återuppta eller avbryta genomsökningen. Om du inte väljer ett alternativ startar genomsökningen automatiskt. Endast för hanterade system: om genomsökningen har konfigurerats att endast köras när datorn är i viloläge visar Endpoint Security en dialogruta när genomsökningen har pausats. Det går också att återuppta pausade genomsökningar eller återställa dem att endast köras i viloläge om detta har konfigurerats. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. • Välj ett av följande alternativ när frågan visas. De alternativ som visas beror på hur genomsökningen har konfigurerats. Genomsök nu Startar genomsökningen omedelbart. Visa genomsökningen Visa avkänningar under en genomsökning som pågår. Pausa genomsökningen Pausar genomsökningen. Pausa genomsökningen kan eventuellt återställa genomsökningen till att endast köras i viloläge beroende på hur genomsökningen har konfigurerats. Klicka på Återuppta genomsökningen för att återuppta genomsökningen från där den pausades. Återuppta genomsökningen Återupptar genomsökningen efter uppehållet. Avbryt genomsökningen Avbryter genomsökningen. Senarelägg genomsökningen Senarelägger genomsökningen enligt angivet antal timmar. Alternativet för schemalagd genomsökning avgör hur många gånger som du kan senarelägga en genomsökning under en timme. Eventuellt kan du senarelägga genomsökningen mer än en gång. Stäng Stänger sidan för genomsökning. Om ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. Få information om ditt skydd Det går att få information om ditt Endpoint Security-skydd, inklusive hanteringstyp, skyddsmoduler, funktioner, status, versionsnummer och licensiering. Åtgärd 1 Öppna Endpoint Security-klient. 2 Öppna åtgärdsmenyn McAfee Endpoint Security 10.5 och välj Om. Produkthandbok 21 2 Använda Endpoint Security-klient Uppdatera innehåll och programvara manuellt 3 Klicka på modulens eller funktionens namn till vänster för att gå vidare till information om detta objekt. 4 Klicka på knappen Stäng i webbläsaren för att stänga sidan Om. Se även Hanteringstyp på sidan 22 Öppna Endpoint Security-klient på sidan 19 Hanteringstyp Hanteringstyp visar hur Endpoint Security hanteras. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. Hanteringstyp Beskrivning McAfee ePolicy Orchestrator En administratör hanterar Endpoint Security med hjälp av McAfee ePO (lokalt). McAfee ePolicy Orchestrator Cloud En administratör hanterar Endpoint Security med hjälp av McAfee ePO Cloud. Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB87057. Självhanterat Endpoint Security hanteras lokalt med hjälp av Endpoint Security-klient. Det här läget kallas också ej hanterad eller fristående. Uppdatera innehåll och programvara manuellt Du kan manuellt söka efter och hämta uppdateringar för innehållsfiler och programkomponenter i Endpoint Security-klient. Manuella uppdateringar kallas för uppdateringar på begäran. Manuella uppdateringar kan även köras via McAfee-ikonen i systemfältet. Endpoint Security saknar stöd för manuell hämtning och kopiering av uppdaterade innehållsfiler till klientsystemet. Kontakta McAfee support Åtgärd 1 Öppna Endpoint Security-klient. 2 Klicka på Uppdatera nu. Om knappen inte visas i klienten kan du aktivera den i inställningarna. Endpoint Security-klient söker efter uppdateringar. Sidan Uppdatera visar information om den senaste uppdateringen: Aldrig, I dag, eller det datum och den tid då den senaste uppdateringen gjordes. 22 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Visa Händelselogg 2 För att avbryta uppdateringen klickar du på Avbryt. • Om uppdateringen slutförs utan fel visas sidan Uppdateringen är klar och den senaste uppdateringen som I dag. • Om uppdateringen inte lyckades, visas ett fel i området Meddelanden. Visa PackageManager_Activity.log eller PackageManager_Debug.log för mer information. 3 Klicka på Stäng för att stänga sidan Uppdatera. Se även Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet på sidan 12 Så här uppdateras skyddet på sidan 10 Namn och platser för Endpoint Security-loggfiler på sidan 24 Vad som uppdateras på sidan 23 Konfigurera standardbeteende för uppdateringar på sidan 35 Öppna Endpoint Security-klient på sidan 19 Vad som uppdateras Endpoint Security uppdaterar säkerhetsinnehåll och programvara (snabbkorrigeringar och korrigeringar) på olika sätt, beroende på uppdateringsmetod och inställningar. Synlighet och beteende för knappen Uppdatera nu kan konfigureras. Uppdateringsmetod Uppdateringar Alternativet Uppdatera säkerhet i ikonen i systemfältet för McAfee Innehåll och programvara. Knappen Uppdatera nu i Endpoint Security-klient Innehåll eller programvara, eller båda, beroende på inställningarna. Se även Uppdatera innehåll och programvara manuellt på sidan 22 Visa Händelselogg I aktivitets- och felsökningsloggarna sparas information om händelser som inträffar i ditt system som skyddas av McAfee. Du kan visa händelseloggen i Endpoint Security-klient. Åtgärd Om du behöver hjälp går du till menyn Åtgärd 1 Öppna Endpoint Security-klient. 2 Klicka på Händelselogg till vänster på sidan. och väljer Hjälp. Sidan visar alla händelser som Endpoint Security har loggat i systemet under de senaste 30 dagarna. Om Endpoint Security-klient inte kan nå Händelsehanteraren, visas ett kommunikationsfelmeddelande. Om detta händer startar du om systemet för att visa Händelseloggen. 3 Markera en händelse i den övre rutan för att visa informationen i den nedre rutan. Ändra den relativa storleken på rutorna genom att klicka och dra sash-widgeten mellan rutorna. McAfee Endpoint Security 10.5 Produkthandbok 23 2 Använda Endpoint Security-klient Visa Händelselogg 4 Sortera, sök, filtrera eller läs in händelser på nytt på sidan Händelselogg. De alternativ som visas beror på hur genomsökningen har konfigurerats. För att... Steg Sortera händelser efter datum, funktioner, vidtagna åtgärder eller allvarlighetsgrad. Klicka på kolumnrubriken i tabellen. Sök i händelseloggen. Ange söktexten i fältet Sök och tryck på Enter eller klicka på Sök. Sökningen är skiftlägesokänslig och söker efter söktexten i alla fält i händelseloggen. Händelselistan visar alla element med matchande text. Avbryt sökningen och visa alla händelser genom att klicka på x i fältet Sök. 5 Filtrera händelser efter allvarlighetsgrad eller modul. Markera ett alternativ i filterlistrutan. Uppdatera visningen i händelseloggen med nya händelser. Klicka på Öppna mappen som innehåller loggfilerna. Klicka på Visa loggmapp. Ta bort filtret och visa alla händelser genom att välja Visa alla händelser från listrutan. . Bläddra i Händelseloggen. För att... Steg Visa föregående sida över händelser. Klicka på Föregående sida. Visa nästa sida över händelser. Klicka på Nästa sida. Visar en särskild sida i loggen. Ange ett sidnummer och tryck på Enter eller klicka på Gå till. Händelseloggen visar 20 poster per sida som standard. Visa fler poster per sida genom att välja ett alternativ i listrutan Poster per sida. Se även Namn och platser för Endpoint Security-loggfiler på sidan 24 Öppna Endpoint Security-klient på sidan 19 Namn och platser för Endpoint Security-loggfiler Aktivitets-, fel- och felsökningsloggfiler registrerar händelser som uppstår i system när Endpoint Security är aktiverat. Konfigurera loggning i inställningarna för Delade. Filer från aktivitetsloggar visas alltid på det språk som angetts som standardsystemspråk. Alla aktivitets- och felsökningsloggfiler lagras här: %ProgramData%\McAfee\Endpoint Security\Logs Varje modul, funktion eller teknik placerar aktivitets- eller felsökningsloggar i en separat fil. Alla moduler placerar felloggar i en fil, EndpointSecurityPlatform_Errors.log. När du aktiverar felsökningsloggning för en modul så aktiveras även felsökningsloggning för funktionerna i modulen Delade, till exempel Egenskydd. 24 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Visa Händelselogg 2 Tabell 2-1 Loggfiler Modul Funktion eller teknik Delade Filnamn EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log Egenskydd SelfProtection_Activity.log SelfProtection_Debug.log Uppdateringar PackageManager_Activity.log PackageManager_Debug.log Fel EndpointSecurityPlatform_Errors.log Innehåller felloggar för alla moduler. Hotdetektering Endpoint Security-klient MFEConsole_Debug.log Aktivering av felsökningsloggning för valfri teknik för Hotdetektering, aktiverar även felsökningsloggning för Endpoint Security-klient. ThreatPrevention_Activity.log Åtkomstskydd AccessProtection_Activity.log ThreatPrevention_Debug.log AccessProtection_Debug.log Utnyttjandeskydd ExploitPrevention_Activity.log ExploitPrevention_Debug.log Genomsökning vid åtkomst OnAccessScan_Activity.log OnAccessScan_Debug.log Genomsökning på begäran OnDemandScan_Activity.log • Snabbgenomsökning OnDemandScan_Debug.log • Fullständig genomsökning • Snabbgenomsökning Brandvägg Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Loggar blockerade och tillåtna trafikhändelser, om detta har konfigurerats. Webbkontroll WebControl_Activity.log WebControl_Debug.log Adaptivt skydd mot hot AdaptiveThreatProtection_Activity.log AdaptiveThreatProtection_Debug.log Dynamisk programinneslutning DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log Loggfilerna för installationen lagras som standard här: %TEMP%\McAfeeLogs, vilket är Windows-användarens Temp-mapp. McAfee Endpoint Security 10.5 Produkthandbok 25 2 Använda Endpoint Security-klient Hantera Endpoint Security Hantera Endpoint Security Som administratör kan du hantera Endpoint Security via Endpoint Security-klient, vilket innefattar att inaktivera och aktivera funktioner, hantera innehållsfiler, ange hur klientgränssnittet fungerar, schemalägga aktiviteter och konfigurera vanliga inställningar. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. Se även Logga in som administratör på sidan 26 Låsa upp klientgränssnittet på sidan 26 Inaktivera och aktivera funktioner på sidan 27 Ändra innehållsversionen för AMCore på sidan 27 Använd Extra.DAT-filer på sidan 28 Konfigurera gemensamma inställningar på sidan 29 Logga in som administratör Logga in som administratör i Endpoint Security-klient om du vill aktivera och inaktivera funktioner och konfigurera inställningarna. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara inställt som Standardåtkomst. Åtgärd Om du behöver hjälp går du till menyn Åtgärd och väljer Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 I fältet Lösenord anger du administratörslösenordet och sedan klickar du på Logga in. väljer du Logga in som administratör. Nu går det att komma åt alla funktioner i Endpoint Security-klient. Logga ut genom att välja Åtgärd | Logga ut som administratör. Klienten går tillbaka till gränssnittsläget Standardåtkomst. Låsa upp klientgränssnittet Om gränssnittet för Endpoint Security-klient är låst, kan du låsa upp det med administratörslösenordet för att få åtkomst till alla inställningar. Innan du börjar Gränssnittsläget för Endpoint Security-klient måste vara inställt som Lås klientgränssnitt. 26 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd 1 Öppna Endpoint Security-klient. 2 På sidan Logga in som administratör ange administratörslösenordet i fältet Lösenord och klicka sedan på Logga in. Endpoint Security-klient öppnas och du kan få åtkomst till alla funktioner i klienten. 3 Logga ut genom att öppna Åtgärdmenyn , välj Logga ut som administratör. Inaktivera och aktivera funktioner Som administratör kan du aktivera och inaktivera Endpoint Security-funktioner via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Sidan Status visar aktiverad status för modulen, vilket inte nödvändigtvis återspeglar funktionernas faktiska status. Det går att se status för varje funktion på sidan Inställningar. Om exempelvis inställningen Aktivera ScriptScan inte har tillämpats, kan statusen vara (Status: Inaktiverad). Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på modulens namn, (t.ex. Hotdetektering eller Brandvägg) på huvudsidan för Status. Eller i menyn Åtgärd 3 väljer du Inställningar, klicka sedan på modulens namn på sidan Inställningar. Markera eller avmarkera alternativet Aktivera modul ellerfunktion. Vid aktivering av en valfri funktion i Hotdetektering aktiveras modulen Hotdetektering. Se även Logga in som administratör på sidan 26 Ändra innehållsversionen för AMCore Använd Endpoint Security-klient för att ändra versionen för AMCore-innehåll på klientsystemet. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Endpoint Security lagrar den aktuella inlästa innehållsfilen och de två tidigare versionerna i Program Files\Common Files\McAfee\Engine\content folder. Det går att återställa till en tidigare version vid behov. Innehållsuppdateringar i Utnyttjandeskydd kan inte återkallas. McAfee Endpoint Security 10.5 Produkthandbok 27 2 Använda Endpoint Security-klient Hantera Endpoint Security Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Från menyn Åtgärd 3 Välj versionen som ska läsas in från listrutan. 4 Klicka på Tillämpa. väljer du Återställ AMCore-innehåll. Avkänningar i den inlästa innehållsfilen för AMCore börjar gälla omedelbart. Se även Så här fungerar innehållsfiler på sidan 11 Logga in som administratör på sidan 26 Använd Extra.DAT-filer Det går att installera en Extra.DAT-filer för att skydda ditt system mot ett större angrepp från skadlig programvara tills nästa schemalagda uppdatering av AMCore-innehåll blir tillgänglig. Åtgärder • Hämta Extra.DAT-filer på sidan 29 Klicka på länken för hämtning från McAfee Labs för att hämta en Extra.DAT-fil. • Ladda en Extra.DAT-fil på sidan 29 Installera en hämtad Extra.DAT-fil med hjälp av Endpoint Security-klient. Se även Om Extra.DAT-filer på sidan 28 Om Extra.DAT-filer Om ny skadlig programvara upptäcks och extra avkänning krävs, publicerar McAfee Labs en ExtraDAT-fil. Extra.DAT-filer innehåller information som Hotdetektering använder för att hantera nya skadliga programvaror. Det går att hämta Extra.DAT-filer för särskilda hot från McAfee Labs Extra.DAT sida för begäran. Hotdetektering stöder endast användning av en Extra.DAT-fil. Varje Extra.DAT-fil har ett inbyggt utgångsdatum. När Extra.DAT-filen har laddats, jämförs utgångsdatumet mot byggdatumet i AMCore-innehållet som är installerat på systemet. Om byggdatumet för AMCore-innehållet är senare än Extra.DAT-filens utgångsdatum har Extra.DAT-filen gått ut och laddas inte längre eller används inte av motorn. Under nästa uppdatering tas Extra.DAT-filen bort från systemet. Om nästa uppdatering av AMCore-innehållet omfattar en Extra.DAT-signatur tas Extra.DAT bort. Endpoint Security lagrar Extra.DAT-filer i mappen c:\Program Files\Common Files\McAfee\Engine \content\avengine\extradat. 28 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Hantera Endpoint Security 2 Hämta Extra.DAT-filer Klicka på länken för hämtning från McAfee Labs för att hämta en Extra.DAT-fil. Åtgärd 1 Klicka på länken för hämtning, ange plats för att spara Extra.DAT-filen och klicka därefter på Spara. 2 Vid behov, packa upp EXTRA.ZIP-filen. 3 Ladda Extra.DAT-filen med Endpoint Security-klient. Ladda en Extra.DAT-fil Installera en hämtad Extra.DAT-fil med hjälp av Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Från menyn Åtgärd 3 Klicka på Bläddra, navigera till platsen där du sparade den hämtade Extra.DAT-filen och klicka därefter på Öppna. 4 Klicka på Tillämpa. , välj Ladda Extra.DAT. Nya avkänningar i Extra.DAT börjar gälla meddetsamma. Se även Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar Konfigurera inställningar som gäller alla moduler och funktioner för Endpoint Security i Delade-modulen. Dessa inställningar omfattar säkerheten i Endpoint Security-klient-gränssnitt och språkinställningar, loggning, proxyserverinställningar för McAfee GTI och uppdateringskonfiguration. Åtgärder • Skydda Endpoint Security-resurser på sidan 30 En av de första saker som skadlig programvara försöker göra under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera Egenskydd i inställningarna för Delade för att förhindra att Endpoint Security-tjänster och filer stoppas eller ändras. • Konfigurerar inställningar för loggning på sidan 30 Konfigurerar Endpoint Security-loggning i Delade inställningar. • Tillåt certifikatautentisering på sidan 31 Med ett certifikat kan en leverantör köra kod i McAfee-processer. • Kontrollera åtkomst till klientgränssnittet på sidan 31 Kontrollera åtkomsten till Endpoint Security-klient genom att ange ett lösenord i inställningarna för Delade. • Konfigurera proxyserverinställningar för McAfee GTI på sidan 32 Ange proxyserveralternativ för att hämta McAfee GTI-ryktet i inställningarna Delade. McAfee Endpoint Security 10.5 Produkthandbok 29 2 Använda Endpoint Security-klient Hantera Endpoint Security Skydda Endpoint Security-resurser En av de första saker som skadlig programvara försöker göra under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera Egenskydd i inställningarna för Delade för att förhindra att Endpoint Security-tjänster och filer stoppas eller ändras. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Om du inaktiverar Egenskydd i Endpoint Security har datorn inget skydd mot angrepp. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 Från egenskydd, kontrollera att egenskydd är aktiverat. 5 Ange åtgärd för alla nedanstående Endpoint Security-resurser: 6 väljer du Inställningar. • Filer och mappar – Förhindrar att användare kan ändra McAfee-databasen, binärfiler, säkra sökningsfiler och konfigurationsfiler. • Registret – Förhindrar att användare kan ändra McAfee-registrets registreringsdatafil, COM-komponenter och avinstallationer med hjälp av registervärdet. • Processer – Hindrar stopp av McAfee-processer. Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurerar inställningar för loggning Konfigurerar Endpoint Security-loggning i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 30 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. väljer du Inställningar. McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Hantera Endpoint Security 4 Konfigurera inställningarna i Klientloggning på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. 2 Se även Namn och platser för Endpoint Security-loggfiler på sidan 24 Logga in som administratör på sidan 26 Tillåt certifikatautentisering Med ett certifikat kan en leverantör köra kod i McAfee-processer. När processen upptäckts anges Leverantör, Ämne och Hash i certifikattabellen för den tillhörande offentliga nyckeln. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. Åtgärd 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 I avsnittet Certifikat väljer du Tillåt. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. väljer du Inställningar. Information om certifikatet visas i tabellen. Kontrollera åtkomst till klientgränssnittet Kontrollera åtkomsten till Endpoint Security-klient genom att ange ett lösenord i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Klientgränssnittsläge är inställt på Fullständig åtkomst som standard, vilket tillåter användare att ändra sina säkerhetsinställningar, vilket kan innebära att systemet är oskyddat mot attacker från skadlig programvara. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd McAfee Endpoint Security 10.5 väljer du Inställningar. Produkthandbok 31 2 Använda Endpoint Security-klient Hantera Endpoint Security 3 Konfigurera inställningarna i Klientgränssnittsläge på sidan. Metodtips: För att öka säkerheten ändrar du Klientgränssnittsläge till Standard eller Lås klientgränssnitt. Båda de här alternativen kräver ett administratörslösenord för åtkomst till Endpoint Security-klient inställningar. Metodtips: Ändra administratörslösenorden ofta. 4 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Effekter vid inställning av ett administratörslösenord på sidan 32 Logga in som administratör på sidan 26 Effekter vid inställning av ett administratörslösenord Ett administratörslösenord måste anges när du ställer in gränssnittsläget på Standardåtkomst eller Lås klientgränssnitt. Administratören kan också generera ett tidsbaserat lösenord som användare kan använda för att få tillfällig åtkomst till Endpoint Security-klient. När du ställer in gränssnittsläget på Standardåtkomst eller Lås klientgränssnitt påverkas följande användare: Alla användare I läget Lås klientgränssnitt måste användarna ange administratörslösenordet eller ett tillfälligt lösenord för att få åtkomst till Endpoint Security-klient. När det har angetts har användaren åtkomst till hela gränssnittet, inklusive konfigurationsinställningarna på sidan Inställningar. Icke-administratörer I läget Standardåtkomst kan icke-administratörer: (användare utan administratörsrättigheter) • Få information om vilka Endpoint Security-moduler som är installerade, inklusive version och status. • Kör genomsökningar. • Sök efter uppdateringar (om denna funktion är aktiverad). • Visa och hantera objekt i Karantän. • Visa Händelselogg. • Få hjälp och åtkomst till Vanliga frågor och svar samt supportsidor. I läget Standardåtkomst kan icke-administratörerna inte: • Visa eller ändra konfigurationsinställningar på sidan Inställningar. • Återställa AMCore-innehåll. • Läsa in Extra.DAT-filer. Administratörer (användare med administratörsbehörighet) I läget Standardåtkomst måste administratörer ange administratörslösenordet eller ett tillfälligt lösenord. När det har angetts har administratören åtkomst till hela gränssnittet, inklusive konfigurationsinställningarna på sidan Inställningar. Konfigurera proxyserverinställningar för McAfee GTI Ange proxyserveralternativ för att hämta McAfee GTI-ryktet i inställningarna Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. 32 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna Proxyserver för McAfee GTI på sidan. väljer du Inställningar. Metodtips: Undanta McAfee GTI-adresser från proxyservern. Mer information finns i KB79640 och KB84374. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera uppdateringsbeteende Ange beteende för uppdateringar som initieras iEndpoint Security-klient i Delade-inställningarna. Åtgärder • Konfigurera källplatserna för uppdateringar på sidan 33 Du kan konfigurera de platser från vilka Endpoint Security-klient får uppdaterade säkerhetsfiler i Delade inställningar. • Konfigurera standardbeteende för uppdateringar på sidan 35 Du kan ange standardfunktionen för uppdateringar som initieras från Endpoint Security-klient i Delade inställningar. • Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat Standarduppdatering för klient i Endpoint Security-klient via Deladeinställningar. • Konfigurera, schemalägga och köra speglingar på sidan 38 Det går att ändra eller schemalägga speglingarna i Endpoint Security-klient via Delade Delade. Konfigurera källplatserna för uppdateringar Du kan konfigurera de platser från vilka Endpoint Security-klient får uppdaterade säkerhetsfiler i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd McAfee Endpoint Security 10.5 väljer du Inställningar. Produkthandbok 33 2 Använda Endpoint Security-klient Hantera Endpoint Security 3 Klicka på Visa avancerat. 4 I Delade klickar du på Alternativ. 5 Konfigurera inställningarna för Källplatser för uppdateringar på den här sidan. Du kan aktivera och inaktivera standardkällplatsen för säkerhetskopiering (McAfeeHttp och hanteringsservern (i hanterade system), men du kan inte ändra eller ta bort dem på andra sätt. Ordningen för platserna fastställer den ordning som Endpoint Security använder för att söka efter uppdateringsplatsen. För att... Följ dessa steg Lägga till en plats i listan. 1 Klicka på Lägg till. 2 Ange inställningarna för platsen och klicka sedan på OK. Platsen visas i början av listan. Ändra en befintlig plats. 1 Dubbelklicka på källplatsens namn. 2 Ändra inställningarna och klicka sedan på OK. Ta bort en källplats. Markera källplatsen och klicka på Ta bort. Importera platser från en fil i källplatslistan. 1 Klicka på Importera. 2 Markera filen som ska importeras och klicka på OK. Platslistfilen ersätter den befintliga källplatslistan. Exportera källplatslistan till en SiteList.xml-fil. 1 Klicka på Exportera alla. Ändra på ordningen av källplatser i listan. För att flytta element: 2 Välj var källplatslistan ska sparas och klicka sedan på OK. 1 Välj element som ska flyttas. Handtaget visas till vänster om element som kan flyttas. 2 Dra-och-släpp elementen till den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Detta finns i lagringsplatslistan på sidan 34 Hur Standarduppdatering för klient fungerar på sidan 36 Logga in som administratör på sidan 26 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Detta finns i lagringsplatslistan Lagringsplatslistan anger information om lagringsplatser som McAfee Agent använder för att uppdatera McAfee-produkter som Engine och DAT-filer. Lagringsplatslista innehåller: 34 • Lagringsplatsinformation och plats • Lagringsplatsordning McAfee Endpoint Security 10.5 Produkthandbok 2 Använda Endpoint Security-klient Hantera Endpoint Security • Proxyserverinställningar (vid behov) • Krypterade uppgifter som behövs för att få tillgång till respektive lagringsplats McAfee Agent-klientaktiviteten Produktuppdatering ansluter till den första aktiverade lagringsplatsen (uppdateringsplats) i lagringsplatslistan. Om lagringsplatsen inte är tillgänglig kontaktar aktiviteten nästa plats tills anslutning etableras eller tills den når slutet av listan. Om ditt nätverk använder en proxyserver kan du ange vilka proxyinställningar som ska användas, adressen till proxyservern samt om autentisering ska användas. Proxyinformationen lagras i lagringsplatslistan. De proxyinställningar som du konfigurerar gäller för alla lagringsplatser i listan. Sökvägen till lagringsplatslistan beror på vilket operativsystem du har: Operativsystem Plats för lagringsplatslista Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 Tidigare versioner C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Konfigurera standardbeteende för uppdateringar Du kan ange standardfunktionen för uppdateringar som initieras från Endpoint Security-klient i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd de här inställningarna för att: • Visa eller dölja knappen • i klienten. Ange vad som ska uppdateras när användaren klickar på knappen eller när standarduppdatering för klient körs. Aktiviteten Standarduppdatering för klient körs som standard varje dag kl. 01.00 och upprepas var fjärde timme till kl. 23.59. Aktiviteten Standarduppdatering för klient uppdaterar allt innehåll och programvaran i självhanterade system. Den här aktiviteten uppdaterar endast innehållet i hanterade system. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna för Standarduppdatering för klient på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.5 väljer du Inställningar. Produkthandbok 35 2 Använda Endpoint Security-klient Hantera Endpoint Security Se även Logga in som administratör på sidan 26 Konfigurera källplatserna för uppdateringar på sidan 33 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Hur Standarduppdatering för klient fungerar Aktiviteten Standarduppdatering för klient hämtar det senaste skyddet för Endpoint Security-klient. Endpoint Security-aktiviteten Standarduppdatering för klient körs som standard varje dag kl. 01.00 och upprepas var fjärde timme till kl. 23.59. Aktiviteten Standarduppdatering för klient: 1 Ansluter till källplatsen i listan som aktiverades först. Om den här platsen inte är tillgänglig kontaktar aktiviteten nästa plats tills anslutning etableras eller tills den når slutet av listan. 2 Hämtar en krypterad CATALOG.Z-fil från webbplatsen. Filen innehåller information som krävs för att utföra uppdateringen, inklusive tillgängliga filer och uppdateringar. 3 Kontrollerar programvaruversioner i filen mot versioner på datorn och hämtar nya tillgängliga uppdateringar för programvaran. Om aktiviteten Standarduppdatering för klient avbryts under en uppdatering: Uppdateringar från... Vid avbrott... HTTP, UNC, eller en lokal plats Återupptar uppdateringen där den avslutades nästa gång som uppdateringsaktiviteten startas. FTP-plats (hämtning av en fil) Återupptas inte om den avbryts. FTP-plats (hämtning av flera filer) Återupptas före filen som höll på att hämtas vid avbrottet. Se även Konfigurera källplatserna för uppdateringar på sidan 33 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Detta finns i lagringsplatslistan på sidan 34 Konfigurera, schemalägga och uppdatera aktiviteter Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat Standarduppdatering för klient i Endpoint Security-klient via Deladeinställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd dessa inställningar via klienten för att konfigurera när aktiviteten Standarduppdatering för klient ska köras. Du kan också konfigurera standardbeteende för klientuppdateringar som initierats från Endpoint Security-klient. 36 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 I Delade klickar du påAktiviteter. 5 Konfigurera inställningarna för uppdateringsaktiviteten på sidan. väljer du Inställningar. För att... Följ dessa steg Skapa en anpassad uppdateringsaktivitet. 1 Klicka på Lägg till. 2 Ange namnet och välj sedanVälj aktivitetstyp i listrutan och markera Uppdatering. 3 Konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. Ändra en uppdateringsaktivitet. • Dubbelklicka på aktiviteten, gör ändringarna och klicka sedan på OK för att spara. Ta bort en anpassad uppdateringsaktivitet. • Markera aktiviteten och klicka på Ta bort. Skapa en kopia av uppdateringsaktiviteten. 1 Markera aktiviteten och klicka på Duplicera. Ändra schemat för en aktivitet för Standarduppdatering för klient. 1 Dubbelklicka påStandarduppdatering för klient. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Du kan också konfigurera standardbeteende för klientuppdateringar som initierats från Endpoint Security-klient. Köra en uppdateringsaktivitet. • Markera aktiviteten och klicka sedan på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur Standarduppdatering för klient fungerar på sidan 36 Konfigurera källplatserna för uppdateringar på sidan 33 Konfigurera standardbeteende för uppdateringar på sidan 35 McAfee Endpoint Security 10.5 Produkthandbok 37 2 Använda Endpoint Security-klient Hantera Endpoint Security Konfigurera, schemalägga och köra speglingar Det går att ändra eller schemalägga speglingarna i Endpoint Security-klient via Delade Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 I Delade klickar du påAktiviteter. 5 Konfigurera inställningarna för speglingen på sidan. väljer du Inställningar. För att... Följ dessa steg Skapa en spegling. 1 Klicka på Lägg till. 2 Ange namnet och välj sedanVälj aktivitetstyp i listrutan och markera Spegla. 3 Konfigurera inställningarna och klicka sedan på OK. Ändra en spegling. • Dubbelklicka på speglingen, gör ändringarna och klicka sedan på OK. Ta bort en spegling. • Markera aktiviteten och klicka på Ta bort. Skapa en kopia av speglingen. 1 Markera aktiviteten och klicka på Duplicera. Schemalägg en spegling. 1 Dubbelklicka på aktiviteten. Kör en spegling. • Markera aktiviteten och klicka sedan på Kör nu. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Så här fungerar speglingar Med en spegling kan du hämta uppdateringsfiler från den första tillgängliga lagringsplatsen för hämtning i lagringsplatslistan till en speglingsplats i nätverket. Det vanligaste sättet att använda aktiviteten är för att spegla innehållet på en av McAfee-hämtningsplatserna på en lokal server. 38 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade 2 När du har replikerat den McAfee-plats som innehåller uppdateringsfilerna, kan datorerna i ditt nätverk hämta filer från speglingsplatsen. På så sätt kan du uppdatera alla datorer i nätverket, oavsett om det finns Internetåtkomst eller inte. Det är effektivt att använda en replikerad plats eftersom systemen kommunicerar med en server som antagligen finns på närmare håll än en McAfee-Internetplats, och därmed reduceras också åtkomst- och hämtningstiden. Endpoint Security används en katalog för att uppdatera programmet. Därför måste hela katalogstrukturen replikeras när en plats speglas. Endpoint Security-klient gränssnittsreferens – Delade Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Sidan Händelselogg Delade – Alternativ Sidan Gemensamma – Aktiviteter Sidan Händelselogg Visar aktivitets- och felsökningshändelser i Händelseloggen. Tabell 2-2 Alternativ Alternativ Definition Antal händelser Visar antal händelser som Endpoint Security har loggat i systemet under de senaste 30 dagarna. Uppdaterar visningen av händelseloggen med nya händelsedata. Visa loggmapp Öppna mappen som innehåller loggfilerna i Windows Explorer. Visa alla händelser Tar bort filter. Filtrera efter allvarlighetsgrad Filtrerar händelser efter allvarlighetsgrad: Filtrera efter modul Varning Visar endast händelser med allvarlighetsgrad nivå 1. Allvarligt och över Visar endast händelser med allvarlighetsgrad nivå 1 och 2. Varning och över Visar endast händelser med allvarlighetsgrad nivå 1, 2 och 3. Meddelande och över Visar endast händelser med allvarlighetsgrad nivå 1, 2, 3 och 4. Filtrerar händelser efter modul: Delade Visar endast Delade-händelser. Hotdetektering Visar endast Hotdetektering-händelser. Brandvägg Visar endast Brandvägg-händelser. Webbkontroll Visar endast händelser i Webbkontroll. Adaptivt skydd mot hot Visar endast händelser i Adaptivt skydd mot hot. Vilka funktioner som visas i listrutan beror på vilka funktioner som var installerade i systemet när du öppnade händelseloggen. Sök McAfee Endpoint Security 10.5 Söker i händelseloggen efter en sträng. Produkthandbok 39 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-2 Alternativ (fortsättning) Alternativ Definition Poster per sida Väljer antal poster som ska visas på sidan. (20 poster per sida som standard) Föregående sida Visar föregående sida av händelseloggen. Nästa sida Visar nästa sida av händelseloggen. Sidan x av x Väljer en sida i händelseloggen att navigera till. Ange ett sidnummer i fältet Sida och tryck på Enter eller klicka på Gå till för att navigera till sidan. Kolumnrubrik Sorterar händelselistan efter ... Datum Datum då händelsen inträffade. Funktion Funktionen som loggade händelsen. Vidtagen åtgärd Åtgärd som Endpoint Security utförde till följd av denna händelse, om någon. Åtgärden har konfigurerats i inställningarna. Åtkomst nekad Förhindrade åtkomst till filen. Tillåten Tillät åtkomst till filen. Blockerad Blockerade åtkomst till filen. Rensad Tog bort hotet från filen automatiskt. Innesluten Körde filen i en behållare baserat på dess rykte. Fortsätt genomsökning Identifierade ett hot och fortsatte med genomsökningen av nästa fil utan att vidta någon åtgärd, som t.ex. Rensa eller Ta bort, på aktuell fil. Allvarlighetsgrad Borttagen Tog bort filen automatiskt. Flyttad Flyttade filen till Karantän. Skulle blockera En regel skulle ha blockerat åtkomst till filen om regeln tillämpades. Observationsläget är aktiverat. Skulle rensa En regel skulle ha rensat filen om regeln tillämpades. Observationsläget är aktiverat. Innesluts eventuellt En regel skulle ha inneslutit filen om regeln tillämpades. Observationsläget är aktiverat. Allvarlighetsgrad för händelsen. Kritisk 1 Större 2 Mindre 3 Varning 4 Information 5 Se även Visa Händelselogg på sidan 23 40 McAfee Endpoint Security 10.5 Produkthandbok 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Delade – Alternativ Sidan Konfigurera inställningar för Endpoint Security-klient gränssnitt, egenskydd, aktivitets- och felsökningsloggning samt proxyserver. Tabell 2-3 Alternativ Avsnitt Alternativ Klientgränssnittsläge Fullständig åtkomst Standardåtkomst Definition Tillåter åtkomst till alla funktioner. (Standard) Visar skyddsstatus och tillåter åtkomst till de flesta funktioner, som t.ex. uppdateringar och genomsökningar. Läget Standardåtkomst kräver ett lösenord för att kunna visa och ändra inställningarna på sidan Inställningar i Endpoint Security-klient. Lås klientgränssnitt Ett lösenord krävs för åtkomst till Endpoint Security-klient. Ange administratörens lösenord För Standardåtkomst och Lås klientgränssnitt anges administratörens lösenord för att få åtkomst till alla funktioner i Endpoint Security-klient gränssnitt. • Lösenord – Anger lösenordet. • Bekräfta lösenord – Bekräftar lösenordet. Metodtips: Ändra administratörslösenorden ofta. Avinstallation Kräv lösenord för att avinstallera klienten Kräver ett lösenord för att avinstallera Endpoint Security-klient och anger lösenordet. Standardlösenordet är mcafee. (Inaktiverad som standard) • Lösenord – Anger lösenordet. • Bekräfta lösenord – Bekräftar lösenordet. Tabell 2-4 Avancerade alternativ Avsnitt Alternativ Definition Språk för klientgränssnitt Automatiskt Väljer automatiskt språk för Endpoint Security-klient gränssnitt utifrån språket i klientsystemet. Språk Anger språk för texten i Endpoint Security-klient gränssnitt. I hanterade system kringgås principändringar från hanteringsservern av språkändringar som görs från Endpoint Security-klient. Språkändringen tillämpas när du har startat om Endpoint Security-klient. Språket för klienten påverkar inte loggfilerna. Loggfiler visas alltid på det språk som angetts som standardsystemspråk. Egenskydd McAfee Endpoint Security 10.5 Aktivera egenskydd Skyddar Endpoint Security-systemets resurser mot skadliga aktiviteter. Produkthandbok 41 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Åtgärd Ange vilken åtgärd som ska vidtas när skadliga aktiviteter inträffar: • Blockera och rapportera – Blockerar aktiviteten och rapporterar till McAfee ePO. (Standard) • Blockera endast – Blockerar aktiviteten men rapporterar inte till McAfee ePO. • Rapportera endast – Rapporterar till McAfee ePO men blockerar inte aktiviteten. Filer och mappar Förhindrar att filer och mappar i McAfee-systemet ändras eller tas bort. Registret Förhindrar att registernycklar och värden i McAfee ändras eller tas bort. Processer Förhindrar avbrott i McAfee-processer. Undanta dessa processer Tillåter åtkomst för de angivna processerna. Jokertecken stöds. Lägg till – Lägger till en process i undantagslistan. Klicka på Lägg till och ange sedan fullständigt namn på resursen, till exempel avtask.exe. Dubbelklicka på ett objekt – Ändra det valda objektet. Ta bort – Tar bort det valda objektet. Markera resursen och klicka sedan på Ta bort. Certifikat Anger certifikatalternativ. Tillåt Tillåter leverantören att köra kod i McAfee-processer. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. Leverantör Anger eget namn (CN) på den som undertecknade och utfärdade certifikatet. Sökande Anger undertecknarens unika namn (SDN) som definierar den enhet som är associerad med certifikatet. Följande information kan finnas: • CN – Eget namn • OU – Organisationsenhet • O – Organisation • L – Plats • ST – Region • C – Landskod Hash-värde 42 McAfee Endpoint Security 10.5 Anger hash-värdet för den associerade offentliga nyckeln. Produkthandbok Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade 2 Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Klientloggning Plats för loggfiler Anger loggfilernas plats. Standardplatsen är: <SYSTEMENHET>:\ProgramData\McAfee\Endpoint\Logs Ange eller klicka på Bläddra för att navigera till en plats. Aktivitetsloggning Aktivera aktivitetsloggning Aktiverar loggning av all Endpoint Security-aktivitet. Begränsa storleken (MB) för alla aktivitetsloggfiler Begränsar maximal storlek (mellan 1 MB and 999 MB) för varje aktivitetsloggfil. Standardvärdet är 10 MB. Om informationen i loggfilen överskrider filstorleken, skrivs 25 % av de äldsta posterna i loggfilen över med ny data. Inaktivera det här alternativet om loggfilerna ska kunna bli hur stora som helst. Felsökningsloggning När du aktiverar felsökningsloggning för en modul så aktiveras även felsökningsloggning för funktionerna i modulen Delade, till exempel Egenskydd. Metodtips: Aktivera felsökningsloggning under åtminstone det första dygnet vid test- och pilotfaser. Om inga fel uppstår under den här tiden inaktiverar du felsökningsloggningen för att undvika försämrade prestanda i klientsystemen. Aktivera för Hotdetektering Aktiverar en utförlig aktivitetsloggning av Hotdetektering och enskilda tekniker: Aktivera för Åtkomstskydd – Loggar till AccessProtection_Debug.log. Aktivera för Utnyttjandeskydd – Loggar till ExploitPrevention_Debug.log. Aktivera för Genomsökning vid åtkomst – Loggar till OnAccessScan_Debug.log. Aktivera för Genomsökning på begäran – Loggar till OnDemandScan_Debug.log. Aktivering av felsökningsloggning för valfri teknik för Hotdetektering, aktiverar även felsökningsloggning för Endpoint Security-klient. Aktivera för Brandvägg Aktiverar utförlig aktivitetsloggning för Brandvägg. Aktivera för Webbkontroll Aktiverar utförlig aktivitetsloggning för Webbkontroll. Aktivera för Adaptivt skydd mot hot Aktiverar utförlig aktivitetsloggning för Adaptivt skydd mot hot. Begränsa storleken (MB) för alla felsökningsloggfiler Begränsar varje felsökningsloggfil till angiven maximal storlek (mellan 1 MB och 999 MB). Standardvärdet är 50 MB. Om informationen i loggfilen överskrider filstorleken, skrivs 25 % av de äldsta posterna i loggfilen över med ny data. Inaktivera det här alternativet om loggfilerna ska kunna bli hur stora som helst. McAfee Endpoint Security 10.5 Produkthandbok 43 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Händelseloggning Skicka händelser till McAfee ePO Skickar alla händelser som loggas i Händelseloggen i Endpoint Security-klient till McAfee ePO. Detta alternativ är endast tillgängligt i system som hanteras av McAfee ePO. Logga händelser i Windows programlogg Skickar alla händelser som loggas i Händelseloggen i Endpoint Security-klient till Windows programlogg. Windows programlogg är tillgänglig från Windows Loggboken | Windows-loggar | Program. Allvarlighetsgrad Anger allvarlighetsgraden för händelser som loggas i Händelseloggen i Endpoint Security-klient: • Inget – Skickar inte några varningar • Endast avisering – Skickar endast varningsnivå 1. • Allvarlig och avisering – Skickar varningsnivå 1 och 2. • Varning, allvarlig och avisering – Skickar varningsnivå 1–3. • Allt utom information – Skickar varningsnivå 1–4. • Alla – Skickar varningsnivå 1–5. • 1 – Varning • 2 – Allvarliga • 3 – Varning • 4 – Meddelande • 5 – Information Hotdetekteringshändelser som ska loggas Anger allvarlighetsgraden för händelser i varje funktion i Hotdetektering som ska loggas: Åtkomstskydd – Loggas till AccessProtection_Activity.log. Aktivering av händelseloggning för Åtkomstskydd, aktiverar även händelseloggning av Egenskydd. Utnyttjandeskydd – Loggas till ExploitPrevention_Activity.log. Genomsökning vid åtkomst – Loggas i OnAccessScan_Activity.log. Genomsökning på begäran – Loggas i OnDemandScan_Activity.log. Proxyserver för McAfee GTI 44 Brandväggshändelser som ska loggas Anger allvarlighetsgrad för händelser i Brandvägg som ska loggas. Webbkontrollhändelser som ska loggas Anger allvarlighetsgrad för händelser i Webbkontroll som ska loggas. Händelser i Adaptivt skydd mot hot som ska loggas Anger allvarlighetsgraden för händelser i Adaptivt skydd mot hot som ska loggas. Ingen proxyserver Anger att de hanterade systemen ska hämta sin McAfee GTI-ryktesinformation direkt från Internet och inte via en proxyserver. (Standard) Använd systemproxyinställningar Anger att proxyinställningar från klientsystemet ska användas och (valfritt) att HTTP-proxyautentisering ska aktiveras. McAfee Endpoint Security 10.5 Produkthandbok 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Konfigurera proxyserver Anpassar proxyinställningar. • Adress – Anger IP-adressen eller HTTP-proxyserverns fullständiga domännamn. • Port – Begränsar åtkomst via angiven port. • Undanta dessa adresser – Använd inte HTTP-proxyservern för webbplatser eller IP-adresser som börjar med de angivna posterna. Klicka på Lägg till och ange sedan det adressnamn som ska undantas. Metodtips: Undanta McAfee GTI-adresser från proxyservern. Mer information finns i KB79640 och KB84374. Aktivera HTTP-proxyautentisering Anger att HTTP-proxyservern kräver autentisering. (Detta alternativ är endast tillgängligt när du väljer en HTTP-proxyserver.) Ange autentiseringsuppgifter för HTTP-proxy: • Användarnamn – Anger användarkontot med behörighet till HTTP-proxyservern. • Lösenord – Anger lösenordet för Användarnamn. • Bekräfta lösenord – Bekräftar angivet lösenord. Standarduppdatering för klient Aktivera knappen Uppdatera nu i klienten Visar eller döljer knappen Uppdatera nu på huvudsidan för Endpoint Security-klient. Klicka på den här knappen för att manuellt leta efter och hämta uppdateringar till innehållsfiler och andra programvarukomponenter i klientsystemet. Att uppdatera Anger vad som uppdateras när man klickar på knappen Uppdatera nu. • Säkerhetsinnehåll, snabbkorrigeringar och korrigeringar – Uppdaterar allt säkerhetsinnehåll (inklusive motor, AMCore och innehåll för Utnyttjandeskydd), samt snabbkorrigeringar och korrigeringar till de senaste versionerna. • Säkerhetsinnehåll – Uppdaterar endast säkerhetsinnehåll. (Standard) • Snabbkorrigeringar och korrigeringar – Uppdaterar endast snabbkorrigeringar och korrigeringar. Källplatser för uppdateringar Konfigurerar de webbplatser som uppdateringar till innehållsfiler och programvarukomponenter hämtas från. Du kan aktivera och inaktivera standardkällplatsen för säkerhetskopiering (McAfeeHttp och hanteringsservern (i hanterade system), men du kan inte ändra eller ta bort dem på andra sätt. Visar element som kan flyttas i listan. Markera elementen och dra och släpp dem på den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. McAfee Endpoint Security 10.5 Produkthandbok 45 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Lägg till Lägger till en plats i listan över källplatser. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort den markerade platsen från listan med källplatser. Importera Importerar platser från en fil i källplatslistan. Markera filen som ska importeras och klicka sedan på OK. Filen i platslistan ersätter den befintliga källplatslistan. Exportera alla Exporterar källplatslistan till filen SiteList.xml. Välj var källplatslistan ska sparas och klicka sedan på OK. Proxyserver för källplatser Ingen proxyserver Anger att de hanterade systemen hämtar sin McAfee GTI-ryktesinformation direkt från Internet och inte via en proxyserver. (Standard) Använd systemproxyinställningar Anger att proxyinställningar från klientsystemet ska användas och eventuellt att HTTP- eller FTP-proxyautentisering ska aktiveras. Konfigurera proxyserver Anpassar proxyinställningar. • HTTP/FTP-adress – Anger DNS, IPv4 eller IPv6-adresser för HTTP- eller FTP-proxyservern. • Port – Begränsar åtkomst via angiven port. • Undanta dessa adresser – Anger adresserna för Endpoint Security-klient system där proxyservern inte ska användas för att hämta McAfee GTI-klassificeringar. Klicka på Lägg till, ange sedan adressnamnet som ska undantas. Aktivera HTTP/ FTP-proxyautentisering Anger att HTTP- eller FTP-proxyservern kräver autentisering. (Detta alternativ är endast tillgängligt när du har valt en HTTP- eller FTP-proxyserver.) Ange autentiseringsuppgifter för proxy: • Användarnamn – Anger användarkontot med behörighet till proxyservern. • Lösenord – Anger lösenordet för angivet Användarnamn. • Bekräfta lösenord – Bekräftar angivet lösenord. Se även Skydda Endpoint Security-resurser på sidan 30 Konfigurerar inställningar för loggning på sidan 30 Kontrollera åtkomst till klientgränssnittet på sidan 31 Konfigurera proxyserverinställningar för McAfee GTI på sidan 32 Konfigurera standardbeteende för uppdateringar på sidan 35 Konfigurera källplatserna för uppdateringar på sidan 33 Lägg till webbplats eller Redigera webbplats på sidan 47 46 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade 2 Lägg till webbplats eller Redigera webbplats Lägger till eller redigerar platser i listan över källplatser. Tabell 2-5 Alternativdefinitioner Alternativ Definition Namn Visar namnet för källplatsen som innehåller uppdateringsfilen. Aktivera Aktiverar eller inaktiverar användning av källplatsen för hämtning av uppdateringsfiler. Hämta filer från Anger var filer ska hämtas från. HTTP-lagringsplats Hämtar filer från angiven HTTP-lagringsplats. HTTP erbjuder uppdatering oberoende av nätverkssäkerhet, men stöder högre nivåer av samtidiga anslutningar än FTP. URL • DNS-namn - Visar att URL:en är ett domännamn. • IPv4 - Visar att URL:en är en IPv4-adress. • IPv6 - Visar att URL:en är en IPv6-adress. http:// - Anger adressen för HTTP-servern och mappen där uppdateringsfilerna finns. Port - Anger portnummer för HTTP-servern. Använd autentisering Väljer att använda autentisering och anger autentiseringsuppgifterna för åtkomst till mappen med uppdateringsfilerna. • Användarnamn – Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. • Lösenord – Anger lösenordet för angivet Användarnamn. • Bekräfta lösenord – Bekräftar angivet lösenord. McAfee Endpoint Security 10.5 Produkthandbok 47 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-5 Alternativdefinitioner (fortsättning) Alternativ Definition FTP-lagringsplats Hämtar filer från angiven FTP-lagringsplats. En FTP-plats erbjuder flexibilitet vid uppdatering utan att behöva rätta sig efter nätverksäkerhetsbehörighet. Eftersom FTP har varit mindre utsatt för attacker med oönskad kod än HTTP, erbjuder det eventuellt bättre tolerans. URL • DNS-namn - Visar att URL:en är ett domännamn. • IPv4 - Visar att URL:en är en IPv4-adress. • IPv6 - Visar att URL:en är en IPv6-adress. ftp:// - Anger adressen för FTP-servern och mappen där uppdateringsfilerna finns. Port - Anger portnummer för FTP-servern. Använd anonym inloggning Väljer att använda anonym FTP för åtkomst till mappen med uppdateringsfilerna. Avmarkera det här alternativet för att ange autentiseringsuppgifter för åtkomst. • Användarnamn – Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. • Lösenord – Anger lösenordet för angivet Användarnamn. • Bekräfta lösenord – Bekräftar angivet lösenord. UNC-sökväg eller Lokal sökväg Hämtar filer från angiven UNC eller lokal sökväg/plats. En UNC-plats är snabbast och enklast att konfigurera. UNC-uppdateringar mellan domäner kräver säkerhetsbehörighet för varje domän, vilket medför att konfigurering av uppdatering är mer krävande. Sökväg • UNC-sökväg – Anger sökvägen med UNC-notation (\\servernamn \sökväg\). • Lokal sökväg – Anger sökvägen för en mapp på en lokal eller nätverksenhet. Använd inloggat konto Åtkomst till uppdateringsfilerna med hjälp av inloggat konto. Detta konto måste ha läsbehörighet till mapparna som innehåller uppdateringsfilerna. Avmarkera det här alternativet för att ange autentiseringsuppgifter för åtkomst. • Domän – Anger domänen för det angivna användarkontot. • Användarnamn – Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. • Lösenord – Anger lösenordet för angivet Användarnamn. • Bekräfta lösenord – Bekräftar angivet lösenord. Gemensamma – Aktiviteter Konfigurera och schemalägg Endpoint Security-klient-aktiviteter. I hanterade system kan du inte starta, stoppa eller ta bort administratörsaktiviteter. 48 McAfee Endpoint Security 10.5 Produkthandbok Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-6 2 Alternativ Avsnitt Alternativ Definition Aktiviteter Visar aktuella, definierade och schemalagda aktiviteter. • Namn – Namn på schemalagd aktivitet. • Funktion – Modul eller funktion som aktiviteten är kopplad till. • Schema – När aktiviteten är schemalagd att köras och om den är inaktiverad. I hanterade system kan exempelvis aktivitetsschemat för Standarduppdatering för klient vara inaktiverat av administratören. • Status – Status för den senaste gången aktiviteten kördes: • (ingen status) – Kör aldrig • Kör – Aktuell körning eller återupptagen • Uppehåll – Pausad av användaren (såsom en genomsökning) • Uppskjuten – Uppskjuten av användaren (såsom en genomsökning) • Avslutad – Avslutad utan fel • Avslutad (fel) – Avslutad med fel • Misslyckades – Slutföring misslyckades • Senaste körning – Datum och tidpunkt för den senaste körningen av aktiviteten. • Ursprung – Ursprung för aktiviteten: • McAfee – Från McAfee. • Administratör – (Endast hanterade system) Definierad av administratören. • Användare – Definierad iEndpoint Security-klient. En del aktiviteter kan inte ändras eller tas bort, beroende på ursprunget. Exempel: Aktiviteten Standarduppdatering för klient kan endast ändras i självhanterade system. Administratörsaktiviteter som definieras av administratören i hanterade system kan inte ändras eller tas bort i Endpoint Security-klient. Dubbelklicka på ett objekt Ändra det valda objektet. Lägg till Skapar en genomsökning, uppdatering eller spegling. Delete (Ta bort) Tar bort den valda aktiviteten. McAfee Endpoint Security 10.5 Produkthandbok 49 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-6 Alternativ (fortsättning) Avsnitt Alternativ Definition Duplicera Skapar en kopia av den valda aktiviteten. Kör nu Kör den markerade aktiviteten. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. • Snabbgenomsökning – Öppnar dialogrutan Snabbgenomsökning och startar genomsökningen. • Fullständig genomsökning – Öppnar dialogrutan Fullständig genomsökning och startar genomsökningen. • Anpassad genomsökning – Öppnar dialogrutan Anpassad genomsökning och startar genomsökningen. • Standarduppdatering för klient – Öppnar dialogrutan Uppdatering och startar uppdateringen. • Uppdatering – Öppnar dialogrutan Anpassad uppdatering och startar uppdateringen. • Spegla – Öppnar dialogrutan Spegla och startar lagringsplatsreplikeringen. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. Se även Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Uppdatera innehåll och programvara manuellt på sidan 22 Konfigurera, schemalägga och köra speglingar på sidan 38 Lägg till aktivitet på sidan 50 Lägg till aktivitet Lägger till anpassade genomsökningar, speglingar eller uppdateringsaktiviteter. Alternativ Definition Namn Anger namnet på aktiviteten. Välj aktivitetstyp Anger aktivitetstypen: • Anpassad genomsökning – Konfigurerar och schemalägger anpassade genomsökningar, som daliga genomsökningar av minnet. • Spegla – Replikerar det uppdaterade innehållet och motorfiler från den första tillgängliga lagringsplatsen till en speglingsplats i nätverket. • Uppdatera – Konfigurerar och schemalägger uppdateringar av innehållsfiler, genomsökningsmotor eller produkt. Se även Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet på sidan 51 Lägg till spegling eller Redigera spegling på sidan 52 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet på sidan 51 50 McAfee Endpoint Security 10.5 Produkthandbok 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet Schemalägg aktiviteten Fullständig genomsökning ellerSnabbgenomsökning eller konfigurera och schemalägg anpassade genomsökningsaktiviteter som körs i klientsystemet. Tabell 2-7 Flik Alternativ Alternativ Definition Konfigurerar inställningarna för genomsökningsaktiviteter. Inställningar Namn Anger namnet på aktiviteten. Alternativ Konfigurerar inställningarna för Genomsökning vid åtkomst. Det går endast att konfigurera inställningar för Fullständig genomsökning och Snabbgenomsökning i självhanterade system. Aktiverar och schemalägger aktiviteten till att köras vid en angiven tidpunkt. Schema Se även Konfigurera, schemalägga och köra genomsökningar på sidan 93 Konfigurera Genomsökning på begäran inställningar på sidan 89 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Hotdetektering – Genomsökning på begäran på sidan 117 Schema på sidan 52 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet Schemalägger aktiviteten Standarduppdatering för klient eller konfigurerar och schemalägger anpassade uppdateringsaktiviteter som körs i klientsystemet. Tabell 2-8 Alternativ Flik Alternativ Definition Konfigurerar inställningar i uppdateringsaktiviteten. Inställningar Namn Anger namnet på aktiviteten. Att uppdatera Anger vad som ska uppdateras: • Säkerhetsinnehåll, snabbkorrigeringar och korrigeringar • Säkerhetsinnehåll • Snabbkorrigeringar och korrigeringar Det går endast att konfigurera dessa inställningar i självhanterade system. Schema Aktiverar och schemalägger aktiviteten till att köras vid en angiven tidpunkt. Aktiviteten Standarduppdatering för klient körs varje dag vid midnatt och upprepas var fjärde timme tills 23:59 som standard. Se även Delade – Alternativ Sidan på sidan 41 Konfigurera standardbeteende för uppdateringar på sidan 35 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Schema på sidan 52 McAfee Endpoint Security 10.5 Produkthandbok 51 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Lägg till spegling eller Redigera spegling Konfigurera och schemalägg speglingar. Tabell 2-9 Alternativ Flik Alternativ Inställningar Namn Definition Anger namnet på aktiviteten. Speglingsplats Ange i vilken mapp lagringsplatsreplikeringen ska sparas. Aktiverar och schemalägger aktiviteten till att köras vid en angiven tidpunkt. Schema Se även Konfigurera, schemalägga och köra speglingar på sidan 38 Schema på sidan 52 Schema Schemalägg genomsökningar, uppdateringar och speglingar. Tabell 2-10 Alternativ Kategori Alternativ Definition Schema Schemalägger aktiviteten att köras vid en angiven tidpunkt. (aktiverad som standard) Aktivera schema Detta alternativ måste vara markerat innan du kan schemalägga aktiviteten. Schematyp Anger intervallen för att köra aktiviteten. • Dagligen – Körs varje dag vid en specifik tidpunkt, återkommande mellan två tidpunkter på dagen eller enligt en kombination av båda. • Veckovis – Kör aktiviteten varje vecka på: • Specifika veckodagar, alla veckodagarna, på helger, eller en kombination av dagar • Specifik tidpunkt de valda dagarna eller återkommande mellan två tidpunkter de valda dagarna • Månatligen – Kör aktiviteten varje månad antingen på: • En angiven dag i månaden • Angivna dagar i veckan - första, andra, tredje, fjärde eller den sista • Vid ett tillfälle – Startar aktiviteten den dag och tidpunkt som du anger. • Vid systemstart – Kör aktiviteten när systemet startas. • Vid inloggning – Startar aktiviteten nästa gång användaren loggar in i systemet. • Kör omedelbart – Startar aktiviteten omedelbart. Frekvens Anger frekvensen för aktiviteterna Dagligen och Veckovis. Kör på Anger specifika veckodagar för aktiviteterna Veckovis och Månatligen. Kör i Anger månader för året i aktiviteterna Månatligen. Kör bara den här Kör aktiviteten en gång om dagen i aktiviteternaVid systemstart och Vid aktiviteten en gång om inloggning. dagen Fördröj aktiviteten med Anger hur många minuters fördröjning det är innan aktiviteterna Vid systemstart och Vid inloggning körs. 52 McAfee Endpoint Security 10.5 Produkthandbok 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade Tabell 2-10 Alternativ (fortsättning) Kategori Alternativ Definition Startdatum Anger startdatum för aktiviteterna Dagligen, Veckovis, Månatligen och En gång. Slutdatum Anger slutdatum för aktiviteterna Dagligen, Veckovis och Månatligen. Starttid Anger tiden när aktiviteten ska starta. • Kör en gång vid den tidpunkten – Kör aktiviteten en gång vid angiven starttid. • Kör vid tidpunkten och upprepa fram till: – Kör aktiviteten vid angiven starttid. Då körs aktiviteten varje gång på angivna timmar/minuter enligt Starta aktivitet var till den angivna sluttiden. • Kör vid tidpunkten och upprepa sedan i – Kör aktiviteten vid angiven starttid. Då körs aktiviteten varje gång på angivna timmar/minuter enligt Starta aktivitet var tills den har körts i angiven tid. Alternativ Kör aktiviteten enligt UTC-tid (Coordinated Universal Time) Avbryt aktiviteten om den körs längre än Anger om aktivitetsschemat körs enligt det hanterade systemets lokala tid eller enligt UTC-tid (Coordinated Universal Time). Avbryter aktiviteten efter angivet antal timmar och minuter. Om aktiviteten avbryts innan den har slutförts, återupptas aktiviteten där den avslutades nästa gång som den startas. Styr starttiden slumpmässigt för aktiviteten efter Anger att denna aktivitet körs slumpmässigt inom det tidsintervall som anges. Kör saknad aktivitet Kör aktiviteten efter det antal minuter som angetts i Fördröj start med vid omstart av det hanterade systemet. Annars startar aktiviteten vid den schemalagda tidpunkten oavsett om andra klientaktiviteter schemalagts att köras vid samma tid. Anger de autentiseringsuppgifter som används för att köra aktiviteten. Konto Om inga autentiseringsuppgifter har angivits körs aktiviteten som det lokala systemadministratörskontot. Användarnamn Anger användarkonto. Lösenord Anger lösenordet för det angivna användarkontot. Bekräfta lösenord Bekräftar lösenordet för det angivna användarkontot. Domän Anger domänen för det angivna användarkontot. Se även Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet på sidan 51 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet på sidan 51 Lägg till spegling eller Redigera spegling på sidan 52 McAfee Endpoint Security 10.5 Produkthandbok 53 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens – Delade 54 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hotdetektering söker efter virus, spionprogram, oönskade program och andra hot genom att genomsöka objekt på din dator. Innehåll Genomsök datorn efter skadlig programvara Hantera hotavkänningar Hantera objekt som satts i karantän Hantera Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Genomsök datorn efter skadlig programvara Genomsök datorn efter skadlig programvara genom att välja alternativ i Endpoint Security-klient eller Windows Explorer. Åtgärder • Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Använd Endpoint Security-klient för att göra en manuell Fullständig genomsökning eller Snabbgenomsökning på din dator. • Genomsöka en fil eller mapp på sidan 58 Utför en omedelbar genomsökning av en enskild fil eller mapp som du misstänker är infekterad genom att högerklicka i Windows Explorer. Se även Typer av genomsökning på sidan 55 Typer av genomsökning Endpoint Security har två typer av genomsökningar: genomsökningar vid åtkomst och genomsökningar på begäran. • Genomsökning vid åtkomst – Administratören konfigurerar genomsökningar vid åtkomst som ska köras på hanterade datorer. För självhanterade datorer, konfigurera genomsökning vid åtkomst på sidan Inställningar . När du öppnar filer, mappar eller program stoppas åtgärden av genomsökningen vid åtkomst som söker igenom objektet baserat på de kriterier som definierats i inställningarna. • Genomsökning på begäran McAfee Endpoint Security 10.5 Produkthandbok 55 3 Använda Hotdetektering Genomsök datorn efter skadlig programvara Manuell Administratören (eller användare i självhanterade system) konfigurerar de fördefinierade eller anpassade genomsökningar på begäran som kan köras i hanterade system. • Kör en fördefinierad genomsökning på begäran när som helst via Endpoint Security-klient genom att klicka på genomsökningstyp: och välja en Snabbgenomsökning gör en snabb kontroll av de delar av systemet som är mest känsliga för infektioner. Fullständig genomsökning gör en noggrann kontroll av alla delar av systemet. (Rekommenderas om du misstänker att datorn är infekterad.) • Sök igenom en enskild fil eller mapp när som helst via Windows Explorer genom att högerklicka på filen eller mappen och markera Sök efter hot i snabbmenyn. • Konfigurera och köra en anpassad genomsökning på begäran som administratör via Endpoint Security-klient: 1 Välj Inställningar | Delade | Aktiviteter. 2 Markera aktiviteten som ska köras. 3 Klicka påKör nu. Schemalagd Administratören (eller användaren, för självhanterade system) konfigurerar och schemalägger genomsökningar på begäran som ska köras på datorer. När en genomsökning på begäran ska starta, visar Endpoint Security en genomsökningsfråga längst ned på skärmen. Du kan starta genomsökningen meddetsamma eller senarelägga den, om detta har konfigurerats. Konfigurera och schemalägg fördefinierade genomsökningar på begäran, Snabbgenomsökning och Fullständig genomsökning: 1 Inställningar | Genomsökning på begäran | fliken Fullständig genomsökning eller flikenSnabbgenomsökning – Konfigurerar genomsökningar på begäran. 2 Inställningar | Common | Aktiviteter - scheman, genomsökningar på begäran. Se även Konfigurera, schemalägga och köra genomsökningar på sidan 93 Svara på en genomsökningsfråga på sidan 21 Kör en Fullständig genomsökning eller en Snabbgenomsökning Använd Endpoint Security-klient för att göra en manuell Fullständig genomsökning eller Snabbgenomsökning på din dator. Innan du börjar Modulen Hotdetektering måste vara installerad. Funktionen hos Fullständig genomsökning och Snabbgenomsökning beror på hur inställningarna har konfigurerats. Med administratörsbehörighet går det att ändra och schemalägga dessa genomsökningar i inställningarna för Genomsökning på begäran. 56 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Genomsök datorn efter skadlig programvara 3 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på 3 . På sidan Genomsök system klickar du på Sök nu för att välja den genomsökning som ska köras. Fullständig genomsökning Gör en noggrann kontroll av alla delar av systemet, vilket är en rekommendation om du misstänker att datorn är infekterad. Snabbgenomsökning Gör en snabb kontroll av de delar av systemet som är mest känsliga för infektioner. Om en genomsökning redan pågår, ändras knappen Sök nu till Visa genomsökning. Eventuellt ser du även knappen Visa avkänningar i genomsökning vid åtkomst beroende på hur inställningarna har konfigurerats och om ett hot har identifierats. Klicka på den här knappen för att öppna sidan Genomsökning vid åtkomst för att hantera avkänningar när som helst. Endpoint Security-klient visar status för genomsökningen på en ny sida. Metodtips: Datum då innehåll för AMCore skapades visar när innehållet uppdaterades senast. Om innehållet är mer än två dagar ska du uppdatera skyddet innan genomsökningen körs. 4 5 Klicka på knapparna högst upp på statussidan för att kontrollera genomsökningen. Pausa genomsökningen Gör ett uppehåll i genomsökningen innan den är slutförd. Återuppta genomsökningen Återupptar genomsökningen efter uppehållet. Avbryt genomsökningen Avbryter en genomsökning som körs. När genomsökningen är slutförd visas antalet genomsökta filer, hur lång tid det tog och eventuella avkänningar på sidan. Avkänningsnamn Här visas namnet på den upptäckta skadliga programvaran. Typ Visar typ av hot. Fil Identifierar den infekterade filen. Vidtagen åtgärd Beskriver den senaste säkerhetsåtgärden som vidtagits för den infekterade filen: • Åtkomst nekad • Rensad • Borttagen • Inget Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. 6 Välj en avkänning i tabellen och klicka på Rensa eller Ta bort för att rensa eller ta bort den infekterade filen. Dessa åtgärder är eventuellt inte tillgängliga, beroende på inställningarna för typ av hot och genomsökningen. 7 Klicka på Stäng för att stänga sidan. McAfee Endpoint Security 10.5 Produkthandbok 57 3 Använda Hotdetektering Genomsök datorn efter skadlig programvara Se även Typer av genomsökning på sidan 55 Avkänningsnamn på sidan 61 Uppdatera innehåll och programvara manuellt på sidan 22 Hantera hotavkänningar på sidan 59 Konfigurera Genomsökning på begäran inställningar på sidan 89 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Genomsöka en fil eller mapp Utför en omedelbar genomsökning av en enskild fil eller mapp som du misstänker är infekterad genom att högerklicka i Windows Explorer. Innan du börjar Modulen Hotdetektering måste vara installerad. Funktionen hos Snabbgenomsökningen beror på hur inställningarna har konfigurerats. Med administratörsbehörighet går det att ändra dessa genomsökningar i inställningarna för Genomsökning på begäran. Åtgärd 1 Högerklicka på filen eller mappen i Windows Explorer och markera Sök efter hot i snabbmenyn. Endpoint Security-klient visar status för genomsökningen på sidan Sök efter hot. 2 3 Klicka på knapparna högst upp på sidan för att kontrollera genomsökningen. Pausa genomsökningen Gör ett uppehåll i genomsökningen innan den är slutförd. Återuppta genomsökningen Återupptar genomsökningen efter uppehållet. Avbryt genomsökningen Avbryter en genomsökning som körs. När genomsökningen är slutförd visas antalet genomsökta filer, hur lång tid det tog och eventuella avkänningar på sidan. Avkänningsnamn Här visas namnet på den upptäckta skadliga programvaran. Typ Visar typ av hot. Fil Identifierar den infekterade filen. Vidtagen åtgärd Beskriver den senaste säkerhetsåtgärden som vidtagits för den infekterade filen: • Åtkomst nekad • Rensad • Borttagen • Inget Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. 4 Välj en avkänning i tabellen och klicka på Rensa eller Ta bort för att rensa eller ta bort den infekterade filen. Dessa åtgärder är eventuellt inte tillgängliga, beroende på inställningarna för typ av hot och genomsökningen. 5 58 Klicka på Stäng för att stänga sidan. McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera hotavkänningar 3 Se även Typer av genomsökning på sidan 55 Avkänningsnamn på sidan 61 Konfigurera Genomsökning på begäran inställningar på sidan 89 Hantera hotavkänningar Det går att hantera hotavkänningar från Endpoint Security-klient beroende på hur inställningarna har konfigurerats. Innan du börjar Modulen Hotdetektering måste vara installerad. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Genomsök nu för att öppna sidan för Genomsök system. 3 Från Genomsökning vid åtkomst, klicka på Visa avkänningar. Det här alternativet är inte tillgängligt om listan inte innehåller några avkänningar eller om alternativet användarmeddelanden är inaktiverat. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. 4 Från sidan Genomsökning vid åtkomst, välj ett av dessa alternativ. Rensa Försöker rensa objektet (fil, registerpost) och lägger den i karantän. Endpoint Security använder information från innehållsfilerna för att rensa filer. Om innehållsfilen inte har någon information för att rensa filer eller om filen har skadats så mycket att den inte går att reparera, nekas åtkomst till filen av genomsökningen. I det här fallet rekommenderar McAfee att du tar bort filen från karantänen och återställer den från en virusfri säkerhetskopia. Ta bort Ta bort objektet som innehåller hot. Ta bort post Tar bort posten från avkänningslistan. Stäng Stänger sidan för genomsökning. Om en åtgärd inte kan användas för hotet är motsvarande menyalternativ inaktiverat. Exempel: Alternativet Rensa är inte tillgängligt om filen redan har tagits bort. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. McAfee Endpoint Security 10.5 Produkthandbok 59 3 Använda Hotdetektering Hantera objekt som satts i karantän Hantera objekt som satts i karantän Endpoint Security sparar objekt som har identifierats som hot i karantän. Du kan vidta åtgärder för objekt i karantän. Innan du börjar Modulen Hotdetektering måste vara installerad. Du kan exempelvis återställa ett objekt när du har laddat ned en senare version av innehållsfilen som innehåller information som rensar bort hotet. Objekt i karantän kan vara olika typer av genomsökta objekt, såsom filer, register eller något som Endpoint Security genomsöker efter skadlig programvara. Åtgärd Om du behöver hjälp går du till menyn Åtgärd 1 Öppna Endpoint Security-klient. 2 Klicka på Karantän till vänster på sidan. och väljer Hjälp. Sidan visar objekt i karantän. Om Endpoint Security-klient inte kan nå karantänhanteraren, visas ett kommunikationsfelmeddelande. Om detta är fallet, starta om ditt system för att visa sidan för Karantän. 60 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera objekt som satts i karantän 3 Markera ett objekt i den övre rutan för att visa informationen i den nedre rutan. För att... Gör så här Ändra den relativa storleken på rutorna. Klicka och dra sash-widgeten mellan rutorna. Sortera objekten i tabellen efter hotnamn eller typ. Klicka på kolumnrubriken i tabellen. 4 Utför åtgärderna på de markerade objekten på sidan för Karantän. För att... Följ dessa steg Ta bort objekt från karantänen. Välj objekt, klicka på Ta bort, klicka därefter på Ta bort igen för att bekräfta. Det går inte att återställa borttagna objekt. Återställa objekt från karantänen. Välj objekt, klicka på Återställ, klicka därefter på Återställ igen för att bekräfta. Endpoint Security återställer objekten till ursprungsplatsen och tar bort dem från karantänen. Om ett objekt fortfarande är ett giltigt hot flyttar Endpoint Security tillbaka det till karantänen nästa gång som objektet öppnas. Sök igenom objekt igen. Markera objekt och klicka på Genomsök igen. Du kan exempelvis söka igenom ett objekt igen när du har uppdaterat skyddet. Om objektet inte längre är ett hot kan du återställa objektet till ursprungsplatsen och ta bort det från karantänen. Visa ett objekt i händelseloggen. Markera ett objekt och klicka sedan på länken Visa i händelselogg i informationsfönstret. Sidan Händelselogg öppnas med händelsen för det aktuella objektet markerad. Få mer information om ett hot. Markera ett objekt och klicka sedan på länken Mer information om det här hotet i informationsfönstret. Ett nytt webbläsarfönster öppnas för McAfee Labs-webbplatsen med mer information om hotet som orsakade att objektet sattes i karantän. Se även Avkänningsnamn på sidan 61 Göra en ny genomsökning av objekt i karantän på sidan 63 Öppna Endpoint Security-klient på sidan 19 Uppdatera innehåll och programvara manuellt på sidan 22 Avkänningsnamn Karantänen rapporterar hot efter avkänningsnamn. Avkänningsnamn Beskrivning Reklamprogram Genererar annonsintäkter genom att visa reklam som är riktat mot användaren. Reklamprogram ger intäkter från leverantören eller leverantörens partner. Vissa typer av reklamprogram kan samla in eller överföra personlig information. Uppringningsprogram Omdirigerar internetanslutningar till en part annan än användarens standardinternetleverantör. Uppringningsprogram är utvecklade att lägga till anslutningsavgifter avsedda för en innehållsleverantör, leverantör eller annan tredje part. McAfee Endpoint Security 10.5 Produkthandbok 61 3 Använda Hotdetektering Hantera objekt som satts i karantän Avkänningsnamn Beskrivning Skämt Gör anspråk på att skada en dator men har ingen skadlig nyttolast eller funktion. Skämt påverkar inte säkerheten eller sekretessen, men kan skrämma eller irritera användaren. Registreringsprogram för tangenttryckningar Snappar upp data medan användaren matar in den i det avsedda mottagarprogrammet. Trojanska hästar och registreringsprogram för tangenttryckningar från eventuellt oönskade program kan fungera exakt likadant. McAfee känner av båda typerna och förhindrar sekretessintrång. Lösenordsknäckare Gör det möjligt för användaren eller administratören att återställa förlorade eller bortglömda lösenord för konton eller datafiler. Om en angripare använder detta kan de få tillgång till konfidentiell information och utgör ett hot mot säkerheten eller sekretessen. Eventuellt oönskade program Innehåller ofta legitim programvara (icke-skadlig programvara) som kan ändra tillståndet för säkerheten eller sekretessen i systemet. Den här programvaran kan hämtas tillsammans med ett program som användaren vill installera. Den kan innehålla spionprogram, reklamprogram, registreringsprogram för tangenttryckningar, lösenordsknäckare, hackarverktyg och uppringningsprogram. Verktyg för fjärradministration Ger en administratör fjärrkontroll av ett system. Dessa verktyg utgör ett betydelsefullt säkerhetshot i händerna på en angripare. Spionprogram Överför personlig information till en tredje part utan användarens vetskap eller medgivande. Spionprogram utnyttjar infekterade datorer i kommersiellt syfte genom att: • Leverera icke begärd reklam i popup-fönster • Stjäla personlig information, inklusive finansiell information, till exempel kreditkortnummer • Övervaka webbläsaraktiviteter i marknadsföringssyfte • Routning av HTTP-begäranden till reklamsidor Se även Eventuellt oönskade program. Smygprogram En typ av virus som försöker undvika avkänning från antivirusprogram. De kallas även interrupt interceptor på engelska. Många smygprogramvirus genskjuter begäran om diskåtkomst. När ett antivirusprogram försöker att läsa filer eller startsektorer för att hitta virus kan viruset visa en ”ren" avbild av det begärda objektet. Andra virus döljer den verkliga storleken på en infekterad fil och visar filens storlek innan den blev infekterad. Trojanska hästar Skadlig programvara som låtsas att de är ofarliga program. En trojansk häst replikerar sig inte men kan skada eller äventyra säkerheten på din dator. Vanligtvis infekteras en dator: • När en användare öppnar en bilaga, som innehåller en trojan, i en e-post. • När en användare hämtar en trojan från en webbplats. • Peer to peer-nätverk. Eftersom de inte replikerar sig betraktas inte trojanska hästar som virus. Virus Klänger sig fast vid diskar eller andra filer och replikerar sig hela tiden, vanligtvis utan användarens vetskap eller medgivande. Vissa virus klänger sig fast vid filer och när den infekterade filen körs, körs även viruset. Andra virus finns i datorns minne och infekterar filer när datorn öppnar, ändrar eller skapar en fil. Vissa virus uppvisar symptom, medan andra virus skadar filer och datorsystem. 62 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering Göra en ny genomsökning av objekt i karantän Endpoint Security använder genomsökningsinställningar som har utformats för att ge maximalt skydd vid nya genomsökningar av objekt i karantän. Metodtips: Genomsök alltid objekt i karantän innan du återställer dem. Du kan exempelvis söka igenom ett objekt igen när du har uppdaterat skyddet. Om objektet inte längre är ett hot kan du återställa objektet till ursprungsplatsen och ta bort det från karantänen. Genomsökningsförhållandena kan ha ändrats från upptäckten av hotet till den ny genomsökningen, vilket kan påverka avkänningen av objekten i karantän. Endpoint Security gör följande vid nya genomsökningar av objekt i karantän: • Söker igenom MIME-kodade filer. • Söker igenom komprimerade arkivfiler. • Framtvingar en McAfee GTI-sökning av objekten. • Ställer in McAfee GTI-känslighetsnivån till Väldigt hög. Den nya genomsökningen av karantänen kan trots dessa genomsökningsinställningar misslyckas att upptäcka hot. Om objektets metadata (sökväg eller registerplats) ändras är det till exempel möjligt att falskt positiva resultat visas trots att objektet fortfarande är infekterat. Hantera Hotdetektering Som administratör kan du ange inställningar för Hotdetektering för att motverka intrång från hot och konfigurera genomsökningar. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. Konfigurera undantag Med Hotdetektering kan du finjustera skyddet genom att ange objekt som ska undantas. Det kan hända att du till exempel behöver undanta vissa filtyper för att förhindra en genomsökning från att låsa en fil som används av en databas eller server. En låst fil kan orsaka fel i databasen eller servern eller göra att de genererar fel. Metodtips: För att förbättra prestandan vid genomsökning på begäran och vid åtkomst, använder du tekniken för att undvika genomsökning i stället för att lägga till fil- och mappundantag. Undantag i undantagslistor utesluter varandra ömsesidigt. Varje undantag utvärderas skilt från de andra i listan. Om du vill undanta en mapp i Windows-system, lägger du till ett omvänt snedstreck (\) i sökvägen. McAfee Endpoint Security 10.5 Produkthandbok 63 3 Använda Hotdetektering Hantera Hotdetektering För den här funktionen... Ange objekt som Var ska undantas konfigurationen ska göras Undanta objekt genom att Använda jokertecken? Åtkomstskydd Processer (för alla regler eller en särskild regel) Åtkomstskydd Namn på processfil eller sökväg, MD5-hash eller undertecknare Allt utom MD5-hash Utnyttjandeskydd Processer Utnyttjandeskydd Namn på processfil eller sökväg, MD5-hash eller undertecknare Allt utom MD5-hash Alla genomsökningar Anroparmoduler Filnamn eller sökväg, MD5-hash eller undertecknare för anroparmodul API:er API-namn Signaturer Signatur-ID Nej Avkänningsnamn (skiftlägeskänsligt) Ja Namn Ja Filnamn eller mapp, filtyp eller filens ålder Ja URL-namn Nej Avkänningsnamn Hotdetektering Alternativ Potentiellt oönskade program Genomsökning vid åtkomst Filer, filtyper och mappar Genomsökning vid åtkomst • Standard • Hög risk URL:er för ScriptScan • Låg risk Genomsökning på begäran Filer, mappar och enheter Genomsökning på begäran Filnamn eller mapp, filtyp eller filens ålder Ja Filer, mappar och enheter Delade | aktiviteter | lägg till aktivitet | anpassad genomsökning Filnamn eller mapp, filtyp eller filens ålder Ja • Snabbgenomsökning • Fullständig genomsökning • Snabbgenomsökning Anpassad genomsökning på begäran Se även Jokertecken i undantag på sidan 65 64 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering Jokertecken i undantag Det går att använda jokertecken i stället för andra tecken i undantag för filer, mappar, avkänningsnamn och potentiellt oönskade program. Tabell 3-1 Giltiga jokertecken Jokertecken Namn Representerar ? Enkelt tecken. Frågetecken Det här jokertecknet gäller endast om antalet tecken matchar längden i namnet för filen eller mappen. Exempel: Undantaget W?? matchar WWW, men inte WW eller WWWW. * Asterisk Flera tecken, förutom omvänt snedstreck (\). *\ i början av filsökvägen är ogiltigt. Använd **\ i stället. Exempel: **\ABC\*. ** Dubbel asterisk Noll eller fler tecken, inklusive omvänt snedstreck (\). Det här jokertecknet matchar noll eller fler tecken. Exempel: C:\ABC \**\XYZ matchar C:\ABC\DEF\XYZ och C:\ABC\XYZ. Jokertecken kan visas framför ett omvänt snedstreck (\) i en sökväg. Exempel, C:\ABC\*\XYZ matchar C:\ABC\DEF\XYZ. Undantag på rotnivå En absolut sökväg krävs för undantag på rotnivå i Hotdetektering. Detta innebär att inledande jokertecken som \ eller ?:\ inte kan användas för att matcha enhetsnamn på rotnivå. Det här beteendet skiljer sig från VirusScan Enterprise. Se McAfee Endpoint Security Migreringsguide. I Hotdetektering kan du använda inledande jokertecken som **\ i undantag på rotnivå för att matcha enheter och undermappar. **\test matchar till exempel följande: C:\test D:\test C:\temp\test D:\foo\test Skydda systemets åtkomstpunkter Det första steget för skydd mot skadlig programvara är att skydda klientsystemets åtkomstpunkter från hot. Åtkomstskyddet förhindrar oönskade ändringar på hanterade datorer genom att begränsa åtkomsten till angivna filer, resurser, registernycklar, registervärden, processer och tjänster. Åtkomstskyddet använder både McAfee-definierade regler och användardefinierade regler (även kallade anpassade regler) för att rapportera eller blockera åtkomst till objekt. Åtkomstskyddet jämför en begärd åtgärd med listan över regler och agerar enligt regeln. Åtkomstskyddet måste vara aktiverat för att identifiera åtkomstförsök till filer, resurser, registernycklar, registervärden, processer och tjänster. McAfee Endpoint Security 10.5 Produkthandbok 65 3 Använda Hotdetektering Hantera Hotdetektering Hur hot får åtkomst Hot får åtkomst till ditt system via olika åtkomstpunkter. Åtkomstpunkt Beskrivning Makron Som en del av ordbehandlingsprogram och kalkylprogram. Körbara filer Program som verkar ofarliga kan innehålla virus med förväntade program. Vissa vanliga filnamnstillägg är .EXE, .COM, .VBS, .BAT, .HLP och .DLL. Skript Associerade till webbsidor och e-post, skript som till exempel ActiveX och JavaScript, kan innehålla virus om de får tillåtelse att köras. IRC(Internet Relay Chat)-meddelanden Filer som skickas med dessa meddelanden kan mycket lätt innehålla skadlig programvara som del av meddelandet. Till exempel, automatiska processer för systemstart kan innehålla mask- och trojanhot. Hjälpfiler för webbläsare och program Hämtning av dessa Hjälpfiler gör systemet tillgängligt för inbäddade virus och körbara filer. E-post Skämt, spel och bilder som är del av e-postmeddelanden med bilaga. Kombinationer av alla dessa åtkomstpunkter Sinnrika programmerare som skapar skadlig programvara kombinerar alla dessa metoder och kanske till och med bäddar in en skadlig programvara inom en annan skadlig programvara för att försöka få åtkomst till en dator som hanteras. Hur Åtkomstskydd stoppar hot Åtkomstskyddet stoppar potentiella hot genom att hantera åtgärder utifrån McAfee-definierade och användardefinierade skyddsregler. Hotdetektering följer den här enkla processen för att ge Åtkomstskydd. När ett hot inträffar När en användare agerar eller en process körs: 1 Åtkomstskydd undersöker åtgärden enligt definierade regler. 2 Om åtgärden bryter mot en regel hanterar Åtkomstskydd åtgärden med hjälp av informationen i de konfigurerade reglerna. 3 Åtkomstskydd uppdaterar loggfilen och skapar samt skickar en händelse till hanteringsservern, i tillämpliga fall. Exempel på åtkomsthot 66 1 En användare hämtar ett seriöst program (inte skadlig programvara), MyProgram.exe, från Internet. 2 Användaren startar MyProgram.exe och programmet verkar starta som förväntat. 3 MyProgram.exe startar en underordnad process som heter AnnoyMe.exe. 4 AnnoyMe.exe försöker att ändra operativsystemet så att AnnoyMe.exe alltid laddas vid systemstart. 5 Åtkomstskydd bearbetar begäran och matchar åtgärden mot en befintlig regel för blockering och rapport. 6 Åtkomstskydd stoppar AnnoyMe.exe från att göra ändringar i operativsystemet och loggar uppgifterna för försöket. Åtkomstskydd skapar och skickar även en varning till hanteringsservern. McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 Om regler för åtkomstskydd Använd de McAfee-definierade och användardefinierade reglerna för åtkomstskydd för att skydda åtkomstpunkter i systemet. McAfee-definierade regler tillämpas alltid före användardefinierade regler. Regeltyp Beskrivning McAfee-definierade regler • Dessa regler förhindrar ändringar i vanligt förekommande filer och inställningar. • Du kan aktivera, inaktivera och ändra konfigurationen av dessa McAfee-definierade regler, men du kan inte ta bort dem. Användardefinierade regler • Dessa regler kompletterar skyddet som tillhandahålls av de McAfee-definierade reglerna. • Om tabellen Körbara filer är tom innebär det att regeln gäller samtliga körbara filer. • Om tabellen Användarnamn är tom innebär det att regeln gäller samtliga användare. • Du kan lägga till, ta bort, aktivera, inaktivera och ändra konfigurationen av dessa regler. Undantag På regelnivå tillämpas den angivna regeln för exkluderingar och inkluderingar. På principnivå tillämpas undantag för alla regler. Undantag är valfria. Se även Uteslut processer från Åtkomstskydd på sidan 73 Konfigurera McAfee-definierade regler för åtkomstskydd McAfee-definierade regler förhindrar att användare ändrar vanligt förekommande filer och inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Du kan: • Ändra inställningarna för blockering och rapportering för dessa regler. • Lägg till undantagna och inkluderade körbara filer i dessa regler. Du kan inte: • Ta bort de här reglerna. • Ändra filerna och inställningarna som skyddas av reglerna. • Lägga till underregler eller användarnamn i dessa regler. McAfee Endpoint Security 10.5 Produkthandbok 67 3 Använda Hotdetektering Hantera Hotdetektering Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Ändra regeln: a 6 väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. I avsnittet Regler väljer du Blockera, Rapportera eller båda för regeln. • Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. • Avmarkera både Blockera och Rapportera för att inaktivera regeln. b Redigera en McAfee-definierad regel genom att dubbelklicka på den. c Konfigurera inställningarna på sidanRedigera McAfee-definierad regel. d I avsnittet Körbara filer klickar du påLägg till. Konfigurera inställningarna och klicka sedan två gånger påSpara för att spara regeln. Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även McAfee-definierade regler för åtkomstskydd på sidan 68 Logga in som administratör på sidan 26 Uteslut processer från Åtkomstskydd på sidan 73 McAfee-definierade regler för åtkomstskydd Använd McAfee-definierade regler för åtkomstskydd för att skydda datorn från oönskade ändringar. McAfee-definierad regel Beskrivning Webbläsare som kör filer från mappen Hämtade programfiler Förhindrar att programvara installeras via webbläsaren. Eftersom den här regeln kan blockera installationen av legitim programvara ska programmet antingen installeras före regelaktiveringen, eller så ska installationsprocessen undantas. Regeln är inställd på Rapportera som standard. Den här regeln förhindrar att reklamprogram och spionprogram installerar och kör körbara filer från den här mappen. Ändra registerinformation om filtillägg Skyddar registernycklarna under HKEY_CLASSES_ROOT där filnamnstilläggen är registrerade. Den här regeln hindrar försök från skadlig programvara att ändra filtilläggsregistreringarna för att tillåta tysta åtgärder från skadlig programvara. Metodtips: Inaktivera den här regeln när du installerar giltiga program som ändrar registreringar av filnamnstillägg i registret. Den här regeln är ett mer begränsande alternativ till Kapa EXE-filer och andra körbara tillägg. 68 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering McAfee-definierad regel Beskrivning Ändra principer för användarrättigheter Skyddar registervärden som innehåller säkerhetsinformation för Windows. Den här regeln hindrar maskar från att ändra konton med administratörsrättigheter. Skapa nya körbara filer i mappen Programfiler Förhindrar att nya körbara filer skapas i mappen Programfiler. Den här regeln förhindrar att reklamprogram och spionprogram skapar EXE- och DLL-filer, samt installerar nya körbara filer i mappen Programfiler. Metodtips: Installera programmen innan du aktiverar den här regeln, eller placera de blockerade processerna i undantagslistan. Skapa nya körbara filer i Windows-mappen Förhindrar att filer skapas i samtliga processer, inte bara via nätverket. Den här regeln förhindrar att .EXE- och .DLL-filer skapas i Windows-mappen. Metodtips: Lägg till de processer som måste placera filer i Windows-mappen i undantagslistan. Inaktivera registereditorn och aktivitetshanteraren Skyddar Windows-registerposter och förhindrar inaktivering av registereditorn och aktivitetshanteraren. Vid ett utbrott måste du inaktivera den här regeln för att kunna ändra registret, eller öppna aktivitetshanteraren för att stoppa aktiva processer. Köra skript med Windows Script Host (CScript.exe eller Wscript.exe) från delade användarmappar Hindrar Windows skriptvärd från att köra VBScript och JavaScript från en mapp med ”temp” i mappnamnet. Den här regeln skyddar mot många trojaner och tvivelaktiga mekanismer för webbinstallation som används av reklam- och spionprogram. Den här regeln kan blockera installation eller körning av legitima skript och program från tredje part. Kapar .EXE-filer eller andra körbara tillägg Skyddar .EXE, .BAT och andra körbara registernycklar i HKEY_CLASSES_ROOT. Den här regeln hindrar skadlig programvara från att ändra registernycklar och köra viruset när en annan körbar fil körs. Den här regeln är ett mindre begränsande alternativ till Ändra registerinformation om filtillägg. Installerar Browser Helper Objects Hindrar reklamprogram, spionprogram och trojaner som installeras som eller Shell-tillägg Browser Helper Objects från att installeras på värddatorn. Den här regeln förhindrar att reklamprogram och spionprogram installeras i systemen. Metodtips: Tillåt att legitima anpassade eller tredje partsprogram installerar dessa tillägg genom att lägga till dem i undantagslistan. Efter installationen kan du aktivera regeln på nytt eftersom den inte förhindrar körning av installerade Browser Helper Objects. McAfee Endpoint Security 10.5 Produkthandbok 69 3 Använda Hotdetektering Hantera Hotdetektering McAfee-definierad regel Beskrivning Installera nya CLSID-, APPID- och TYPELIB-objekt Förhindrar att nya COM-servrar installeras eller registreras. Den här regeln är ett skydd mot reklam- och spionprogram som installerar sig själva som ett COM-tilläggsprogram i Internet Explorer eller Microsoft Office-program. Metodtips: Tillåt legitima program som registrerar COM-tilläggsprogram, till exempel vanliga program som Adobe Flash, genom att lägga till dem i undantagslistan. Ändra kärnprocesser för Windows Förhindrar att filer med de vanligaste förfalskade namnen skapas eller körs. Den här regeln förhindrar körning av virus eller trojaner med samma namn som en Windows-process. Den här regeln undantar autentiska Windows-filer. Ändra inställningar för Internet Explorer Ändra nätverksinställningarna Blockerar processer från att ändra inställningar i Internet Explorer. Den här regeln förhindrar att startsidestrojaner, reklamprogram och spionprogram ändrar webbläsarinställningar, till exempel genom att ändra startsidan eller installera favoriter. Förhindrar att processer som inte finns i undantagslistan utför ändringar i systemets nätverksinställningar. Den här regeln skyddar mot Layered Service Providers som överför data, som exempelvis ditt surfningsbeteende, genom att spela in nätverkstrafik och sedan skicka den till tredjepartswebbplatser. Metodtips: Om processerna ska kunna ändra nätverksinställningar måste de läggas till i undantagslistan, eller som måste regeln inaktiveras under ändringen. Registrera program som ska köras Blockerar reklamprogram, spionprogram, trojaner och virus från att automatiskt registrera sig själva och läsas in varje gång som systemet startas om. Regeln förhindrar att de processer som inte är med i undantagslistan läser in processer som körs varje gång som systemet startas om. Metodtips: Lägg till legitima program i undantagslistan eller installera dem innan du aktiverar regeln. Fjärråtkomst till lokala filer eller mappar Förhindrar fjärrdatorers läs- och skrivåtkomst till datorn. Den här regeln förhindrar spridning av en delningsspridd mask. I en normal miljö är den här regeln lämplig för arbetsstationer, men inte servrar, och då endast när datorn är utsatt för en direkt attack. Om datorn hanteras genom att filer skickas till den, förhindrar regeln installation av uppdateringar eller korrigeringar. Den här regeln påverkar inte hanteringsfunktionerna i McAfee ePO. Skapa filer som körs automatiskt på distans Hindrar andra datorer från att ansluta till och skapa eller ändra filer som körs automatiskt (autorun.inf). Filer som körs automatiskt används för att starta programfiler automatiskt, speciellt installationsfiler från cd-skivor. Den här regeln förhindrar start av spionprogram och reklamprogram som sprids via cd-skivor. Den här regeln markeras för att Blockera och Rapportera som standard. 70 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 McAfee-definierad regel Beskrivning Skapar eller ändrar filer och mappar på distans Blockerar skrivbehörighet till alla resurser. Den här regeln är användbar vid utbrott genom att förhindra skrivbehörigheten och begränsa att infektionen sprids. Regeln blockerar skadlig programvara som annars avsevärt skulle begränsa användningen av datorn eller nätverket. I en normal miljö är den här regeln lämplig för arbetsstationer, men inte servrar, och då endast när datorn är utsatt för en direkt attack. Om datorn hanteras genom att filer skickas till den, förhindrar regeln installation av uppdateringar eller korrigeringar. Den här regeln påverkar inte hanteringsfunktionerna i McAfee ePO. Fjärrskapa eller fjärrändra PE(Portable Executable), INI- och PIF-filtyper samt kärnsystemplatser Hindrar andra datorer från att ansluta till och ändra körbara filer, till exempel filer i Windows-mappen. Den här regeln påverkar bara filtyper som vanligtvis infekteras av virus. Köra filer från delade användarmappar Blockerar körbara filer från att köras eller startas från en mapp med ”temp” i mappnamnet. Den här regeln är ett skydd mot maskar och virus som sprids snabbt och rör sig genom ett nätverk genom öppna eller administrativa resurser. Den här regeln är ett skydd mot skadlig programvara som sparas och körs från användarens eller systemets temp-mapp. Sådan skadlig programvara kan innehålla körbara bilagor i e-post och hämtade program. Trots att den här regeln ger det säkraste skyddet, kan den blockera installationen av legitima program. Köra filer från delade användarmappar med delade program Blockerar installation av programvara från webbläsaren eller e-postklienten. Den här regeln förhindrar att e-postbilagor och körbara filer körs på webbsidor. Metodtips: Om du vill installera ett program som använder Temp-mappen lägger du till processen i undantagslistan. Se även Konfigurera McAfee-definierade regler för åtkomstskydd på sidan 67 Konfigurera användardefinierade regler för åtkomstskydd Användardefinierade regler kompletterar skyddet som tillhandahålls av de McAfee-definierade reglerna. Du kan lägga till, ta bort, aktivera, inaktivera och ändra konfigurationen av dessa regler. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Metodtips: Information om hur du skapar regler för åtkomstskydd som skyddar mot ransomware finns i PD25203. McAfee Endpoint Security 10.5 Produkthandbok 71 3 Använda Hotdetektering Hantera Hotdetektering Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Skapa regeln. I avsnittet Regler klickar du på Lägg till. Konfigurera inställningarna på sidan Lägg till regel. a I avsnittet Körbara filer klickar du påLägg till. Konfigurera egenskaperna för den körbara filen och klicka sedan påSpara. Om tabellen Körbara filer är tom innebär det att regeln gäller samtliga körbara filer. b I avsnittet Användarnamn klickar du påLägg till. Konfigurera egenskaperna för användarnamnet. Om tabellen Användarnamn är tom innebär det att regeln gäller samtliga användare. c I avsnittet Underregler klickar du på Lägg till och konfigurerar sedan underregelns egenskaper. Metodtips: För att undvika försämrad prestanda ska du inte markera åtgärden Läsa. I avsnittet Mål klickar du påLägg till. Konfigurera målinformationen och klicka sedan två gånger på Spara. 6 7 I avsnittet Regler väljer du Blockera, Rapportera eller båda för regeln. • Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. • Avmarkera både Blockera och Rapportera för att inaktivera regeln. Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Uteslut processer från Åtkomstskydd på sidan 73 Så här utvärderas målen i åtkomstskyddets underregler Varje mål läggs till med direktivet Inkludera eller Undanta. 72 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 Vid utvärdering av systemet mot en underregel utvärderas underregeln som sant om: • Minst en Inkludera utvärderas som sann. och • Alla Undantag utvärderas som falska. Undanta går före Inkludera. Här följer några exempel: • Om en underregel både inkluderar och undantar en fil, utlöses inte underregeln för den filen. • Om underregeln inkluderar alla filer men undantar filen C:\marketing\jjohns, aktiveras underregeln om filen inte är C:\marketing\jjohns. • Om en underregel inkluderar filen C:\marketing\* men undantar C:\marketing\jjohns, utlöses underregeln för C:\marketing\vilkensomhelst, men inte för C:\marketing\jjohns. Uteslut processer från Åtkomstskydd Om ett betrott program är blockerat kan processen undantas med ett princip- eller regelbaserat undantag. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Kontrollera att Åtkomstskydd är aktiverat. McAfee Endpoint Security 10.5 Produkthandbok 73 3 Använda Hotdetektering Hantera Hotdetektering 6 Gör något av följande: För att... Gör så här... Undanta processer från alla regler. 1 I avsnittet Undantag klickar du på Lägg till för att lägga till processer som ska undantas från alla regler. 2 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 3 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. Ange vilka processer som ska inkluderas eller uteslutas i en användardefinierad regel. 1 Redigera en befintlig användardefinierad regel eller lägg till en regel. 2 På sidan Lägg till regel eller Redigera regel, i avsnittet Körbara filer, klickar du på Lägg till för att lägga till en körbar fil som ska uteslutas eller inkluderas. 3 På sidan Lägg till körbar fil konfigurerar du egenskaperna för den körbara filen, inklusive om den ska inkluderas eller undantas. 4 Klicka på Spara två gånger och sedan på Tillämpa för att spara inställningarna. Blockerar utnyttjande av buffertspill Utnyttjandeskydd stoppar utnyttjande av buffertspill från att köra godtycklig kod. Den här funktionen övervakar användarläget API-anrop och känner igen när de anropas som ett resultat av buffertspill. När en avkänning inträffar registreras informationen i aktivitetsloggen, som visas i klientsystemet och skickas till hanteringsservern, om detta har konfigurerats. Hotdetektering använder innehållsfilen för utnyttjandeskydd för att skydda program, till exempel Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word och MSN Messenger. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version 10.5. Om McAfee Host IPS är aktiverat så inaktiveras Utnyttjandeskydd, även om det är aktiverat i principinställningarna. Hur utnyttjande av buffertspill inträffar Angripare använder utnyttjande av buffertspill för att köra körbar kod, genom att låta data spilla över minnesbufferten med fast storlek som är reserverat för en indataprocess. Med den här koden kan angriparen ta över måldatorn eller skada dess data. En stor procentandel attacker från skadlig programvara är buffertspillattacker som försöker skriva över angränsande minne i stackramen. Det finns två typer av utnyttjande av buffertspill: • Stackbaserade attacker använder stackminnesobjekt för att lagra användarindata (mest förekommande). • Heapbaserade attacker översvämmar minnesutrymmet som reserverats för ett program (sällan förekommande). Stackminnesobjektet med fast storlek är tomt och väntar på användarindata. När programmet tar emot indata från användaren lagras datan högst upp i stacken och tilldelas en returminnesadress. När stacken bearbetas skickas användarens indata till returadressen som är angiven av programmet. 74 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering Följande process beskriver en stackbaserad buffertspillattack: 1 Dataspill i stacken. När programmet skrivs reserveras en viss mängd minnesutrymme för data. Data spiller över stacken om data som skrivs till stacken överskrider det reserverade utrymmet inom minnesstacken. Den här situationen är endast ett problem i kombination med skadlig indata. 2 Utnyttjande av dataspill. Programmet väntar på indata från användaren. Om angriparen anger ett körbart kommando som överskrider stackstorleken, sparas kommandot utanför det reserverade utrymmet. 3 Kör den skadliga programvaran. Kommandot körs inte automatiskt när det överskrider stackbuffertutrymmet. Först börjar programmet att krascha på grund av buffertspillet. Om angriparen angett en returminnesadress som hänvisar till det skadliga kommandot, försöker programmet återställas genom att använda returadressen. Om returadressen är giltig, körs det skadliga kommandot. 4 Utnyttjande av behörigheter. Den skadliga programvaran körs nu med samma behörigheter som programmet som har skadats. Eftersom program vanligtvis körs i kernelläge eller med behörigheter från ett tjänstkonto, kan angriparen nu få fullständig kontroll över operativsystemet. Signaturer och hur de fungerar Utnyttjandeskyddssignaturer är regelsamlingar som jämför beteende med kända attacker och utför en åtgärd när en matchning upptäcks. McAfee levererar signaturer i innehållsuppdateringar för Utnyttjandeskydd. Signaturer skyddar specifika program som definieras i listan Regler för programskydd. När en attack upptäcks kan Utnyttjandeskydd stoppa beteendet som initierades av attacken. När innehållsfilen i Utnyttjandeskydd uppdateras, uppdateras även listan med signaturer om det behövs. Du kan ändra åtgärdsinställningarna för dessa signaturer, men du kan inte lägga till, ta bort eller på annat sätt ändra dessa signaturer. Om du vill skydda specifika filer, resurser, registernycklar, registervärden, processer och tjänster skapar du anpassade regler för åtkomstskydd. Åtgärder En åtgärd är det som Utnyttjandeskydd gör när en signatur utlöses. • Blockera – Förhindrar åtgärden. • Rapportera – Tillåter åtgärden och rapporterar händelsen. Om inget alternativ väljs inaktiveras signaturen – Utnyttjandeskydd tillåter åtgärden och rapporterar inte händelsen. Innehållsfilen i Utnyttjandeskydd anger automatiskt åtgärden för signaturer beroende på allvarlighetsgrad. Du kan ändra åtgärd för en specifik signatur i avsnittet Signaturer i inställningarna för Utnyttjandeskydd. Eventuella ändringar som du gör i dessa signaturåtgärder finns kvar även om innehållsuppdateringar görs. Beteendebaserade regler Beteendebaserade regler blockerar attacker från dag noll och tillämpar rätt beteende i operativsystem och program. Heuristiska beteendebaserade regler definierar en profil med tillåten aktivitet. Aktiviteter som inte matchar dessa regler anses vara misstänkta och utlöser ett svar. En beteendebaserad regel McAfee Endpoint Security 10.5 Produkthandbok 75 3 Använda Hotdetektering Hantera Hotdetektering kan t.ex. ange att bara en webbserverprocess får åtkomst till HTML-filer. Om någon annan process försöker få åtkomst till HTML-filer, vidtar Utnyttjandeskydd angiven åtgärd. Denna typ av skydd, som kallas programskydd och inbäddning, förhindrar att program och deras data skadas samt att program används för att attackera andra program. Beteendebaserade regler blockerar också utnyttjandet av buffertspill. Detta förhindrar att kod körs från en buffertspillattack, vilket är en av de vanligaste attackmetoderna. Allvarlighetsgrader Varje signatur har en standardallvarlighetsgrad, som beskriver den potentiella faran vid en attack. • Hög – Signaturer som skyddar mot tydligt identifierbara säkerhetshot eller skadliga åtgärder. De flesta av dessa signaturer är specifika för välkända utnyttjanden och är för det mesta inte beteendebaserade. För att förhindra att system exponeras för utnyttjandeattacker, anger du signaturer med en allvarlighetsgrad på Hög till Blockera på varje värd. • Medel – Signaturer som är beteendebaserade och förhindrar att program körs utanför miljön (relevant för klienter som skyddar webbservrar och Microsoft SQL Server 2000). Metodtips: På kritiska servrar anger du signaturer med en allvarlighetsgrad på Medel till Blockera efter utförd finjustering. • Låg – Signaturer som är beteendebaserade och skyddar program. Skyddet innebär att program och systemresurser blir låsta så att de inte kan ändras. Om signaturer med en allvarlighetsgrad på Låg anges till Blockera ökar systemets säkerhet, men extra justering krävs. • Information – Visar att en ändring gjorts i systemkonfigurationen som kan utgöra en ofarlig säkerhetsrisk, eller ett försök att få åtkomst till känslig systeminformation. Händelser på den här nivån sker under normal systemaktivitet och är vanligtvis inte något bevis på en attack. • Inaktiverad – Visar en lista med signaturer som är inaktiverade i innehållsfilen för Utnyttjandeskydd. Det går inte att aktivera signaturer med allvarlighetsgraden Inaktiverad. Regler för programskydd och hur de fungerar Regler för programskydd definierar de körbara filer som övervakas för signaturer i Utnyttjandeskydd. Om en körbar fil saknas i listan, övervakas den inte. Signaturer för Utnyttjandeskydd består av två klasser: • Signaturer för buffertspill ger minnesskydd genom att övervaka minnesutrymmet som processerna använder. • API-signaturer övervakar API-anrop mellan processer som körs i användarläge och kernel. Innehållet i Utnyttjandeskydd från McAfee inkluderar en lista med program som är skyddade. Hotdetektering visar dessa program i avsnittet Regler för programskydd i inställningarna för Utnyttjandeskydd. För att skyddet ska vara aktuellt kommer uppdateringar av innehållet i Utnyttjandeskydd ersätta McAfee-definierade regler för programskydd i inställningarna för Utnyttjandeskydd med de senaste reglerna för programskydd. Du kan aktivera, inaktivera, ta bort och ändra inkluderingsstatus för McAfee-definierade regler för programskydd. Du kan dessutom skapa och duplicera dina egna regler för programskydd. Eventuella ändringar som du gör i dessa regler finns kvar även om innehållsuppdateringar görs. 76 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 Om listan innehåller regler för programskydd i konflikt, har regler med Inkluderingsstatus Uteslut företräde över Inkludera. Endpoint Security-klient visar den fullständiga listan med skyddade program, inte bara de program som för närvarande körs i klientsystemet. Detta beteende skiljer sig från McAfee Host IPS. För hanterade system skickas inte regler för programskydd som skapats i Endpoint Security-klient till McAfee ePO och kan komma att skrivas över när administratören distribuerar en uppdaterad princip. Konfigurera inställningar för Utnyttjandeskydd För att förhindra att program kör godtycklig kod på klientsystemet konfigurerar du undantag i Utnyttjandeskydd, McAfee-definierade signaturer och regler för programskydd. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Du kan ange åtgärden för McAfee-definierade signaturer. Du kan aktivera, inaktivera, ta bort och ändra inkluderingsstatus för McAfee-definierade regler för programskydd. Du kan också skapa och duplicera dina egna regler för programskydd. Eventuella ändringar som du gör i dessa regler finns kvar även om innehållsuppdateringar görs. En lista med processer som skyddas av Utnyttjandeskydd finns i KB58007. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Utnyttjandeskydd. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Undanta processer från Utnyttjandeskydd Om ett betrott program blockeras kan du skapa ett undantag från Utnyttjandeskydd. Du kan undanta processen med processnamnet, anroparmodulen, API:n eller signatur-ID:t. Du kan också skapa regler för programskydd som inkluderar eller undantar processer från skyddet. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd McAfee Endpoint Security 10.5 väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. Produkthandbok 77 3 Använda Hotdetektering Hantera Hotdetektering 3 Klicka på Visa avancerat. 4 Klicka på Utnyttjandeskydd. 5 Kontrollera att Utnyttjandeskydd är aktiverat. 6 Gör något av följande: För att... Gör så här... Undanta processer från alla regler. 1 I avsnittet Undantag klickar du på Lägg till. 2 Konfigurera egenskaperna för undantaget på sidan Lägg till undantag. 3 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. Ange vilka processer som ska inkluderas eller exkluderas i en användardefinierad regel för programskydd. 1 Redigera en befintlig användardefinierad regel eller lägg till en regel för programskydd. 2 På sidan Lägg till regel eller Redigera regel, i avsnittet Körbara filer, klickar du på Lägg till för att lägga till körbara filer som ska undantas eller inkluderas. 3 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 4 Klicka på Spara två gånger och sedan på Tillämpa för att spara inställningarna. Utnyttjandeskyddsundantag och hur de fungerar Ett falskt positivt resultat inträffar när beteendet som är en normal del av användarens arbete tolkas som en attack. För att förhindra falska positiva resultat kan du skapa ett undantag för det beteendet. Med undantag kan du minska falska positiva varningar, minimera onödigt dataflöde och vara säker på att varningarna avser riktiga säkerhetshot. Under processen med att testa klienter känner en klient t.ex. igen signaturen ”Java – Skapa misstänkta filer i Temp-mappen”. Signaturen visar att Java-programmet försöker skapa en fil i Windows Temp-mapp. En händelse som utlöses av denna signatur är orsak till ett larm, eftersom ett Java-program kan användas för att hämta skadlig programvara till Windows Temp-mapp. I det här fallet är det troligt att en trojan har planterats. Men om processen normalt sett skapar filer i Temp-mappen, t.ex. genom att spara en fil med Java-programmet, kan du skapa ett undantag för att tillåta åtgärden. Om en överträdelse av Utnyttjandeskydd sker innehåller händelsen en associerad process och en möjlig anroparmodul, API eller signatur. Om du misstänker att överträdelsen är en falsk positiv identifiering kan du lägga till ett undantag som tillåter någon av identifierarna. För hanterade system skickas inte undantag för Utnyttjandeskydd som skapats i Endpoint Security-klient till McAfee ePO och kan komma att skrivas över när administratören distribuerar en uppdaterad princip. Konfigurera globala undantag i principen Utnyttjandeskydd i McAfee ePO. Tänk på följande när du anger undantag: 78 • Varje undantag är oberoende. Flera undantag kopplas samman av ett logiskt OR. På så sätt undviks överträdelser vid matchande undantag. • Du måste ange minst en process, anroparmodul, API eller signatur. • Undantag i anroparmodulen eller API:n gäller inte för DEP. • För processundantag måste du ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering • Om du anger fler än en identifierare, tillämpas alla identifierare. • Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. • Undantag är skiftlägesokänsliga. • Jokertecken är tillåtna för alla utom MD5-hash. • Om du inkluderar signatur-ID:n i ett undantag, gäller undantaget bara processen i angivna signaturer. Om inga signatur-ID:n har angivits, gäller undantaget processen i alla signaturer. Känner av eventuellt oönskade program Ange filer och program som ska identifieras i din miljö för att skydda den hanterade datorn från eventuellt oönskade program. Aktivera därefter avkänning. Eventuellt oönskade program är programvara som är irriterande eller som kan ändra säkerhetstillståndet eller sekretessen i systemet. Eventuellt oönskade program kan vara inbäddade i program som användare hämtar med avsikt. Oönskade program kan innehålla spionprogram, reklamprogram och uppringningsprogram. 1 Ange oönskade program som genomsökning vid åtkomst och genomsökning på begäran ska känna av i Alternativ inställningar. 2 Aktivera avkänning av oönskade program och ange åtgärder som ska vidtas vid avkänning i dessa inställningar: • Genomsökning vid åtkomst inställningar • Genomsökning på begäran inställningar Se även Ange eventuella oönskade program som ska kännas av på sidan 79 Aktivera och konfigurera avkänning och svar för eventuellt oönskade program på sidan 80 Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 Konfigurera Genomsökning på begäran inställningar på sidan 89 Ange eventuella oönskade program som ska kännas av Ange ytterligare program som genomsökning vid åtkomst och genomsökning på begäran ska betrakta oönskade program i Alternativ inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Genomsökningarna identifierar de program som du anger, samt program enligt AMCore-innehållsfilerna. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd McAfee Endpoint Security 10.5 väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. Produkthandbok 79 3 Använda Hotdetektering Hantera Hotdetektering 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Från avkänning av eventuellt oönskade program: • Klicka på Lägg till för att ange namnet och en beskrivning, om så önskas, på en fil eller program som ska betraktas som ett eventuellt oönskat program. Beskrivningen visas som ett avkänningsnamn när en avkänning görs. • Dubbelklicka på namnet eller beskrivningen på ett befintligt eventuellt oönskat program för att göra en ändring. • Välj ett befintligt eventuellt oönskat program och klicka sedan på Ta bort för att ta bort det från listan. Se även Logga in som administratör på sidan 26 Aktivera och konfigurera avkänning och svar för eventuellt oönskade program Aktivera genomsökning vid åtkomst och på begäran att identifiera eventuellt oönskade program samt ange svar när ett sådant program identifieras. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Konfigurera Genomsökning vid åtkomst inställningar. a Öppna Endpoint Security-klient. b Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd 2 c Klicka på Visa avancerat. d Klicka på Genomsökning vid åtkomst. e Under Processinställningar, för varje typ av Genomsökning vid åtkomst, välj Identifiera oönskade program. f Under Åtgärder, konfigurera svar till oönskade program. Konfigurera Genomsökning på begäran inställningar. a Öppna Endpoint Security-klient. b Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd 80 väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. c Klicka på Visa avancerat. d Klicka på Genomsökning på begäran. McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering e 3 För varje typ av genomsökning (Fullständig genomsökning, Snabbgenomsökning och Genomsökning via högerklick): • Välj Identifiera oönskade program. • Under Åtgärder, konfigurera svar till oönskade program. Se även Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 Konfigurera Genomsökning på begäran inställningar på sidan 89 Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar för genomsökning Ange inställningar som gäller både genomsökning vid åtkomst och genomsökning på begäran genom att konfigurera Hotdetektering-alternativens . Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Dessa inställningar gäller alla genomsökningar: • Plats för karantän och antal dagar som karantänobjekten ska behållas innan de tas bort automatiskt • Avkänningsnamn som ska undantas genomsökningar • Eventuella oönskade program som ska kännas av, till exempel spionprogram och reklamprogram • McAfee GTI-baserad telemetrifeedback Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 Konfigurera Genomsökning på begäran inställningar på sidan 89 McAfee Endpoint Security 10.5 Produkthandbok 81 3 Använda Hotdetektering Hantera Hotdetektering Så här fungerar McAfee GTI Om du aktiverar McAfee GTI för genomsökning vid åtkomst eller på begäran, använder genomsökningen heuristik för att leta efter misstänkta filer. Genomsökningen skickar fingeravtrycksprov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänningen bli tillgänglig snabbare, före nästa uppdatering av innehållsfiler när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Känslighetsnivån för McAfee GTI är inställd på Medel som standard. Konfigurera känslighetsnivån för varje genomsökning i inställningarna för Genomsökning vid åtkomst och Genomsökning på begäran. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från McAfee GTI i inställningarna för Delade. Vanliga frågor och svar om McAfee GTI finns i KB53735. Konfigurera Genomsökning vid åtkomst inställningar Med dessa inställningar kan du aktivera och konfigurera genomsökningar vid åtkomst. Du kan till exempel välja vilka meddelanden som ska skickas när ett hot upptäcks samt basera olika inställningar utifrån processtyp. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om flera konfigurationsalternativ för genomsökning finns i Hjälp för Hotdetektering Alternativ. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd 3 Klicka på Visa avancerat. 4 Klicka på Genomsökning vid åtkomst. 5 Markera Aktivera genomsökning vid åtkomst för att aktivera genomsökningar vid åtkomst och ändra inställningar. 6 Ange om standardinställningar ska användas för samtliga processer eller om andra inställningar ska användas för hög- och lågriskprocesser. 7 82 väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. • Standardinställningar – Konfigurera inställningar för genomsökningar i fliken Standard. • Olika inställningar utifrån processtyp – Markera flikarna Standard, Högrisk eller Lågrisk och konfigurerar inställningar för genomsökningar per processtyp. Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering Se även Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar för genomsökning på sidan 81 Välja när filer ska genomsökas med genomsökning vid åtkomst Du kan ange när genomsökning vid åtkomst ska undersöka filerna: vid skrivning till disk, vid läsning från disk, eller låta McAfee avgöra när genomsökningen ska utföras. Vid skrivning till disk (”skrivgenomsökning”) Alternativet Skrivgenomsökning förhindrar inte åtkomst till filer, vare sig före eller efter genomsökningen, så systemet kan bli sårbart för attacker. När du har valt Skrivgenomsökning undersöks filen, men bara efter att den skrivits till disk och stängts. En process kan utföra en åtgärd för att läsa, öppna eller köra filen innan genomsökningen utför en skrivgenomsökning, vilket potentiellt kan resultera i en infektion. Program kan också råka ut för SHARING_VIOLATION-fel om de får åtkomst till filen på nytt efter att ha skrivit till den, samtidigt som skrivgenomsökningen pågår. Genomsökningen vid åtkomst undersöker filer när de är: • Skapade eller ändrade på den lokala hårddisken. • Kopierade eller flyttade från en mappad enhet till den lokala hårddisken (om alternativet På nätverksenheter också är aktiverat). • Kopierade eller flyttade från den lokala hårddisken till en mappad enhet (om alternativet På nätverksenheter också är aktiverat). Vid läsning från disk (”Läsgenomsökning”) Metodtips: Aktivera alternativet Läsgenomsökning för att få skydd mot utbrott. När du väljer Läsgenomsökning förhindrar genomsökningen åtkomst till filerna, såvida de inte bedöms vara rensade. Genomsökningen vid åtkomst undersöker filer när de är: • Lästa, öppnade eller körda från den lokala hårddisken. • Lästa, öppnade eller körda från mappade nätverksenheter (om alternativet På nätverksenheter också är aktiverat). Låt McAfee bedöma Metodtips: Aktivera detta alternativ för bästa skydd och prestanda. När du väljer det här alternativet använder genomsökning vid åtkomst inbyggd logik för att optimera genomsökningen. Inbyggd logik förstärker säkerheten och förbättrar prestandan genom att undvika genomsökning – vilket minimerar antalet onödiga genomsökningar. McAfee analyserar och bedömer till exempel att vissa program är tillförlitliga. Om McAfee intygar att dessa program inte har manipulerats, är det möjligt att en begränsad eller optimerad genomsökning sker. McAfee Endpoint Security 10.5 Produkthandbok 83 3 Använda Hotdetektering Hantera Hotdetektering Hur genomsökning vid åtkomst fungerar Genomsökning vid åtkomst är integrerad med systemet på de lägsta nivåerna (filsystemets filterdrivrutin) och utför genomsökning på filer först när de når systemet. När avkänningar inträffar visar genomsökningen vid åtkomst aviseringar i tjänstgränssnittet. Om du konfigurerar McAfee GTI, använder genomsökningen heuristik för att leta efter misstänkta filer. Windows 8 och 10 – Om ett hot upptäcks i sökvägen under genomsökningen av en installerad Windows Store-app, markeras appen som manipulerad. Windows lägger till en flagga som visar på manipulation i appens panel. Om du försöker köra appen visas ett felmeddelande från Windows och du omdirigeras till Windows Store för att installera om appen. Genomsökningen använder följande kriterium för att fastställa om ett objekt ska genomsökas: • Filtillägget matchar konfigurationen. • Filinformationen finns inte i det globala genomsökningsminnet. • Filen har inte blivit undantagen eller genomsökt tidigare. Läsgenomsökning När Läsgenomsökning är valt och ett försök görs att läsa, öppna eller köra en fil: 1 Genomsökningen blockerar begäran. 2 Genomsökningen fastställer om en genomsökning måste utföras på objektet. • Om filen inte behöver genomsökas upphäver genomsökningen blockeringen av filen, cachelagrar filinformationen och tillåter aktiviteten. • Om filen behöver genomsökas, genomsöker genomsökningsmotorn filen och jämför den med signaturer i den aktuella inlästa AMCore-innehållsfilen. • Om filen är ren upphäver genomsökningen blockeringen och cachelagrar resultatet. • Om filen innehåller ett hot nekas filen åtkomst och genomsökningen vidtar den åtgärd som konfigurerats. Om åtgärden exempelvis är att rensa filen utför genomsökningen följande: 1 Använder information från den aktuella AMCore-innehållsfilen för att rensa filen. 2 Registrerar resultaten i aktivitetsloggen. 3 Meddelar användaren att den identifierade ett hot i filen och vilken åtgärd som ska vidtas (rensa eller ta bort filen). Skrivgenomsökning Genomsökningen undersöker filen, men inte förrän den har skrivits till disk och stängts. 84 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 När Skrivgenomsökning är valt och en fil har skrivits till disk: 1 Genomsökningen fastställer om en genomsökning måste utföras på objektet. a Om filen inte behöver genomsökas, cachelagrar genomsökningen filinformationen och tillåter aktiviteten. b Om filen behöver genomsökas, genomsöker genomsökningsmotorn filen och jämför den med signaturer i den aktuella inlästa AMCore-innehållsfilen. • Om filen är ren cachelagrar genomsökningen resultatet. • Om filen innehåller ett hot vidtar genomsökningen den åtgärd som konfigurerats. Genomsökningen nekar inte åtkomst till filen. När töms det globala genomsökningsminnet? Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. McAfee Endpoint Security 10.5 Produkthandbok 85 3 Använda Hotdetektering Hantera Hotdetektering Hotdetektering tömmer det globala genomsökningsminnet och utför genomsökning av alla filer igen när: • Konfigureringen för Genomsökning vid åtkomst ändras. • En Extra.DAT-fil läggs till. • Systemet startas om i säkert läge. Om processen är signerad av ett betrott certifikat, cachelagras signeringscertifikatet och finns kvar i cachen efter omstarten. Det är mindre troligt att genomsökningen genomsöker filer med åtkomst från processer som är signerade av ett cachelagrat betrott certifikat, vilket resulterar i att genomsökningen undviks och prestandan förbättras. Metodtips: Minska användarnas påverkan under genomsökningar vid åtkomst Om du vill minimera den påverkan genomsökningar vid åtkomst kan ha på ett system, väljer du alternativ för att undvika att påverka systemprestandan och endast genomsöka när det behövs. Välj prestandaalternativ Vissa genomsökningsalternativ kan påverka systemets prestanda negativt. Av detta skäl bör du bara välja dessa alternativ om du behöver genomsöka specifika objekt. Markera eller avmarkera dessa alternativ i inställningarna för Genomsökning vid åtkomst. • Genomsökningsprocesser vid start av tjänst och innehållsuppdatering – Gör en ny genomsökning av alla processer som för närvarande finns i minnet varje gång: • Du återaktiverar genomsökningar vid åtkomst. • Innehållsfiler uppdateras. • Systemet startas. • Processen McShield.exe startas. Eftersom vissa program eller körbara filer startar automatiskt när du slår på datorn, kan du avmarkera alternativet för att förkorta starttiden. • Genomsök betrodda installationsprogram – Genomsöker MSI-filer (installerade av msiexec.exe och signerade av McAfee eller Microsoft) eller Windows Trusted Installer-tjänstfiler. Avmarkera detta alternativ för att förbättra prestandan hos stora Microsoft-installationsprogram. Genomsök bara det du behöver Genomsökning av vissa filer kan påverka systemets prestanda negativt. Av detta skäl bör du bara välja dessa alternativ om du behöver genomsöka specifika filtyper. Markera eller avmarkera dessa alternativ i avsnittet Vad som ska genomsökas i inställningarna för Genomsökning vid åtkomst. • På nätverksenheter – Genomsöker resurser på mappade nätverksenheter. Avmarkera detta alternativ för att förbättra prestandan. • Har öppnats för säkerhetskopiering – Genomsöker filer vid åtkomst från säkerhetskopieringsprogram. Den här inställningen behöver i de flesta miljöer inte väljas. • Komprimerade arkivfiler – Undersöker innehållet i arkivfiler (komprimerade), inklusive .jar-filer. Även om ett arkiv innehåller infekterade filer, kan filerna inte infektera systemet förrän arkivet extraheras. När arkivet är extraherat utför Genomsökning vid åtkomst en undersökning av filerna och eventuell skadlig programvara identifieras. 86 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Hantera Hotdetektering Om ScriptScan ScriptScan är ett Browser Helper Object som undersöker JavaScript- och VBScript-kod efter skadliga skript innan de körs. Om skriptet är rensat skickas det till JavaScript eller VBScript för hantering. Om ScriptScan upptäcker ett skadligt skript, blockerar det skriptet från att köras. ScriptScan undersöker enbart skript för Internet Explorer. Det undersöker inte skript som finns i flera system eller skript som körs med wscript.exe eller cscript.exe. En uppmaning att aktivera ett eller flera McAfee-tillägg visas första gången du öppnar Internet Explorer efter att Hotdetektering har installerats. Om du vill att ScriptScan ska genomsöka skripten: • Inställningen Aktivera ScriptScan måste vara markerad. ScriptScan är inaktiverat som standard. • Tillägget måste vara aktiverat i webbläsaren. Om ScriptScan är inaktiverat när Internet Explorer startas och sedan aktiveras, kan det inte identifiera skadliga skript i denna instans av Internet Explorer. Internet Explorer måste startas om när ScriptScan har aktiverats, så att skadliga skript kan identifieras. • Om skriptet är rensat skickar skriptgenomsökningen skriptet till den interna Windows Script Host. • Om skriptet innehåller ett potentiellt hot, förhindrar skriptgenomsökningen att skriptet körs. Metodtips: ScriptScan-undantag Prestandan på skriptintensiva webbplatser och i webbaserade program kan försämras när ScriptScan är aktiverat. Vi rekommenderar att du i stället för att inaktivera ScriptScan anger webbadresser för de betrodda webbplatser som kan undantas, till exempel intranätssidor eller webbprogram som du vet är säkra. Du kan ange understrängar eller delar av URL:er som ScriptScan-undantag. Om en undantagssträng matchar någon del av URL:en, undantas URL:en. McAfee Endpoint Security 10.5 Produkthandbok 87 3 Använda Hotdetektering Hantera Hotdetektering När du skapar URL-undantag: • Jokertecken stöds inte. • Mer fullständiga URL:er ger förbättrad prestanda. • Inkludera inte några portnummer. • Använd endast fullständiga domännamn (FQDN) och NetBIOS-namn. Så här fastställer du sökinställningar för processer Följ den här rutinen för att fastställa om det finns behov att konfigurera olika inställningar utifrån typ av process. 88 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 Konfigurera Genomsökning på begäran inställningar Dessa inställningar konfigurerar beteendet av tre fördefinierade genomsökningar på begäran: Fullständig genomsökning, Snabbgenomsökning och Genomsökning via högerklick. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om flera konfigurationsalternativ för genomsökning finns i Hjälp för Hotdetektering Alternativ. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duInställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerade. 4 Klicka på Genomsökning på begäran. 5 Klicka på en flik för att konfigurera inställningar för den angivna genomsökningen. 6 • Fullständig genomsökning • Snabbgenomsökning • Snabbgenomsökning Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar för genomsökning på sidan 81 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Hur genomsökning på begäran fungerar Genomsökning på begäran söker igenom filer, mappar, minnen och registret efter skadlig programvara som kan ha infekterat datorn. Du avgör när och hur ofta genomsökningar på begäran utförs. Du kan utföra manuell genomsökning av system, antingen schemalagd eller vid systemstart. 1 Genomsökning på begäran använder följande kriterier för att avgöra om en genomsökning ska utföras på ett objekt: • Filnamnstillägget matchar konfigurationen. • Filen har inte cachelagrats, blivit undantagen eller genomsökts tidigare (om genomsökningen använder genomsökningsminne). Om du konfigurerar McAfee GTI, använder genomsökningen heuristisk genomsökning för att kontrollera beträffande misstänkta filer. McAfee Endpoint Security 10.5 Produkthandbok 89 3 Använda Hotdetektering Hantera Hotdetektering 2 Om filen uppfyller kriterier för genomsökning, jämför genomsökningen informationen i objektet med kända signaturer för skadlig kod i den aktuella AMCore-innehållsfilen. • Om filen är ren cachelagras resultatet och genomsökningen kontrollerar nästa objekt. • Om filen innehåller ett hot vidtar genomsökningen den åtgärd som konfigurerats. Exempel, om åtgärden är att rensa filen utför genomsökningen följande: 1 Använder information från den aktuella AMCore-innehållsfilen för att rensa filen. 2 Registrerar resultatet i aktivitetsloggen. 3 Meddelar användaren att den identifierade ett hot i filen, namnet på objektet och vilken åtgärd som vidtagits. Windows 8 och 10 – Om ett hot upptäcks i sökvägen under genomsökningen av en installerad Windows Store-app, markeras appen som manipulerad. Windows lägger till en flagga som visar på manipulation i appens panel. Om du försöker köra appen visas ett felmeddelande från Windows och du omdirigeras till Windows Store för att installera om appen. 3 Om objektet inte uppfyller kriterierna för genomsökning kontrolleras inte objektet. Istället fortsätter genomsökningen tills genomsökning av alla data har slutförts. Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. Hotdetektering tömmer det globala genomsökningsminnet och utför genomsökning av alla filer igen när en Extra.DAT laddas. 90 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 Metodtips: Minska påverkan på användarna vid genomsökning på begäran Om du vill minimera den påverkan genomsökningar på begäran kan ha på ett system, väljer du alternativ för att undvika att påverka systemprestandan och endast genomsöka när det behövs. Utför endast genomsökningar när systemet är i viloläge Det enklaste sättet att se till att genomsökningen inte påverkar användarna är att endast köra genomsökning på begäran när datorn är i viloläge. När det här alternativet är aktiverat pausar Hotdetektering genomsökningen när den känner av diskeller användaraktivitet, t.ex. om tangentbordet eller musen används. Hotdetektering återupptar genomsökningen när användaren inte har använt systemet på tre minuter. Du kan antingen: • Låta användarna återuppta genomsökningar som har pausats på grund av användaraktivitet. • Låta genomsökningen enbart fortsätta när systemet är i viloläge. Inaktivera endast detta alternativ i serversystem och system som användare kommer åt med hjälp av Anslutning till fjärrskrivbord. Hotdetektering är beroende av McTray för att fastställa om systemet är i viloläge. McTray startar inte på system som endast kan kommas åt med hjälp av fjärrskrivbordsanslutning och genomsökning på begäran körs aldrig. Användarna kan undvika det här problemet genom att starta McTray manuellt (från C:\Program Files\McAfee\Agent\mctray.exe som standard) när de loggar in med hjälp av fjärrskrivbordsanslutning. Välj Utför endast en genomsökning när systemet är i viloläge i avsnittet Prestanda på fliken GenomsökningsaktivitetInställningar. Pausar genomsökningar automatiskt Det går att förbättra prestandan genom att pausa genomsökningar på begäran när systemet körs med batteridrift. Det går också att pausa genomsökningen när ett program, till exempel en webbläsare, mediespelare eller mediepresentation, körs i helskärmsläge. Genomsökningen återupptas omedelbart när systemet ansluts till nätström eller inte längre är i helskärmsläge. • Gör ingen genomsökning när datorn går på batteridrift • Gör ingen genomsökning när datorn är i presentationsläge (tillgänglig när Genomsök när som helst är aktiverat) Välj dessa alternativ i avsnittet Prestanda på fliken Genomsökningsaktivitet Inställningar. Låter användarna senarelägga genomsökningar Om du väljer Genomsök när som helst kan du låta användarna senarelägga en schemalagd genomsökning i entimmesintervaller, upp till 24 timmar, eller för alltid. Varje senareläggning som en användare gör kan vara en timme. Om t.ex. alternativet Maximalt antal timmar användare kan senarelägga är inställt på 2, kan användarna senarelägga genomsökningen två gånger (två timmar). När maximalt antal timmar har gått fortsätter genomsökningen. Om du tillåter obegränsat antal senareläggningar genom att ställa in alternativet på 0 kan användaren fortsätta att senarelägga genomsökningen för alltid. Välj alternativet Användaren kan senarelägga genomsökningar i avsnittet Prestanda på fliken Genomsökningsaktivitet Inställningar. Begränsa genomsökningsaktiviteten genom att använda inkrementella genomsökningar Använd inkrementella eller återställningsbara genomsökningar när du vill begränsa när genomsökning på begäran inträffar, men fortfarande kunna utföra genomsökningar på hela systemet i flera sessioner. Använd inkrementella genomsökningar genom att lägga till en tidsbegränsning i den schemalagda McAfee Endpoint Security 10.5 Produkthandbok 91 3 Använda Hotdetektering Hantera Hotdetektering genomsökningen. Genomsökningen stoppas när tidsbegränsningen uppnås. Nästa gång den här aktiviteten startar, återupptas genomsökningen från den punkt i filen och i mappstrukturen där den tidigare genomsökningen stoppades. Välj Stoppa aktiviteten om den körs längre än i avsnittet Alternativ på fliken Genomsökningsaktivitet Schema. Konfigurera systemanvändning Systemanvändning anger mängden processortid som genomsökningen tar emot under genomsökningen. För system med slutanvändaraktivitet anger du systemanvändningen som Låg. Välj Systemanvändning i avsnittet Prestanda på fliken Genomsökningsaktivitet Inställningar. Genomsök bara det du behöver Genomsökning av vissa filer kan påverka systemets prestanda negativt. Av detta skäl bör du bara välja dessa alternativ om du behöver genomsöka specifika filtyper. Markera eller avmarkera dessa alternativ i avsnittet Vad som ska genomsökas på fliken Genomsökningsaktivitet Inställningar. • Filer som har migrerats till lagringsplats I vissa lagringslösningar för offlinedata ersätts filerna med en stub-fil. Om en stub-fil upptäcks vid genomsökningen, vilket betyder att filen har migrerats, återställs filen till det lokala systemet innan genomsökningen startar. Återställningsprocessen kan påverka systemprestandan negativt. Avmarkera detta alternativ såvida du inte har ett specifikt behov att genomsöka filer i lagringen. • Komprimerade arkivfiler Även om ett arkiv innehåller infekterade filer, kan filerna inte infektera systemet förrän arkivet extraheras. När arkivet är extraherat utför Genomsökning vid åtkomst en undersökning av filerna och eventuell skadlig programvara identifieras. Metodtips: Eftersom genomsökning av komprimerade arkivfiler negativt kan påverka systemprestandan, avmarkerar du det här alternativet för att förbättra den. Se även Konfigurera Genomsökning på begäran inställningar på sidan 89 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Hur systemanvändning fungerar Genomsökning på begäran använder inställningen Windows Ange prioritet för genomsökning och prioritering av trådar. Systemanvändningens inställning (begränsning) låter operativsystemet ange mängd processortid under genomsökningen på begäran. Om man ställer in systemanvändningen för genomsökning på Låg ger det ökad prestanda för andra program som körs. Den låga inställningen är användbar för system med användaraktivitet. Om man däremot ställer in systemanvändningen på Normal blir genomsökningen klar snabbare. Den normala inställningen är användbar för system som har större volymer och låg användaraktivitet. Varje aktivitet körs separat, oberoende av begränsningarna för andra aktiviteter. 92 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Hantera Hotdetektering 3 Tabell 3-2 Standardprocessinställningar Hotdetektering processinställning Detta alternativ... Windows Ange prioritet, inställning Låg Ökar prestandan för andra program som körs. Välj Låg detta alternativ för system som har låg användaraktivitet. Under normal Ställer in systemanvändningen för genomsökningen enligt McAfee ePO standardinställning. Under normal Normal (Standard) Möjliggör en snabbare genomsökning. Välj detta alternativ för system som har större volymer och låg användaraktivitet. Normal Hur genomsökning av Fjärrlagring fungerar Det går att konfigurera genomsökning på begäran att genomsöka innehållet i filer som hanteras av Fjärrlagring. Fjärrlagring övervakar ledigt utrymme i det lokala systemet. Vid behov, migrerar Fjärrlagring automatiskt innehållet (data) från lämpliga filer från klientsystemet till en lagringsenhet, till exempel ett bandbibliotek. När en användare öppnar en fil vars data har migrerats, återkallar Fjärrlagring automatiskt denna data från lagringsenheten. Välj alternativet Filer som har migrerats till lagringsplats för att konfigurera genomsökning på begäran och genomsöka filer som hanteras av Fjärrlagring. Om en fil som innehåller flyttat material upptäcks återställs filen till det lokala systemet före genomsökningen. För mer information, se Vad är Fjärrlagring. Konfigurera, schemalägga och köra genomsökningar Det går att schemalägga standardaktiviteterna Fullständig genomsökning och Snabbgenomsökning, eller att skapa anpassade genomsökningsaktiviteter viaEndpoint Security-klient i inställningarna för Delade Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Visa avancerat. 4 I Delade klickar du påAktiviteter. 5 Konfigurera inställningarna för genomsökningsaktiviteter på sidan. McAfee Endpoint Security 10.5 väljer du Inställningar. Produkthandbok 93 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering För att... Följ dessa steg Skapa en anpassad genomsökningsaktivitet. 1 Klicka på Lägg till. 2 Ange namnet, välj Anpassad genomsökning i listrutan och klicka sedan på Nästa. 3 Konfigurera inställningarna i och schemaläggningen av genomsökningsaktiviteten och klicka sedan påOK för att spara aktiviteten. Ändra en genomsökningsaktivitet. • Dubbelklicka på aktiviteten, gör ändringarna och klicka sedan på OK för att spara. Ta bort en anpassad genomsökningsaktivitet. • Markera aktiviteten och klicka på Ta bort. Skapa en kopia av genomsökningsaktiviteten. 1 Markera aktiviteten och klicka på Duplicera. Ändra schemat för enfullständig genomsökning eller en snabbgenomsökning. 1 Dubbelklicka på Fullständig genomsökning eller Snabbgenomsökning. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Det går endast att konfigurera inställningar för Fullständig genomsökning och Snabbgenomsökning i självhanterade system. Den fullständiga genomsökningen är som standard schemalagd att köras varje onsdag vid midnatt. Snabbgenomsökningen är som standard schemalagd att köras varje dag kl. 19.00. Schemaläggningen är aktiverad. Köra en genomsökningsaktivitet. • Markera aktiviteten och klicka sedan på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera Genomsökning på begäran inställningar på sidan 89 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Endpoint Security-klient gränssnittsreferens – Hotdetektering Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Sidan Karantän Hotdetektering – Åtkomstskydd Sidan Hotdetektering – Utnyttjandeskydd Hotdetektering – Genomsökning vid åtkomst Hotdetektering – Genomsökning på begäran Genomsök platser 94 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering 3 McAfee GTI Åtgärder Lägg till undantag eller Redigera undantag Hotdetektering – Alternativ Klientaktiviteten Återställ AMCore-innehåll Sidan Karantän Hantera objekt i karantän. Tabell 3-3 Alternativ Alternativ Definition Delete (Ta bort) Tar bort markerade objekt från karantänen. Det går inte att återställa borttagna objekt. Återställer objekt från karantänen. Återställ Endpoint Security återställer objekten till ursprungsplatsen och tar bort dem från karantänen. Om objektet fortfarande är ett giltigt hot flyttar Endpoint Security det automatiskt tillbaka till karantänen. Sök igenom igen Söker igenom markerade objekt i karantänen igen. Om objektet inte längre är ett hot återställer Endpoint Security det till ursprungsplatsen och tar bort det från karantänen. Kolumnrubrik Sorterar karantänlistan efter... Avkänningsnamn Namnet på avkänningen. Typ Typ av hot, exempelvis, Trojan eller reklamprogram. Tid i karantän Den tid som objektet har varit i karantän. Antal objekt Antal objekt i avkänningen. Innehållsversion för AMCore Versionsnumret för AMCore-innehållet som identifierade hotet. Omsökningsstatus Status för omsökningen, om objektet har genomsökts på nytt: • Rensad – Omsökningen kände inte av några hot. • Infekterad – Endpoint Security kände av ett hot under omsökningen. Se även Hantera objekt som satts i karantän på sidan 60 Avkänningsnamn på sidan 61 Göra en ny genomsökning av objekt i karantän på sidan 63 Hotdetektering – Åtkomstskydd Skydda systemets åtkomstpunkter baserat på konfigurerade regler. Åtkomstskyddet jämför en begärd åtgärd med listan över konfigurerade regler och agerar enligt regeln. Metodtips: Information om hur du skapar regler för åtkomstskydd som skyddar mot ransomware finns i PD25203. Tabell 3-4 Alternativ Avsnitt Alternativ Definition ÅTKOMSTSKYDD Aktivera åtkomstskydd Aktiverar åtkomstskyddsfunktionen. McAfee Endpoint Security 10.5 Produkthandbok 95 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-5 Avancerade alternativ Avsnitt Alternativ Beskrivning Undantag Tillåter åtkomst till angivna processer (även kallade körbara filer) för alla regler. • Lägg till – Lägger till en process i undantagslistan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. Regler Konfigurerar regler för Åtkomstskydd. Du kan aktivera, inaktivera och ändra dessa McAfee-definierade regler, men du kan inte ta bort dem. • Lägg till – Skapar en anpassad regel och lägger till den i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. • Blockera (endast) – Blockerar åtkomstförsök utan att logga dem. • Rapportera (endast) – Loggar utan att blockera åtkomstförsök. • Blockera och Rapportera – Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera, för att få en varning utan att blockera åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill blockera åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera på den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Se även Konfigurera McAfee-definierade regler för åtkomstskydd på sidan 67 Konfigurera användardefinierade regler för åtkomstskydd på sidan 71 Sidan Lägg till undantag eller Redigera undantag på sidan 105 Lägg till regel eller Redigera regel på sidan 96 McAfee-definierade regler för åtkomstskydd på sidan 68 Lägg till regel eller Redigera regel Lägg till eller redigera användardefinierade regler för åtkomstskydd. 96 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-6 3 Alternativ Avsnitt Alternativ Definition Alternativ Namn Anger eller indikerar namnet på den körbara filen. (obligatoriskt) Åtgärd Anger åtgärder i regeln. • Endast blockera – Blockerar åtkomstförsök utan att logga dem. • Endast rapportera – Varnar utan att blockera åtkomstförsök. • Blockera och rapportera – Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera, för att få en varning utan att blockera åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill blockera åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Körbara filer Anger körbara filer för regeln. • Lägg till – Skapar en körbar fil och lägger till den i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. • Växla inkluderingsstatus – Ändrar den körbara filens inkluderingsstatus till Inkludera eller Undanta. Användarnamn Anger användarnamn som regeln gäller för (endast för användardefinierade regler). • Lägg till – Skapar ett användarnamn och lägger till det i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. • Växla inkluderingsstatus – Ändrar den körbara filens inkluderingsstatus till Inkludera eller Undanta. Underregler Konfigurerar underregler (endast för användardefinierade regler). • Lägg till – Skapar en underregel och lägger till den i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. Anteckningar Ger mer information om objektet. Se även Sidan Lägg till undantag eller Redigera undantag på sidan 105 Lägg till Användarnamn eller Redigera Användarnamn på sidan 98 Lägg till underregel eller Redigera underregel på sidan 98 McAfee Endpoint Security 10.5 Produkthandbok 97 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Lägg till Användarnamn eller Redigera Användarnamn Lägg till eller redigera användaren som regeln gäller (endast för användardefinierade regler). Tabell 3-7 Alternativ Alternativ Definition Namn Specificerar namnet på användaren som regeln tillämpas för. Använd detta format för att specificera användaren: • Lokal användare — Giltiga värden kan vara: <datornamn>\<lokalt_användarnamn> .\<lokalt_användarnamn> .\administrator (för den lokala administratören) • Domänanvändare — <domain name>\<domain user_name> • Lokalt system — Local\System specifies the NT AUTHORITY\Systemkontot på systemet. Inkluderingsstatus Anger inkluderingsstatus för användaren. • Inkludera — Aktiverar regeln om den angivna användaren kör den körbara filen som bryter mot en underregel. • Undanta — Regeln aktiveras inte om den angivna användaren kör den körbara filen som bryter mot en underregel. Se även Lägg till regel eller Redigera regel på sidan 96 Lägg till underregel eller Redigera underregel Lägg till eller redigera användardefinierade underregler för Åtkomstskydd. Tabell 3-8 Alternativ Alternativ Definition Namn Anger namnet på underregeln. Typ av underregel Anger typ av underregel. Om du ändrar underregeltypen försvinner tidigare, definierade poster i Mål-tabellen. • Filer – Skyddar en fil eller katalog. Exempel: Skapa en anpassad regel för att blockera eller rapportera försök att ta bort Excel-kalkylblad som innehåller känslig information. • Registernyckel – Skyddar den angivna nyckeln. Registernyckeln innehåller registervärdet. Till exempel, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run. • Registervärde – Skyddar det angivna värdet. Registervärden lagras i registernycklarna och kan hänvisas till separat från registernycklarna. Till exempel, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Autorun. • Processer – Skyddar den angivna processen. Exempel: Skapa en anpassad regel för att blockera eller rapportera försök till åtgärder på en process. • Tjänster – Skyddar den angivna tjänsten. Du kan t.ex. skapa en anpassad regel som förhindrar att en tjänst stoppas eller startas. 98 McAfee Endpoint Security 10.5 Produkthandbok Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-8 3 Alternativ (fortsättning) Alternativ Definition Åtgärder Anger vilka åtgärder som är tillåtna enligt underregeltypen. Du måste ange minst en åtgärd för att tillämpa underregeln. Metodtips: För att undvika försämrad prestanda ska du inte markera åtgärden Läsa. Filer: • Ändra skrivskyddade eller dolda attribut – Blockerar eller rapporterar ändringar av dessa attribut för filer i den angivna mappen. • Skapa – Blockerar eller rapporterar att filer skapas i den angivna mappen. • Ta bort – Blockerar eller rapporterar att filer raderas i den angivna mappen. • Kör – Blockerar eller rapporterar att filer körs i den angivna mappen. • Ändra behörigheter – Blockerar eller rapporterar att behörighetsinställningar ändras för filer i den angivna mappen. • Läsa – Blockerar eller rapporterar läsbehörighet för de angivna filerna. • Byta namn – Blockerar eller rapporterar åtkomst för att byta namn för angivna filer. McAfee Endpoint Security 10.5 Produkthandbok 99 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-8 Alternativ Alternativ (fortsättning) Definition Om målet Målfil anges är Byt namn den enda giltiga åtgärden. • Skriva – Blockerar eller rapporterar skrivbehörighet för de angivna filerna. Registernyckel: • Skriva – Blockerar eller rapporterar skrivbehörighet för den angivna nyckeln. • Skapa – Blockerar eller rapporterar skapande av angiven nyckel. • Ta bort – Blockerar eller rapporterar borttagning av angiven nyckel. • Läs – Blockerar eller rapporterar läsbehörighet till angiven nyckel. • Räkna upp – Blockerar eller rapporterar uppräkning av undernycklarna för angiven registernyckel. • Ladda – Blockerar eller rapporterar möjligheten att ta bort den angivna registernyckeln och dess undernycklar från registret. • Ersätt – Blockerar eller rapporterar ersättning av angiven registernyckel och dess undernycklar med en annan fil. • Återställa – Blockerar eller rapporterar möjligheten att spara registerinformation i angiven fil och kopiering av angiven nyckel. • Ändra behörigheter – Blockerar eller rapporterar att behörighetsinställningar ändras för den angivna registernyckeln och dess undernycklar . Registervärde: • Skriva – Blockerar eller rapporterar skrivbehörighet för det angivna värdet. • Skapa – Blockerar eller rapporterar skapande av det angivna värdet. • Ta bort – Blockerar eller rapporterar borttagning av det angivna värdet. • Läsa – Blockerar eller rapporterar läsbehörighet för det angivna värdet. Processer: • Oavsett behörighet – Blockerar eller rapporterar öppningen av en process oavsett behörighet. • Skapa en tråd – Blockerar eller rapporterar öppningen av en process med behörighet att skapa en tråd. • Ändra – Blockerar eller rapporterar öppningen av en process med behörighet att ändra. • Avsluta – Blockerar eller rapporterar öppningen av en process med behörighet att avsluta • Kör – Blockerar eller rapporterar körning av den angivna körbara målfilen. Du måste lägga till minst en målfil till regeln. 100 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-8 Alternativ Alternativ (fortsättning) Definition För åtgärden Kör genereras en händelse när det görs ett försök att köra målprocessen. För alla andra åtgärder genereras en händelse när målet öppnas. Tjänster: • Starta – Blockerar eller rapporterar att tjänsten startas. • Stoppa – Blockerar eller rapporterar att tjänsten stoppas. • Pausa – Blockerar eller rapporterar att tjänsten pausas. • Fortsätt — Blockerar eller rapporterar att tjänsten återupptas efter en paus. • Skapa – Blockerar eller rapporterar att tjänsten skapas. • Ta bort – Blockerar eller rapporterar att tjänsten tas bort. • Aktivera maskinvaruprofil – Blockerar eller rapporterar att maskinvaruprofilen för tjänsten aktiveras. • Inaktivera maskinvaruprofil – Blockerar eller rapporterar att maskinvaruprofilen för tjänsten inaktiveras. • Ändra startläge – Blockerar eller rapporterar att startläget ändras (Start, System, Automatiskt, Manuellt, Inaktiverat) för tjänsten. • Ändra inloggningsinformation – Blockerar eller rapporterar att inloggningsinformationen för tjänsten ändrats. Mål • Lägg till – Anger mål för regeln. Målen varierar beroende på valet av regeltyp. Du måste lägga till minst ett mål till underregeln. Klicka på Lägg till, välj inkluderingsstatus och ange eller markera sedan det mål som ska inkluderas eller undantas. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. Se även Lägg till regel eller Redigera regel på sidan 96 Mål på sidan 102 Sidan Lägg till undantag eller Redigera undantag på sidan 105 McAfee Endpoint Security 10.5 Produkthandbok 101 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Mål Ange inkluderingsstatus och beskrivning av målet. Tabell 3-9 Alternativ Avsnitt Alternativ Definition Mål Bedömer om målet matchar underregeln. Visar även målets inkluderingstatus. • Inkludera – Visar att underregeln kan matcha det angivna målet. • Undanta – Betyder att underregeln inte får matcha det angivna målet. Lägg till målet med direktivet Inkludera eller Undanta. Om du har valt underregeltypen Filer ... Anger filnamn, mappnamn, sökväg eller enhetstypens mål för en underregel av typen Filer. • Sökväg — Bläddra för att välja fil. • Målfil — Bläddra för att välja namn på målfil eller sökvägen för en Byta namn-åtgärd. Om målet Målfil väljs måste åtgärden Byta namn (enbart) väljas. • Enhetstyp – Välj enhetstypens mål i listrutan: • Flyttbar – Filer på en USB-enhet eller en annan flyttbar enhet ansluten till en USB-port, inklusive enheter med Windows To Go installerat. Den här enhetstypen inkluderar inte filer på en CD- eller DVD-skiva eller diskett. Vid blockering av den här enhetstypen blockeras också enheter med Windows To Go installerat. • Nätverk – Filer på en nätverksresurs • Fast – Filer på den lokala hårddisken eller en annan fast hårddisk • CD/DVD – Filer på en CD eller DVD • Diskett – Filer på en diskett Du kan använda ?, * och ** som jokertecken. Metodtips för mål för underregeln Filer Om du till exempel vill skydda: • En fil eller mapp med namnet c:\testap, använder du målet c:\testap eller c:\testap\ • Innehållet i en mapp, använder du jokertecknet asterisk – c:\testap \* • Innehållet i en mapp och dess undermappar, använder du 2 asterisker – c:\testap\** Det finns stöd för systemmiljövariabler. Miljövariabler anges i något av följande format: • $(EnvVar) - $(SystemDrive), $(SystemRoot) • %EnvVar% - %SystemRoot%, %SystemDrive% Alla systemdefinierade miljövariabler är inte åtkomliga via $ (var)-syntax, närmare bestämt sådana som innehåller eller-tecken. Undvik detta problem genom att använda %var%-syntax. Det finns inte stöd för miljövariabler för användare. 102 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Registernyckel … Definition Definieras registernycklar med hjälp av rotnycklar. Följande rotnycklar stöds: • HKLM eller HKEY_LOCAL_MACHINE • HKCU eller HKEY_CURRENT_USER • HKCR eller HKEY_CLASSES_ROOT • HKCCS matchar HKLM/SYSTEM/CurrentControlSet och HKLM/ SYSTEM/ControlSet00X • HKLMS matchar HKLM/Software i 32- och 64-bitarssystem, och HKLM/Software/Wow6432Node endast i 64-bitarssystem • HKCUS matchar HKCU/Software i 32- och 64-bitarssystem, och HKCU/Software/Wow6432Node endast i 64-bitarssystem • HKULM behandlas både som HKLM och HKCU • HKULMS behandlas både som HKLMS och HKCUS • HKALL behandlas både som HKLM och HKU Du kan använda ?, * och ** som jokertecken, samt | (vertikalstreck) som ett escape-tecken. Metodtips för mål för underregeln Registernyckel Om du till exempel vill skydda: • En registernyckel med namnet HKLM\SOFTWARE\testap, använder du målet HKLM\SOFTWARE\testap eller HKLM\SOFTWARE\testap\ • Innehållet i en registernyckel, använd du jokertecknet asterisk – HKLM\SOFTWARE\testap\* • Innehållet i en registernyckel och dess undernycklar, använder du 2 asterisker – HKLM\SOFTWARE\testap\** • Registernycklar och registervärden under en registernyckel, aktiverar du åtgärden Skriva McAfee Endpoint Security 10.5 Produkthandbok 103 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Registervärde … Definition Definieras registervärden med hjälp av rotnycklar. Följande rotnycklar stöds: • HKLM eller HKEY_LOCAL_MACHINE • HKCU eller HKEY_CURRENT_USER • HKCR eller HKEY_CLASSES_ROOT • HKCCS matchar HKLM/SYSTEM/CurrentControlSet och HKLM/ SYSTEM/ControlSet00X • HKLMS matchar HKLM/Software i 32- och 64-bitarssystem, och HKLM/Software/Wow6432Node endast i 64-bitarssystem • HKCUS matchar HKCU/Software i 32- och 64-bitarssystem, och HKCU/Software/Wow6432Node endast i 64-bitarssystem • HKULM behandlas både som HKLM och HKCU • HKULMS behandlas både som HKLMS och HKCUS • HKALL behandlas både som HKLM och HKU Du kan använda ?, * och ** som jokertecken, samt | (vertikalstreck) som ett escape-tecken. Metodtips för mål för underregeln Registervärde Om du till exempel vill skydda: • Ett registervärde med namnet HKLM\SOFTWARE\testap, använder du målet HKLM\SOFTWARE\testap • Registervärden under en registreringsnyckel, använder du jokertecknet asterisk – HKLM\SOFTWARE\testap\* • Registervärden under en registreringsnyckel och dess undernycklar, använder du 2 asterisker – HKLM\SOFTWARE\testap\** 104 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Processer ... Definition Anger processens filnamn eller sökväg, MD5-hash eller undertecknarens mål för en underregel av typen Processer. Du kan använda ?, * och ** som jokertecken för alla utom MD5-hash. Metodtips för mål för underregeln Processer Om du till exempel vill skydda: • En process med namnet c:\testap.exe, använder du filnamnet eller sökvägen c:\testap.exe som mål • Alla processer i en mapp, använder du jokertecknet asterisk – c: \testap\* • Alla processer i en mapp och dess undermappar, använder du 2 asterisker – c:\testap\** Om du har valt underregeltypen Tjänster ... Anger tjänstnamnet eller visningsnamnet för en underregel av typen Tjänster. • Registrerat namn för tjänst – Innehåller namnet på tjänsten i motsvarande registernyckel under HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\. • Visningsnamn för tjänst – Innehåller visningsnamnet på tjänsten från registervärdet DisplayName under HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\<service_name>\. Detta är namnet som visas i tjänsthanteraren. Exempelvis är ”Uppdateringstjänst för Adobe Acrobat” visningsnamnet för tjänstnamnet ”AdobeARMservice”. Du kan använda ? och * som jokertecken. Metodtips för tjänstens underregelsmål Om du exempelvis vill skydda alla Adobe-tjänster med visningsnamnet, använder du en asterisk som jokertecken – Adobe* Se även Lägg till underregel eller Redigera underregel på sidan 98 Sidan Lägg till undantag eller Redigera undantag Lägg till eller redigera en körbar fil som ska uteslutas på principnivå, eller inkluderas eller uteslutas på regelnivå. Tänk på följande när du anger undantag och inkluderingar: • Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. • Om du anger fler än en identifierare, tillämpas alla identifierare. • Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget eller inkluderingen ogiltig. • Undantag och inkluderingar är skiftlägesokänsliga. • Jokertecken är tillåtna för alla utom MD5-hash. McAfee Endpoint Security 10.5 Produkthandbok 105 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-10 Alternativ Alternativ Definition Namn Anger namnet på den körbara filen. Det här fältet är obligatoriskt i minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash, eller Undertecknare. Inkluderingsstatus Fastställer inkluderingsstatus för den körbara filen. • Inkludera — Aktiverar regeln om den körbara filen bryter mot en underregel. • Undanta — Aktiverar inte regeln om den körbara filen bryter mot en underregel. Inkluderingsstatus visas bara när en körbar fil läggs till i en regel, eller i målet för underregeln Processer. Filnamn eller sökväg Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Filsökvägen kan innehålla jokertecken. MD5-hash Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Undertecknare Aktivera kontroll av digital signatur – Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: • Tillåt alla signaturer – Tillåter filer som är signerade av alla undertecknare. • Signerad av – Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee ePO. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = Kalifornien • C = USA Anteckningar Ger mer information om objektet. Se även Lägg till regel eller Redigera regel på sidan 96 106 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Sidan Hotdetektering – Utnyttjandeskydd Aktivera och konfigurera Utnyttjandeskydd för att förhindra utnyttjande av buffertspill som kör skadlig kod på datorn. En lista med processer som skyddas av Utnyttjandeskydd finns i KB58007. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version 10.5. Om McAfee Host IPS är aktiverat så inaktiveras Utnyttjandeskydd, även om det är aktiverat i principinställningarna. Tabell 3-11 Alternativ Avsnitt Alternativ Definition UTNYTTJANDESKYDD Aktivera utnyttjandeskydd Aktiverar funktionen Utnyttjandeskydd. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Tabell 3-12 Avancerade alternativ Avsnitt Alternativ Definition Allmän detektering av behörighetseskalering Aktivera Allmän detektering av behörighetseskalering Aktiverar stöd för Allmän detektering av behörighetseskalering (GPEP). (Inaktiverad som standard) GPEP använder GPEP-signaturer i innehållet för Utnyttjandeskydd för att ge skydd mot utnyttjande av behörighetseskalering i kernelläge och användarläge. Genom att aktivera det här alternativet höjs allvarlighetsgraden för GPEP-buffertspillets signatur 6052 till Hög, så att den blockeras eller rapporteras beroende på vilken åtgärd som angivits. Eftersom GPEP kan generera falska positiva rapporter är detta alternativ inaktiverat som standard. Windows dataexekveringsskydd Aktivera Windows dataexekveringsskydd Aktiverar integration med Windows dataexekveringsskydd (DEP). (Inaktiverad som standard) Välj det här alternativet för att: • Aktivera DEP för 32-bitarsprogram i listan McAfee Application Protection om det inte redan är aktiverat. Använd det i stället för Allmänt skydd mot buffertspill (GBOP). Validering av anropare och riktad API-övervakning tillämpas fortfarande. • Övervakning av DEP-avkänningar i DEP-aktiverade 32-bitarsprogram. • Övervakning av DEP-avkänningar i 64-bitarsprogram i McAfees programskyddslista. • Logga alla DEP-avkänningar och skicka en händelse till McAfee ePO. Om det här alternativet inaktiveras, påverkas inte några processer som har DEP aktiverat på grund av Windows DEP-principen. McAfee Endpoint Security 10.5 Produkthandbok 107 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-12 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Anger process, anroparmodul, API eller signatur som ska undantas. Undantag Undantag i anroparmodulen eller API:n gäller inte för DEP. • Lägg till – Skapar ett undantag och lägger till det i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. Ändrar åtgärden (Blockera eller Rapportera) för McAfee-definierade signaturer för Utnyttjandeskydd. Signaturer Du kan inte ändra allvarlighetsgraden eller skapa signaturer. Avmarkera Blockera och Rapportera för att inaktivera signaturen. Visa signaturer med en allvarlighetsgrad på Filtrerar listan Signaturer efter allvarlighetsgrad eller inaktiverad status: • Hög • Medel • Låg • Information • Inaktiverad Det går inte att aktivera signaturer med allvarlighetsgraden Inaktiverad. Blockera (endast) Blockerar beteenden som matchar signaturen utan loggning. Rapportera (endast) Loggar beteenden som matchar signaturen utan blockering. Att enbart välja Rapportera för signatur-ID 9990 tillåts inte. Blockera och Rapportera Regler för programskydd Blockerar och loggar beteenden som matchar signaturen. Konfigurerar regler för programskydd. • Lägg till – Skapar en regel för programskydd och lägger till den i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. (endast användardefinierade regler) • Duplicera – Skapar en kopia av det valda objektet. (endast användardefinierade regler) Se även Konfigurera inställningar för Utnyttjandeskydd på sidan 77 Lägg till undantag eller Redigera undantag på sidan 109 108 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Lägg till undantag eller Redigera undantag Lägg till eller redigera undantag för utnyttjandeskydd. Tänk på följande när du anger undantag: • Du måste ange minst en process, anroparmodul, API eller signatur. • Undantag i anroparmodulen eller API:n gäller inte för DEP. • För processundantag måste du ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. • Om du anger fler än en identifierare, tillämpas alla identifierare. • Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. • Undantag är skiftlägesokänsliga. • Jokertecken är tillåtna för alla utom MD5-hash och signatur-ID:n. • Om du inkluderar signatur-ID:n i ett undantag, gäller undantaget bara processen i angivna signaturer. Om inga signatur-ID:n har angivits, gäller undantaget processen i alla signaturer. Tabell 3-13 Alternativ Avsnitt Alternativ Definition Process Namn Ange namnet på den process som ska undantas. Utnyttjandeskyddet undantar processen oavsett var den finns. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. MD5-hash McAfee Endpoint Security 10.5 Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Produkthandbok 109 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-13 Avsnitt Alternativ (fortsättning) Alternativ Definition Undertecknare Aktivera kontroll av digital signatur – Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: • Tillåt alla signaturer – Tillåter filer som är signerade av alla undertecknare. • Signerad av – Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee ePO. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = Kalifornien • C = USA Anroparmodul Namn Anger namnet på modulen (en DLL) som lästs in av den körbara fil som äger det anropande skrivbara minnet. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. MD5-hash 110 McAfee Endpoint Security 10.5 Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-13 Avsnitt Alternativ (fortsättning) Alternativ Definition Undertecknare Aktivera kontroll av digital signatur – Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: • Tillåt alla signaturer – Tillåter filer som är signerade av alla undertecknare. • Signerad av – Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee ePO. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = Kalifornien • C = USA API Namn Anger namnet på det API (Application Programming Interface) som anropas. Signaturer Signatur-ID:n Anger (kommateckenavgränsat) signaturidentifierare för Utnyttjandeskydd. Ger mer information om objektet. Anteckningar Se även Undanta processer från Utnyttjandeskydd på sidan 77 Sidan Lägg till regel eller Redigera regel Lägg till eller redigera användardefinierade regler för programskydd. Tabell 3-14 Avsnitt Alternativ Alternativ Definition Namn Anger eller visar namnet på regeln. (Obligatoriskt) Status Aktiverar eller inaktiverar objektet. McAfee Endpoint Security 10.5 Produkthandbok 111 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-14 Avsnitt Alternativ (fortsättning) Alternativ Definition Inkluderingsstatus Anger inkluderingsstatus för den körbara filen. • Inkludera – Utlöser regeln om en körbar fil i listan Körbara filer körs. • Uteslut – Utlöser inte regeln om en körbar fil i listan Körbara filer körs. Anger körbara filer för regeln. Körbara filer • Lägg till – Lägger till en körbar fil i listan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. Ger mer information om objektet. Anteckningar För McAfee-definierade regler för programskydd, innehåller fältet namnet på den körbara fil som skyddas. Lägg till körbar fil eller Redigera körbar fil Lägg till eller redigera en körbar fil i en regel för programskydd. Tänk på följande när du konfigurerar körbara filer: • Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. • Om du anger fler än en identifierare, tillämpas alla identifierare. • Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är definitionen av den körbara filen ogiltig. Tabell 3-15 Alternativ Avsnitt Alternativ Definition Egenskaper Namn Anger processnamnet. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. MD5-hash 112 McAfee Endpoint Security 10.5 Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-15 Avsnitt Alternativ (fortsättning) Alternativ Definition Undertecknare Aktivera kontroll av digital signatur – Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: • Tillåt alla signaturer – Tillåter filer som är signerade av alla undertecknare. • Signerad av – Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee ePO. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = Kalifornien • C = USA Ger mer information om objektet. Anteckningar Hotdetektering – Genomsökning vid åtkomst Aktiverar och konfigurerar inställningar för genomsökning vid åtkomst. Tabell 3-16 Alternativ Avsnitt Alternativ Definition GENOMSÖKNING VID ÅTKOMST Aktivera genomsökning vid åtkomst Aktiverar funktionen Genomsökning vid åtkomst. Aktivera genomsökning vid åtkomst vid systemstart Aktiverar funktionen Genomsökning vid åtkomst varje gång du startar datorn. (Aktiverad som standard) (Aktiverad som standard) McAfee Endpoint Security 10.5 Produkthandbok 113 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-16 Avsnitt Alternativ (fortsättning) Alternativ Definition Anger maximalt antal sekunder Begränsar varje filgenomsökning till angivet antal för varje filgenomsökning sekunder. (Aktiverad som standard) Standardvärdet är 45 sekunder. Om en genomsökning överskrider tidsgränsen stoppas den på korrekt sätt och ett meddelande loggas. Genomsök startsektorer Undersöker diskens startsektor. (Aktiverad som standard) Metodtips: Avmarkera genomsökningen av startsektorn om en disk innehåller en särskild eller ovanlig startsektor som inte kan genomsökas. Genomsökningsprocesser vid start av tjänst och innehållsuppdatering Genomsöker alla processer som finns i minnet på nytt varje gång som du: • Du återaktiverar genomsökningar vid åtkomst. • Innehållsfiler uppdateras. • Systemet startas. • Processen McShield.exe startas. (Inaktiverad som standard) Metodtips: Eftersom vissa program eller körbara filer startar automatiskt när du slår på datorn, kan du avmarkera alternativet för att förkorta starttiden. Samtliga processer genomsöks så fort de körs i systemet när Genomsökning vid åtkomst är aktiverat. Genomsök betrodda installationsprogram Genomsöker MSI-filer (installerade av msiexec.exe och signerade av McAfee eller Microsoft) eller Windows Trusted Installer-tjänstfiler. (Inaktiverad som standard) Metodtips: Avmarkera detta alternativ för att förbättra prestandan hos stora Microsoft-installationsprogram. Utför en genomsökning vid Genomsöker filer när användaren kopierar från en lokal kopiering mellan lokala mappar mapp till en annan. Om det här alternativet är: • Inaktiverad – Endast objekt i målmappen som genomsöks. • Aktiverad – Objekt i både källmappar (läs) och målmappar (skriv) genomsöks. (Inaktiverad som standard) 114 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-16 Alternativ (fortsättning) Avsnitt Alternativ Definition Utför en genomsökning vid kopiering från nätverksmappar och flyttbara enheter Genomsöker filer när användaren kopierar från en nätverks mapp eller en flyttbar USB-enhet. Om du inte väljer detta alternativ har datorn inget skydd mot angrepp av skadlig programvara. (Aktiverad som standard) Aktiverar och konfigurerar McAfee GTI-inställningar. McAfee GTI ScriptScan Aktivera ScriptScan Förhindrar att oönskade skript körs genom att aktivera genomsökning av skript från JavaScript och VBScript i Internet Explorer. (Inaktiverad som standard) Om ScriptScan är inaktiverat när Internet Explorer startas och sedan aktiveras, kan det inte identifiera skadliga skript i denna instans av Internet Explorer. Internet Explorer måste startas om när ScriptScan har aktiverats, så att skadliga skript kan identifieras. Undanta dessa URL:er eller delar av URL:er Anger ScriptScan-undantag efter URL. Lägg till – Lägger till en webbadress i undantagslistan. Ta bort – Tar bort webbadresser från undantagslistan. URL:er får inte innehålla jokertecken. Men alla URL-adresser som innehåller en sträng från en undantagen URL kommer också att undantas. Om exempelvis URL-adressen msn.com undantas, undantas även följande webbadresser: • http://weather.msn.com • http://music.msn.com Tabell 3-17 Avancerade alternativ Avsnitt Alternativ Definition Användarens meddelandetjänster för Threat Detection Visa fönstret Genomsökning vid åtkomst när ett hot upptäcks Visar sidan Genomsökning vid åtkomst med det angivna meddelandet till klientanvändare när en avkänning görs. (Aktiverad som standard) När det här alternativet är valt kan användare öppna den här sidan från sidan Genomsök nu varje gång som avkänningslistan innehåller minst ett hot. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Meddelande Anger meddelandet som visas för klientanvändarna när en avkänning görs. Standardmeddelandet är: McAfee Endpoint Security har upptäckt ett hot. Processinställningar McAfee Endpoint Security 10.5 Använd standardinställningar Tillämpar samma konfigurerade inställningar till för alla processer samtliga processer under en genomsökning vid åtkomst. Produkthandbok 115 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-17 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Konfigurera olika inställningar Konfigurerar olika inställningar för genomsökning för för processer som varje processtyp som du identifierar. klassificeras som hög och låg risk Standard Konfigurerar inställningar för processer som varken identifieras som hög eller låg risk. (Aktiverad som standard) Genomsökning Hög risk Konfigurerar inställningar för processer som klassificeras som hög risk. Låg risk Konfigurerar inställningar för processer som klassificeras som låg risk. Lägg till Lägger till en process i listan Hög risk eller Låg risk. Ta bort Tar bort en process från listan Hög risk eller Låg risk. När ska genomsökning ske Vid skrivning till disk Försöker genomsöka alla filer när de skrivs till eller ändras på datorn eller i andra datalagringsenheter. Vid läsning från disk Genomsöker alla filer när de läses på datorn eller andra datalagringsenheter. Låt McAfee bedöma Tillåter att McAfee bedömer om en fil ska genomsökas med hjälp av inbyggd logik för att optimera genomsökningen. Inbyggd logik förstärker säkerhet och förbättrar prestanda genom att undvika onödiga genomsökningar. Metodtips: Aktivera detta alternativ för bästa skydd och prestanda. Utför inte genomsökning vid Anger att inte endast utföra genomsökning av läsning till eller skrivning från processer med Låg risk. skiva Vad som ska genomsökas Alla filer Genomsöker alla filer, oavsett tillägg. Om du inte väljer detta alternativ har datorn inget skydd mot angrepp av skadlig programvara. Standard- och angivna filtyper Genomsökningar: • Standardlista över filtillägg i den aktuella AMCore-innehållsfilen, inklusive filer utan tillägg • Ytterligare filtillägg som du anger Avgränsa tilläggen med ett kommatecken. • (Valfritt) Kända makrohot i listan över standardfiltillägg och specificerade filtillägg Endast angivna filtyper Genomsöker en eller båda: • Endast filer med angivna (kommateckenavgränsade) tillägg • Alla filer utan tillägg 116 McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-17 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition På nätverksenheter Genomsöker resurser på mappade nätverksenheter. Metodtips: Avmarkera detta alternativ för att förbättra prestandan. Har öppnats för säkerhetskopiering Genomsöker filer vid åtkomst från säkerhetskopieringsprogram. Metodtips: Den här inställningen behöver i de flesta miljöer inte väljas. Komprimerade arkivfiler Undersöker innehållet i arkivfiler (komprimerade), inklusive .jar-filer. Metodtips: Eftersom genomsökning av komprimerade arkivfiler negativt kan påverka systemprestandan, avmarkerar du det här alternativet för att förbättra den. Komprimerade MIME-kodade filer Känner av, avkodar och söker igenom MIME-kodade (Multipurpose Internet Mail Extensions) filer. Ytterligare genomsökningsalternativ Känn av oönskade program Gör det möjligt att känna av potentiellt oönskade program i genomsökningen. Under genomsökningen används den information som du har konfigurerat i inställningarna för Hotdetektering Alternativ för att identifiera eventuellt oönskade program. Känn av okända programhot Använder McAfee GTI för att identifiera körbara filer som innehåller kod som påminner om skadlig programvara. Känn av okända makrohot Använder McAfee GTI för att identifiera okända makrovirus. Åtgärder Anger hur genomsökningen ska reagera när ett hot upptäcks. Undantag Anger vilka filer, mappar och enheter som ska undantas vid genomsökningar. Lägg till Lägger till ett objekt i undantagslistan. Ta bort Tar bort ett objekt från undantagslistan. Se även Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 McAfee GTI på sidan 123 Åtgärder på sidan 124 Lägg till undantag eller Redigera undantag på sidan 126 Hotdetektering – Genomsökning på begäran Konfigurera inställningarna för Genomsökning på begäran för de förkonfigurerade och anpassade genomsökningar som körs i ditt system. Mer information om konfiguration av loggning hittar du i inställningarna i modulen Delade. McAfee Endpoint Security 10.5 Produkthandbok 117 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Dessa inställningar anger genomsökningens beteende när du: • Välj Fullständig genomsökning eller Snabbgenomsökning på sidan Genomsök nu i Endpoint Security-klient. • Kör en anpassad genomsökning på begäran som administratör via Inställningar | Delade | Aktiviteter i Endpoint Security-klient. • Högerklicka på en fil eller mapp och markera Sök efter hot i snabbmenyn. Tabell 3-18 Alternativ Avsnitt Alternativ Definition Vad som ska genomsökas Startsektorer Undersöker diskens startsektor. Metodtips: Avmarkera genomsökningen av startsektorn om en disk innehåller en särskild eller ovanlig startsektor som inte kan genomsökas. Filer som har migrerats till lagringsplats Genomsöker de filer som hanteras av Fjärrlagring. I vissa lagringslösningar för offlinedata ersätts filerna med en stub-fil. Om en stub-fil upptäcks vid genomsökningen, vilket betyder att filen har migrerats, återställs filen till det lokala systemet innan genomsökningen startar. Återställningsprocessen kan påverka systemprestandan negativt. Metodtips: Avmarkera detta alternativ såvida du inte har ett specifikt behov att genomsöka filer i lagringen. Compressed MIME-encoded files (Komprimerade MIME-kodade filer) Känner av, avkodar och söker igenom MIME-kodade (Multipurpose Internet Mail Extensions) filer. Komprimerade arkivfiler Undersöker innehållet i arkivfiler (komprimerade), inklusive .jar-filer. Metodtips: Välj endast detta alternativ vid genomsökningar som är schemalagda utanför arbetstid när systemet inte används, eftersom genomsökning av komprimerade arkivfiler kan påverka systemets prestanda negativt. Ytterligare genomsökningsalternativ Undermappar (endast högerklicksgenomsökning) Undersöker samtliga undermappar i den angivna mappen. Känn av oönskade program Gör det möjligt att känna av potentiellt oönskade program i genomsökningen. Under genomsökningen används den information som du har konfigurerat i inställningarna för Hotdetektering Alternativ för att identifiera eventuellt oönskade program. 118 Identifiera okända programhot Använder McAfee GTI för att identifiera körbara filer som innehåller kod som påminner om skadlig programvara. Identifiera okända makrohot Använder McAfee GTI för att identifiera okända makrovirus. McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Genomsökningsplatser (endast Fullständig genomsökning och Snabbgenomsökning) Specificerar de platser som ska genomsökas. Alla filer Genomsöker alla filer, oavsett tillägg. Filtyper som ska genomsökas Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. McAfee rekommenderar starkt att du aktiverar Alla filer. Om du inte väljer detta alternativ har datorn inget skydd mot angrepp av skadlig programvara. Standard- och angivna filtyper Genomsökningar: • Standardlista över filtillägg i den aktuella AMCore-innehållsfilen, inklusive filer utan tillägg • Ytterligare filtillägg som du anger Avgränsa tilläggen med ett kommatecken. • (Valfritt) Kända makrohot i listan över standardfiltillägg och specificerade filtillägg Endast angivna filtyper Genomsöker en eller båda: • Endast filer med angivna (kommateckenavgränsade) tillägg • Alla filer utan tillägg McAfee GTI Aktiverar och konfigurerar McAfee GTI-inställningar. Undantag Anger vilka filer, mappar och enheter som ska undantas vid genomsökningar. Åtgärder Prestanda Lägg till Lägger till ett objekt i undantagslistan. Delete (Ta bort) Tar bort ett objekt från undantagslistan. Anger hur genomsökningen ska reagera när ett hot upptäcks. Använd genomsökningsminnet Gör det möjligt att använda befintliga, rensade resultat i genomsökningen. Metodtips: Välj det här alternativet för att minska duplicerad genomsökning och förbättra prestandan. McAfee Endpoint Security 10.5 Produkthandbok 119 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Systemanvändning Låter operativsystemet ange mängden processortid som tas emot under genomsökningen. Varje aktivitet körs separat, oberoende av begränsningarna för andra aktiviteter. • Låg – Ger ökad prestanda för andra program som körs. Metodtips: Välj detta alternativ för system som har användaraktivitet. • Under normal – Ställer in genomsökningens systemanvändning enligt McAfee ePO-standard. • Normal (standard) – Möjliggör snabbare genomsökning. Metodtips: Välj detta alternativ för system som har större volymer och låg användaraktivitet. Alternativ för schemalagd genomsökning Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. Utför endast en genomsökning när systemet är inaktivt Utför endast en genomsökning när systemet är i viloläge. Hotdetektering pausar genomsökningen när systemet används via tangentbordet eller musen. Hotdetektering återupptar genomsökningen när användaren (och processorn) varit i viloläge i fem minuter. Inaktivera endast detta alternativ i serversystem och system som användare kommer åt med hjälp av Anslutning till fjärrskrivbord. Hotdetektering är beroende av McTray för att fastställa om systemet är i viloläge. McTray startar inte på system som endast kan kommas åt med hjälp av fjärrskrivbordsanslutning och genomsökning på begäran körs aldrig. Användarna kan undvika det här problemet genom att starta McTray manuellt (från C:\Program Files\McAfee\Agent\mctray.exe som standard) när de loggar in med hjälp av fjärrskrivbordsanslutning. Genomsök när som helst 120 McAfee Endpoint Security 10.5 Kör genomsökningen även om användaren är aktiv och anger genomsökningsalternativ. Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Användare kan senarelägga schemalagda genomsökningar – Låter användaren senarelägga genomsökningar och anger alternativ för senareläggning av genomsökning. • Maximalt antal gånger användaren kan senarelägga under en timme – Anger antal gånger (1–23) som genomsökningen kan senareläggas med en timme. • Användarmeddelande – Anger vilket meddelande som visas när genomsökningen ska starta. Standardmeddelandet är: McAfee Endpoint Security kommer strax att utföra en genomsökning av systemet. • Meddelandevaraktighet (sekunder) – Anger hur många sekunder som användarmeddelandet visas när genomsökningen startar. Giltigt intervall för meddelandets varaktighet är 30-300; standardinställningen är 45 sekunder. Genomsök inte när datorn är i presentationsläge – Senarelägger genomsökningen om datorn är i presentationsläge. Gör ingen genomsökning när datorn går på batteridrift Senarelägger genomsökning när datorn använder batteriet. Se även Konfigurera Genomsökning på begäran inställningar på sidan 89 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Genomsöka en fil eller mapp på sidan 58 Genomsök platser på sidan 121 McAfee GTI på sidan 123 Åtgärder på sidan 124 Lägg till undantag eller Redigera undantag på sidan 126 Genomsök platser Anger de platser som ska genomsökas. Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. McAfee Endpoint Security 10.5 Produkthandbok 121 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-19 Avsnitt Alternativ Alternativ Genomsökningsplatser Genomsök undermappar Definition Undersöker alla undermappar på de angivna volymerna när något av följande alternativ väljs: • Arbetsmapp • Mappen Temp • Mapp för användarprofil • Fil eller mapp • Mappen Programfiler Avmarkera det här alternativet om du enbart vill genomsöka volymernas rotnivå. Specificera platser Anger de platser som ska genomsökas. • Lägg till – Lägger till en plats i genomsökningen. Klicka på Lägg till och markera därefter platsen från listrutan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort en plats från genomsökningen. Markera platsen och klicka på Ta bort. Minne för rootkits Söker igenom systemminnet efter installerade rootkits, dolda processer och andra beteenden som kan tyda på att det finns dold skadlig programvara. Den här genomsökningen görs före alla andra genomsökningar. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Pågående processer Genomsöker minnet i alla processer som körs. Andra åtgärder förutom Rensa filer behandlas som Fortsätt genomsökning. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Registrerade filer Genomsöker filer som Windows-registret hänvisar till. Genomsökningen utför genomsökning på registret efter filnamn, och fastställer om filerna finns, skapar en lista över filer som ska genomsökas och genomsöker därefter filerna. Den här datorn Söker igenom alla enheter som är fysiskt anslutna till datorn eller logiskt mappade till en enhetsbeteckning på datorn. Alla lokala enheter Genomsöker alla enheter och deras undermappar på datorn. Alla fasta enheter Söker igenom alla enheter som är fysiskt anslutna till datorn. Alla flyttbara enheter Genomsöker alla flyttbara enheter och andra lagringsenheter som är anslutna till datorn utom enheter med Windows To Go installerat. Alla mappade enheter Söker igenom nätverksenheter som är logiskt mappade till en enhetsbeteckning på datorn. Arbetsmapp Söker igenom arbetsmappen för den användare som startar sökningen. Mapp för användarprofil Söker igenom profilen för den användare som startar genomsökningen, inklusive användarens mapp Mina dokument. Windows-mapp 122 McAfee Endpoint Security 10.5 Söker igenom innehållet i Windows-mappen. Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-19 Alternativ (fortsättning) Avsnitt Alternativ Definition Mappen Programfiler Söker igenom innehållet i mappen Programfiler. Temp-mappen Söker igenom innehållet i mappen Temp. Papperskorgen Söker igenom innehållet i papperskorgen. Fil eller mapp Genomsöker den angivna filen eller mappen. Registret Genomsöker registernycklar och värden. Se även Hotdetektering – Genomsökning på begäran på sidan 117 McAfee GTI Aktivera och konfigurera inställningar för McAfee GTI (Global Threat Intelligence). Tabell 3-20 Avsnitt Alternativ Alternativ Definition Aktiverar och inaktiverar heuristiska kontroller. Aktivera McAfee GTI • När det här alternativet är aktiverat skickas fingeravtryck av prov eller hash-värden till McAfee Labs där skadlig programvara identifieras. När hash-värden skickas kan avkänning bli tillgänglig snabbare, före nästa uppdatering av AMCore-innehållsfil när McAfee Labs publicerar uppdateringen. • När funktionen är inaktiverad skickas inga fingeravtryck eller data till McAfee Labs. Konfigurerar känslighetsnivån som används för att fastställa om ett identifierat prov innehåller skadlig programvara. Känslighetsnivå Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Mycket låg Avkänningar och risken för falska positiva resultat är desamma som för vanliga AMCore-innehållsfiler. En avkänning blir tillgänglig för Hotdetektering när McAfee Labs publicerar den, i stället för i nästa uppdatering av AMCore-innehållsfilen. Använd den här inställningen för stationära datorer samt servrar med begränsade användarrättigheter och starka säkerhetskonfigurationer. Den här inställningen ger ett genomsnitt på 10–15 frågor per dag, per dator. Låg Den här inställningen är den lägsta rekommenderade inställningen för bärbara eller stationära datorer, samt servrar med starka säkerhetskonfigurationer. Den här inställningen ger ett genomsnitt på 10–15 frågor per dag, per dator. McAfee Endpoint Security 10.5 Produkthandbok 123 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-20 Avsnitt Alternativ (fortsättning) Alternativ Definition Medel Använd den här inställningen när den allmänna risken för exponering av skadlig programvara är större än risken för falska positiva resultat. McAfee Labs egna heuristiska kontroller resulterar i avkänningar som med stor sannolikhet är skadlig programvara. Vissa avkänningar kan dock ge falska positiva resultat. Med den här inställningen kontrollerar McAfee Labs att populära program och systemfiler för operativsystem inte orsakar ett falskt positivt resultat. Den här inställningen är den lägsta rekommenderade inställningen för bärbara datorer, stationära datorer och servrar. Den här inställningen ger ett genomsnitt på 20-25 frågor per dag, per dator. Hög Använd den här inställningen för system eller områden som infekteras regelbundet. Den här inställningen ger ett genomsnitt på 20-25 frågor per dag, per dator. Mycket hög Använd den här inställningen på volymer för icke-operativsystem. Avkänningar som hittas på den här nivån antas vara skadliga, men har inte testats fullt ut för att se om de är falska positiva resultat. Använd endast den här inställningen vid genomsökning av volymer och kataloger som saknar stöd för körning av program eller operativsystem. Den här inställningen ger ett genomsnitt på 20-25 frågor per dag, per dator. Se även Hotdetektering – Genomsökning vid åtkomst på sidan 113 Hotdetektering – Genomsökning på begäran på sidan 117 Webbkontroll – Alternativ Sidan på sidan 168 Åtgärder Ange hur genomsökningen ska reagera när ett hot upptäcks. Tabell 3-21 Avsnitt Alternativ Alternativ Definition Genomsökningstyp Genomsökning vid Genomsökning på åtkomst begäran Anger den första åtgärden som genomsökningen ska vidta när ett hot upptäcks. Första svar vid hotavkänning 124 Neka åtkomst till filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Fortsätt genomsökning Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Rensa filer Tar bort hotet från den identifierade filen, om det är möjligt. Ta bort filer Tar bort filer med potentiella hot. McAfee Endpoint Security 10.5 Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-21 Avsnitt Alternativ (fortsättning) Alternativ Definition Genomsökningstyp Genomsökning vid Genomsökning på åtkomst begäran Anger åtgärden som genomsökningen ska vidta när ett hot identifieras och den första åtgärden misslyckas. Om första svar misslyckas Neka åtkomst till filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Fortsätt genomsökning Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Ta bort filer Tar bort filer med potentiella hot. Anger den första åtgärd som genomsökningen ska vidta när ett potentiellt oönskat program identifieras. Första svar vid oönskade program Det här alternativet är bara tillgängligt om Känn av oönskade program har valts. Neka åtkomst till filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Tillåt åtkomst till filer Tillåter att användare får åtkomst till filer med potentiella hot. Fortsätt genomsökning Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Rensa filer Tar bort hotet från potentiellt oönskade program, om det är möjligt. Ta bort filer Tar bort potentiellt oönskade programfiler. Anger åtgärden som genomsökningen ska vidta när en oönskad programavkänning identifieras och den första åtgärden misslyckas. Om första svar misslyckas Det här alternativet är bara tillgängligt om Känn av oönskade program har valts. Neka åtkomst till filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Tillåt åtkomst till filer Tillåter att användare får åtkomst till filer med potentiella hot. McAfee Endpoint Security 10.5 Produkthandbok 125 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-21 Avsnitt Alternativ (fortsättning) Alternativ Definition Genomsökningstyp Genomsökning vid Genomsökning på åtkomst begäran Fortsätt genomsökning Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Ta bort filer Tar bort potentiellt oönskade programfiler automatiskt. Se även Hotdetektering – Genomsökning vid åtkomst på sidan 113 Hotdetektering – Genomsökning på begäran på sidan 117 Lägg till undantag eller Redigera undantag Lägg till eller redigera en undantagsdefinition. Tabell 3-22 Avsnitt Alternativ Alternativ Definition Genomsökningstyp vid åtkomst på begäran Vad ska undantas Anger typen av undantag och information om undantaget. Filnamn eller sökväg Anger filnamnet eller sökvägen till undantaget. Filsökvägen kan innehålla jokertecken. Om du vill undanta en mapp i Windows-system, lägger du till ett omvänt snedstreck (\) i sökvägen. Markera Undanta även undermappar om så krävs. Filtyp Anger filtyper (filnamnstillägg) som ska undantas. Filens ålder Anger åtkomsttyp (Modifierad, Använd (endast för genomsökning på begäran) eller Skapad) för filer som ska undantas och Minimiålder i dagar. Anger när det markerade objektet ska undantas. När ska undantag ske Vid skrivning till disk eller läsning från disk Undantas från genomsökning när filer skrivs till eller läses från disk eller andra datalagringsenheter. Vid läsning från disk Undantas från genomsökning när filer läses från dator eller andra datalagringsenheter. Vid skrivning till disk 126 McAfee Endpoint Security 10.5 Undantas från genomsökning när filer skrivs till eller ändras på disk eller andra datalagringsenheter. Produkthandbok 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Se även Hotdetektering – Genomsökning vid åtkomst på sidan 113 Hotdetektering – Genomsökning på begäran på sidan 117 Jokertecken i undantag på sidan 65 Konfigurera undantag på sidan 63 Hotdetektering – Alternativ Konfigurerar inställningar som gäller för funktionen Hotdetektering inklusive karantän, eventuellt oönskade program och undantag. Det här avsnittet innehåller endast Avancerade alternativ. Tabell 3-23 Alternativ Avsnitt Alternativ Quarantine Manager Karantänmapp Definition Anger platsen för karantänmappen eller godkänner standardplatsen: c:\Karantän Karantänmappen är begränsad till 190 tecken. Ange maximalt antal dagar som karantändata ska sparas Undantag efter avkänningsnamn Undanta dessa avkänningsnamn Anger antal dagar (1-999) som objekt i karantän ska behållas innan de tas bort automatiskt. Standardvärdet är 30 dagar. Anger avkänningsundantag efter avkänningsnamn. Om du exempelvis vill att genomsökning vid åtkomst och genomsökning på begäran inte ska avkänna hot i Installationskontroll anger duInstallationskontroll. Lägg till – Lägger till ett avkänningsnamn i undantagslistan. Klicka på Lägg till och ange avkänningsnamnet. Dubbelklicka på ett objekt – Ändra det valda objektet. Ta bort – Tar bort ett avkänningsnamn från undantagslistan. Markera namnet och klicka sedan på Ta bort. Avkänning av Undanta anpassade eventuellt oönskade oönskade program program Anger enstaka filer eller program som ska behandlas som eventuellt oönskade program. Genomsökningarna identifierar de program som du anger, samt program enligt AMCore-innehållsfilerna. Genomsökningen identifierar inte ett användardefinierat oönskat program på noll byte. • Lägg till – Definierar ett anpassat oönskat program. Klicka på Lägg till och ange namnet, tryck sedan på TABB-tangenten för att ange beskrivningen. • Namn – Anger filnamnet för det eventuellt oönskade programmet. • Beskrivning – Anger informationen som ska visas som ett avkänningsnamn när en avkänning görs. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort eventuellt oönskade program i listan. Markera programmet i tabellen och klicka sedan på Ta bort. Proaktiv dataanalys McAfee Endpoint Security 10.5 Skickar anonyma diagnostik- och användningsdata till McAfee. Produkthandbok 127 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens – Hotdetektering Tabell 3-23 Avsnitt Alternativ (fortsättning) Alternativ Definition McAfee GTI-feedback Aktiverar McAfee GTI-baserad telemetrifeedback för att samla in anonymiserade data om filer och processer som körs i klientsystemet. Säkerhetspuls Utför en hälsokontroll av klientsystemet före och efter uppdateringar av AMCore-innehållsfiler, samt med regelbundna intervaller, och skickar resultatet till McAfee. Resultaten krypteras och skickas till McAfee via SSL. McAfee aggregerar och analyserar sedan data från dessa rapporter för att identifiera avvikelser som kan indikera möjliga innehållsrelaterade problem. Direkt identifiering av sådana problem är viktigt för snabb inneslutning och reparation. Säkerhetspuls samlar in följande typer av data: • Version av operativsystem och språk • McAfee-produktversion • AMCore-innehåll och motorversion • Processinformation om McAfee- och Microsoft-körningar AMCore-innehållsrykte Utför en McAfee GTI-sökning av ryktet för AMCore-innehållsfilen innan klientsystemet uppdateras. • Om McAfee GTI tillåter filen uppdaterar Endpoint Security AMCore-innehållet. • Om McAfee GTI inte tillåter filen uppdaterar Endpoint Security inte AMCore-innehållet. Se även Konfigurera gemensamma inställningar för genomsökning på sidan 81 Klientaktiviteten Återställ AMCore-innehåll Ändrar AMCore-innehållet till en tidigare version. Innehållsuppdateringar i Utnyttjandeskydd kan inte återkallas. Alternativ Definition Välj version att läsa in Anger versionsnummer för en tidigare AMCore innehållsfil som ska läsas in. Endpoint Security behåller de två tidigare versionerna på klientsystemet. När du ändrar till en tidigare version, tar Endpoint Security bort den nuvarande versionen av AMCore-innehållet från systemet. Se även Ändra innehållsversionen för AMCore på sidan 27 128 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Brandvägg fungerar som ett filter mellan datorn och nätverket eller Internet. Innehåll Så här fungerar Brandvägg Aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Hantera Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Så här fungerar Brandvägg Brandvägg genomsöker all inkommande och utgående trafik. Samtidigt som Brandvägggranskar inkommande och utgående trafik kontrolleras listan över regler, som är ett system av kriterier och associerade åtgärder. Om trafiken överensstämmer med alla regelkriterier agerarBrandvägg i enlighet med denna regel och blockerar eller tillåter trafik via Brandvägg. Information om identifierade hot sparas för rapporter som informerar administratören om säkerhetsproblem i datorn. Brandvägg-alternativ och regler definierar hur Brandvägg fungerar. Regelgrupperna organiserar brandväggsregler som underlättar hanteringen. Om Klientgränssnittsläge är inställt på Fullständig åtkomst eller om du har loggat in som administratör, går det att konfigurera regler och grupper med hjälp av Endpoint Security-klient. Regler och grupper som du skapar kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Se även Konfigurera Brandvägg på sidan 131 Så här fungerar brandväggsregler på sidan 135 Så här fungerar grupper för brandväggsregler på sidan 137 Aktivera och inaktivera Brandvägg från McAfeesystemfältsikonen Beroende på vilka inställningar som har konfigurerats går det att aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. McAfee Endpoint Security 10.5 Produkthandbok 129 4 Använda Brandvägg Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Åtgärd • Högerklicka på McAfee-systemfältsikonen och välj Inaktivera Endpoint Security-brandvägg ett alternativ i menyn Snabbinställningar. När Brandvägg är aktiverad är alternativet Inaktivera Endpoint Security-brandvägg. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att Brandvägg inaktiverats. Aktivera eller visa tidsbegränsade Brandvägg i McAfeesystemfältsikonen Aktivera, inaktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. Åtgärd • Högerklicka på McAfee-systemfältsikonen och välj ett alternativ i menyn Snabbinställningar. • Aktivera tidsbegränsade brandväggsgrupper – Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. • Visa tidsbegränsade brandväggsgrupper – Visar namnen på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Om tidsbegränsade grupper Tidsbegränsade grupper är grupper för Brandvägg som är aktiva för en angiven tidsperiod. En tidsbegränsad grupp kan vara aktiverad för att tillåta att ett klientsystem kan ansluta till ett allmänt nätverk och skapa en VPN-anslutning. Beroende på kan grupper aktiveras antingen: • efter ett angivet schema. • manuellt genom att välja alternativ från McAfees systemfältsikon. Hantera Brandvägg Med administratörsbehörighet kan du konfigurera alternativ för Brandvägg och skapa regler och grupper på Endpoint Security-klient. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. 130 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg Ändra Brandvägg-alternativ Som administratör kan du ändra Brandvägg-alternativ från Endpoint Security-klient. Åtgärder • Konfigurera Brandvägg på sidan 131 Konfigurera inställningar i alternativen för att aktivera och inaktivera brandväggsskyddet, aktivera adaptivt läge och konfigurera andra Brandvägg. • Blockera DNS-trafik på sidan 132 Förfina brandväggsskyddet genom att skapa en lista över FQDN:er som ska blockeras. Brandvägg blockerar anslutningar till IP-adresser som matchar domännamnen. • Definiera nätverk som ska användas i regler och grupper på sidan 133 Definiera nätverksadresser, delnät och intervaller som ska användas i regler och grupper. Ange vid behov om nätverken är betrodda. • Konfigurera körbara filer på sidan 134 Definiera eller redigera listan med betrodda körbara filer som betraktas som säkra för miljön. Se även Vanliga frågor och svar – McAfee GTI och Brandvägg på sidan 132 Konfigurera Brandvägg Konfigurera inställningar i alternativen för att aktivera och inaktivera brandväggsskyddet, aktivera adaptivt läge och konfigurera andra Brandvägg. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. 3 , väljer Inställningar och klickar sedan på Brandvägg på sidan Välj Aktivera brandvägg för att aktivera brandväggen och ändra dess alternativ. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version 10.5. Om McAfee Host IPS Brandvägg är installerad och aktiverad, så inaktiveras Endpoint Security-brandvägg även om den är aktiverad i principinställningarna. 4 Klicka på Visa avancerat. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 McAfee Endpoint Security 10.5 Produkthandbok 131 4 Använda Brandvägg Hantera Brandvägg Blockera DNS-trafik Förfina brandväggsskyddet genom att skapa en lista över FQDN:er som ska blockeras. Brandvägg blockerar anslutningar till IP-adresser som matchar domännamnen. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. , väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Under DNS-blockering, klicka på Lägg till. 4 Ange FQDN:er för domäner som ska blockeras. Klicka sedan på Spara. Det går att använda jokertecknen * och ?. Till exempel, *domain.com. Eventuella dubblettposter tas bort automatiskt. 5 Klicka på Spara. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Vanliga frågor och svar – McAfee GTI och Brandvägg Här följer svaren på några av de vanligaste frågorna vi får. Med inställningarna för Brandvägg Alternativ kan du blockera inkommande och utgående trafik från en nätverksanslutning som har klassificerats som hög risk av McAfee GTI. I Vanliga frågor och svar beskrivs vad McAfee GTI gör och hur det påverkar brandväggen. Vad är McAfee GTI? McAfee GTI är ett globalt ryktes- och informationssystem för Internet som avgör vad som är bra och dåligt beteende på Internet. McAfee GTI använder analys i realtid av världsomfattande beteendemönster och överföringsmönster för e-post, webbaktivitet, skadlig programvara och beteende mellan olika system. Med hjälp av data från analysen utför McAfee GTI dynamisk beräkning av ryktespoäng som motsvarar risknivån för ditt nätverk när du besöker en webbsida. Resultaten finns i en databas med ryktespoäng för IP-adresser, domäner, särskilda meddelanden, URL:er och avbildningar. Vanliga frågor och svar om McAfee GTI finns i KB53735. Hur fungerar McAfee GTI med Brandvägg? När alternativ för McAfee GTI väljs, skapas två brandväggsregler: McAfee GTI – Tillåt Endpoint Security-brandväggstjänsten och McAfee GTI – Hämta klassificering. Den första regeln tillåter en anslutning till McAfee GTI och den andra regeln blockerar eller tillåter trafik utifrån anslutningens rykte och angiven blockeringströskel. Vad menas med ”rykte”? För varje IP-adress på Internet beräknar McAfee GTI ett ryktesvärde. McAfee GTI baserar värdet på sändnings- eller värdbeteende och olika miljödata som samlas in från kunder och partners beträffande tillståndet för Internets hotbild. Ryktet visas i fyra klasser baserat på vår analys: 132 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg • Blockera inte (minimal risk) – Det här är en legitim källa eller mål för innehåll/trafik. • Hög risk – Den här källan/målet skickar eller fungerar som värd för potentiellt skadligt innehåll/trafik som betraktas som riskfyllt av McAfee. • Medelstor risk – Den här källan/målet visar beteenden som betraktas som misstänkt av McAfee. Innehåll och trafik från webbplatsen måste granskas noggrant. • Obekräftad – Den här webbplatsen verkar vara en legitim källa eller mål för innehåll/trafik, men visar även egenskaper som tyder på att ytterligare granskning behövs. Finns det någon latens hos McAfee GTI? Hur mycket? När McAfee GTI kontaktas för att undersöka ett rykte är en viss latens oundviklig. McAfee har gjort allt för att minimera den här latensen. McAfee GTI: • Kontrollerar endast rykten när alternativen väljs. • Använder en intelligent cachelagringsarkitektur. I normala nätverksanvändarmönster matchar cachen de mest använda anslutningarna utan någon aktiv ryktesfråga. Om brandväggen inte kan nå McAfee GTI-servrarna, stoppas trafiken då? Om brandväggen inte kan nå någon av McAfee GTI-servrarna, tilldelar den automatiskt alla tillämpliga anslutningar med tillåtet rykte som standard. Brandväggen fortsätter sedan att analysera efterföljande regler. Definiera nätverk som ska användas i regler och grupper Definiera nätverksadresser, delnät och intervaller som ska användas i regler och grupper. Ange vid behov om nätverken är betrodda. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. 3 , väljer Inställningar och klickar sedan på Brandvägg på sidan Klicka på Visa avancerat. McAfee Endpoint Security 10.5 Produkthandbok 133 4 Använda Brandvägg Hantera Brandvägg 4 Gör något av följande från Definierade nätverk: För att... Steg Definiera ett nytt nätverk. Klicka på Lägg till och ange detaljerna för det betrodda nätverket. Definiera att nätverket är betrott genom att välja Ja på listmenyn Betrodda. Om du väljer Nej definieras nätverket för användning i regler och grupper, men inkommande och utgående trafik från nätverket är inte automatiskt betrodd. Ändra en nätverksdefinition. Dubbelklicka på objektet i varje kolumn och ange den nya informationen. Ta bort ett nätverk. 5 Markera en rad och klicka på Ta bort. Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Om betrodda nätverk Betrodda nätverk är IP-adresser, IP-adressintervall och delnät som betraktas som säkra av din organisation. Om du definierar ett nätverk som betrott, skapas en dubbelriktad Tillåt-regel för det aktuella fjärrnätverket överst i regellistan i Brandvägg. När de har definierats kan du skapa brandväggsregler som gäller för dessa betrodda nätverk. Betrodda nätverk fungerar även som undantag för McAfee GTI i brandväggen. Metodtips: När man lägger till nätverk till brandväggsregler och grupper väljer du Definierade nätverk för nätverkstypen för att utnyttja funktionen. Konfigurera körbara filer Definiera eller redigera listan med betrodda körbara filer som betraktas som säkra för miljön. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. 3 134 , väljer Inställningar och klickar sedan på Brandvägg på sidan Klicka på Visa avancerat. McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg 4 5 Gör något av följande från Betrodda körbara filer: För att... Steg Definiera en ny betrodd körbar fil. Klicka på Lägg till och ange detaljerna för den betrodda körbara filen. Ändra definitionen av den körbara filen. Dubbelklicka på objektet i varje kolumn och ange den nya informationen. Ta bort en körbar fil. Markera en rad och klicka på Ta bort. Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Om betrodda körbara filer och program Betrodda körbara filer är körbara filer som inte har kända sårbarheter och som bedöms som säkra. Om du konfigurerar en betrodd körbar fil, skapas en dubbelriktad Tillåt-regel för den aktuella körbara filen överst i regellistan i Brandvägg. Att upprätthålla en lista med säkra körbara filer för ett system minskar eller eliminerar de flesta falska positiva. Om du till exempel kör ett säkerhetskopieringsprogram kan många falsklarm utlösas. För att undvika att utlösa falsklarm bör säkerhetskopieringsprogrammet göras till en betrodd körbar fil. En betrodd körbar fil är känslig för vanliga sårbarheter som buffertspill och otillåten användning. Därför övervakar Brandvägg fortfarande betrodda körbara filer och utlöser händelser för att förhindra utnyttjande. Brandväggskatalogen innehåller både körbara filer och program. Körbara filer i katalogen kan kopplas till ett behållarprogram. Du kan lägga till körbara filer och program från katalogen till din lista med betrodda körbara filer. När definitionen är klar kan du referera till de körbara filerna i regler och grupper. Konfigurera Brandvägg regler och grupper Med administratörsbehörighet kan du konfigurera Brandvägg regler och grupper från Endpoint Security-klient. Åtgärder • Skapa och hantera Brandvägg-regler och -grupper på sidan 141 Regler och grupper som du konfigurerar från Endpoint Security-klient kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. • Create grupper för anslutningsisolering på sidan 143 Skapa en grupp för brandväggsregeln anslutningsisolering och etablera regler som endast gäller vid anslutning till ett nätverk med särskilda parametrar. • Skapa tidsbegränsade grupper på sidan 144 Skapa Brandvägg brandväggsgrupper för att begränsa Internetåtkomsten tills ett klientsystem ansluts via VPN. Så här fungerar brandväggsregler Brandvägg-regler bestämmer hur nätverkstrafik ska hanteras. Varje regel har en villkorsuppsättning som trafik måste uppfylla och en åtgärd för att tillåta eller blockera trafik. När Brandvägg påträffar trafik som matchar en regels villkor, utför den den kopplade åtgärden. Du kan definiera regler brett (till exempel all IP-trafik) eller smalt (till exempel genom att identifiera ett specifikt program eller tjänst) och ange alternativ. Du kan gruppera regler enligt en arbetsfunktion, tjänst eller ett program för att göra dem enklare att hantera. Precis som med regler kan du definiera regelgrupper efter alternativ för nätverk, transport, program, schema och plats. McAfee Endpoint Security 10.5 Produkthandbok 135 4 Använda Brandvägg Hantera Brandvägg Brandvägg tillämpar regler enligt företräde: 1 Brandvägg tillämpar regeln överst på listan över brandväggsregler. Om trafiken uppfyller regelns villkor kommer Brandvägg att tillåta eller blockera den. Den försöker inte tillämpa några andra regler på listan. 2 Om trafiken inte uppfyller villkoren för den första regeln fortsätter Brandvägg till nästa regel på listan och så vidare tills den hittar en regel som matchar trafiken. 3 Brandväggen blockerar trafiken automatiskt om det inte finns någon matchande regel. Om adaptivt läge är aktiverat kommer en tillåtelseregel att skapas för trafiken. Ibland matchar den stoppade trafiken mer än en av reglerna på listan. I det här fallet innebär företräde att Brandvägg endast tillämpar den första matchande regeln på listan. Metodtips Placera de mest specifika reglerna högst upp på listan och de mer allmänna längst ned. Den här ordningen gör att Brandvägg filtrerar trafiken på rätt sätt. Du måste till exempel skapa två regler för att tillåta alla HTTP-begäranden utom de som kommer från en specifik adress (exempelvis IP-adressen 10.10.10.1): • Blockeringsregel – blockera HTTP-trafik från IP-adress 10.10.10.1. Den här regeln är specifik. • Tillåtelseregel – tillåt alla trafik som använder HTTP-tjänsten. Den här regeln är allmän. Placera Blockeringsregeln högre upp på listan över brandväggsregler än Tillåtelseregeln. När brandväggen stoppar HTTP-begäran från adressen 10.10.10.1, kommer den första regeln den hittar att vara den som blockerar trafiken genom brandväggen. 136 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg Om den allmänna Tillåtelseregeln är högre upp än den specifika Blockeringsregeln, matchar Brandvägg begäran mot Tillåtelseregeln innan den hittar Blockeringsregeln. Den tillåter trafiken, även om du ville blockera HTTP-begäran från en specifik adress. Så här fungerar grupper för brandväggsregler Använd Brandvägg för att organisera brandväggsregler och underlätta hanteringen av dem. Brandvägg påverkar inte hur Brandvägg hanterar reglerna i dem .Brandvägg bearbetar fortfarande reglerna uppifrån och ned. Brandvägg bearbetar inställningarna för gruppen innan den bearbetar inställningarna för reglerna som finns i den. Gruppinställningarna har företräde om det uppstår en konflikt mellan inställningarna. Göra grupper platsmedvetna Brandvägg låter dig göra en grupp och dess regler platsmedvetna samt skapa anslutningsisolering. Med Plats och Nätverksalternativ för gruppen kan du göra dess nätverk adaptermedvetet. Använd nätverksadaptergrupper för att tillämpa adapterspecifika regler på datorer med flera nätverksgränssnitt. När du har aktiverat platsstatusen och gett platsen ett namn, kan parametrarna för tillåtna anslutningar inkludera följande för varje nätverksadapter: Plats: • Krävs att McAfee ePO kan nås • Anslutningsspecifikt DNS-suffix • IP-adress för standard-gateway • IP-adress för DHCP-server • DNS-server som tillfrågats om lösning av webbadresser • IP-adress för primär WINS-server • IP-adress för sekundär WINS-server • Nåbarhet för domän (HTTPS) • Registernyckel Nätverk: • IP-adress för lokalt nätverk • Anslutningstyper Om två platsmedvetna grupper tillämpas i en anslutning kommer Brandvägg att använda normalt företräde och bearbeta den första tillämpliga gruppen på regellistan. Om ingen regel matchas i den första gruppen kommer regelbearbetningen att fortsätta. När Brandvägg matchar en platsmedveten grupps parametrar till en aktiv anslutning kommer den att tillämpa reglerna i gruppen. Den behandlar reglerna som en liten regeluppsättning och använder normalt företräde. Om vissa regler inte matchar den stoppade trafiken ignoreras de av brandväggen. Om det här alternativet markeras... I så fall... Aktivera platskännedom Ett platsnamn är obligatoriskt. Krävs att McAfee ePO kan nås McAfee ePO kan nås och FQDN för servern har lösts. Lokalt nätverk Adapterns IP-adress måste matcha en av listposterna. Anslutningsspecifikt DNS-suffix Adapterns DNS-suffix måste matcha en av listposterna. McAfee Endpoint Security 10.5 Produkthandbok 137 4 Använda Brandvägg Hantera Brandvägg Om det här alternativet markeras... I så fall... Standard-gateway Standard-gatewayens IP-adress måste matcha minst en av listposterna. DHCP-server IP-adressen för adapterns DHCP-server måste matcha minst en av listposterna. DNS-server IP-adressen för adapterns DNS-server måste matcha någon av listposterna. Primär WINS-server IP-adressen för adapterns primära WINS-server måste matcha minst en av listposterna. Sekundär WINS-server IP-adressen för adapterns sekundära WINS-server måste matcha minst en av listposterna. Nåbarhet för domän (HTTPS) Den angivna domänen måste kunna nås med HTTPS. Regelgrupper och anslutningsisolering för Brandvägg Använd anslutningsisolering för grupper för att förhindra att oönskad trafik får tillgång till ett angivet nätverk. Om anslutningsisolering har aktiverats för en grupp och ett aktivt nätverkskort (NIC) matchar gruppens kriterier, kommer Brandvägg endast att bearbeta trafik som stämmer överens med: • Tillåt regler ovanför gruppen på listan över brandväggsregler • Gruppkriterier All övrig trafik blockeras. En grupp med anslutningsisolering aktiverad kan inte ha associerade transportalternativ eller körbara filer. 138 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg Föreställ dig två olika platser för att illustrera användandet av anslutningsisolering: en företagsmiljö och ett hotell. Listan över aktiva brandväggsregler innehåller regler och grupper i följande ordning: 1 Regler för grundläggande anslutning 2 VPN-anslutningsregler 3 Grupp med anslutningsregler för företagets LAN 4 Grupp med VPN-anslutningsregler McAfee Endpoint Security 10.5 Produkthandbok 139 4 Använda Brandvägg Hantera Brandvägg Exempel: anslutningsisolering på företagsnätverket Anslutningsreglerna bearbetas tills dess att gruppen med anslutningsregler för företagets LAN påträffas. Den här gruppen innehåller följande inställningar: • Anslutningstyp = Trådbunden • Anslutningsspecifikt DNS-suffix = mycompany.com • Standard-gateway • Anslutningsisolering = aktiverad Datorn har både LAN-nätverksadaptrar och trådlösa nätverksadaptrar. Datorn ansluter till företagets nätverk via en trådanslutning. Det trådlösa gränssnittet är fortfarande aktivt och ansluter till en aktiv punkt utanför kontoret. Datorn ansluter till båda nätverken eftersom reglerna för grundläggande åtkomst finns överst på listan över brandväggsregler. Den trådbundna LAN-anslutningen är aktiv och uppfyller kriterierna för gruppen företags-LAN. Brandväggen bearbetar trafiken via LAN-nätverket, men eftersom anslutningsisolering är aktiverad blockeras all annan trafik som inte kommer via det nätverket. Exempel: anslutningsisolering på ett hotell Anslutningsreglerna bearbetas tills dess att gruppen med VPN-anslutningsregler påträffas. Den här gruppen innehåller följande inställningar: • Anslutningstyp = Virtuell • Anslutningsspecifikt DNS-suffix = vpn.mycompany.com • IP-adress = En adress inom ett intervall som är specifikt för VPN-koncentratorn • Anslutningsisolering = aktiverad Allmänna anslutningsregler tillåter konfiguration av ett tidsbegränsat konto för att få Internetåtkomst på hotellet. VPN-anslutningsreglerna tillåter anslutning till och användning av VPN-tunneln. När tunneln har upprättats skapar VPN-klienten en virtuell adapter som matchar VPN-gruppens kriterier. Den enda trafik som tillåts av brandväggen är den grundläggande trafiken i den faktiska adaptern och den som sker i VPN-tunneln. Andra hotellgäster som försöker få åtkomst till datorn över nätverket, antingen trådlöst eller trådbundet, blockeras. Fördefinierade grupper för brandväggsregler Brandvägg innehåller fler fördefinierade grupper för brandväggsregler. Brandväggsgrupp Beskrivning McAfees kärnnätverk Innehåller regler för kärnnätverket som tillhandahålls av McAfee och inkluderar regler för att tillåta McAfee-program och DNS. Dessa regler kan inte ändras eller tas bort. Du kan inaktivera gruppen i Brandvägg Alternativ, men detta kan störa klientens nätverkskommunikation. Administratör har lagts till Innehåller regler som definierats av administratören av hanteringsservern. Dessa regler kan inte ändras eller tas bort i Endpoint Security-klient. Användare har lagts till Innehåller regler som definierats iEndpoint Security-klient. Beroende på vilka principinställningar som används kan dessa regler skrivas över när principen tillämpas. 140 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg Brandväggsgrupp Beskrivning Innehåller undantagsregler för klienten som skapas automatiskt när systemet är i adaptivt läge. Adaptiva Beroende på vilka principinställningar som används kan dessa regler skrivas över när principen tillämpas. Innehåller standardregler som tillhandahålls av McAfee. Standard Dessa regler kan inte ändras eller tas bort. Skapa och hantera Brandvägg-regler och -grupper Regler och grupper som du konfigurerar från Endpoint Security-klient kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Grupperna och reglerna visas i prioritetsordning i tabellen Firewall-regler. Du kan inte sortera regler efter kolumn. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. 3 , väljer Inställningar och klickar sedan på Brandvägg på sidan Hantera brandväggsregler och -grupper med dessa aktiviteter. Gör så här... Följ dessa steg Visa reglerna i en brandväggsgrupp. Klicka på . Stäng en brandväggsgrupp. Klicka på . Ändra en befintlig regel. 1 Visa gruppen Tillagd av användare. Du kan endast ändra regler i gruppen Tillagd av användare. 2 Dubbelklicka på regeln. 3 Ändra regelinställningarna. 4 Klicka på OK för att spara ändringarna. Ändra en befintlig regel i vilken grupp som helst. McAfee Endpoint Security 10.5 1 Expandera gruppen. 2 Välj en regel för att visa dess detaljer i den nedre panelen. Produkthandbok 141 4 Använda Brandvägg Hantera Brandvägg Gör så här... Följ dessa steg Skapa en regel. 1 Klicka på Lägg till regel. 2 Specificera regelinställningarna. 3 Klicka på OK för att spara ändringarna. Regeln visas i slutet av gruppen Tillagd av användare. Skapa kopior av regler. 1 Markera regeln eller reglerna och klicka på Duplicera. Kopierade regler visas med samma namn i slutet av gruppen Tillagd av användare. 2 Modifiera regler för att ändra namn och inställningar. Ta bort regler. 1 Expandera gruppen. Du kan endast ta bort regler från grupperna Tillagd av användare och Anpassningsbar. Skapa en grupp. 2 Markera regeln eller reglerna och klicka på Ta bort. 1 Klicka på Lägg till grupp. 2 Specificera gruppinställningarna. 3 Klicka på OK för att spara ändringarna. Gruppen visas i gruppen Tillagd av användare. Flytta regler och grupper i och mellan grupper. Du kan endast flytta regler och grupper i gruppen Tillagd av användare. För att flytta element: 1 Välj element som ska flyttas. Handtaget flyttas. visas till vänster om element som kan 2 Dra-och-släpp elementen till den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. 4 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Jokertecken i brandväggsregler på sidan 142 Logga in som administratör på sidan 26 Create grupper för anslutningsisolering på sidan 143 Jokertecken i brandväggsregler Det går att använda jokertecken för att representera tecken för vissa värden i brandväggsregler. Jokertecken i sökväg och adressvärden Använd dessa jokertecken för sökvägar för filer, registernycklar, körbara filer och URL:er. Sökvägar för registernycklar till platser för brandväggsgrupper känner inte igen jokertecken. 142 ? Frågetecken Ett enkelt tecken. * Asterisk Flera tecken, exklusive snedstreck (/) och omvänt snedstreck (\). Använd det här tecknet för att matcha innehåll på rotnivå för en mapp utan undermappar. McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Hantera Brandvägg ** Dubbel asterisk Flera tecken, inklusive snedstreck (/) och omvänt snedstreck (\). | Vertikalstreck Jokertecken escape. För dubbel asterisk (**) är escape |*|*. Jokertecken i alla övriga värden Använd dessa jokertecken för värden som normalt inte innehåller sökvägsinformation med snedstreck. ? Frågetecken Ett enkelt tecken. * Asterisk Flera tecken, inklusive snedstreck (/) och omvänt snedstreck (\). | Jokertecken escape. Vertikalstreck Create grupper för anslutningsisolering Skapa en grupp för brandväggsregeln anslutningsisolering och etablera regler som endast gäller vid anslutning till ett nätverk med särskilda parametrar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. , väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Under REGLER, klicka på Lägg till grupp. 4 Under Beskrivning, ange alternativ för gruppen. 5 Under Plats, välj Aktivera platskännedom och Aktivera anslutningsisolering. Välj därefter platsvillkor för matchning. 6 I Nätverk för Anslutningstyper väljer du anslutningstyp (Trådbunden, Trådlös eller Virtuell) och tillämpar reglerna i den här gruppen. Inställningar för Transport och Körbara filer är inte tillgängliga för grupper med anslutningsisolering. 7 Klicka på OK. 8 Skapa nya regler inom den här gruppen, eller flytta befintliga regler till gruppen från listan över brandväggsregler. 9 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Regelgrupper och anslutningsisolering för Brandvägg på sidan 138 Så här fungerar grupper för brandväggsregler på sidan 137 McAfee Endpoint Security 10.5 Produkthandbok 143 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Skapa tidsbegränsade grupper Skapa Brandvägg brandväggsgrupper för att begränsa Internetåtkomsten tills ett klientsystem ansluts via VPN. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förStatus. Alternativt går du till Åtgärd-menyn Inställningar. 3 , väljer Inställningar och klickar sedan på Brandvägg på sidan Skapa en Brandvägg med standardinställningar som tillåter Internetanslutning. Tillåt t.ex. HTTP-trafik via port 80. 4 I avsnittet Schema väljer du hur gruppen ska aktiveras. • Aktivera schema – Anger en start- och sluttid för gruppen som ska aktiveras. • Inaktivera schemat och aktivera gruppen via McAfees systemfältsikon – Tillåter användarna att aktivera gruppen via McAfees ikon i systemfältet och håller gruppen aktiverad i det angivna antalet minuter. Om du tillåter användarna att hantera den tidsbegränsade gruppen kan du välja att kräva att de anger en motivering innan gruppen aktiveras. 5 Klicka på OK för att spara ändringarna. 6 Skapa en grupp för anslutningsisolering som matchar VPN-nätverket och tillåter nödvändig trafik. Metodtips: Om du vill tillåta all utgående trafik men endast från anslutningsisoleringsgruppen i klientsystemet, anger du inte några Brandvägg under denna grupp. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Create grupper för anslutningsisolering på sidan 143 Endpoint Security-klient gränssnittsreferens – Brandvägg Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Brandvägg – Alternativ Brandvägg – Regler Brandvägg – Alternativ Aktiverar och inaktiverar Brandvägg, konfigurera skyddsalternativ och definiera nätverk och betrodda körbara filer. Du kan återställa inställningarna till McAfees standardinställningar och avbryta ändringarna genom att klicka på Återställ till standard. 144 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Mer information om konfiguration av loggning hittar du i inställningarna i modulen Delade. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version 10.5. Om McAfee Host IPS Brandvägg är installerad och aktiverad, så inaktiveras Endpoint Security-brandvägg även om den är aktiverad i principinställningarna. Tabell 4-1 Avsnitt Alternativ Alternativ Definition Aktivera brandväggen Aktiverar och inaktiverar Brandvägg. Skyddsalternativ Tillåt trafik för protokoll som inte stöds Tillåter all trafik som använder protokoll som inte stöds. När den inaktiveras, blockeras all trafik som använder protokoll som inte stöds. Tillåt endast utgående trafik Tillåter utgående men inte inkommande trafik tills Brandvägg tills brandväggstjänsterna har startar. startats Om det här alternativet är inaktiverat tillåter Brandvägg all trafik innan tjänsterna har startats, vilket kan göra datorn sårbar för angrepp. Tillåt trafik via brygga Tillåter: • Inkommande paket om MAC-adressens mål ligger inom VM MAC-adressintervallet som stöds och inte är en lokal MAC-adress i systemet. • Utgående paket om MAC-adressens källa ligger inom MAC-adressintervallet som stöds och inte är en lokal MAC-adress i systemet. DNS-blockering Aktivera intrångslarm för brandvägg Visar automatiskt varningar när Brandvägg upptäcker en potentiell attack. Domännamn Definierar domännamn som ska blockeras. Den här inställningen lägger till en regel i den övre delen av brandväggsreglerna för att blockera anslutningar till IP-adresser som matchar domännamnen. • Lägg till – Lägger till ett domännamn i blockeringslistan. Använd ett kommatecken (,) eller vagnretur för att sära på flera domäner. Det går att använda jokertecknen * och ?. Till exempel, *domain.com. Eventuella dubblettposter tas bort automatiskt. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det markerade domännamnet från blockeringslistan. McAfee Endpoint Security 10.5 Produkthandbok 145 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-2 Avancerade alternativ Avsnitt Alternativ Definition Anpassningsalternativ Aktivera adaptivt läge Skapar regler automatiskt för att tillåta trafik. Metodtips: Aktivera adaptivt läge tillfälligt i några system vid justering av Brandvägg. Om detta läge aktiveras kan det genereras många klientregler som måste bearbetas av McAfee ePO-servern, vilket i sin tur kan påverka prestandan negativt. Inaktivera nätverksregler för Inaktiverar inbyggda McAfee-nätverksregler (i McAfee Core regelgruppen McAfee Core-nätverk). (Inaktiverad som standard) Om det här alternativet aktiveras kan det störa klientens nätverkskommunikation. Logga all blockerad trafik Loggar all blockerad trafik i händelseloggen för Brandvägg (FirewallEventMonitor.log) i Endpoint Security-klient. (aktiverad som standard) Logga all tillåten trafik Loggar all tillåten trafik i händelseloggen för Brandvägg (FirewallEventMonitor.log) i Endpoint Security-klient. (Inaktiverad som standard) Om det här alternativet aktiveras kan det påverka prestanda negativt. McAfee GTI-nätverksrykte Behandla McAfee GTI som intrång Behandlar trafiken som matchar inställningen för McAfee GTI-blockeringströskeln som ett intrång. När detta alternativ aktiveras visas en varning och en händelse skickas till hanteringsservern som sedan läggs till iEndpoint Security-klient loggfil. Alla IP-adresser för ett betrott nätverk undantas från McAfee GTI-sökningen. (aktiverad som standard) Logga matchande trafik Behandlar trafiken som matchar inställningen för McAfee GTI-blockeringströskeln som en avkänning. När detta alternativ aktiveras skickas en händelse till hanteringsservern som sedan läggs till i Endpoint Security-klient loggfil. (aktiverad som standard) Alla IP-adresser för ett betrott nätverk undantas från McAfee GTI-sökningen. Blockera alla ej betrodda körbara filer 146 McAfee Endpoint Security 10.5 Blockerar alla körbara filer som inte är signerade eller har ett okänt McAfee GTI-rykte. Produkthandbok 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-2 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Tröskel för inkommande nätverksrykte Anger McAfee GTI-klassificeringströskeln för blockering av inkommande eller utgående trafik från en nätverksanslutning. Tröskel för utgående nätverksrykte • Blockera inte – Den här webbplatsen är en legitim källa eller destination för innehåll/trafik. • Hög risk – Den här källan/destinationen skickar eller fungerar som värd för potentiellt skadligt innehåll/trafik som betraktas som riskfyllt av McAfee. • Medelstor risk – Den här källan/destinationen visar beteende som betraktas som misstänksamt av McAfee. Innehåll och trafik från webbplatsen måste granskas noggrant. • Obekräftad – Den här webbplatsen verkar vara en legitim källa eller destination för innehåll/trafik, men visar även egenskaper som tyder på att ytterligare granskning krävs. Tillståndskänslig brandvägg Använd FTP-protokollinspektion Tillåter spårning av FTP-anslutningar så att de endast behöver en brandväggsregel för utgående FTP-klienttrafik och inkommande FTP-servertrafik. Om den inte markeras, behöver FTP-anslutningar en separat regel för utgående FTP-klienttrafik och inkommande FTP-servertrafik. Antal sekunder (1-240) innan TCP-anslutningar uppnår tidsgränsen Anger tiden, i sekunder, som en oetablerad TCP-anslutning förblir aktiv om inga fler paket som matchar anslutningen skickas eller tas emot. Det giltiga intervallet är 1–240. Antal sekunder (1-300) innan virtuella anslutningar via UDP och ICMP-eko uppnår tidsgränsen Anger tiden, i sekunder, som en virtuell anslutning via UDP eller ICMP-eko förblir aktiv om inga fler paket som matchar anslutningen skickas eller tas emot. Det här alternativet återgår till det konfigurerade värdet varje gång ett paket som matchar den virtuella anslutningen skickas eller tas emot. Det giltiga intervallet är 1–300. Definierar nätverksadresser, delnät eller intervaller som ska användas i regler och grupper. Definierade nätverk • Lägg till – Lägger till en nätverksadress, delnät eller intervall till listan över definierade nätverk. Klicka på Lägg till och fyll sedan i fälten i raden för att definiera nätverket. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort den markerade adressen från listan över definierade nätverk. Adresstyp Anger adresstypen för nätverket som ska definieras. Betrodd • Ja – Tillåter all trafik från nätverket. Om du definierar ett nätverk som betrott, skapas en dubbelriktad Tillåt-regel för det aktuella fjärrnätverket överst i regellistan i Brandvägg. • Nej – Lägger till nätverket till listan över definierade nätverk för att skapa regler. McAfee Endpoint Security 10.5 Produkthandbok 147 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-2 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Ägare Anger de körbara filer som är säkra i alla miljöer och saknar kända sårbarheter. Dessa körbara filer tillåts utföra alla åtgärder förutom de som tyder på att de körbara filerna har skadats. Betrodda körbara filer Om du konfigurerar en betrodd körbar fil, skapas en dubbelriktad Tillåt-regel för den aktuella körbara filen överst i regellistan i Brandvägg. • Lägg till – Lägger till en betrodd körbar fil. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort den körbara filen från listan över betrodda körbara filer. Se även Konfigurera Brandvägg på sidan 131 Definiera nätverk som ska användas i regler och grupper på sidan 133 Konfigurera körbara filer på sidan 134 Lägg till körbar fil eller Redigera körbar fil på sidan 155 Brandvägg – Regler Hantera brandväggsregler och -grupper. Du kan endast lägga till och ta bort regler och grupper i gruppen Tillagd av användare. Brandvägg flyttar nytillagda regler automatiskt till denna grupp. Du kan återställa standardinställningarna och avbryta ändringarna genom att klicka på Återställ till standard. Tabell 4-3 Alternativ Avsnitt Alternativ Definition REGLER Lägg till regel Skapar en brandväggsregel. Lägg till grupp Skapar en brandväggsgrupp. Dubbelklicka på ett objekt Ändra det valda objektet. Duplicera Skapar en kopia av det valda objektet. Delete (Ta bort) Tar bort ett markerat brandväggsobjekt. Regel Grupp Visar elementen som kan flyttas i listan. Välj element och dra och släpp sedan elementet till den nya placeringen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. Se även Skapa och hantera Brandvägg-regler och -grupper på sidan 141 Sidan Lägg till regel eller Redigera regel, Lägg till grupp eller Redigera grupp på sidan 149 148 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Sidan Lägg till regel eller Redigera regel, Lägg till grupp eller Redigera grupp Lägg till eller redigera brandväggsregler och -grupper. Tabell 4-4 Avsnitt Alternativ Alternativ Beskrivning Namn Definition Regel Grupp Anger det beskrivande namnet för objektet (obligatoriskt). Status Aktiverar eller inaktiverar objektet. Ange åtgärder Tillåt – Tillåter trafik via brandväggen om objektet matchas. Blockera – Hindrar trafik att passera via brandväggen om objektet matchas. Behandla matchning som intrång – Behandlar trafik som matchar regeln som ett intrång. När detta alternativ aktiveras visas en varning och en händelse skickas till hanteringsservern som sedan läggs till iEndpoint Security-klient loggfil. Metodtips: Aktivera inte det här alternativet med regeln Tillåt eftersom det resulterar i många händelser. Logga matchande trafik – Behandlar trafik som matchar regeln som en avkänning. När detta alternativ aktiveras skickas en händelse skickas till hanteringsservern som sedan läggs till iEndpoint Security-klient loggfil. Riktning Anger riktningen: • Båda – Övervakar både inkommande och utgående trafik. • In – Övervakar inkommande trafik. • Utgående – Övervakar utgående trafik. Plats Anteckningar Anger mer information om objektet. Aktivera platskännedom Aktivera eller inaktivera platsinformation för gruppen. Namn Anger namnet på platsen (obligatoriskt). McAfee Endpoint Security 10.5 Produkthandbok 149 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-4 Avsnitt Alternativ (fortsättning) Alternativ Definition Regel Grupp Aktivera anslutningsisolering Blockerar trafik på nätverkskort som inte matchar gruppen, när det finns ett kort som matchar guppen. Inställningar för Transport och Körbara filer är inte tillgängliga för grupper med anslutningsisolering. Det här alternativet kan användas för att blockera trafik som kommer från eventuellt oönskade källor utanför företagets nätverk så att trafiken stoppas. Det går endast att blockera trafik på det här sättet om en regel före gruppen in brandväggen inte redan tillåtit den. När anslutningsisolering är aktiverad och ett aktivt nätverkskort matchar gruppen, tillåts endast trafik när ett av följande gäller: • Trafik matchar en Tillåtelseregel före gruppen. • Trafik som åsidosätter ett aktivt nätverkskort matchar gruppen och det finns en regel i eller under gruppen som tillåter trafiken. Om inget aktivt nätverkskort matchar gruppen ignoreras gruppen och regelmatchning fortsätter. Krävs att McAfee ePO kan nås 150 McAfee Endpoint Security 10.5 Gruppen kan endast matchas om det finns kommunikation med McAfee ePO-servern och FQDN för servern har lösts. Produkthandbok 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-4 Avsnitt Alternativ (fortsättning) Alternativ Definition Platsvillkor • Anslutningsspecifikt DNS-suffix – Specificerar ett anslutningsspecifikt DNS-suffix i formatet: example.com. Regel Grupp • Standard-gateway – Specificerar en enskild IP-adress för en standard-gateway i IPv4- eller IPv6-format. • DHCP-server – Specificerar en enskild IP-adress för en DHCP-server i IPv4- eller IPv6-format. • DNS-server – Specificerar en enskild IP-adress för en domännamnsserver i IPv4- eller IPv6-format. • Primär WINS-server – Specificerar en enskild IP-adress för en primär WINS-server i IPv4- eller IPv6-format. • Sekundär WINS-server – Specificerar en enskild IP-adress för en sekundär WINS-server i IPv4- eller IPv6-format. • Nåbarhet för domän (HTTPS) – Kräver att den angivna domänen kan nås via HTTPS. • Registernyckel – Anger registernyckeln och nyckelvärdet. 1 Klicka på Lägg till. 2 Ange registernyckeln med följande format i kolumnen Värde: <ROOT>\<KEY>\[VALUE_NAME] • <ROOT> – Måste använda det fullständiga rotnamnet, exempelvis HKEY_LOCAL_MACHINE och inte det förkortade rotnamnet HKLM. • <KEY> – Är nyckelnamnet under roten. • [VALUE_NAME] – är namnet på nyckelvärdet. Om namn på nyckelvärdet saknas antas det vara standardvärdet. Exempelformat: • IPv4 – 123.123.123.123 • IPv6 – 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Anger de värdalternativ som gäller för objektet. Nätverk Nätverksprotokoll Anger det nätverksprotokoll som gäller för objektet. Alla protokoll Tillåter både IP- och icke-IP-protokoll. Om ett transportprotokoll eller ett program är angivet tillåts endast IP-protokoll. McAfee Endpoint Security 10.5 Produkthandbok 151 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-4 Avsnitt Alternativ (fortsättning) Alternativ Definition IP-protokoll Utesluter icke-IP-protokoll. Regel Grupp • IPv4-protokoll • IPv6-protokoll Om ingen av kryssrutorna har valts är alla IP-protokoll tillämpliga. Det går att välja både IPv4 och IPv6. Icke-IP-protokoll Omfattar endast icke-IP-protokoll. • Välj EtherType i listan – Specificerar en EtherType. • Ange anpassad EtherType – Specificerar de fyra tecknen i det hexadecimala EtherType-värdet för icke-IP-protokollet. Se Ethernetnummer beträffande EtherType-värden. Ange exempelvis 809B för AppleTalk, 8191 för NetBEUI eller 8037 för IPX. Anslutningstyper Anger om en eller alla anslutningstyper kan tillämpas: • Trådbunden • Trådlös • Virtuell En virtuell anslutningstyp är en adapter som presenteras av ett program för VPN eller virtuell dator, exempelvis VMware, istället för en fysisk adapter. Ange nätverk Anger vilka nätverk som gäller för objektet. • Lägg till – Skapar och lägger till ett nätverk. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort nätverket från listan. Transport 152 McAfee Endpoint Security 10.5 Anger transportalternativ som gäller för objektet. Produkthandbok 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-4 Avsnitt Alternativ (fortsättning) Alternativ Definition Transportprotokoll Anger transportprotokollet som är associerat med objektet. Regel Grupp Välj protokollet och klicka sedan på Lägg till när du vill lägga till portar. • Alla protokoll – Tillåter IP- och icke-IP-protokoll, samt protokoll som inte stöds. • TCP och UDPVälj i listrutan: • Lokal port – anger lokal trafiktjänst eller port som objektet tillämpar. • Fjärrport – anger trafiktjänsten eller porten för en annan dator som objektet tillämpar. Lokal port och Fjärrport kan vara: • En enskild tjänst. Exempelvis 23. • Ett intervall. Exempel: 1–1024. • En kommaseparerad lista med enskilda portar och intervall. Exempel: 80, 8080, 1–10, 8443 (upp till fyra objekt). Som standard tillämpas regler på samtliga tjänster och portar. • ICMP – I listrutan för Meddelandetyp anger du en ICMP-meddelandetyp. Se ICMP. • ICMPv6 – I listrutan för Meddelandetyp anger du en ICMP-meddelandetyp. Se ICMPv6. • Annat – Väljer i en lista med mindre vanliga protokoll. Körbara filer Anger de körbara filer som tillämpar regeln. • Lägg till – Skapar och lägger till en körbar fil. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort en körbar fil från listan. Schema McAfee Endpoint Security 10.5 Specificerar schemainställningar för regeln eller gruppen. Produkthandbok 153 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Tabell 4-4 Avsnitt Alternativ (fortsättning) Alternativ Definition Regel Grupp Aktivera schema Aktiverar schemat för den tidsbegränsade regeln eller gruppen. När schemat är inaktiverat tillämpas inte regeln/ reglerna i gruppen. • Starttid – Specificerar starttiden för aktivering av schemat. • Sluttid – Specificerar den tid då schemat ska inaktiveras. • Veckodagar – Specificerar de dagar i veckan då schemat ska aktiveras. Ange start- och sluttider i 24-timmarsformat. Exempel: 13:00 = 1:00 PM. Du kan antingen schemalägga tidsbegränsade grupper i Brandvägg eller ge användaren tillåtelse att aktivera dem via systemfältsikonen i McAfee. Inaktivera schemat och aktivera gruppen via McAfees ikon i systemfältet Anger att användaren kan aktivera den tidsinställda gruppen för ett angivet antal minuter via McAfee-ikonen i systemfältet i stället för att använda schemat. Metodtips: Använd det här alternativet för att tillåta bred nätverksåtkomst, exempelvis på ett hotell, innan en VPN-anslutning kan upprättas. Det här alternativet ger fler menyalternativ under Snabbinställningar i McAfee-ikonen i systemfältet: • Aktivera tidsbegränsade brandväggsgrupper – Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. • Visa tidsbegränsade brandväggsgrupper – Visar namnen på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Antal minuter (1-60) för Specificerar antalet minuter (1–60) som den att aktivera gruppen tidsbegränsade gruppen är aktiverad efter val av Aktivera tidsbegränsade brandväggsgrupper via McAfee-ikonen i systemfältet. Se även Skapa och hantera Brandvägg-regler och -grupper på sidan 141 Skapa tidsbegränsade grupper på sidan 144 Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen på sidan 130 Lägg till nätverk eller Redigera nätverk på sidan 156 Lägg till körbar fil eller Redigera körbar fil på sidan 155 154 McAfee Endpoint Security 10.5 Produkthandbok 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Lägg till körbar fil eller Redigera körbar fil Lägger till eller redigerar en körbar fil som tillhör en regel eller grupp. Tabell 4-5 Alternativ Alternativ Definition Namn Anger namnet på den körbara filen. Det här fältet är obligatoriskt med minst ett ytterligare fält:Filnamn eller sökväg, Filbeskrivning, MD5-hash eller undertecknare. Filnamn eller sökväg Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Filsökvägen kan innehålla jokertecken. Filbeskrivning Visar filens beskrivning. MD5-hash Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Undertecknare Aktivera kontroll av digital signatur – Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: • Tillåt alla signaturer – Tillåter filer som är signerade av alla undertecknare. • Signerad av – Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee ePO. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = Kalifornien • C = USA Anteckningar McAfee Endpoint Security 10.5 Ger mer information om objektet. Produkthandbok 155 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens – Brandvägg Lägg till nätverk eller Redigera nätverk Lägger till eller redigerar ett nätverk associerat med en regel eller grupp. Tabell 4-6 Alternativ Alternativ Definition Namn Anger namn på nätverksadress (obligatoriskt). Typ Väljer antingen: Regel Grupp • Lokalt nätverk – skapar och lägger till ett lokalt nätverk. • Fjärrnätverk – Skapar och lägger till ett fjärrnätverk. Lägg till Lägger till en nätverkstyp i listan med nätverk. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Adresstyp Anger ursprung eller mål för trafik. Välj i listrutan Adresstyp. Adress Anger IP-adressen att lägga till nätverket. Jokertecken är giltiga. Se även Adresstyp på sidan 156 Adresstyp Specificera adresstypen för ett definierat nätverk. Tabell 4-7 Alternativ Alternativ Definition Enskild IP-adress Anger en specifik IP-adress. Exempel: • IPv4 – 123.123.123.123 • IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Delnät Anger delnätsadress för valfri adapter i ett nätverk. Exempel: • IPv4 – 123.123.123.0/24 • IPv6 – 2001:db8::0/32 Lokalt delnät Anger delnätsadressen för den lokala adaptern. Intervall Anger ett intervall med IP-adresser. Ange start- och slutpunkt för intervallet. Exempel: • IPv4 – 123.123.1.0 – 123.123.255.255 • IPv6 – 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff Fullständigt domännamn Specificerar FQDN. Till exempel www.example.com. 156 Alla lokala IP-adresser Anger alla lokala IP-adresser. Alla IPv4-adresser Anger alla IPv4-adresser. Alla IPv6-adresser Anger alla IPv6-adresser. McAfee Endpoint Security 10.5 Produkthandbok 5 Använda Webbkontroll Skyddsfunktioner i Webbkontroll visas i din webbläsare när du surfar och söker. Innehåll Om funktioner i Webbkontroll Få åtkomst till funktionerna i Webbkontroll Hantera Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll Om funktioner i Webbkontroll När Webbkontroll körs på alla hanterade system meddelas användare om hot när dessa söker på eller använder webbplatser. McAfee-teamet analyserar alla webbplatser och tilldelar dem en färgkodad säkerhetsklassificering baserat på testresultaten. Färgen visar webbplatsens säkerhetsnivå. Programvaran använder testresultaten för att meddela användare om de webbaserade hot som de kan träffa på. På sökresultatsidor – En ikon visas bredvid varje webbplats. Färgen på ikonen visar webbplatsens säkerhetsklassificering. Användarna kan få mer information via ikonerna. I webbläsarfönstret – En knapp visas i webbläsaren. Färgen på knappen visar webbplatsens säkerhetsklassificering. Användarna får mer information genom att klicka på den här knappen. Knappen kan även meddela användaren när kommunikationsproblem uppstår och ge snabb åtkomst till tester som hjälper till att identifiera vanliga problem. I säkerhetsrapporter – Visar information om hur olika typer av hot som hittats, testresultat och andra data har påverkat säkerhetsklassificeringen. I hanterade system skapar administratörer principer för att: • Aktivera och inaktivera Webbkontroll i systemet, samt förhindra eller tillåta inaktivering av webbläsarens plugin-program. • Kontrollera åtkomst till webbplatser, sidor och hämtningar utifrån deras säkerhetsklassificering eller typ av innehåll. Till exempel blockera röda webbplatser och varna användare som försöker få åtkomst till gula webbplatser. • Identifiera webbplatser som är blockerade eller tillåtna baserat på webbadresser och domäner. • Förhindra att användarna avinstallerar eller ändrar filer, registernycklar, registervärden, tjänster eller processer i Webbkontroll. McAfee Endpoint Security 10.5 Produkthandbok 157 5 Använda Webbkontroll Om funktioner i Webbkontroll • Anpassa aviseringen som visas när användare försöker komma åt en blockerad webbplats. • Övervaka och reglera webbläsaraktiviteter på nätverksdatorer, samt skapa detaljerade rapporter om webbplatser. För självhanterade system kan du konfigurera inställningarna för: • Aktivera och inaktivera Webbkontroll i ditt system. • Kontrollera åtkomst till webbplatser, sidor och hämtningar utifrån deras säkerhetsklassificering eller typ av innehåll. Till exempel blockera röda webbplatser och varna användare som försöker få åtkomst till gula webbplatser. Webbläsare som stöds och inte stöds Webbkontroll har stöd för följande webbläsare: • Microsoft Internet Explorer 11 • Google Chrome – aktuell version Chrome stöder inte alternativet Visa pratbubbla. • Mozilla Firefox – aktuell version • Mozilla Firefox ESR (Extended Support Release) – aktuell version och tidigare version Google och Mozilla lanserar ofta nya funktioner, vilket innebär att det inte är säkert att Webbkontroll fungerar med en ny uppdatering. En korrigering för Webbkontroll släpps så snart som möjligt för att ge stöd för ändringarna från Google eller Mozilla. Webbkontroll saknar stöd för Microsoft Edge. Senaste informationen om vilka webbläsare Webbkontroll har stöd för finns i KB82761. I självhanterade system är alla webbläsare (med eller utan stöd) som standard tillåtna. Se även Knappen Webbkontroll identifierar hot vid surfning på sidan 159 Säkerhetsikoner identifierar hot vid sökning på sidan 160 Webbplatsrapporter innehåller detaljer på sidan 160 Så här fastställs säkerhetsklassificeringar på sidan 161 158 McAfee Endpoint Security 10.5 Produkthandbok 5 Använda Webbkontroll Om funktioner i Webbkontroll Så här blockerar eller varnar Webbkontroll om webbplatser eller hämtningar När en användare besöker eller får åtkomst till en resurs från en plats som har blockerats eller som du har fått varningar om, visas ett beskrivande popup-fönster i Webbkontroll. Om klassificeringsåtgärderna för en webbplats är inställda på: • Varna – Webbkontroll visar en varning för att informera användarna om potentiella faror med webbplatsen. Avbryt återgår till den senast besökta webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet Avbryt inte tillgängligt. Fortsätt tar dig till webbplatsen. • Blockera – Webbkontroll visar ett meddelande om att webbplatsen har blockerats och förhindrar att användarna får åtkomst till webbplatsen. OK tar dig till den senast besökta webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet OK inte tillgängligt. Om klassificeringsåtgärderna för hämtningar från en webbplats är inställda på: • Varna – Webbkontroll visar en varning för att informera användarna om potentiella faror med den hämtade filen. Blockera förhindrar hämtningen och tar dig tillbaka till webbplatsen. Fortsätt fortsätter hämtningen. • Blockera – Webbkontroll visar ett meddelande om att webbplatsen har blockerats och förhindrar hämtningen. OK tar dig tillbaka till webbplatsen. Knappen Webbkontroll identifierar hot vid surfning När du surfar till en webbplats visas en färgkodad knapp knappen motsvarar webbplatsens säkerhetsklassificering. i webbläsaren. Färgen på Säkerhetsklassificeringen tillämpas endast för webbadresser med HTTP- och HTTPS-protokoll. Internet Explorer och Safari (Macintosh) Firefox och Chrome Beskrivning Den här webbplatsen testas dagligen och certifieras som säker av McAfee SECURE .(Enbart Windows) ™ Den här webbplatsen är säker. Den här webbplatsen kan ha vissa problem. Denna webbplats har allvarliga problem. Klassificering saknas för den här webbplatsen. Den här knappen visas för FIL (file://) i webbadresser för protokoll. McAfee Endpoint Security 10.5 Produkthandbok 159 5 Använda Webbkontroll Om funktioner i Webbkontroll Internet Explorer och Safari (Macintosh) Firefox och Chrome Beskrivning Ett kommunikationsfel har uppstått med McAfee GTI-servern som innehåller klassificeringsinformation. Webbkontroll frågade inte McAfee GTI om den här webbplatsen vilket antyder att den är intern eller finns i ett privat IP-adressintervall. Den här webbplatsen är en nätfiskewebbplats. Nätfiske är ett försök att inhämta känslig information som användarnamn, lösenord och kreditkortsuppgifter. Nätfiskewebbplatser låtsas vara tillförlitliga enheter i elektronisk kommunikation. Den här webbplatsen tillåts av en inställning. Webbkontroll inaktiverades av en inställning. Knappens placering varierar beroende på webbläsare: • Internet Explorer – Webbkontroll • Firefox – i det högra hörnet av Firefox-verktygsfältet • Chrome – Adressfältet Se även Visa information om en webbplast medan du surfar på sidan 163 Säkerhetsikoner identifierar hot vid sökning När /du anger sökord i en sökmotor som Google, Yahoo, MSN, Bing eller Ask visas säkerhetsikoner bredvid webbplatserna på sidan med sökresultat. Färgen på knappen motsvarar webbplatsens säkerhetsklassificering. Testerna avslöjade inga signifikanta problem. Vid tester upptäcktes några problem som du kan behöva känna till. Webbplatsen försökte exempelvis ändra testarnas standardwebbläsare, visade popup-fönster eller skickade en stor mängd e-post som inte var skräppost. Vid testerna upptäcktes några problem som du i hög grad bör ta hänsyn till innan webbplatsen besöks. Webbplatsen skickade exempelvis skräppost till testarna eller paketerade reklamprogram tillsammans med en hämtning. En inställning blockerade den här webbplatsen. Den här webbplatsen har inte klassificerats. Se även Visa webbplatsrapport under genomsökning på sidan 164 Webbplatsrapporter innehåller detaljer I webbplatsrapporterna kan du/ se vilka specifika hot som upptäckts. Webbplatsrapporter kommer från McAfee GTI klassificeringsserver och innehåller följande information. 160 McAfee Endpoint Security 10.5 Produkthandbok 5 Använda Webbkontroll Om funktioner i Webbkontroll Det här objektet ... Visar ... Översikt Den övergripande säkerhetsklassificeringen för webbplatsen som bestämts utifrån dessa tester: • Utvärdering av e-post- och hämtningspraxis för en webbplats med hjälp av en äganderättsskyddad datasamling och analystekniker. • Undersökning av själva webbplatsen för att se om den använder stötande praxis som t.ex. onödiga popup-fönster eller begäran om att ändra din startsida. • Analys av webbplatsens onlineanknytningar för att se om webbplatsen samverkar med andra misstänkta webbplatser. • Kombination av McAfee-granskning av misstänkta webbplatser med feedback från våra Threat Intelligence-tjänster. Onlineanknytningar Visar hur offensivt webbplatsen försöker få dig att gå till andra webbplatser som McAfee har gett röd klassificering. Misstänkta webbplatser som ofta kopplas till andra misstänkta webbplatser. Det primära syftet med matar -webbplatserna är att få dig att besöka den misstänkta webbplatsen. En webbplats kan få en röd klassificering om den exempelvis har för offensiva länkar till andra röda webbplatser. I det här fallet betraktar Webbkontroll webbplatsen som röd genom förbindelse. Tester för webbskräppost Övergripande klassificering av en webbplats e-postrutiner baserat på testresultaten. McAfee klassificerar webbplatser baserat både på hur mycket e-post vi får efter att vi angivit en adress på webbplatsen och på hur mycket e-posten vi får ser ut som skräppost. Om något av mättalen är högre än vad som anses vara acceptabelt ger McAfee webbplatsen en gul varning. Om båda mättalen är höga, eller om något av dem är extra hemskt, ger McAfee webbplatsen en röd varning. Hämtningstester Övergripande klassificering för den effekt en webbplats hämtningsbara programvara har på våra testdatorer, baserat på testresultaten. McAfee ger röda flaggor till webbplatser med virussmittade hämtningar eller som lägger till ej relaterad programvara, vilket av många anses vara reklameller spionprogram. Klassificeringen tar också hänsyn till de nätverksservrar som ett hämtat program kontaktar under användningen samt eventuella ändringar av webbläsarinställningarna eller datorns registerfiler. Se även Visa webbplatsrapport under genomsökning på sidan 164 Visa information om en webbplast medan du surfar på sidan 163 Så här fastställs säkerhetsklassificeringar Ett McAfee-team utvecklar säkerhetsklassificeringar genom att testa kriterier för varje webbplats och utvärdera resultaten för att identifiera vanliga hot. Med automatiska tester skapas säkerhetsklassificeringar för en webbplats genom att: • Hämta filer för att kontrollera om det ingår virus och eventuellt oönskade program tillsammans med de hämtade filerna. • Ange kontaktinformation i anmälningsformulär och söka efter resulterande skräppost eller större volymer av e-postmeddelanden som inte är skräppost och som skickats av webbplatsen eller underordnade webbplatser. • Söka efter onödiga popup-fönster. McAfee Endpoint Security 10.5 Produkthandbok 161 5 Använda Webbkontroll Få åtkomst till funktionerna i Webbkontroll • Kontrollera försök från webbplatsen att utnyttja sårbarheter i webbläsaren. • Kontrollera vilseledande eller bedräglig verksamhet från en webbplats. Testresultaten sammanställs i en säkerhetsrapport som även kan innehålla: • Feedback från webbplatsens ägare. Den kan innehålla beskrivningar av försiktighetsåtgärder som används av webbplatsen eller svar på feedback från användare om webbplatsen. • Feedback från användare av webbplatsen. Den kan innehålla rapporter om nätfiskebedrägerier eller dåliga erfarenheter vid inköp. • Ytterligare analys av McAfee-experter. McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter. Få åtkomst till funktionerna i Webbkontroll Få åtkomst till funktionerna i Webbkontroll via webbläsaren. Åtgärder • Aktivera plugin-programmet Webbkontroll i webbläsaren på sidan 162 Beroende på inställningarna kan du behöva aktivera plugin-programmet Webbkontroll manuellt för att få meddelanden om webbaserade hot när du bläddrar och söker. • Visa information om en webbplast medan du surfar på sidan 163 Använd knappen Webbkontroll i webbläsaren för att visa information om webbplatsen. Knappen fungerar lite olika beroende på vilken webbläsare du använder. • Visa webbplatsrapport under genomsökning på sidan 164 Använd säkerhetsikonen på en sökresultatsida för att visa mer information om webbplatsen. Aktivera plugin-programmet Webbkontroll i webbläsaren Beroende på inställningarna kan du behöva aktivera plugin-programmet Webbkontroll manuellt för att få meddelanden om webbaserade hot när du bläddrar och söker. Innan du börjar Modulen Webbkontroll måste vara aktiverad. Plugin-program kallas för tilläggsprogram i Internet Explorer och tillägg i Firefox och Chrome. Du kan uppmanas att aktivera plugin-programmen när du öppnar Internet Explorer eller Chrome första gången. Senaste informationen finns i KnowledgeBase-artikeln KB87568. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. • 162 Beroende på webbläsare aktiverar du plugin-programmet. McAfee Endpoint Security 10.5 Produkthandbok 5 Använda Webbkontroll Få åtkomst till funktionerna i Webbkontroll Internet Explorer Chrome • Klicka på Aktivera. • Om det finns flera tillgängliga plugin-program klickar du påVälj tillägg och klickar sedan på Aktivera i verktygsfältet för Webbkontroll. Klicka på Aktivera tillägg. Om du inte uppmanas att aktivera plugin-programmet Webbkontroll kan du aktivera det manuellt. 1 Klicka på Inställningar | Tillägg. 2 Klicka på Aktivera för att aktivera Endpoint Security-webbkontroll. 3 Starta om Firefox. Firefox 1 Från startsidan i Mozilla Firefox, Tilläggsprogram | Tillägg. 2 Välj Aktivera för att aktivera Endpoint Security-webbkontroll. Om du inaktiverar verktygsfältet Webbkontroll i Internet Explorer, uppmanas du även att inaktivera plugin-programmet Webbkontroll. Om principinställningarna i hanterade system förhindrar avinstallation eller inaktivering av plugin-program, är plugin-programmet Webbkontroll fortsatt aktivt även om verktygsfältet inte längre visas. Visa information om en webbplast medan du surfar Använd knappen Webbkontroll i webbläsaren för att visa information om webbplatsen. Knappen fungerar lite olika beroende på vilken webbläsare du använder. Innan du börjar • Modulen Webbkontroll måste vara aktiverad. • Plugin-programmet Webbkontroll måste vara aktiverat i webbläsaren. • Alternativet Dölj verktygsfältet i klientens webbläsare Alternativ-inställningarna måste inaktiveras. Om Internet Explorer är i helskärmsläge visas inte verktygsfältet Webbkontroll. Så här visar du menyn i Webbkontroll: Internet Explorer och Firefox Chrome Klicka på knappen Klicka på knappen i verktygsfältet. i adressfältet. Åtgärd 1 Visa en sammanfattning av säkerhetsklassificeringen för webbplatsen i en pratbubbla genom att placera pekaren över knappen i verktygsfältet för Webbkontroll. (endast för Internet Explorer och Firefox) 2 Visa en detaljerad webbplatsrapport med information om webbplatsens säkerhetsklassificering genom att: • Klicka på knappen Webbkontroll. • Välj Visa webbplatsrapport i menynWebbkontroll. • Klicka på länken Läs webbplatsrapport i en pratbubbla. (endast för Internet Explorer och Firefox) McAfee Endpoint Security 10.5 Produkthandbok 163 5 Använda Webbkontroll Hantera Webbkontroll Se även Knappen Webbkontroll identifierar hot vid surfning på sidan 159 Webbplatsrapporter innehåller detaljer på sidan 160 Visa webbplatsrapport under genomsökning Använd säkerhetsikonen på en sökresultatsida för att visa mer information om webbplatsen. Åtgärd 1 Placera markören över säkerhetsikonen. En pratbubbla visar en sammanfattning på hög nivå av säkerhetsrapporten för webbplatsen. 2 Klicka på Läs webbplatsrapport (i pratbubblan) för att öppna en mer detaljerad säkerhetsrapport för webbplatsen i ett nytt fönster. Se även Säkerhetsikoner identifierar hot vid sökning på sidan 160 Webbplatsrapporter innehåller detaljer på sidan 160 Hantera Webbkontroll Som administratör kan du ange inställningar för Webbkontroll för att aktivera och anpassa skyddet, blockering utifrån webbkategorier samt loggning. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. Konfigurera alternativ för Webbkontroll Du kan aktivera Webbkontroll och konfigurera alternativ via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Webbkontroll på huvudsidan för Status. Eller i menyn Åtgärd 164 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. McAfee Endpoint Security 10.5 väljer du Inställningar. Klicka sedan på Webbkontroll på sidan Inställningar. Produkthandbok 5 Använda Webbkontroll Hantera Webbkontroll 5 Välj Aktivera Webbkontroll för att aktivera Webbkontroll och ändra dess alternativ. För att... Gör så här... Anteckningar Dölj Webbkontroll-verktygsfältet på webbläsaren utan att inaktivera skyddet. Välj Dölj verktygsfältet i klientens webbläsare. Spåra webbläsarhändelser för användning i rapporter. Konfigurera inställningarna Konfigurera i avsnittet Händelselogg. Webbkontroll-händelser som skickats från klientsystem till hanteringsservern för användning i förfrågningar och rapporter. Blockera eller varna för okända URL:er. Från Tillämpning av åtgärd, välj åtgärden (Blockera, Tillåt eller Varna) för webbplatser som ännu inte är verifierade avMcAfee GTI. Genomsök filer före hämtning. I Åtgärdstillämpning väljer du Aktivera filgenomsökning för filhämtningar och välj sedan den McAfee GTI-risknivå som ska blockeras. Lägg till externa webbplatser till det lokala privata nätverket. I Åtgärdstillämpning under Ange ytterligare IP-adresser och intervall som ska tillåtas klickar du på Lägg till och anger sedan extern IP-adress eller externt intervall. Blockera olämpliga webbplatser från att visas i sökresultaten. Från Säker sökning, välj Aktivera Säker sökning, välj sökmotor och ange sedan om länkar till olämpliga webbplatser ska blockeras. Säker sökning filtrerar automatiskt bort skadliga webbplatser i sökresultaten utifrån deras säkerhetsklassificering. Webbkontroll använder Yahoo som standardsökmotor och stöder Säker sökning men endast i Internet Explorer. Om du ändrar standardsökmotor, starta om webbläsaren så att ändringarna börjar gälla. Nästa gång användaren öppnar Internet Explorer visas ett popup-fönster i Webbkontroll där användaren kan ändra till McAfees Säker sökning i den angivna sökmotorn. För Internet Explorer-versioner där sökmotorn är låst visas inget popup-fönster om Säker sökning. 6 Konfigurera andra alternativ efter behov. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur genomsökning utförs på filhämtningar på sidan 166 Logga in som administratör på sidan 26 McAfee Endpoint Security 10.5 Produkthandbok 165 5 Använda Webbkontroll Hantera Webbkontroll Hur genomsökning utförs på filhämtningar Webbkontroll skickar en begäran om filhämtning till Hotdetektering för genomsökning före hämtning. 166 McAfee Endpoint Security 10.5 Produkthandbok 5 Använda Webbkontroll Hantera Webbkontroll Så här fungerar McAfee GTI McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter för Webbkontroll. Om Webbkontroll konfigureras för genomsökning av hämtade filer, används filryktet som tillhandahålls av McAfee GTI till sökning efter misstänkta filer. Genomsökningen skickar fingeravtrycksprov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänningen bli tillgänglig snabbare, före nästa uppdatering av innehållsfiler när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Känslighetsnivån för McAfee GTI är inställd på Mycket hög som standard. Konfigurera känslighetsnivån för genomsökning av hämtade filer i principinställningarna för Webbkontroll Alternativ. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från McAfee GTI i inställningarna för Delade. Vanliga frågor och svar om McAfee GTI finns i KB53735. Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier Konfigurera inställningar för Innehållsåtgärder för att ange de åtgärder som ska tillämpas för webbplatser och filhämtningar utifrån säkerhetsklassificeringar. Alternativt går det att blockera eller tillåta webbplatser i varje webbplatskategori. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Webbkontroll på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar. Klicka sedan på Webbkontroll på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Innehållsåtgärder. 5 I Blockering av webbkategori för varje Webbkategori, aktiverar eller inaktiverar du alternativet Blockera. I Webbkontroll tillämpas även klassificeringsåtgärder för webbplatser i kategorier med upphävd blockering. 6 I avsnittet Klassificeringsåtgärder anger du vilka åtgärder som tillämpas på webbplatserna och filhämtningarna, utifrån de säkerhetsklassificeringar som definierats av McAfee. Dessa åtgärder gäller även webbplatser som inte blockeras av Blockering av webbkategori. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.5 Produkthandbok 167 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll Se även Använda webbplatskategorier för att kontrollera åtkomst på sidan 168 Använda säkerhetsklassificeringar för att kontrollera åtkomst på sidan 168 Logga in som administratör på sidan 26 Använda webbplatskategorier för att kontrollera åtkomst Med webbplatskategorier kan du kontrollera åtkomst till webbplatser utifrån kategorier som McAfee definierar. Du kan ange alternativ för att tillåta eller blockera åtkomst till webbplatser utifrån kategorin för det innehåll de har. När du aktiverar blockering av webbplatskategorier i innehållsåtgärder inställningar, blockerar eller tillåter programvaran webbplatskategorier. Dessa webbplatskategorier omfattar Spel med pengainsats, Spel och Snabbmeddelanden. McAfee definierar och upprätthåller listan över ca 105 webbplatskategorier. När en klientanvändare kommer åt en webbplats, kontrollerar programvaran webbplatskategorin för webbplatsen. Om webbplatsen tillhör en definierad kategori, blockeras eller tillåts åtkomst utifrån inställningarna i Innehållsåtgärder inställningar. För webbplatser och filhämtningar i kategorier med upphävd blockering tillämpar programvaran angivna klassificeringsåtgärder. Använda säkerhetsklassificeringar för att kontrollera åtkomst Konfigurera åtgärder baserat på säkerhetsklassificeringar för att fastställa om användarna kan få åtkomst till en webbplats, eller till resurser på en webbplats. I inställningarna för Innehållsåtgärder anger du om du vill tillåta, varna eller blockera webbplatser och filhämtningar, baserat på säkerhetsklassificeringen. Den här inställningen ger en högre precisionsnivå i skyddet för användare mot filer som kan innehålla ett hot på webbplatser med en övergripande grön klassificering. Endpoint Security-klient gränssnittsreferens – Webbkontroll Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Webbkontroll – Alternativ Sidan Webbkontroll – Innehållsåtgärder Webbkontroll – Alternativ Sidan Konfigurera alternativ för Webbkontroll, vilket innefattar åtgärdstillämpning, säker sökning och e-postkommentarer. Mer information om konfiguration av loggning hittar du i inställningarna i modulen Delade. Tabell 5-1 168 Alternativ Avsnitt Alternativ Definition ALTERNATIV Aktivera Webbkontroll Inaktiverar eller aktiverar Webbkontroll. (Aktiverad som standard) Dölj verktygsfältet i klientens webbläsare Döljer verktygsfältet Webbkontroll i webbläsaren utan att funktionen inaktiveras. (Inaktiverad som standard) McAfee Endpoint Security 10.5 Produkthandbok 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll Tabell 5-1 Alternativ (fortsättning) Avsnitt Alternativ Definition Händelseloggning Logga webbkategorier för webbplatser med grön klassificering Loggar innehållskategorier för alla webbplatser med grön klassificering. Logga iFrame-händelser i Webbkontroll Loggar när skadliga webbplatser (röda) och webbplatser med varningar (gula) som visas i en HTML iframe blockeras. Åtgärdstillämpning Tillämpa åtgärden på webbplatser som ännu inte har verifierats av McAfee GTI Aktivering av den här funktionen kan påverka serverprestandan hos McAfee ePO negativt. Anger standardåtgärden som tillämpas på webbplatser som McAfee GTI inte har klassificerat än. • Tillåt (standard) – Ger användarna åtkomst till webbplatsen. • Varna – Varnar användarna om potentiella faror med webbplatsen. Användarna måste stänga varningen innan de fortsätter. • Blockera – Förhindrar att användarna får åtkomst till webbplatsen och visar ett meddelande om att hämtning från webbplatsen är blockerad. Aktivera IFrames-stöd för HTML Blockerar åtkomst till skadliga webbplatser (röda) och webbplatser med varningar (gula) som visas i en HTML-IFrame. (Aktiverad som standard) Blockera webbplatser som standard om det inte går att nå servern för McAfee GTI-klassificeringar Blockerar åtkomst till webbplatser som standard om Webbkontroll inte kan nå McAfee GTI-servern. Blockera nätfiskesidor för alla webbplatser Blockerar alla nätfiskesidor och kringgår klassificeringsåtgärder för innehåll. (Aktiverad som standard) Aktivera filgenomsökning för filhämtningar Genomsöker alla filer (.zip, .exe, .ecx, .cab, .msi, .rar, .scr och .com) före hämtning. (Aktiverad som standard) Det här alternativet förhindrar att användarna får åtkomst till en hämtad fil innan Webbkontroll och Hotdetektering har markerat filen som ren. Webbkontroll utför en McAfee GTI-sökning i filen. Om filen godkänns av McAfee GTI, skickar Webbkontroll den till Hotdetektering för att genomsökas. Om en hämtad fil identifieras som ett hot vidtar Endpoint Security åtgärder på filen och varnar användaren. Undantag Känslighetsnivå för McAfee GTI Anger vilken känslighetsnivå som ska användas i McAfee GTI när Webbkontroll genomsöker hämtade filer. Ange IP-adresser eller intervall som ska undantas från klassificering i Webbkontroll eller blockering Lägger till angivna IP-adresser och intervall i det lokala privata nätverket och undantar dem från klassificering eller blockering. Privata IP-adresser undantas som standard. Metodtips: Använd det här alternativet för att behandla externa webbplatser som om de ingår i det lokala nätverket. • Lägg till – Lägger till en IP-adress i listan med privata adresser i det lokala nätverket. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort en IP-adress från listan med privata adresser i det lokala nätverket. McAfee Endpoint Security 10.5 Produkthandbok 169 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll Tabell 5-1 Alternativ (fortsättning) Avsnitt Alternativ Definition Säker sökning Aktivera Säker sökning Aktiverar Säker sökning som automatiskt blockerar skadliga webbplatser i sökresultaten utifrån deras säkerhetsklassificering. Ange standardsökmotorn i webbläsare som stöds Anger vilken standardsökmotor som ska användas för webbläsare som stöds: • Yahoo • Google • Bing • Ask Blockera länkar till riskabla webbplatser i sökresultaten Förhindrar att användarna klickar på länkar till riskabla webbplatser i sökresultaten. Tabell 5-2 Avancerade alternativ Avsnitt Alternativ E-postkommentarer Aktivera anteckningar i webbläsarbaserad e-post Definition Noterar URL:er i webbläsarbaserade e-postklienter som Yahoo Mail och Gmail. Aktivera anteckningar i icke-webbläsarbaserad e-post Noterar URL:er i 32-bitarsverktyg för e-posthantering, till exempel Microsoft Outlook eller Outlook Express. Se även Konfigurera alternativ för Webbkontroll på sidan 164 Hur genomsökning utförs på filhämtningar på sidan 166 McAfee GTI på sidan 170 McAfee GTI Aktivera och konfigurera inställningar för McAfee GTI (Global Threat Intelligence). Tabell 5-4 Avsnitt Alternativ Alternativ Definition Konfigurerar känslighetsnivån som används för att fastställa om ett identifierat prov innehåller skadlig programvara. Känslighetsnivå Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Mycket låg Avkänningar och risken för falska positiva resultat är desamma som för vanliga AMCore-innehållsfiler. En avkänning blir tillgänglig för Hotdetektering när McAfee Labs publicerar den, i stället för i nästa uppdatering av AMCore-innehållsfilen. Använd den här inställningen för stationära datorer samt servrar med begränsade användarrättigheter och starka säkerhetskonfigurationer. Låg 170 McAfee Endpoint Security 10.5 Den här inställningen är den lägsta rekommenderade inställningen för bärbara eller stationära datorer, samt servrar med starka säkerhetskonfigurationer. Produkthandbok Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll Tabell 5-4 Avsnitt 5 Alternativ (fortsättning) Alternativ Definition Medel Använd den här inställningen när den allmänna risken för exponering av skadlig programvara är större än risken för falska positiva resultat. McAfee Labs egna heuristiska kontroller resulterar i avkänningar som med stor sannolikhet är skadlig programvara. Vissa avkänningar kan dock ge falska positiva resultat. Med den här inställningen kontrollerar McAfee Labs att populära program och systemfiler för operativsystem inte orsakar ett falskt positivt resultat. Den här inställningen är den lägsta rekommenderade inställningen för bärbara datorer, stationära datorer och servrar. Hög Använd den här inställningen för system eller områden som infekteras regelbundet. Mycket hög Använd den här inställningen på volymer för icke-operativsystem. Avkänningar som hittas på den här nivån antas vara skadliga, men har inte testats fullt ut för att se om de är falska positiva resultat. Använd endast den här inställningen vid genomsökning av volymer och kataloger som saknar stöd för körning av program eller operativsystem. Se även Webbkontroll – Alternativ Sidan på sidan 168 Webbkontroll – Innehållsåtgärder Definiera åtgärder som Webbkontroll ska vidta för klassificerade webbplatser, webbinnehållskategorier. Webbkontroll tillämpar klassificeringsåtgärder för webbplatser och filhämtningar. McAfee Endpoint Security 10.5 Produkthandbok 171 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll Tabell 5-5 Avsnitt Alternativ Alternativ Klassificeringsåtgärder Klassificeringsåtgärder för webbplatser Definition Anger åtgärder för webbplatser som är klassificerade som röda, gula eller som är oklassificerade. Webbplatser med grön klassificering och hämtningar tillåts automatiskt. • Tillåt – Ger användarna åtkomst till webbplatsen. (Standard för oklassificerade webbplatser) • Varna – Varnar användarna om potentiella faror med webbplatsen. Användarna måste klicka på Avbryt för att återgå till föregående webbsida, eller Fortsätt för att fortsätta till webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken, är alternativet Avbryt inte tillgängligt. (Standard för gula webbplatser) • Blockera – Förhindrar att användarna får åtkomst till webbplatsen och visar ett meddelande om att webbplatsen är blockerad. Användarna måste klicka på OK för att gå tillbaka till föregående webbplats. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet OK inte tillgängligt. (Standard för röda webbplatser) Klassificeringsåtgärder för filhämtningar Anger åtgärder för filhämtningar som är klassificerade som röda, gula eller som är oklassificerade. Dessa klassificeringsåtgärder kan endast tillämpas när Aktivera filgenomsökning för filhämtningar har aktiverats i inställningarna i Alternativ. • Tillåt – Tillåter användarna att fortsätta med hämtningen. (Standard för oklassificerade webbplatser) • Varna – Visar en varning för att meddela användarna om potentiella risker i samband med filhämtningen. Användarna måste stänga varningen innan hämtningen avslutas eller fortsätts. (Standard för gula webbplatser) • Blockera – Förhindrar att filen hämtas. Ett meddelande visar att hämtningen är blockerad. (Standard för röda webbplatser) Tabell 5-6 Avancerade alternativ Avsnitt Alternativ Blockering av webbkategori Aktivera blockering av webbkategori 172 Definition Aktiverar blockering av webbplatser baserat på innehållskategori. Blockera Förhindrar att användarna får åtkomst till webbplatser i den här kategorin och visar ett meddelande om att webbplatsen är blockerad. Webbkategori Visar webbkategorierna i en lista. McAfee Endpoint Security 10.5 Produkthandbok Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll 5 Se även Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier på sidan 167 Använda säkerhetsklassificeringar för att kontrollera åtkomst på sidan 168 Använda webbplatskategorier för att kontrollera åtkomst på sidan 168 McAfee Endpoint Security 10.5 Produkthandbok 173 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens – Webbkontroll 174 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security som analyserar innehåll från ditt företag och beslutar vad som ska göras baserat på filrykte, regler och rykteströsklar. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee ePO Cloud. Innehåll Om Adaptivt skydd mot hot Svara på en filryktesbegäran Hantera Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Om Adaptivt skydd mot hot Adaptivt skydd mot hot analyserar innehåll från ditt företag och beslutar vad som ska göras baserat på filrykte, regler och rykteströsklar. Adaptivt skydd mot hot innehåller möjligheten att innesluta, blockera eller rensa filer, baserat på rykte. Adaptivt skydd mot hot integreras med Real Protect-genomsökning för att utföra automatiserade ryktesanalyser i molnet och på klientsystem. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee ePO Cloud. Fördelar med Adaptivt skydd mot hot Adaptivt skydd mot hot kan du fastställa vad som händer när en fil med ett skadligt eller okänt rykte hittas i din miljö. Du kan även se information om hothistorik och vilka åtgärder som har vidtagits. Adaptivt skydd mot hot har följande fördelar: • Snabb avkänning av och skydd mot säkerhetshot och skadlig programvara. • Möjlighet att känna till vilka system eller enheter som är skadade, samt hur hotet sprider sig i din miljö. • Möjligheten att omedelbart innesluta, blockera eller rensa specifika filer och certifikat, baserat på deras hotrykten och dina riskkriterier. McAfee Endpoint Security 10.5 Produkthandbok 175 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot • Integrering med Real Protect-genomsökning för att utföra automatiserade ryktesanalyser i molnet och på klientsystem. • Realtidsintegration med McAfee Advanced Threat Defense och McAfee GTI för att ge detaljerad bedömning och information om klassificering av skadlig programvara. Med denna integration kan du svara på hot och dela information i hela din miljö. ® Adaptivt skydd mot hot komponenter Adaptivt skydd mot hot kan innehålla tillvalskomponenterna: TIE-server och Data Exchange Layer. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security där du kan skapa principer för att innesluta, blockera eller rensa filer och certifikat baserat på rykte. Dessutom kan Adaptivt skydd mot hot integreras med Real Protect-genomsökning för att utföra automatiserade ryktesanalyser i molnet och på klientsystem. Adaptivt skydd mot hot också integreras med: • TIE-server – En server som lagrar information om fil- och certifikatrykten och sedan överför informationen till andra system. TIE-servern är tillval. Mer information om servern finns i Threat Intelligence Exchange Produkthandbok. • Data Exchange Layer – Klienter och koordinatörer som aktiverar tvåvägskommunikation mellan modulen Adaptivt skydd mot hot på det hanterade systemet och TIE-servern. Data Exchange Layer är ett tillval, men krävs vid kommunikation med TIE-servern. Se McAfee Data Exchange Layer Produkthandbok för mer information. Dessa komponenter innehåller McAfee ePO-tillägg som tillför flera nya funktioner och rapporter. 176 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot Om TIE och Data Exchange Layer finns, kommunicerar Adaptivt skydd mot hot och servern filryktesinformation. Data Exchange Layer-ramverket skickar omedelbart denna information till hanterade slutpunkter. Det delar även information med andra McAfee-produkter som har åtkomst till Data Exchange Layer, t.ex. McAfee Enterprise Security Manager (McAfee ESM) och McAfee Network Security Platform. ® ® Figur 6-1 Adaptivt skydd mot hot med TIE-server och Data Exchange Layer McAfee Endpoint Security 10.5 Produkthandbok 177 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot Om TIE-servern och Data Exchange Layer inte finns, kommunicerar Adaptivt skydd mot hot med McAfee GTI för filryktesinformation. Figur 6-2 Adaptivt skydd mot hot med McAfee GTI Så här fungerar Adaptivt skydd mot hot Adaptivt skydd mot hot använder regler för att fastställa åtgärder som ska vidtas baserat på flera datapunkter, som t.ex. rykte, lokal intelligens och sammanhangsbaserad information. Du kan hantera reglerna var för sig. Adaptivt skydd mot hot fungerar olika, beroende på om det kommunicerar med TIE eller ej: • Om TIE-servern är tillgänglig använder Adaptivt skydd mot hot ramverket Data Exchange Layer för att dela fil- och hotinformation direkt i hela företaget. Du kan se det specifika system där hotet först upptäcktes, vart det tog vägen sedan, samt stoppa det omedelbart. Med Adaptivt skydd mot hot med TIE-servern kan du kontrollera filryktet på lokal nivå i din miljö. Du väljer vilka filer som får köras och vilka som ska blockeras, och Data Exchange Layer delar den informationen direkt i hela din miljö. 178 • Om TIE-servern inte är tillgänglig och systemet är anslutet till Internet, använder Adaptivt skydd mot hot McAfee GTI för ryktesbeslut. • Om Om TIE-servern inte är tillgänglig och systemet inte är anslutet till Internet, fastställer Adaptivt skydd mot hot filryktet med hjälp av information om det lokala systemet. McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot Scenarier för att använda Adaptivt skydd mot hot • Blockera en fil omedelbart – Adaptivt skydd mot hot varnar nätverksadministratören om en okänd fil i miljön. I stället för att skicka filinformationen till McAfee för analys, blockerar administratören filen omedelbart. Administratören kan sedan använda TIE-servern om den är tillgänglig för att se hur många system som har kört filen och Advanced Threat Defense kan fastställa om filen är ett hot. • Tillåt att en anpassad fil körs – Ett företag använder rutinmässigt en fil vars standardrykte är misstänkt eller skadligt, exempelvis en anpassad fil som skapats för företaget. Eftersom denna fil är tillåten kan administratören ändra filens rykte till betrodd och tillåta att den körs utan varningar eller uppmaningar om åtgärd, i stället för att skicka filinformationen till McAfee och få en uppdaterad DAT-fil. • Tillåt att en fil körs i en behållare – När ett företag använder en fil för första gången vars rykte inte är känt, kan administratören ange att den ska köras i en behållare. I det här fallet konfigurerar administratören inneslutningsreglerna i inställningarna för Dynamisk programinneslutning. Inneslutningsreglerna definierar vilka åtgärder det inneslutna programmet förhindras att utföra. Kontrollera anslutningsstatus Om du vill fastställa om Adaptivt skydd mot hot på klientsystemet ska få filrykten från TIE-servern eller McAfee GTI, kontrollerar du sidan Endpoint Security-klient Om. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd 3 Klicka på Adaptivt skydd mot hot till vänster. väljer du Om. Fältet Anslutningsstatus visar något av följande för Adaptivt skydd mot hot: • Anslutning för Hotinformation – Ansluten till TIE-servern för ryktesinformation på företagsnivå. • Endast McAfee GTI-anslutning – Ansluten till McAfee GTI för ryktesinformation på global nivå. • Ej ansluten – Inte ansluten till TIE-servern eller McAfee GTI. Adaptivt skydd mot hot fastställer filryktet med hjälp av information i det lokala systemet. Så här fastställs ett rykte Fil- och certifikatrykten fastställs när en fil försöker köras i ett hanterat system. Följande steg vidtas när ett fil- eller certifikatrykte fastställs. 1 En användare eller ett system försöker köra en fil. 2 Endpoint Security kontrollerar undantagen för att fastställa om filen ska inspekteras. 3 Endpoint Security kontrollerar filen och kan inte fastställa validiteten eller ryktet. 4 Modulen Adaptivt skydd mot hot kontrollerar filen och samlar in egenskaper av intresse om filen och det lokala systemet. McAfee Endpoint Security 10.5 Produkthandbok 179 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot 5 Modulen söker efter filhashen i det lokala cacheminnet för rykten. Om filhashen hittas får modulen företagsförekomsten och ryktesdatan för filen från cacheminnet. • Om filhashen inte hittas i det lokala cacheminnet för rykten frågar modulen TIE Server. Om hashen hittas får modulen företagsförekomst (och alla tillgängliga rykten) för den filhashen. • Om filhashen inte hittas i TIE-servern eller i databasen, begär servern filhashens rykte från McAfee GTI. McAfee GTI skickar den information som finns, exempelvis ”okänt” eller ”skadligt”, och servern lagrar informationen. Servern skickar filen för genomsökning om båda följande är sant: • Advanced Threat Defense är tillgängligt eller aktiveras som ryktesprovider, servern söker lokalt om det finns ett Advanced Threat Defense-rykte. Om inte markeras filen som kandidat för att skickas. • Principen för slutpunkten är konfigurerad att skicka filen till Advanced Threat Defense. Ytterligare steg beskrivs i Om Advanced Threat Defense finns. 6 Servern returnerar filhashens företagsålder, förekomstdata och rykte till modulen utifrån de data som hittades. Om filen är ny i miljön skickar servern även en första instansflagga till modulen Adaptivt skydd mot hot. Om McAfee Web Gateway finns och skickar ryktespoäng, returneras filens rykte av TIE-servern. 7 Modulen utvärderar dessa metadata för att fastställa filens rykte: • Fil- och systemegenskaper • Företagsålder och förekomstdata • Rykte 8 Modulen agerar utifrån den princip som är tilldelad till systemet som kör filen. 9 Modulen uppdaterar servern med ryktesinformation och huruvida filen är blockerad, tillåten eller innesluten. Den skickar även hothändelser till McAfee ePO genom McAfee Agent. 10 Servern publicerar ryktesändringshändelsen för filhashen. Om Advanced Threat Defense finns Om Advanced Threat Defense finns inträffar följande process. 1 Om systemet är konfigurerat för att skicka filer till Advanced Threat Defense och filen är ny i miljön, skickar systemet filen till TIE-servern. TIE-servern skickar den sedan till Advanced Threat Defense för genomsökning. 2 Advanced Threat Defense genomsöker filen och skickar dess ryktesresultat till TIE-servern via Data Exchange Layer. Servern uppdaterar även databasen och skickar information om det uppdaterade ryktet till alla system som aktiverats med Adaptivt skydd mot hot, så att din miljö skyddas omedelbart. Adaptivt skydd mot hot eller någon annan McAfee-produkt kan initiera denna process. I båda fallen bearbetar Adaptivt skydd mot hot ryktet och sparar det i databasen. Information om hur Advanced Threat Defense är integrerat med Adaptivt skydd mot hot finns i McAfee Advanced Threat Defense Produkthandbok. Om McAfee Web Gateway finns Om McAfee Web Gateway finns händer följande. 180 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Svara på en filryktesbegäran • När du hämtar filer skickar McAfee Web Gateway en rapport till TIE-servern som sparar ryktespoängen i databasen. När servern får en begäran om filrykte från modulen, returneras det rykte som togs emot från McAfee Web Gateway och andra ryktesleverantörer. Mer information om hur McAfee Web Gateway utbyter information via en TIE-server finns i kapitlet om proxyservrar i McAfee Web Gateway Produkthandbok. När töms cacheminnet? • • Hela cacheminnet för Adaptivt skydd mot hot töms när regelkonfigurationen ändras: • Status för en eller flera regler har ändrats, till exempel från aktiverad till inaktiverad. • Tilldelningen av regler har ändrats, till exempel från Balanserad till Säkerhet. En enskild fil eller ett certifikatcache töms när: • Cacheminnet är över 30 dagar gammalt. • Filen har ändrats på hårddisken. • TIE-servern publicerar en ryktesändringshändelse. Nästa gång Adaptivt skydd mot hot får meddelande om filen räknas ryktet om. Svara på en filryktesbegäran Om en fil med ett specifikt rykte försöker köras i ditt system kan Adaptivt skydd mot hot begära en åtgärd från dig för att fortsätta. Den här uppmaningen visas bara om Adaptivt skydd mot hot är installerat och konfigurerat för uppmaningar. Administratören konfigurerar rykteströskeln och begäran visas. Om rykteströskeln till exempel visas som Okänd så frågar Endpoint Security om alla filer med ett okänt rykte eller lägre. Om inget alternativ markeras vidtar Adaptivt skydd mot hot den standardåtgärd som har konfigurerats av administratören. Vilken uppmaning som visas, timeout och vilken åtgärd som vidtas varierar beroende på hur Adaptivt skydd mot hot är konfigurerat. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 I samband med detta kan du skriva ett meddelande som skickas till administratören (valfritt). Du kan till exempel ge en beskrivning av filen eller en förklaring till varför du tillåtit eller blockerat filen i systemet. 2 Klicka på Tillåt eller Blockera. Tillåt Tillåter filen. Blockera Blockerar filen i systemet. Om du inte vill att Adaptivt skydd mot hot ska fråga efter den här filen igen, väljer du Kom ihåg detta beslut. McAfee Endpoint Security 10.5 Produkthandbok 181 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Adaptivt skydd mot hot agerar utifrån ditt beslut eller standardåtgärd och stänger sedan fönstret. Hantera Adaptivt skydd mot hot Som administratör kan du ange inställningar för Adaptivt skydd mot hot, t.ex. välja regelgrupper, ange rykteströsklar, aktivera Real Protect och konfigurera Dynamisk programinneslutning. Ändringar av principer i McAfee ePO kan skriva över ändringarna på sidan Inställningar i hanterade system. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee ePO Cloud. Komma igång Vad vill du göra efter att du har installerat Adaptivt skydd mot hot? Kom igång med Adaptivt skydd mot hot genom att göra följande: 1 Skapa principer i Adaptivt skydd mot hot för att avgöra vad som ska blockeras, tillåtas och inneslutas. 2 Kör sedan Adaptivt skydd mot hot i observationsläge för att skapa filförekomst och se vad Adaptivt skydd mot hot hittar i din miljö. Adaptivt skydd mot hot genererar Skulle blockera-, Skulle rensa- och Innesluts eventuellt-händelser för att visa vilka åtgärder det skulle vidta. Filförekomsten visar hur ofta en fil hittas i din miljö. 3 Övervaka och justera principerna, eller enskilda fil- eller certifikatrykten, för att styra vad som är tillåtet i din miljö. Skapa filförekomst och observera Efter installationen och distributionen börjar du skapa filförekomst och aktuell hotinformation. Du kan se vad som körs i din miljö, samt lägga till information om fil- och certifikatrykten i TIE-serverdatabasen. Denna information fyller även i de diagram och instrumentpaneler som är tillgängliga i modulen där du ser detaljerad ryktesinformation om filer och certifikat. Skapa en eller flera Adaptivt skydd mot hot-principer som du kör på ett par datorer i din miljö för att komma igång. Principerna fastställer: • När en fil eller ett certifikat med ett visst rykte tillåts att köras i ett system • När en fil eller ett certifikat blockeras • När ett program innesluts • När användaren uppmanas att vidta åtgärd • När en fil har skickats till Advanced Threat Defense för ytterligare analys När filförekomst skapas kan du köra principerna i observationsläge. Fil- och certifikatrykten läggs till i databasen, händelserna Skulle blockera, Skulle rensa och Innesluts eventuellt genereras, men ingen åtgärd vidtas. Du kan se vad Adaptivt skydd mot hot blockerar, tillåter eller innesluter om principen tillämpas. 182 McAfee Endpoint Security 10.5 Produkthandbok Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot 6 Övervakning och ändringar Allteftersom principer körs i din miljö, läggs ryktesdata till i databasen. Med instrumentpanelerna och händelsevyerna som finns i McAfee ePO kan du se filer och certifikat som är blockerade, tillåtna eller inneslutna utifrån principerna. Du kan se detaljerad information per slutpunkt, fil, regel eller certifikat, samt snabbt se antalet objekt som har identifierats och vilka åtgärder som har vidtagits. Du kan djupanalysera genom att klicka på ett objekt och ändra ryktesinställningarna för specifika filer eller certifikat, så att lämplig åtgärd kan vidtas. Om filens standardrykte till exempel är misstänkt eller okänt men du vet att det är en betrodd fil, kan du ändra filens rykte till betrodd. Programmet tillåts sedan att köras i din miljö utan att blockeras eller att användaren uppmanas att vidta någon åtgärd. Du kan ändra ryktet för interna eller egna filer som används i din miljö. • Använd funktionen TIE-rykten för att söka efter ett specifikt fil- eller certifikatnamn. Du kan visa information om filen eller certifikatet, samt företagsnamn, SHA-1- och SHA-256-hashvärden, MD5, beskrivning och McAfee GTI-information. Avseende filer kan du även få direktåtkomst till VirusTotal-data från informationssidan för TIE-rykten och se ytterligare information. • På sidan Instrumentpanel för rapportering visas olika typer av ryktesinformation samtidigt. Du kan visa antalet nya filer som har påträffats i din miljö den senaste veckan, filer efter rykte, filer vars rykte nyligen har ändrats, system som nyligen har kört nya filer och mycket mer. Du kan visa detaljerad information om ett objekt på instrumentpanelen genom att klicka på det. • Om du har identifierat en skadlig eller misstänkt fil kan du snabbt se var den kördes och vilket system som kan vara skadat. • Ändra ryktet för en fil eller ett certifikat i din miljö efter behov. Informationen uppdateras omedelbart i databasen och skickas till alla enheter som hanteras av McAfee ePO. Filer och certifikat blockeras, tillåts eller innesluts utifrån sitt rykte. Om du inte är säker på vad du ska göra med en viss fil eller ett visst certifikat, kan du: • Blockera den från att köras tills du har fått mer information. Till skillnad från en rensningsåtgärd i Hotdetektering som kan ta bort en fil, ligger en blockerad fil kvar på samma plats men får inte köras. Filen är intakt medan du undersöker den och beslutar vad som ska göras. • Tillåt den att köras innesluten. Dynamisk programinneslutning kör program med ett specifikt rykte i en behållare och blockerar åtgärder baserat på innehållsreglerna. Programmet får köras men vissa åtgärder kan misslyckas beroende på innehållsreglerna. • Importera fil- eller certifikatrykten till databasen för att tillåta eller blockera specifika filer eller certifikat utifrån andra rykteskällor. På det här sättet kan du använda de importerade inställningarna för specifika filer och certifikat utan att behöva ange dem enskilt på servern. • I kolumnen Kompositrykte på sidan TIE-rykten visas det mest förekommande ryktet och dess provider. (TIE-server 2.0 och senare) • I kolumnen Senast tillämpade regel på sidan TIE-rykten visas och spåras ryktesinformation, baserat på den senaste avkänningsregel som tillämpades för varje fil i slutpunkten. Du kan anpassa denna sida genom att välja Åtgärder | Välj kolumner. Skicka filer för vidare analys Om filens rykte är okänt kan du skicka den till Advanced Threat Defense för ytterligare analys. Ange i TIE-serverprincipen vilka filer du skickar. McAfee Endpoint Security 10.5 Produkthandbok 183 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Advanced Threat Defense avkänner skadlig programvara från dag noll samt kombinerar antivirussignaturer, rykte och emuleringsförsvar i realtid.Du kan skicka filer automatiskt från Adaptivt skydd mot hot till Advanced Threat Defense, baserat på deras ryktesnivå och filstorlek. Filryktesinformation som skickas från Advanced Threat Defense läggs till i TIE-serverdatabasen. McAfee GTI, telemetriinformation Fil- och certifikatinformation skickas till McAfee GTI används för att förstå och förbättra ryktesinformationen. Se tabellen för detaljer om den information som tillhandahålls av McAfee GTI för filer och certifikat, endast filer eller endast certifikat. Kategori Beskrivning Fil- och certifikatinformation • TIE-serverversioner och modulversioner • Inställningar för åsidosättning av rykten gjorda i TIE-servern • Extern ryktesinformation, exempelvis från Advanced Threat Defense Endast filer • Filnamn, typ, sökväg, storlek, produkt, utgivare och förekomst • SHA-1-, SHA-256- och MD5-information • Version av operativsystem för rapporterande dator • Maximalt, minimalt och genomsnittligt rykte fastställt för filen • Om rapporteringsmodulen är i observationsläge • Om filen har tillåtits att köras, har blockerats, inneslutits eller rensats • Produkten som kände av filen, exempelvis Advanced Threat Defense eller Hotdetektering Endast certifikat • SHA-1-information • Namnet på certifikatets utfärdare och dess ämne • Datumet när certifikatet trädde i kraft och dess utgångsdatum McAfee samlar inte in personligt identifierbar information, och sprider inte informationen utanför McAfee. Innesluta program dynamiskt Med dynamisk programinneslutning kan du ange att program med ett specifikt rykte ska köras i en behållare. Baserat på rykteströskeln begär Adaptivt skydd mot hot att Dynamisk programinneslutning ska köra programmet i en behållare. Inneslutna program får inte utföra vissa åtgärder, vilket anges i inneslutningsreglerna. Med denna teknik kan du utvärdera okända och potentiellt osäkra program genom att tillåta dem att köras i din miljö, samtidigt som de åtgärder de kan utföra begränsas. Användarna kan använda programmen, men de kanske inte fungerar som förväntat om Dynamisk programinneslutning blockerar vissa åtgärder. När du har fastställt att ett program är säkert, kan du konfigurera Endpoint Securitys adaptiva skydd mot hot eller TIE-servern för att tillåta den att köras normalt. Använda Dynamisk programinneslutning: 184 1 Aktivera Adaptivt skydd mot hot och ange en rykteströskel för när Dynamisk programinneslutning ska aktiveras i inställningarna för Alternativ. 2 Konfigurera McAfee-definierade inneslutningsregler och undantag i inställningarna för Dynamisk programinneslutning. McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Se även Tillåt att inneslutna program körs normalt på sidan 187 Konfigurera McAfee-definierade inneslutningsregler på sidan 188 Aktivera tröskeln för dynamisk programinneslutning på sidan 187 Så här fungerar Dynamisk programinneslutning Adaptivt skydd mot hot använder ett programs rykte för att fastställa om Dynamisk programinneslutning ska köra programmet med begränsningar. När en fil med det angivna ryktet körs i din miljö, kommer Dynamisk programinneslutning att blockera eller logga osäkra åtgärder baserat på inneslutningsreglerna. När program utlöser blockeringsregler för inneslutning, använder Dynamisk programinneslutning denna information till det övergripande ryktet för inneslutna program. Andra tekniker, exempelvis McAfee Active Response, kan begära inneslutning. Om flera tekniker som registrerats med Dynamisk programinneslutning begär inneslutning av ett program, är varje begäran kumulativ. Programmet förblir inneslutet tills dess att alla tekniker släpper programmet. Om en teknik som har begärt inneslutning inaktiveras eller tas bort, frisläpper Dynamisk programinneslutning dessa program. Arbetsflöde för dynamisk programinneslutning 1 Processen börjar köras. 2 Adaptivt skydd mot hot kontrollerar filryktet. Adaptivt skydd mot hot använder TIE-servern, om den är tillgänglig, för programmets rykte. Om TIE-servern inte är tillgänglig, använder Adaptivt skydd mot hot McAfee GTI för ryktesinformationen. Om ryktet inte är känt och Real Protects molnbaserade och klientbaserade genomsökningar är aktiverade, frågar Adaptivt skydd mot hot Real Protect om ryktet. 3 Om programmets rykte är detsamma som eller lägre än inneslutningens rykteströskel, meddelar Adaptivt skydd mot hot Dynamisk programinneslutning om att processen har startat och begär inneslutning. 4 Dynamisk programinneslutning innesluter processen. Du kan visa händelserna för dynamisk programinneslutning i Hothändelseloggen i McAfee ePO. 5 Om det inneslutna programmet betraktas som säkert, kan du tillåta att det körs normalt (ej inneslutet). McAfee Endpoint Security 10.5 Produkthandbok 185 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Se även Tillåt att inneslutna program körs normalt på sidan 187 186 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Tillåt att inneslutna program körs normalt När du väl fastställer att ett inneslutet program är säkert så kan du tillåta att det körs normalt i din miljö. • Lägg till programmet till den globala listan Undantag i inställningarna för Dynamisk programinneslutning. I det här fallet frigörs programmet från inneslutningen och körs normalt, oavsett hur många tekniker som har begärt inneslutning. • Konfigurera Adaptivt skydd mot hot för att höja rykteströskeln och frisläppa det från inneslutning. I det här fallet frigörs programmet från inneslutningen och körs normalt, om inte någon annan teknik har begärt att programmet ska inneslutas. • Om TIE-servern är tillgänglig ändrar du filens rykte till en nivå som tillåter att den körs, till exempel Känt att vara tillförlitligt. I det här fallet frigörs programmet från inneslutningen och körs normalt, om inte någon annan teknik har begärt att programmet ska inneslutas. Se McAfee Threat Intelligence Exchange Produkthandbok. Se även Undanta processer från dynamisk programinneslutning på sidan 189 Aktivera tröskeln för dynamisk programinneslutning Med tekniken dynamisk programinneslutning kan du ange att program med ett specifikt rykte ska köras i en behållare. På så sätt kan du begränsa vilka åtgärder de ska kunna utföra. Aktivera åtgärdstillämpning för dynamisk programinneslutning, och ange en rykteströskel för när program ska inneslutas. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd . Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Kontrollera att Adaptivt skydd mot hot är aktiverat. 6 Välj Starta dynamisk programinneslutning när rykteströskeln når. 7 Ange rykteströskeln för när program ska inneslutas. • Kan vara tillförlitligt • Okänt (standard för regelgruppen Säkerhet) • Kan vara skadligt (standard för regelgruppen Balanserad) McAfee Endpoint Security 10.5 Produkthandbok 187 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot • Troligtvis skadligt (standard för regelgruppen Produktivitet) • Känt att vara skadligt Rykteströskeln för dynamisk programinneslutning måste vara högre än trösklarna för att blockera och rensa. Om blockeringströskeln till exempel är inställd på Känt att vara skadligt måste tröskeln för dynamisk programinneslutning anges till Troligtvis skadligt eller högre. 8 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Konfigurera McAfee-definierade inneslutningsregler McAfee-definierade innehållsregler blockera eller logga åtgärder som inneslutna program kan utföra. Du kan ändra inställningarna för blockering och rapportering, men du kan inte i övrigt ändra eller ta bort dessa regler. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om regler för Dynamisk programinneslutning, inklusive metodtips för när en regel ska rapportera eller blockera, finns i KB87843. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd . Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Inneslutningsregler väljer du Blockera, Rapportera eller båda för regeln. 6 • Blockera eller rapportera alla genom att välja Blockera eller Rapportera på den första raden. • Avmarkera både Blockera och Rapportera för att inaktivera regeln. I avsnittet Undantag konfigurerar du körbara filer som ska undantas från dynamisk programinneslutning. Processer i listan Undantag körs normalt (ej inneslutna). 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Undanta processer från dynamisk programinneslutning på sidan 189 Hantera inneslutna program När Dynamisk programinneslutning innehåller ett betrott program kan du undanta det från inneslutning från Endpoint Security-klient. När ett program undantas släpps det, tas bort från Inneslutna program och läggs till i Undantag, vilket hindrar att det innesluts i framtiden. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. 188 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd . Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Inneslutna program markerar du programmet och klickar på Undanta. 6 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. Klicka sedan på Spara. Programmet visas i listan Undantag. Programmet finns kvar i listan Inneslutna program tills du klickar på Tillämpa. När du går tillbaka till sidan Inställningar visas programmet enbart i listan Undantag. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Undanta processer från dynamisk programinneslutning Om ett betrott program är inneslutet undantar du det genom att skapa ett undantag för dynamisk programinneslutning. Undantag som skapats med Endpoint Security-klient tillämpas bara på klientsystemet. Dessa undantag skickas inte till McAfee ePO och visas inte i avsnittet Undantag i inställningarna för Dynamisk programinneslutning. I hanterade system skapar du globala undantag i inställningarna för Dynamisk programinneslutning i McAfee ePO. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd . Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Undantag klickar du på Lägg till för att lägga till processer som ska undantas från alla regler. 6 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 7 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. McAfee Endpoint Security 10.5 Produkthandbok 189 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Konfigurera alternativ för Adaptivt skydd mot hot Inställningarna för Adaptivt skydd mot hot bestämmer när en fil eller ett certifikat ska köras, inneslutas, rensas, blockeras eller om användare ska uppmanas att vidta åtgärder. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Ändringar av principer i McAfee ePO skriver över ändringarna på sidan Inställningar. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på ? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd . Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Blockera eller tillåta filer och certifikat Filer och certifikat får hotrykten utifrån sitt innehåll och sina egenskaper. Adaptivt skydd mot hot-principerna avgör om filer och certifikat blockeras eller tillåts på datorer i din miljö, baserat på ryktesnivåer. Det finns tre säkerhetsnivåer beroende på hur du vill balansera reglerna för vissa typer av system. Varje nivå kopplas till en viss regel som identifierar skadliga och misstänkta filer och certifikat. • Produktivitet – System som ofta ändras, t.ex. via installationer och avinstallationer av betrodda program samt uppdateringar. Exempel på dessa system är datorer som används i utvecklingsmiljöer. Färre regler används med principer för denna inställning. Användarna får minimalt med blockeringar och uppmaningar när nya filer identifieras. • Balanserad – Vanliga affärssystem där nya program och ändringar installeras mer sällan. Fler regler används med principer för denna inställning. Användarna får fler blockeringar och uppmaningar. • Säkerhet – IT-hanterade system med hög kontrollnivå och få ändringar. Exempel på dessa är system som har åtkomst till kritisk eller känslig information, såsom finansföretag och myndigheter. Denna inställning används även för servrar. Maximalt antal regler används med principer för denna inställning. Användarna får ännu fler blockeringar och uppmaningar. Välj Meny | Serverinställningarför att se de specifika regler som är associerade med varje säkerhetsnivå. I listan Inställningskategorier väljer du Adaptivt skydd mot hot. När du avgör vilken säkerhetsnivå som ska kopplas till en princip beaktar du typen av system där principen används, och hur många blockeringar och uppmaningar du vill visa för användaren. När du har skapat en princip ska den tilldelas datorer och enheter för att bestämma hur många blockeringar och uppmaningar som ska förekomma. 190 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Använda Real Protect-genomsökning Real Protect-genomsökningen inspekterar misstänkta filer och aktiviteter på en slutpunkt för att hitta skadliga mönster med hjälp av maskininlärningstekniker. Med hjälp av denna information kan genomsökningen hitta skadlig programvara från dag noll. Real Protect-tekniken stöds inte i vissa Windows-operativsystem. Se KB82761 för information. Real Protect-genomsökningen innehåller två alternativ för att utföra automatiserade analyser: • I molnet Molnbaserade Real Protect samlar in och skickar filattribut och beteendebaserad information till maskininlärningssystemet i molnet för analys efter skadlig programvara. Det här alternativet kräver Internetanslutning för att kunna minska antalet falska positiva resultat med McAfee GTI-ryktet. Metodtips: Inaktivera molnbaserad Real Protect på system som inte är anslutna till Internet. • I klientsystemet Klientbaserade Real Protect använder maskininlärning i klientsystemet för att bedöma om filen matchar känd skadlig programvara. Om klientsystemet är anslutet till Internet, skickar Real Protect telemetriinformation till molnet, men använder inte molnet för analys. Om klientsystemet använder TIE för rykten, krävs det inte någon Internetanslutning för att minska antalet falska positiva resultat. Metodtips: Aktivera båda Real Protect-alternativen, såvida inte supporten råder dig att avmarkera en eller båda för att minimera antalet falska positiva resultat. Ingen personligt identifierbar information (PII) skickas till molnet. Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Sidan Adaptivt skydd mot hot – Dynamisk programinneslutning Sidan Adaptivt skydd mot hot – Alternativ Sidan Adaptivt skydd mot hot – Dynamisk programinneslutning Skydda systemet genom att begränsa vilka åtgärder som inneslutna program kan utföra baserat på konfigurerade regler. McAfee Endpoint Security 10.5 Produkthandbok 191 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Tabell 6-1 Alternativ Avsnitt Alternativ Beskrivning Inneslutningsregler Konfigurerar regler för Dynamisk programinneslutning. Du kan ändra om McAfee-definierade innehållsregler ska blockera eller rapportera, men du kan inte i övrigt ändra eller ta bort dessa regler. • Blockera (enbart) – Blockerar, utan loggning, inneslutna program från att utföra åtgärder som anges av regeln. • Rapport (endast) – Loggar när program försöker utföra åtgärder i regeln, men förhindrar inte att program utför åtgärder. • Blockera och rapportera – Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera, för att få en varning utan att blockera åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill blockera åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Inneslutna program Visar en lista med program som för närvarande innesluts. • Undanta – Flyttar ett inneslutet program till listan Undantag och släpper det från inneslutning och tillåter att det körs normalt. Tabell 6-2 Avancerade alternativ Avsnitt Alternativ Undantag Beskrivning Uteslut processer från inneslutning. • Lägg till – Lägger till en process i undantagslistan. • Dubbelklicka på ett objekt – Ändra det valda objektet. • Ta bort – Tar bort det valda objektet. • Duplicera – Skapar en kopia av det valda objektet. Se även Så här fungerar Dynamisk programinneslutning på sidan 185 Sidan Lägg till undantag eller Redigera undantag på sidan 192 Konfigurera McAfee-definierade inneslutningsregler på sidan 188 Undanta processer från dynamisk programinneslutning på sidan 189 Sidan Lägg till undantag eller Redigera undantag Lägg till eller redigera en körbar fil som ska undantas från Dynamisk programinneslutning. Tänk på följande när du anger undantag: 192 • Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. • Om du anger fler än en identifierare, tillämpas alla identifierare. • Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot • Undantag är skiftlägesokänsliga. • Jokertecken är tillåtna för alla utom MD5-hash. Tabell 6-3 Alternativ Alternativ Definition Namn Anger namnet på den körbara filen. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Filsökvägen kan innehålla jokertecken. MD5-hash Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Undertecknare Aktivera kontroll av digital signatur – Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: • Tillåt alla signaturer – Tillåter filer som är signerade av alla undertecknare. • Signerad av – Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee ePO. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = Kalifornien • C = USA Anteckningar McAfee Endpoint Security 10.5 Ger mer information om objektet. Produkthandbok 193 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Sidan Adaptivt skydd mot hot – Alternativ Konfigurera inställningar för modulen Adaptivt skydd mot hot. Tabell 6-4 Alternativ Avsnitt Alternativ Definition Alternativ Aktivera Adaptivt skydd mot hot Aktiverar modulen Adaptivt skydd mot hot. (Aktiverad som standard) Tillåt att Threat Anger om TIE-servern ska tillåtas att skicka anonym Intelligence filinformation till McAfee. Exchange-servern samlar in anonyma diagnostikoch användningsdata Använder McAfee Får filryktesinformation från Global Threat GTI-rykte om Threat Intelligence-proxyn om TIE-servern inte är tillgänglig. Intelligence Exchange-servern inte går att nå Förhindrar att användarna Förhindrar att användare i hanterade system kan ändra ändrar inställningarna inställningar i Threat Intelligence Exchange 1.0. (endast för Threat Intelligence Exchange 1.0-klienter) Regeltilldelning Produktivitet Tilldelar regelgruppen Produktivitet. Använd den här gruppen för system som ofta ändras, samt har regelbundna installationer och uppdateringar av betrodd programvara. Den här gruppen använder lägst antal regler. Användarna upplever minimalt med uppmaningar och blockeringar vid upptäckt av nya filer. Balanserad Tilldelar regelgruppen Balanserad. Använd denna grupp för vanliga företagssystem som sällan får nya program eller ändringar. Den här gruppen använder fler regler och användarna får fler uppmaningar och blockeringar än gruppen Produktivitet. Säkerhet Tilldelar regelgruppen Säkerhet. Använd den här gruppen för system som sällan ändras, t.ex. IT-hanterade system och servrar med hög kontrollnivå. Användarna får fler uppmaningar och blockeringar än med gruppen Balanserad. 194 McAfee Endpoint Security 10.5 Produkthandbok 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Tabell 6-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Real Protect-genomsökning Aktivera klientbaserad genomsökning Aktiverar klientbaserad Real Protect-genomsökning, som använder maskininlärning i klientsystemet för att bedöma om filen matchar känd skadlig programvara. Om klientsystemet är anslutet till Internet, skickar Real Protect telemetriinformation till molnet, men använder inte molnet för analys. Om klientsystemet använder TIE för rykten, krävs det inte någon Internetanslutning för att minska antalet falska positiva resultat. Metodtips: Välj det här alternativet såvida inte supporten råder dig att avmarkera det för att minska mängden falska positiva resultat. Real Protect-tekniken stöds inte i vissa Windows-operativsystem. Se KB82761 för information. Aktivera molnbaserad genomsökning Aktiverar molnbaserad Real Protect-genomsökning, som samlar in och skickar filens attribut och beteendebaserade information till maskininlärningssystemet i molnet för analys. Det här alternativet kräver Internetanslutning för att kunna minska antalet falska positiva resultat med McAfee GTI-ryktet. Metodtips: Inaktivera molnbaserad Real Protect på system som inte är anslutna till Internet. Real Protect-tekniken stöds inte i vissa Windows-operativsystem. Se KB82761 för information. Åtgärdstillämpning Aktivera observationsläget Genererar händelser i Adaptivt skydd mot hot – Skulle blockera, Skulle rensa eller Innesluts eventuellt – och skickar dem till servern, men tillämpar inte några åtgärder. Aktivera observationsläge tillfälligt i några system, men endast vid justering av Adaptivt skydd mot hot. Eftersom aktivering av det här läget gör att Adaptivt skydd mot hot genererar händelser utan att tillämpa åtgärder, kan din dator bli sårbar för hot. McAfee Endpoint Security 10.5 Produkthandbok 195 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot Tabell 6-4 Avsnitt Alternativ (fortsättning) Alternativ Definition Starta dynamisk programinneslutning när rykteströskeln når • Kan vara tillförlitligt Innesluter program när ryktet når den angivna tröskeln: • Okänt (standard för regelgruppen Säkerhet) • Kan vara skadligt (standard för regelgruppen Balanserad) • Troligtvis skadligt (standard för regelgruppen Produktivitet) • Känt att vara skadligt Rykteströskeln för dynamisk programinneslutning måste vara högre än trösklarna för att blockera och rensa. Om blockeringströskeln till exempel är inställd på Känt att vara skadligt måste tröskeln för dynamisk programinneslutning anges till Troligtvis skadligt eller högre. När ett program med den angivna rykteströskeln försöker att få köras i din miljö kommer dynamisk programinneslutning att tillåta att det körs i en behållare och blockera eller logga osäkra åtgärder baserat på innehållsreglerna. Blockera när rykteströskeln når Blockerar filer när filryktet når en viss tröskel och anger tröskeln: • Kan vara tillförlitligt • Okänt • Kan vara skadligt (standard för regelgruppen Säkerhet) • Troligtvis skadligt (standard för regelgruppen Balanserad) • Känt att vara skadligt (standard för regelgruppen Produktivitet) När en fil med den angivna rykteströskeln försöker köras i din miljö, förhindras körningen men filen blir kvar på sin plats. Om en fil är säker och du vill köra den, ska du ändra dess rykte till en nivå som är tillåten att köra, t.ex. Kan vara tillförlitligt. Rensa när rykteströskeln når Rensar filer när filryktet når en viss tröskel och anger tröskeln: • Kan vara skadligt • Troligtvis skadligt • Känt att vara skadligt (standard för regelgrupperna Balanserad och Säkerhet) Standard för regelgruppen Produktivitet är avmarkerad. Metodtips: Använd detta alternativ med filryktet Känt att vara skadligt eftersom filen kan tas bort när den rensas. 196 McAfee Endpoint Security 10.5 Produkthandbok Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot 6 Tabell 6-5 Avancerade alternativ Avsnitt Alternativ Beskrivning Advanced Threat Defense Skicka overifierade filer till McAfee Advanced Threat Defense för analys Skickar körbara filer till McAfee Advanced Threat Defense för analys. När Adaptivt skydd mot hot är aktiverat skickas filer på ett säkert sätt med HTTPS via port 443 till Advanced Threat Defense när: • TIE-servern har inte någon Advanced Threat Defense-information om filen. • Filen är på eller under den angivna ryktesnivån. • Filen har den filstorlek som angetts eller är mindre. Om HTTPS misslyckas skickar Adaptivt skydd mot hot filerna över HTTP. Ange information för Advanced Threat Defense-servern i hanteringsprincipen för TIE-servern. Skicka filer när rykteströskeln når Skickar filer till Advanced Threat Defense när filryktet når en viss tröskel: • Troligtvis tillförlitligt • Okänt • Troligtvis skadligt Standard för alla regelgrupper är Okänt. Begränsa storleken (MB) Begränsar filstorleken på filer som skickas till Advanced Threat till Defense till 1–10 MB. Standardvärdet är 5 MB. Se även Konfigurera alternativ för Adaptivt skydd mot hot på sidan 190 Aktivera tröskeln för dynamisk programinneslutning på sidan 187 Blockera eller tillåta filer och certifikat på sidan 190 Använda Real Protect-genomsökning på sidan 191 McAfee Endpoint Security 10.5 Produkthandbok 197 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens – Adaptivt skydd mot hot 198 McAfee Endpoint Security 10.5 Produkthandbok Index A adaptivt läge konfigurera brandvägg 131 Adaptivt skydd mot hot aktivitetslogg 24 arbetsflödesexempel 182 Endpoint Security-klienten 17 felsökningslogg 24 fördelar 175 hantering 182 innehållsfiluppdateringar 11 komponenter 176 konfigurera 190 konfigurera tröskeln för dynamisk programinneslutning 187 loggfiler 24 om 9, 175 om Real Protect 191 Real Protect-genomsökning 191 scenarier 178 teknik för Dynamisk programinneslutning 188 administratörer definierade 10 logga in på Endpoint Security Client 26 lösenord 26 administratörslösenord effekter 32 Advanced Threat Defense 183 användning för att fastställa rykten 179 skicka filer till 190 aktiviteter, Endpoint Security Standarduppdatering för klient, om 36 aktiviteter, Endpoint Security-klient speglingar, om 38 aktiviteter, Endpoint Security-klienten anpassad uppdatering, konfigurering och schemaläggning 36 konfigurera och schemalägga speglingar 38 Standarduppdatering för klient, konfigurera 35 Standarduppdatering för klient, schemalägga 36 aktiviteter, Hotdetektering anpassade genomsökningar, schemalägga 93 Fullständig genomsökning och snabbgenomsökning, schemaläggning 93 McAfee Endpoint Security 10.5 aktiviteter, Threat Prevention Full and Snabbgenomsökning, om 55 aktivitetsloggar, Endpoint Security-klient 24 alternativ konfigurerar genomsökningar på begäran 89 konfigurerar inställningar för genomsökningar vid åtkomst 82 söker efter skadlig programvara 55 alternativ för brandvägg ändra alternativ 131 alternativ, Delade Egenskydd, konfigurering 30 källplatser för klientuppdateringar, konfigurera 33 uppdateringsinställningar, konfigurera 33, 35 Alternativ, Delade proxyserverinställningar, konfigurera 32 Alternativ, Firewall betrodda körbara filer 135 definierade nätverk 133 Alternativ, gemensamma inställningar för loggning, konfigurera 30 konfigurera 29 schemalägga genomsökningar på begäran 55 alternativ, Hotdetektering gemensamma inställningar för genomsökning 81 Alternativ, Threat Prevention oönskade program 79 AMCore-innehållsfiler Extra.DAT-filer 28, 29 genomsökning och regler för Adaptivt skydd mot hot 11 genomsökning på begäran, översikt 89 genomsökning vid åtkomst, översikt 84 om 10 Real Protect-motor och innehåll 11 signaturer och motoruppdateringar 11 ändra version 27 anpassade genomsökningar, se genomsökningar på begäran anpassade regler, se användardefinierade regler, åtkomstskydd anpassade uppdateringsaktiviteter, se aktiviteter, Endpoint Security-klient Anpassat läge regelföreträde 135 anslutning, McAfee GTI eller TIE-server 179 anslutningsstatus, kontrollera 179 Produkthandbok 199 Index användardefinierade regler, Åtkomstskydd konfigurera 71 användarkonton, kontrollera åtkomst till klient 32 appar, Windows Store 84, 89 arbetsflödesexempel 182 arkivfiler, undvika genomsökning 86, 91 Ask-sökmotor och säkerhetsikoner 160 attacker, utnyttjande av buffertspill 74 autentiseringsuppgifter, lagringsplatslista 34 aviseringsmeddelanden kommunicera med Endpoint Security Client 12 om 14 Windows 8 och 10 14 avkänningar hantera 56, 59 namn 61 rapportering till hanteringsservern 10 svara på 20 typer 56, 58 undantag via namn 81 visa meddelanden till användare 82, 89 B begränsning, konfigurera 92 begäranden om hämtning, se filhämtningar begäranden, Endpoint Security svara på filrykte 181 betrodda certifikat och undvika genomsökning 84 betrodda installationsprogram, genomsöker 82 betrodda körbara filer definiera 135 konfigurera 134 betrodda nätverk, se nätverk Bing-sökmotor och säkerhetsikoner 160 brandvägg aktivera och inaktivera skydd 131 aktivera via McAfees systemfältsikon 12 Endpoint Security-klienten 17 intrångslarm 14 om 9 om tidsbegränsade grupper 12 platsmedvetna grupper, om 137 platsmedvetna grupper, skapa 143 skapa tidsbegränsade grupper 144 tidsbegränsade grupper, om 130 uppdaterar innehåll från klienten 22 ändra alternativ 131 Brandvägg , aktivera och inaktivera från systemfältsikonen 129 aktivera och visa tidsbegränsade grupper 130 aktivitetslogg 24 betrodda körbara filer 135 blockerar DNS-trafik 132 felsökningslogg 24 200 McAfee Endpoint Security 10.5 Brandvägg (fortsättning) loggfiler 24 McAfee GTI vanliga frågor och svar 132 brandvägg, inställningar Alternativ 134 brandväggsgrupper, se grupper för brandväggsregler brandväggsregler använda jokertecken 142 konfigurera 135 order och företräde 135 så här fungerar de 135 så här fungerar Firewall 129 tillåt och blockera 135 C cache, global genomsökning genomsökningar vid åtkomst 84 cacheminne för global genomsökning genomsökningar vid åtkomst 84 certifikat hur rykten fastställs 179 certifikat och undvika genomsökning 84 Chrome aktivera plugin-programmet Webbkontroll 162 webbkontrollknappar 159 webbläsare som stöds 157, 163 visa information om en webbplats 163 D Data Exchange Layer och Adaptivt skydd mot hot 176, 178 definiera nätverk 133 DNS-trafik, blockering 132 domäner, blockering 132 Dynamisk programinneslutning Adaptivt skydd mot hot 178 aktivera tröskel 187 hantera inneslutna program 188 hantering 182 loggfiler 24 McAfee-definierade regler, konfigurera 188 metodtips 188 om 184 processer, inklusive och exklusive 189 så här fungerar det 185 tillåter inneslutna program att köras normalt 187 E Edge-webbläsare, stöds inte av Webbkontroll 157 Egenskydd, konfigurering 30 ej hanterad, se självhanterad, om Endpoint Security Client hantera hotavkänningar 59 hanteringstyp 21 Produkthandbok Index Endpoint Security Client (fortsättning) hanteringstyper 10 Hotsammanfattning 15 kommunicera med 12 logga in som administratör 26 systemgenomsökningar 55 söker efter skadlig programvara 55 visa händelseloggen 23 visar information om skydd 21 öppna 19 Endpoint Security-klient konfigurera säkerhetsinställningar 31 loggar, om 24 skydda med lösenord 32 speglingar, om 38 Endpoint Security-klienten anpassade uppdateringsaktiviteter, skapa 36 fullständig genomsökning och snabbgenomsökning, schemaläggning 93 konfigurera källplatser för uppdateringar 33 kör genomsökningar 56 låsa upp gränssnittet 26 moduler 17 om 14 principinställningar 16 speglingar, konfigurera och schemalägga 38 Standarduppdatering för klient, konfigurera 35 Standarduppdatering för klient, om 36 Standarduppdatering för klient, schemalägga 36 uppdatera skydd 22 visar hjälp 20 öppna 12 Endpoint Security, hantering 26 Endpoint Security, så skyddas din dator 10 eventuellt oönskade program aktivera avkänning 80, 82, 89 ange 79 ange program som ska identifieras 81 avkänningar under genomsökning 56 avkänningar under genomsökningar 58 konfigurera avkänning 79 om 61 exempel på arbetsflöden skapa filförekomst och observera 182 skicka filer för vidare analys 183 övervaka och justera 183 Extended Support Release, se Firefox ESR, webbläsare som stöds Extra.DAT-filer AMCore-innehållsfiler 11 använda 28 genomsökning på begäran, översikt 89 genomsökning vid åtkomst, översikt 84 laddar 29 om 28 McAfee Endpoint Security 10.5 F falska positiva Firewall, minska 135 falska positiva resultat minska genom att skapa undantag i Utnyttjandeskydd 78 felloggar, Endpoint Security-klient 24 felmeddelanden, status för ikonen i systemfältet 12 felsökningsloggar, Endpoint Security-klient 24 filer göra en ny genomsökning i karantänmappar 63 hantera i karantänen 60 hindra ändring 30 hur rykten fastställs 179 jokertecken i undantag 65 konfigurera för karantän 81 konfigurera loggfiler 30 köra genomsökningar 58 loggar för Endpoint Security Client 23 loggfiler 24 typer att undvika genomsökning för 91 typer att undvika vid genomsökning 86 undanta särskilda typer från genomsökningar 63 filer för avkänningsdefinition, se innehållsfiler filer och certifikat, blockera 190 filer och certifikat, skicka 190 filer, innehåll Adaptivt skydd mot hot 11 använda Extra.DAT-filer 28 Extra.DAT och AMCore 11 Extra.DAT-filer 28, 29 genomsökning på begäran, översikt 89 laddar Extra.DAT-filer 29 signaturer och uppdateringar 11 Utnyttjandeskydd 11 ändra AMCore-innehållsversion 27 filhämtningar blockera från okända webbplatser 164 blockering eller varning utifrån klassificeringar 167 genomsöka med Hotdetektering 166 filrykte svara på begäran 181 Firefox aktivera plugin-programmet Webbkontroll 162 ESR, webbläsare som stöds 157 webbkontrollknappar 159 webbläsare som stöds 157, 163 visa information om en webbplats 163 Firewall hantera 130 hantering av regler och grupper 141 regler, se brandväggsregler så här fungerar brandväggsregler 135 så här fungerar det 129 fjärrskrivbord och genomsökning vid viloläge 91 fristående, se självhanterad, om Produkthandbok 201 Index frågor, Endpoint Security svara på genomsökning 21 Windows 8 och 10 20 fullständig genomsökning schemaläggning i klienten 93 Fullständig genomsökning konfigurera 89 körs från Endpoint Security-klienten 56 om 55 funktionen genomsökning i viloläge 21 funktioner aktivera och inaktivera 27 åtkomst till Endpoint Security-klienten baserat på principer 16 färg, webbkontrollknappar 159 fördefinierade grupper för brandväggsregler 140 företräde brandväggsgrupper 137 brandväggsregler 135 G GBOP-signaturer, se Signaturer för allmänt skydd mot buffertspill Gemensam modul, konfigurera inställningar 29 loggning 30 Genomsök systemsidan 59 genomsökning vid viloläge 91 genomsökningar anpassa, skapa och schemalägga via klienten 93 använda jokertecken i undantag 65 gemensamma inställningar för genomsökning vid åtkomst och genomsökning på begäran 81 köra snabbgenomsökningar 58 läsa och skriva 84 Real Protect 185 schemaläggning med Endpoint Security-klienten 93 senarelägga, pausa, återuppta och avbryta 21 svara på frågor 21 typer 55 Webbkontroll 166 Genomsökningar körs från Endpoint Security-klienten 56 genomsökningar av Fjärrlagring, översikt 93 genomsökningar på begäran eventuellt oönskade program, aktivera avkänning 80 genomsökning av filer eller mappar 58 genomsökningar av Fjärrlagring 93 konfigurera 81, 89 köra en Fullständig genomsökning eller en Snabbgenomsökning 56 köra snabbgenomsökningar 58 loggfiler 24 om 55 svara på frågor 21 202 McAfee Endpoint Security 10.5 genomsökningar på begäran (fortsättning) systemanvändning 92 undanta objekt 63 översikt 89 genomsökningar utan inverkan 91 genomsökningar vid åtkomst antal principer för genomsökning 88 eventuellt oönskade program, aktivera avkänning 80 genomsöka skript 87 hotavkänningar 20 konfigurera 81, 82 loggfiler 24 om 55 optimera med inbyggd logik 83 ScriptScan 87 skriva till eller läsa från disk 83 undanta objekt 63 översikt 84 genomsökningar, anpassade, se genomsökningar, på begäran genomsökningar, på begäran genomsökningar av Fjärrlagring 93 identifiera hot i Windows Store appar 89 minska inverkan på användare 91 schemaläggning på klienten 93 systemanvändning 92 undanta objekt 63 genomsökningar, Real Protect 191 genomsökningar, vid åtkomst antal principer 88 hotavkänningar, svara på 20 identifiera hot i Windows Store-appar 84 konfigurera 82 minska påverkan på användare 86 optimera med inbyggd logik 83 ScriptScan 87 undanta objekt 63 översikt 84 genomsökningsalternativ, minska inverkan på användare 91 genomsökningsalternativ, minska påverkan på användare 86 genomsökningscache genomsökningar vid åtkomst 84 genomsökningsminne genomsökningar på begäran 89 genomsökningsminne, globalt genomsökningar på begäran 89 genomsökningsmotorer, översikt för AMCore-innehållsfil 11 globala undantag, Utnyttjandeskydd 78 globalt genomsökningsminne genomsökningar på begäran 89 Google Chrome 157 säkerhetsikoner 160 sökmotorer som stöds 160 GPEP-signaturer, se Signaturer för allmän detektering av behörighetseskalering Produkthandbok Index grupp för adaptiva regler, brandvägg 140 Grupp för adaptiva regler, brandvägg 141 grupp för McAfees kärnnätverksregler, brandvägg 140 grupp för standardregler, brandvägg 140 grupper för brandväggsregler företräde 137 hantera tidsbegränsade grupper via ikonen i systemfältet 130 hantera tidsbegränsade grupper via systemfältsikonen 12 konfigurera 135 och anslutningsisolering 138 platsmedvetna, om 137 platsmedvetna, skapa 143 skapa tidsbegränsade grupper 144 så här fungerar Firewall 129 tidsbegränsade grupper, om 130 grupper för brandväggsregler. fördefinierade 140 grupper, brandvägg, se grupper för brandväggsregler gränssnittslägen konfigurera inställningar för klientsäkerhet 31 lås klientgränssnitt 32 standardåtkomst 26, 32 göra en ny genomsökning i karantänen 63 H hanteringstyp visa 21 Hanteringstypen McAfee ePO Cloud 22 hanteringstyper om 22 hash-värden, om 82, 167 heapbaserade attacker, utnyttjande av buffertspill 74 Hjälp, visa 14 Hjälp, visar 20 Host Intrusion Prevention och utnyttjandeskydd 74 Host IPS, och utnyttjandeskydd 74 hot AMCore-innehållsfiler 11 avkänningar under genomsökningar 58 få mer information från McAfee Labs 60 göra en ny genomsökning av objekt i karantän 63 hantera avkänningar 59 karantänmapp 60 och säkerhetsklassificeringar 161 svara på avkänningar 20 typer 61 Windows Store appar 89 Windows Store-appar 84 åtkomstpunkter, överträdelser 66 Åtkomstskyddsprocesser 66 Hotdetektering Endpoint Security-klienten 17 funktionen Utnyttjandeskydd 77 genomsöka filer före hämtning 164 McAfee Endpoint Security 10.5 Hotdetektering (fortsättning) genomsöker filer före hämtning 166 genomsökningar vid åtkomst, om 84 om 9 Åtkomstskyddsfunktionen 67 Hotsammanfattning, om 15 hämtningar beteende för att blockera och varna 159 händelseloggar, Endpoint Security Client visa händelseloggsida 23 händelseloggar, Endpoint Security-klient om 24 händelseloggar, Endpoint Security-klienten misslyckad uppdatering 22 händelser observationsläge 182 händelser, spåra webbläsarhändelser i Webbkontroll 164 högriskprocesser, specificera 82 I ikoner, McAfee, se ikon i systemfältet, McAfee ikoner, Web Control 160 inbyggd logik, optimera genomsökningar vid åtkomst 83 information, visar skydd 21 inkluderingar underregler för Åtkomstskydd 73 Utnyttjandeskydd, regler för programskydd 77 inkrementell genomsökning 91 Inloggningssida för administratör låsa upp klientgränssnittet 26 när du öppnar Endpoint Security Client 19 innehåll, uppdatering från klienten 22 innehållsfiler Extra.DAT-filer 28, 29 genomsökning på begäran, översikt 89 och avkänningar 20 om 10 schemalägga uppdateringar från klient 36 söka efter uppdateringar manuellt 12, 22 söka manuellt efter uppdateringar 22 uppdateringar för Utnyttjandeskydd 75 ändra AMCore-version 27 innehållskategorier, se webbplatskategorier innehållsregler Dynamisk programinneslutning 184 innehållsuppdateringar 11 inneslutna program, Dynamisk programinneslutning hantera i Endpoint Security-klienten 188 Innesluts eventuellt-händelser 182 installationsprogram, genomsöker betrodda 82 inställningar källplatser för klientuppdateringar, konfigurera 33 källplatser, konfigurerar för 33 uppdateringar, konfigurera för 33, 35 Produkthandbok 203 Index inställningar för innehållsåtgärder 167 Webbkontroll 168 inställningar, Adaptivt skydd mot hot Dynamisk programinneslutning, teknik 188 inställningar, brandvägg Alternativ 134 inställningar, Hotdetektering Åtkomstskyddsfunktionen 67 inställningar, Threat Prevention genomsökningar på begäran 80 genomsökningar vid åtkomst 80 konfigurera eventuellt oönskade program 79 inställningar, Webbkontroll kontrollera åtkomst med säkerhetsklassificeringar 168 kontrollera åtkomst med webbplatskategorier 168 kontrollera åtkomst till webbplatser 167 Inställningssida uppdateringsinställningar, konfigurera 33 Internet och Adaptivt skydd mot hot 178 och Real Protect-genomsökning 191 Internet Explorer aktivera plugin-programmet Webbkontroll 162 ScriptScan-stöd 87 webbläsare som stöds 157, 163 visa information om en webbplats 163 visar hjälp om Endpoint Security 20 intrång, aktivera brandväggsvarningar 131 IP-adresser 133 betrodda 134 platsmedvetna grupper 137 regelgrupper 137 J jokertecken använda i undantag 65 i brandväggsregler 142 i undantag 65 i undantag på rotnivå 65 K karantän, Hotdetektering göra en ny genomsökning av objekt i karantän 63 konfigurera plats och inställningar för bevarande 81 klassificering, säkerhet, se säkerhetsklassificeringar klassificeringar, Web Control, se säkerhetsklassificeringar klient, se Endpoint Security Client klientaktiviteter för produktuppdatering lagringsplatslista 34 om 34 klientgränssnittsläge, alternativ 16 klientloggning, konfigurera 30 klientprogramvara, definierad 10 204 McAfee Endpoint Security 10.5 knappar Genomsök nu 56 Visa avkänningar 59 Visa genomsökning 56 knappar, webbkontroll 159 knappen Uppdatera nu 23 knappen Visa genomsökning 56 komma igång med Adaptivt skydd mot hot 182 komprimerade arkivfiler, undvika genomsökning 86, 91 krav Real Protect-genomsökning 191 känslighetsnivå, McAfee GTI 82, 167 körbara filer betrodda, se betrodda körbara filer konfigurera betrodda 134 undanta från Utnyttjandeskydd 77 undanta från Åtkomstskydd 73 L lagringsplatslista ordning, lagringsplatslista 34 plats i klienten 34 översikt 34 lista med inneslutna program, hantera 188 loggfiler konfigurera 30 misslyckad uppdatering 22 platser 24 visa 23 lågriskprocesser, specificera 82 Låsa klientgränssnittsläget låsa upp gränssnittet 26 när du öppnar Endpoint Security Client 19 och principinställningar 16 låsa åtkomstläge till klientgränssnitt effekter vid inställning av lösenord 32 Läge för fullständig åtkomst principinställningar 16 ändra brandväggsalternativ 131 läsgenomsökning 83 Läsgenomsökning arbetsflöde 84 lösenord administratör 26 konfigurera klientsäkerhet 31 kontrollera åtkomst till klient 32 lösenordsknäckare, om 61 M manuella genomsökningar körs från Endpoint Security-klienten 56 om genomsökningstyper 55 som körs från Endpoint Security Client 58 manuella uppdateringar, körs 22 Produkthandbok Index mappar hantera i karantänen 60 jokertecken i undantag 65 konfigurera för karantän 81 köra genomsökningar 58 maskininlärning, Real Protect-genomsökning 191 McAfee Active Response och Dynamisk programinneslutning 185 McAfee Agent produktuppdateringsaktivitet och lagringsplatslista 34 McAfee Endpoint Security Client, se Endpoint Security Client McAfee ePO och hanteringstyper 22 uppdatera skydd 10 McAfee GTI ange proxyserverinställningar 32 anslutningsstatus för Adaptivt skydd mot hot 179 brandväggsalternativ, konfigurera 131 genomsöka filer före hämtning 164, 166 genomsökningar på begäran, konfigurera 89 genomsökningar på begäran, så här fungerar de 89 genomsökningar vid åtkomst, konfigurera 82 genomsökningar vid åtkomst, så här fungerar de 84 konfigurera känslighetsnivå 81 nätverksrykte för brandvägg, konfigurera 131 och Adaptivt skydd mot hot 176, 178 och Real Protect-genomsökning 191 och webbplatskategorier 168 skicka blockeringshändelser till servern 131 telemetrifeedback 81 undantag 134 vanliga frågor och svar, Brandvägg 132 Web Control säkerhetsklassificeringar 161 Web Control webbplatsrapporter 160 Webbkontroll kommunikationsfel 159 översikt, Hotdetektering 82 översikt, Webbkontroll 167 McAfee Labs Extra.DAT 29 få mer information om hot 60 hämtar Extra.DAT 28 och McAfee GTI 82, 132, 167 uppdateringar av AMCore-innehållsfiler 11 McAfee SECURE, webbkontrollknapp 159 McAfee-definierade inneslutningsregler metodtips 188 McAfee-definierade regler, Dynamisk programinneslutning 188 McAfee-definierade regler, Åtkomstskydd 68 McAfee-ikon, se ikon i systemfältet, McAfee McAfee-klienten, se Endpoint Security-klienten McAfees skyddsklient, se Endpoint Security Client McTray, starta 91 meddelanden, Endpoint Security om 14 visa vid upptäckt hot 82, 89 McAfee Endpoint Security 10.5 menyer Hjälp 14, 20 inställningar 131 Inställningar 14, 16, 17, 141 Om 21 Webbkontroll 163 Åtgärd 14, 27 metodtips använda betrodda nätverk 134 Dynamisk programinneslutning 188 förbättra genomsökningsprestanda 63 konfigurera inställningar för klientsäkerhet 31 lösenord 31 McAfee-definierade inneslutningsregler 188 minska inverkan av genomsökningar på begäran 91 minska påverkan under genomsökning vid åtkomst 86 Real Protect-genomsökning 191 ScriptScan-undantag 87 undanta McAfee GTI från proxyserver 32 Microsoft Internet Explorer, se Internet Explorer misslyckad, uppdatering 22 modulen Delade, Endpoint Security-klienten 9, 17 modulen Delade, konfigurera Egenskydd 30 källplatser för klientuppdateringar 33 källplatser för klientuppdateringar, konfigurera 33 McAfee GTI-proxyserverinställningar 32 säkerhet för klientgränssnittet 31 uppdateringsinställningar 33, 35 moduler installerade i Endpoint Security-klienten 17 om Endpoint Security 9 visar information om 21 åtkomst till Endpoint Security-klienten baserat på principer 16 moduler, Delade Egenskydd, konfigurering 30 konfigurera källplatser för klientuppdateringar 33 källplatser för klientuppdateringar, konfigurera 33 McAfee GTI-proxyserverinställningar, konfigurera 32 uppdateringsinställningar, konfigurera 33, 35 moduler, gemensamma loggning, konfigurera 30 moduler, Hotdetektering så här fungerar McAfee GTI 82 moduler, Webbkontroll så här fungerar McAfee GTI 167 Mozilla Firefox, se Firefox mål, åtkomstskydd exempel 72 utvärdera med underregler 72 N nätfiske, rapporter som skickats in av webbplatsanvändare 161 Produkthandbok 205 Index nätverk betrodda 134 definiera 133 nätverksadaptrar, tillåta anslutning 137 nätverksenheter, ange genomsökningsalternativ 82 O observationsläge händelser i Adaptivt skydd mot hot 182 händelser i Advanced Threat Protection 182 Om sidan 10, 21 P personligt identifierbar information, se PII PII, skickas inte till molnet 191 platsmedvetna grupper anslutningsisolering 138 om 137 skapa 143 plugin-program aktivera 162 popup-fönster och säkerhetsklassificeringar 161 popup-meddelanden, Windows 8 och 10 14, 20 potentiellt oönskade program jokertecken i undantag 65 undanta objekt 63 pratbubblor, Web Control 160, 164 prestanda, se systemprestanda principer definierade 10 få åtkomst till Endpoint Security-klienten 16 klientfunktioner 12 principer, gemensamma konfigurera 29 principer, Hotdetektering gemensamma inställningar för genomsökning 81 genomsökningar på begäran, senarelägga 91 principer, Threat Prevention genomsökningar vid åtkomst 88 prioritet, genomsökningar vid åtkomst 92 privat nätverk, lägga till externa webbplatser 164 processer inkludera och undanta i Åtkomstskydd 73 undanta från Utnyttjandeskydd 77, 78 processer, Adaptivt skydd mot hot inklusive och exklusive i dynamisk programinneslutning 189 processer, Dynamisk programinneslutning undantag 189 processer, Hotdetektering genomsökning 84 inklusive och exklusive i Åtkomstskydd 67 undanta 63 processer, Threat Prevention ange för hög- och lågrisk 82 206 McAfee Endpoint Security 10.5 processer, Threat Prevention (fortsättning) genomsökning 82 processinställningar, genomsökningar på begäran 92 Processortid, genomsökningar på begäran 92 Product Improvement Program 183 produktuppdateringar schemalägga från klient 36 söka manuellt efter 12, 22 program, aktivera avkänning av eventuellt oönskade 82, 89 program, inneslutna hantera i Endpoint Security-klienten 188 tillåta att köra normalt 187 program, om 135 programvaruuppdateringar schemalägga från klient 36 söka manuellt efter 12, 22 proxyserver konfigurera för McAfee GTI 32 proxyservrar, se proxyservrar R ransomware skapa regler för åtkomstskydd som skyddar mot 71 rapporter, Web Control 160, 161 säkerhet för webbplatser 160 visa 164 rapporter, Webbkontroll säkerhet 157 visa 163 Real Protect-genomsökning 185, 191 hantering 182 innehållsfiluppdateringar 11 regelgrupp tillagd av administratör, brandvägg 140 regelgrupp tillagd av användare, brandvägg 140 Regelgrupp tillagd av användare, brandvägg 141 regelgrupper, brandvägg, se grupper för brandväggsregler registreringsprogram för tangenttryckningar, om 61 regler Programskydd, undantag och inkluderingar 77 Åtkomstskydd, undantag och inkluderingar 73 regler för programskydd 76 konfigurera 77 undantag och inkluderingar 77 regler för Åtkomstskydd undantag och inkluderingar 73 regler, brandvägg, se Brandvägg regler, Dynamisk programinneslutning konfigurera 188 metodtips 188 regler, Hotdetektering konfigurera 67 regler, Threat Prevention hur Åtkomstskydd fungerar 66 regler, Utnyttjandeskydd regler för programskydd 76 Produkthandbok Index regler, Åtkomstskydd typer 67 reklamprogram, om 61 rykten aktivera tröskel för dynamisk programinneslutning 187 anslutningsstatus för beslut 179 Dynamisk programinneslutning 184 hur de fastställs 179 S Safari (Macintosh) webbkontrollknappar 159 scheman, genomsökningar på begäran, senarelägga 91 ScriptScan aktivera 82 inaktiverat som standard 87 metodtips för undantag 87 om 87 stöds enbart i Internet Explorer 87 undanta webbadresser 63 Secure Search, konfigurera Webbkontroll 164 serverinställningar inställningar i lagringsplatslistan 34 serversystem och genomsökning vid viloläge 91 Sida för genomsökning vid åtkomst 59 sida för genomsökning, visa 20, 56 Sida för inställningar hantering av brandväggsregler och -grupper 141 inställningar för genomsökning på begäran, konfigurera 89 inställningar för genomsökning vid åtkomst, konfigurera 82 loggning, konfigurera 30 Sida för McAfee säkerhetsstatus, visas 12 sidan Genomsök system 56 sidan Inställningar och klientgränssnittsläge 16 proxyserverinställningar, konfigurera 32 säkerheten i klientgränssnittet, konfigurera 31 uppdateringsinställningar, konfigurera 35 ändra brandväggsalternativ 131 Sidan Inställningar Egenskydd, konfigurering 30 sidan Karantän 60 sidan Om anslutningsstatus för Adaptivt skydd mot hot 179 sidan Uppdatera 22 sidor Genomsök system 56, 59 Genomsökning vid åtkomst 20, 59 genomsökning, visa 56 händelselogg 23 inställningar 131 Inställningar 16, 30–33, 35, 89 karantän 60 McAfee säkerhetsstatus 12 McAfee Endpoint Security 10.5 sidor (fortsättning) Om 10, 21 Sök efter hot 58 Uppdatera 22 återställ AMCore-innehåll 27 sidorna Inställningar 30 signaturer känd hotinformation 11 Signaturer för allmän detektering av behörighetseskalering 11 Signaturer för allmänt skydd mot buffertspill 11 Signaturer för riktad API-övervakning 11 signaturer, Utnyttjandeskydd konfigurera 77 om 75 undanta med signatur-ID 78 självhanterad, om 22 skadlig programvara avkänningar under genomsökning 56 avkänningar under genomsökningar 58 genomsökning av 55 svara på avkänningar 20 skicka filer för vidare analys Advanced Threat Defense 183 Product Improvement Program 183 skript, genomsöka 87 skrivbordsläge, Windows 8 och 10 aviseringsmeddelanden 14 Skrivbordsläge, Windows 8 och 10 svara på avkänningsfrågor vid hot 20 skrivgenomsökning 83 Skrivgenomsökning arbetsflöde 84 Skulle blockera-händelser 182 Skulle innesluta-händelser 182 Skulle rensa-händelser 182 skydd förbli uppdaterad 10 kommunicera med 12 konfigurera egenskydd 30 visar information om 21 skämt, om 61 smygprogram, om 61 snabbgenomsökning schemaläggning i klienten 93 Snabbgenomsökning konfigurera 89 kör från Windows Explorer 58 körs från Endpoint Security-klienten 56 om 55 typer av genomsökning 55 speglingar konfigurera och schemalägga 38 om 38 Produkthandbok 207 Index spionprogram avkänningar under genomsökning 56 spionprogram, om 61 stackbaserade attacker, utnyttjande av buffertspill 74 Standarduppdatering för klient konfigurera 35 konfigurera källplatser för uppdateringar 33 om 36 schemaläggning med Endpoint Security-klienten 36 standardåtkomstläge effekter vid inställning av lösenord 32 konfigurera inställningar för klientsäkerhet 31 logga in som administratör 26 Standardåtkomstläge hantering av brandväggsregler och -grupper 141 och principinställningar 16 Startmeny, öppna Endpoint Security Client 19 startsektorer, genomsöker 82, 89 status anslutning, kontrollera 179 status, Endpoint Security, visas med McAfee-ikonen i systemfältet 12 Statussida, hotsammanfattning visas 15 svar, konfigurera för avkänning av oönskade program 80 systemanvändningsalternativ, översikt 92 systemfältalternativet Uppdatera säkerhet 23 systemfältikon alternativet Uppdatera säkerhet 23 systemfältsikon, McAfee 12 definierad 12 konfigurera åtkomst till Endpoint Security 31 Tidsbegränsade brandväggsgrupper 12 uppdatera säkerhet 12 öppna Endpoint Security Client 19 systemfältsikonen, McAfee aktivera och inaktivera brandväggen 129 aktivera och visa tidsbegränsade grupper 130 systemgenomsökningar, typer 55 systemprestanda minska genomsökningspåverkan 86 minska inverkan på genomsökning 91 sårbarheter, se hot säkerhet konfigurera säkerhetsinställningar 31 säkerhetsklassificeringar hur säkerhetsklassificeringar för webbplatser beräknas 161 konfigurera åtgärder för webbplatser och filhämtningar 167 kontrollera åtkomst till webbplatser 168 säkerhetsikoner 160 Webbkontroll och 157 säkerhetskopior, ange genomsökningsalternativ 82, 89 säkerhetsnivåer exempel 190 säkerhetsrapporter, se rapporter, Web Control Sök efter hot-sidan 58 208 McAfee Endpoint Security 10.5 söker säkerhetsikoner 160 sökningar blockerar olämpliga webbplatser från resultaten 164 T Threat Intelligence Exchange-server, se TIE-server Threat Prevention Alternativ, oönskade program 79 eventuellt oönskade program, identifiera 79 genomsökningar på begäran, konfigurera 89 genomsökningar på begäran, om 89 genomsökningar vid åtkomst, konfigurera 82 hantera 63 tidsbegränsade grupper hantera via McAfees systemfältsikon 12 tidsbegränsade grupper, brandvägg hantera via ikonen i systemfältet 130 om 130 skapa 144 TIE-server anslutningsstatus för Adaptivt skydd mot hot 179 och Adaptivt skydd mot hot 176, 178 och Real Protect-genomsökning 191 tillägg, webbläsare, se plugin-program tilläggsprogram för webbläsare, se plugin-program tilläggsprogram, webbläsare, se plugin-program trafik genomsöks av Firewall 129 tillåta utgående trafik tills brandväggstjänster startas 131 trojanska hästar avkänningar under genomsökningar 58 om 61 trådar, prioritet 92 trösklar aktivera tröskel för dynamisk programinneslutning 187 U undantag ange URL:er för ScriptScan 82 använda jokertecken 65 avkänningsnamn 81 Dynamisk programinneslutning 188, 189 genomsökning på begäran, specificera 89 genomsökning vid åtkomst, ange filer, mappar och enheter 82 globala, Utnyttjandeskydd 78 konfigurera 63 McAfee GTI 134 rotnivå 65 ScriptScan, metodtips 87 Utnyttjandeskydd 78 Utnyttjandeskydd, alla regler 77 Åtkomstskydd, alla regler 73 Produkthandbok Index undantag på rotnivå, se undantag undantag, Utnyttjandeskydd, se undantag Utnyttjandeskydd underregler, åtkomstskydd utvärdera med mål 72 underregler, Åtkomstskydd undanta och inkludera 73 undvika genomsökning betrodda certifikat 84 låta McAfee fastställa genomsökningsalternativ 83 metodtips för genomsökningar på begäran 91 metodtips för genomsökningar vid åtkomst 86 undvika vid genomsökning metodtips vid genomsökning 63 uppdatering vad som uppdateras 23 uppdateringar alternativet Uppdatera säkerhet 12 avbryta 22 knappen Uppdatera nu, Endpoint Security-klienten 22 uppdateringar på begäran, se manuella uppdateringar, körs uppdateringar, brandvägg söka manuellt efter 22 uppdateringar, Endpoint Security konfigurera beteende 33 konfigurera källplatser för uppdateringar 33 konfigurera och schemalägga via klient 36 Standarduppdatering för klient, konfigurera 35 Standarduppdatering för klient, om 36 uppdateringar, Hotdetektering söka manuellt efter 12, 22 översikt 11 uppdateringar, Threat Prevention Extra.DAT-filer 29 innehållsfiler 10 uppgraderingar, komponenter i klientprogramvara 10 uppmaningar, Endpoint Security om 14 svara på 20 svara på hotdetektering 20 uppringningsprogram, om 61 uppskjuten genomsökning, översikt 91 URL:er undanta från skriptgenomsökning 63 undantagna genomsökning av skript 82 utnyttjande blockera buffertspill 77 hur utnyttjande av buffertspill sker 74 utnyttjande av buffertspill, om 74 utnyttjanden blockerar buffertspill 74 Utnyttjandeskydd innehållsfiler 75 innehållsfiluppdateringar 11 konfigurera 77 loggfiler 24 McAfee Endpoint Security 10.5 Utnyttjandeskydd (fortsättning) och Host IPS 74 om 74 om signaturer 75 processer, inkludera och utesluta 77 processer, undantag 78 regler för programskydd 76 undanta processer 63 V vanliga frågor och svar, McAfee GTI 132 varningar, brandvägg 14 varningar, Threat Prevention genomsökning på begäran, översikt 89 verktyg för fjärradministration, om 61 virus avkänningar under genomsökning 56 avkänningar under genomsökningar 58 om 61 signaturer 11 svara på avkänningar 20 Visa knapp för genomsökning 56 Visa knappen för avkänningar 59 W Web Control hantera 164 ikoner, beskrivning 160 pratbubblor och ikoner 164 sökmotorer och säkerhetsikoner 160 webbplatsrapporter 160 webbkontroll aktivera plugin-programmet 162 Webbkontroll aktivera 164 aktivitetslogg 24 beteende, blockerade webbplatser och hämtningar 159 beteende, varnade webbplatser och hämtningar 159 Endpoint Security-klienten 17 felsökningslogg 24 funktioner 157 hur genomsökning utförs på filhämtningar 166 knappar, beskrivning 159 konfigurera 164 loggfiler 24 meny 159 om 9 visa information om en webbplats 163 visa webbplatsrapporter 163 webbläsare aktivera plugin-programmet Webbkontroll 162 beteende, blockerade webbplatser och hämtningar 159 inaktivera plugin-program för webbkontroll 164 som stöds 163 Produkthandbok 209 Index webbläsare (fortsättning) stöds 157 stöds inte 157 visa information om en webbplats 163 webbläsartillägg, se plugin-program webbplatser beteende för att blockera och varna 159 skydd vid surfning 159 skydd vid sökning 160 säkerhetsklassificeringar 161 visa webbplatsrapporter från Webbkontroll 163 visa webbplatsrapporter i 163 webbplatser, blockera ingen klassificering eller okänd 164 olämpliga webbplatser från sökresultaten 164 utifrån säkerhetsklassificeringar 168 utifrån webbplatskategori 168 webbplatser, blockering utifrån klassificering 167 utifrån webbplatskategori 167 webbplatser, kontrollera åtkomst med säkerhetsklassificeringar 168 med webbplatskategorier 167, 168 webbplatser, varning utifrån klassificering 167 utifrån säkerhetsklassificeringar 168 webbplatskategorier, blockering eller varning utifrån 167, 168 webbplatsrapporter, se rapporter, Web Control Windows 8 och 10 om aviseringsmeddelanden 14 svara på avkänningsfrågor vid hot 20 öppna Endpoint Security Client 19 Windows Ange prioritet, inställning 92 Windows Store appar, identifiera hot 89 210 McAfee Endpoint Security 10.5 Windows Store-appar, identifiera hot 84 Y Yahoo standardsökmotor 164 säkerhetsikoner 160 sökmotor som stöds 160 Å återställ AMCore-innehållssida 27 återställningsbara genomsökningar, se inkrementella genomsökningar åtgärder, Hotdetektering vidta åtgärder för objekt i karantän 60 åtgärder, Threat Prevention ange händelseförloppet när ett hot upptäcks 82, 89 ge användare tillgång att rensa och ta bort infekterade filer 82, 89 oönskade program 80 Åtgärdsmeny, om 14 åtkomstlägen, Endpoint Security-klienten 16 åtkomstskydd processer, inklusive och exklusive 67 Åtkomstskydd användardefinierade regler, konfigurera 71 exempel 66 loggfiler 24 McAfee-definierade regler, konfigurera 67 McAfee-definierade regler, om 68 om 65 processer, inkludera och undanta 73 regler, om 67 undanta processer 63 Produkthandbok 0-32
© Copyright 2024