guida per l'amministratore -...

Per medie e grandi aziende

Guida per l'amministratore

Trend Micro Incorporated si riserva il diritto di apportare modifiche a questadocumentazione e al prodotto in essa descritti senza alcun obbligo di notifica. Primadell'installazione e dell'utilizzo del prodotto, leggere con attenzione i file Readme, le notesulla versione corrente e l'ultima edizione della relativa documentazione, che sonodisponibili nel sito Web di Trend Micro all'indirizzo:

http://docs.trendmicro.com/it-it/enterprise/officescan.aspx

Trend Micro, il logo Trend Micro della pallina con il disegno di una T, OfficeScan,Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall eTrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altrinomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettiviproprietari.

Copyright © 2014. Trend Micro Incorporated. Tutti i diritti riservati.

Codice documento: OSEM115885_130313

Data di pubblicazione: aprile 2014

Protetto da brevetto U.S.: 5,951,698

Questa documentazione introduce le funzion principali del prodotto e fornisce istruzionisull'installazione in un ambiente di produzione. Prima di installare o utilizzare ilprodotto, leggere attentamente questa documentazione.

Informazioni dettagliate sull'uso di funzioni specifiche del prodotto sono disponibili nelcentro di assistenza online di Trend Micro e/o nella Knowledge Base di Trend Micro.

Trend Micro si impegna continuamente a migliorare la propria documentazione. Perdomande, commenti o suggerimenti riguardanti questo o qualsiasi documento TrendMicro, scrivere all'indirizzo [email protected].

È possibile esprimere un giudizio sulla documentazione al seguente indirizzo:

http://www.trendmicro.com/download/documentation/rating.asp

mailto:%[email protected]

http://www.trendmicro.com/download/documentation/rating.asp

i

SommarioPrefazione

Prefazione ........................................................................................................... xi

Documentazione di OfficeScan ..................................................................... xii

Destinatari ......................................................................................................... xii

Convenzioni utilizzate nella documentazione ............................................ xiii

Terminologia .................................................................................................... xiv

Parte I: Introduzione e informazioni preliminariCapitolo 1: Introduzione di OfficeScan

Informazioni su OfficeScan .......................................................................... 1-2

Novità della versione ...................................................................................... 1-2

Principali funzioni e vantaggi ........................................................................ 1-9

Il server OfficeScan ...................................................................................... 1-12

Agente OfficeScan ........................................................................................ 1-13

Integrazione con i prodotti e i servizi Trend Micro ................................ 1-14

Capitolo 2: Informazioni preliminari su OfficeScanLa console Web ............................................................................................... 2-2

Dashboard ....................................................................................................... 2-5

Strumento di migrazione del server ........................................................... 2-32

Active Directory Integration ....................................................................... 2-35

Struttura agente OfficeScan ........................................................................ 2-39

Domini OfficeScan ...................................................................................... 2-52

Guida per l'amministratore di OfficeScan™ 11.0

ii

Capitolo 3: Informazioni preliminari su Protezione datiInstallazione di Protezione dati .................................................................... 3-2

Licenza di Protezione dati ............................................................................. 3-4

Implementazione di Protezione dati negli agenti OfficeScan .................. 3-6

Cartella dati forensi e database DLP ........................................................... 3-9

Disinstallazione di Protezione dati ............................................................. 3-15

Parte II: Protezione degli agenti OfficeScanCapitolo 4: Utilizzo di Trend Micro Smart Protection

Informazioni su Trend Micro Smart Protection ........................................ 4-2

Servizi Smart Protection ................................................................................ 4-3

Origini Smart Protection ............................................................................... 4-6

File Smart Protection Pattern ....................................................................... 4-8

Impostazione dei servizi Smart Protection ............................................... 4-13

Utilizzo dei servizi Smart Protection ......................................................... 4-34

Capitolo 5: Installazione dell'agente OfficeScanInstallazione da zero dell'agente OfficeScan .............................................. 5-2

Considerazioni sull'installazione ................................................................... 5-2

Considerazioni sull'implementazione ........................................................ 5-11

Migrazione all'agente OfficeScan ............................................................... 5-65

Post-installazione .......................................................................................... 5-70

Disinstallazione dell'agente OfficeScan ..................................................... 5-73

Capitolo 6: Come mantenere la protezione aggiornataProgrammi e componenti di OfficeScan .................................................... 6-2

Panoramica sugli aggiornamenti ................................................................. 6-14

Sommario

iii

Aggiornamenti server OfficeScan .............................................................. 6-17

Aggiornamenti di Integrated Smart Protection Server ........................... 6-30

Aggiornamenti agente OfficeScan ............................................................. 6-30

Update Agent ................................................................................................ 6-58

Riepilogo aggiornamento componenti ...................................................... 6-67

Capitolo 7: Analisi dei rischi per la sicurezzaInformazioni sui rischi per la sicurezza ....................................................... 7-2

Tipi di metodi di scansione ........................................................................... 7-8

Tipi di scansione ........................................................................................... 7-15

Impostazioni comuni a tutti i tipi di scansione ........................................ 7-28

Privilegi scansione e altre impostazioni ..................................................... 7-55

Impostazioni globali di scansione .............................................................. 7-70

Notifiche sui Rischi per la sicurezza .......................................................... 7-82

Registri dei rischi per la sicurezza .............................................................. 7-90

Rischi per la sicurezza ................................................................................ 7-104

Capitolo 8: Uso di Monitoraggio del comportamentoMonitoraggio del comportamento ............................................................... 8-2

Configurazione delle impostazioni del monitoraggio del comportamentoglobale ............................................................................................................... 8-8

Privilegi di monitoraggio del comportamento ......................................... 8-10

Notifiche di Monitoraggio del comportamento per gli utenti degli agentiOfficeScan ..................................................................................................... 8-13

Registri di Monitoraggio del comportamento .......................................... 8-14

Capitolo 9: Utilizzo di Controllo dispositivoControllo dispositivo ...................................................................................... 9-2


iv

Autorizzazioni per dispositivi di archiviazione .......................................... 9-4

Autorizzazioni per dispositivi non di archiviazione ................................ 9-11

Modifica delle notifiche di controllo dispositivo ..................................... 9-18

Registri di controllo dispositivo ................................................................. 9-18

Capitolo 10: Utilizzo di Prevenzione perdita di datiInformazioni sulla Prevenzione perdita di dati ........................................ 10-2

Criteri di Prevenzione perdita di dati ......................................................... 10-3

Tipi di identificatore di dati ......................................................................... 10-5

Modelli di Prevenzione perdita di dati .................................................... 10-20

Canali DLP .................................................................................................. 10-25

Azioni di Prevenzione perdita di dati ...................................................... 10-37

Eccezioni di Prevenzione perdita di dati ................................................ 10-38

Configurazione dei criteri Prevenzione perdita di dati ......................... 10-44

Notifiche di Prevenzione perdita di dati ................................................. 10-49

Registri di Prevenzione perdita di dati .................................................... 10-53

Capitolo 11: Protezione dei computer dalle minacce WebMinacce Web ................................................................................................. 11-2

Servizi di avvisi contatti Command & Control ........................................ 11-2

Reputazione Web ......................................................................................... 11-4

Criteri di reputazione Web .......................................................................... 11-5

Servizio di connessione sospetta .............................................................. 11-12

Notifiche di minacce Web per utenti agente .......................................... 11-16

Configurazione delle notifiche di callback C&C per gli amministratori 11-18

Notifiche di avvisi contatti C&C per gli utenti degli agenti ................. 11-21

Registri delle minacce Web ....................................................................... 11-23

Sommario

v

Capitolo 12: Utilizzo del firewall di OfficeScanInformazioni sul Firewall di OfficeScan ................................................... 12-2

Attivazione o disattivazione del Frewall di OfficeScan .......................... 12-6

Criteri e profili del firewall .......................................................................... 12-8

Privilegi firewall .......................................................................................... 12-23

Impostazioni firewall globali ..................................................................... 12-25

Notifiche di violazione del firewall per utenti agente OfficeScan ...... 12-28

Registri del firewall ..................................................................................... 12-29

Infezioni da violazione del firewall .......................................................... 12-31

Test del firewall OfficeScan ...................................................................... 12-32

Parte III: Gestione degli agenti e del serverOfficeScan

Capitolo 13: Gestione del server OfficeScanRole-based Administration (RBA) ............................................................. 13-2

Trend Micro Control Manager ................................................................. 13-22

Server di riferimento .................................................................................. 13-29

Impostazioni notifica amministratore ..................................................... 13-31

Registri eventi di sistema ........................................................................... 13-33

Gestione dei registri ................................................................................... 13-34

Licenze ......................................................................................................... 13-38

OfficeScan Database Backup ................................................................... 13-41

Strumento di migrazione SQL Server ..................................................... 13-42

Impostazioni connessione agente/server Web OfficeScan ................. 13-47

Password della console Web ..................................................................... 13-48

Autenticazione delle comunicazioni avviate dal server ........................ 13-48


vi

Impostazioni della console Web .............................................................. 13-53

Gestore della quarantena ........................................................................... 13-54

Server Tuner ................................................................................................ 13-55

Smart Feedback .......................................................................................... 13-58

Capitolo 14: Gestione dell'agente OfficeScanPosizione dispositivo ................................................................................... 14-2

Gestione del programma agente OfficeScan ............................................ 14-6

Connessione agente-server ....................................................................... 14-26

Impostazioni proxy agente OfficeScan ................................................... 14-50

Visualizzazione delle informazioni dettagliate sull'agente OfficeScan 14-55

Importazione ed esportazione delle impostazioni degli agenti ........... 14-55

Conformità sicurezza ................................................................................. 14-57

Supporto Trend Micro Virtual Desktop ................................................. 14-75

Impostazioni globali agente ...................................................................... 14-89

Configurazione dei privilegi dell'agente e altre impostazioni .............. 14-90

Parte IV: Protezione aggiuntivaCapitolo 15: Uso di Plug-in Manager

Informazioni su Plug-in Manager .............................................................. 15-2

Installazione di Plug-in Manager ................................................................ 15-3

Gestione delle funzioni native di OfficeScan ........................................... 15-4

Gestione dei programmi plug-in ................................................................ 15-4

Disinstallazione di Plug-in Manager ........................................................ 15-12

Risoluzione dei problemi di Plug-in Manager ........................................ 15-12

Capitolo 16: Risorse per la risoluzione dei problemiSistema di supporto intelligente ................................................................. 16-2

Sommario

vii

Case Diagnostic Tool ................................................................................... 16-2

Trend Micro Performance Tuning Tool ................................................... 16-2

Registri del server OfficeScan ..................................................................... 16-3

Registri dell'agente OfficeScan ................................................................. 16-15

Capitolo 17: Assistenza tecnicaRisorse per la risoluzione dei problemi ..................................................... 17-2

Come contattare Trend Micro .................................................................... 17-4

Invio di contenuti sospetti a Trend Micro ................................................ 17-5

Other Resources ........................................................................................... 17-6

AppendiciAppendice A: Supporto IPv6 in OfficeScan

Supporto IPv6 per server OfficeScan e agenti .......................................... A-2

Configurazione indirizzi IPv6 ...................................................................... A-6

Schermate che visualizzano gli indirizzi IP ................................................ A-7

Appendice B: Supporto per Windows Server Core2008/2012

Supporto per Windows Server Core 2008/2012 ...................................... B-2

Metodi di installazione per Windows Server Core ................................... B-2

Funzioni dell'agente OfficeScan su Windows Server Core ..................... B-6

Comandi di Windows Server Core .............................................................. B-7

Appendice C: Supporto per Windows 8/8.1 e WindowsServer 2012

Informazioni su Windows 8/8.1 e Windows Server 2012 ...................... C-2

Internet Explorer 10/11 ............................................................................... C-4


viii

Appendice D: Rollback di OfficeScanRollback del server OfficeScan e degli agenti OfficeScan ...................... D-2

Appendice E: GlossarioActiveUpdate .................................................................................................. E-2

File compresso ............................................................................................... E-2

Cookie .............................................................................................................. E-2

Attacco DoS (Denial of Service) ................................................................. E-2

DHCP .............................................................................................................. E-3

DNS ................................................................................................................. E-3

Nome dominio ............................................................................................... E-3

Indirizzo IP dinamico ................................................................................... E-3

ESMTP ............................................................................................................ E-4

Contratto di licenza per l'utente finale ........................................................ E-4

Falso allarme ................................................................................................... E-4

FTP .................................................................................................................. E-4

GeneriClean .................................................................................................... E-4

Hot Fix ............................................................................................................ E-5

HTTP ............................................................................................................... E-5

HTTPS ............................................................................................................ E-6

ICMP ............................................................................................................... E-6

IntelliScan ........................................................................................................ E-6

IntelliTrap ....................................................................................................... E-7

IP ...................................................................................................................... E-7

File Java ........................................................................................................... E-7

LDAP .............................................................................................................. E-8

Porta di ascolto ............................................................................................... E-8

Sommario

ix

MCP Agent ..................................................................................................... E-8

Minaccia di tipo misto ................................................................................... E-9

NAT ................................................................................................................. E-9

NetBIOS ......................................................................................................... E-9

Comunicazione unidirezionale ..................................................................... E-9

Patch .............................................................................................................. E-10

Attacco di phishing ...................................................................................... E-10

Ping ................................................................................................................ E-11

POP3 ............................................................................................................. E-11

Server proxy .................................................................................................. E-11

RPC ................................................................................................................ E-11

Patch di protezione ...................................................................................... E-11

Service Pack .................................................................................................. E-12

SMTP ............................................................................................................. E-12

SNMP ............................................................................................................ E-12

Trap SNMP .................................................................................................. E-12

SOCKS 4 ....................................................................................................... E-12

SSL ................................................................................................................. E-13

Certificato SSL ............................................................................................. E-13

TCP ................................................................................................................ E-13

Telnet ............................................................................................................. E-13

Porta dei cavalli di Troia ............................................................................. E-14

Porta affidabile ............................................................................................. E-15

Comunicazione bidirezionale ..................................................................... E-16

UDP ............................................................................................................... E-16

File non disinfettabili ................................................................................... E-16

Indice


x

Indice ............................................................................................................. IN-1

xi

Prefazione

PrefazioneConsultare la Guida per l'amministratore di Trend Micro™OfficeScan™. Questodocumento contiene le informazioni introduttive e illustra le procedure perl'installazione dell'agente e di gestione dell'agente e del server OfficeScan.

Di seguito sono riportati gli argomenti trattati:

• Documentazione di OfficeScan a pagina xii

• Destinatari a pagina xii

• Convenzioni utilizzate nella documentazione a pagina xiii

• Terminologia a pagina xiv


xii

Documentazione di OfficeScanLa documentazione di OfficeScan comprende quanto segue:

TABELLA 1. Documentazione di OfficeScan

DOCUMENTAZIONE DESCRIZIONE

Guidaall'installazione eall'aggiornamento

Un documento PDF che illustra i requisiti e le procedure diinstallazione del server OfficeScan e l'aggiornamento del server edegli agenti.

Guida perl'amministratore

Un documento PDF contenente le informazioni introduttive, leprocedure per l'installazione dell'agente OfficeScan e la gestionedell'agente e del server OfficeScan.

Guida File HTML compilati in formato WebHelp o CHM che fornisconoprocedure, consigli di utilizzo e informazioni specifiche. È possibileaccedere alla Guida delle console di agenti e server OfficeScan edall'installazione principale di OfficeScan.

File Readme Contiene un elenco di problemi noti e la procedura di base perl'installazione. Contiene inoltre le informazioni più recenti sulprodotto che non è stato possibile inserire nella documentazione nelsoftware né in quella stampata.

Knowledge Base Un database online contenente informazioni utili per la risoluzionedei problemi. Fornisce le informazioni più recenti sui problemi notiriscontrati nell'utilizzo dei prodotti. Per accedere alla KnowledgeBase, visitare il seguente sito Web:

http://esupport.trendmicro.com

Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per ildownload alla pagina seguente:


DestinatariLa documentazione di OfficeScan è destinata agli utenti seguenti:



Prefazione

xiii

• Amministratori di OfficeScan: responsabili della gestione di OfficeScan,comprese le attività di gestione e installazione del server OfficeScan e dell'agenteOfficeScan. Si presuppone che questi utenti abbiano conoscenze avanzate di reti egestione dei server.

• Utenti finali: utenti che hanno l'agente OfficeScan installato nei propri computer.Il livello di conoscenza dell'dispositivo di questi utenti varia da principiante a utenteesperto.

Convenzioni utilizzate nella documentazionePer facilitare l'individuazione e l'interpretazione delle informazioni, nelladocumentazione di OfficeScan vengono utilizzate le convenzioni illustrate di seguito:

TABELLA 2. Convenzioni utilizzate nella documentazione

CONVENZIONE DESCRIZIONE

TUTTO MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tasti dellatastiera.

Grassetto Menu e comandi dei menu, pulsanti dei comandi, schede,opzioni e attività.

Corsivo Riferimenti ad altra documentazione o a componenti di nuovatecnologia.

Agenti > Gestioneagente

Un "percorso di navigazione" che consente all'utente diraggiungere la schermata della console Web. Se sonopresenti diversi percorsi, vuol dire che ci sono diversi modiper accedere alla stessa schermata.

<Testo> Indica che il testo all'interno delle parentesi angolari deveessere sostituito da dati effettivi. Ad esempio, C:\Programmi\<nome_file> può corrispondere a C:\Programmi\esempio.jpg.

Nota Indica note per la configurazione o raccomandazioni


xiv

CONVENZIONE DESCRIZIONE

Suggerimento Indica informazioni su procedure ottimali e consigli di TrendMicro

AVVERTENZA! Indica avvisi relativi ad attività che possono comportare danniper i computer della rete

TerminologiaLa tabella riportata di seguito contiene la terminologia ufficiale utilizzata nelladocumentazione di OfficeScan:

TABELLA 3. Terminologia di OfficeScan

TERMINOLOGIA DESCRIZIONE

Agente OfficeScan Il programma agente OfficeScan

Dispositivo agente L'dispositivo dove è installato l'agente OfficeScan

Utente agente (o utente) La persona che gestisce l'agente OfficeScansull'dispositivo agente

Server Il programma server OfficeScan

Computer server L'dispositivo dove è installato il server OfficeScan

Amministratore (oamministratore OfficeScan)

La persona che gestisce il server OfficeScan

Console L'interfaccia utente per configurare e gestire leimpostazioni dell'agente e del server OfficeScan.

La console del programma server OfficeScan èdenominata "console Web", mentre la console delprogramma agente OfficeScan è denominata "consoleagente".

Prefazione

xv


Rischio per la sicurezza Termine collettivo per virus/minacce informatiche,spyware/grayware e minacce Web

Servizio licenza Comprende Antivirus, Damage Cleanup Services,Reputazione Web e Anti-spyware, —tutti attivati durantel'installazione del server OfficeScan

Servizio OfficeScan Servizi gestiti tramite Microsoft Management Console(MMC). Ad esempio, ofcservice.exe, il Servizioprincipale OfficeScan.

Programma Comprende l'agente OfficeScan e Plug-in Manager

Componenti Consentono di analizzare, individuare ed eseguireoperazioni contro i rischi per la sicurezza

Cartella diinstallazionedell'agente

La cartella dell'dispositivo che contiene i file dell'agenteOfficeScan. Se durante l'installazione si accettano leimpostazioni predefinite, la cartella di installazione sitrova nei percorsi seguenti:

C:\Programmi\Trend Micro\OfficeScan Client

C:\Programmi (x86)\Trend Micro\ClientOfficeScan

Cartella diinstallazione delserver

La cartella dell'dispositivo che contiene i file del serverOfficeScan. Se durante l'installazione si accettano leimpostazioni predefinite, la cartella di installazione sitrova nei percorsi seguenti:

C:\Programmi\Trend Micro\OfficeScan

C:\Programmi (x86)\Trend Micro\OfficeScan

Ad esempio, se un file specifico si trova in \PCCSRV nellacartella di installazione del server, il percorso completodel file è:

C:\Programmi\Trend Micro\OfficeScan\PCCSRV\nome_file.

Agente Smart Scan Qualsiasi agente OfficeScan configurato per utilizzareSmart Scan


xvi


Agente scansioneconvenzionale

Qualsiasi agente OfficeScan configurato per utilizzare lascansione convenzionale

Dual-stack Entità con indirizzi IPv4 e IPv6.

Ad esempio:

• Dispositivo con indirizzi IPv4 e IPv6

• Agenti OfficeScan installati su dispositivo dual-stack

• Update Agent che distribuiscono gli aggiornamentiagli agenti

• Un server proxy dual-stack, come DeleGate, è ingrado di convertire un indirizzo IPv4 in IPv6 eviceversa

IPv4 puro Un'entità che ha solo un indirizzo IPv4

IPv6 puro Un'entità che ha solo un indirizzo IPv6

Soluzioni plug-in Programmi plug-in e funzioni di OfficeScan disponibiliattraverso Plug-in Manager

Parte IIntroduzione e informazioni

preliminari

1-1

Capitolo 1

Introduzione di OfficeScanIn questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche diTrend Micro™OfficeScan™.


• Informazioni su OfficeScan a pagina 1-2

• Novità della versione a pagina 1-2

• Principali funzioni e vantaggi a pagina 1-9

• Il server OfficeScan a pagina 1-12

• Agente OfficeScan a pagina 1-13

• Integrazione con i prodotti e i servizi Trend Micro a pagina 1-14


1-2

Informazioni su OfficeScanTrend Micro™ OfficeScan™ protegge le reti aziendali da minacce informatiche, virus direte, minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è unasoluzione integrata che comprende un programma agente OfficeScan che risiedenell'dispositivo e un programma server che gestisce tutti gli agenti. L'agente OfficeScancontrolla l'dispositivo e ne segnala lo stato di sicurezza al server. Il server, attraverso laconsole di gestione basata sul Web, permette di impostare criteri di sicurezza coordinatie di implementare gli aggiornamenti in ciascun agente.

Trend Micro Smart Protection Network™, il componente principale di OfficeScan, èun'infrastruttura client cloud di prossima generazione che fornisce soluzioni per lasicurezza migliori rispetto agli approcci tradizionali. La tecnologia "in-the-cloud" unica eun agente leggero consentono di ridurre la dipendenza dai download dei patternconvenzionali e di eliminare i ritardi normalmente associati agli aggiornamenti deidesktop. Le aziende possono godere dei vantaggi offerti dalla maggiore ampiezza dibanda della rete, dalla riduzione delle risorse necessarie e dei risparmi sui costi associati.Gli utenti sfruttano l'accesso immediato alla protezione più recente disponibile daqualsiasi località di accesso alla rete: all'interno della rete aziendale, a casa o in viaggio.

Novità della versioneTrend Micro OfficeScan comprende le nuove funzioni e i miglioramenti seguenti:

Novità nella versione 11.0Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti:

TABELLA 1-1. Miglioramenti del server

FUNZIONE DESCRIZIONE

Strumento dimigrazione SQLDatabase

Gli amministratori possono scegliere di migrare il database delserver CodeBase® esistente su un database SQL Server.

Per i dettagli, consultare Strumento di migrazione SQL Server apagina 13-42.

Introduzione di OfficeScan

1-3


Miglioramenti diSmart ProtectionServer

Questa versione di OfficeScan supporta la versione SmartProtection Server 3.0 aggiornata. Nella versione aggiornata diSmart Protection Server sono stati migliorati i pattern per Servizidi reputazione file. I file di pattern sono stati riprogettati per fornirei seguenti vantaggi:

• Riduzione del consumo della memoria

• Aggiornamenti dei pattern incrementali e rilevamento delpattern Servizi di reputazione file, con una notevole riduzionedel consumo della larghezza di banda

Autenticazione delserver

Le chiavi di autenticazione del server migliorate assicurano chetutte le comunicazioni da e verso il server siano sicure e affidabili.

Per i dettagli, consultare Autenticazione delle comunicazioniavviate dal server a pagina 13-48.

Miglioramento diRole-basedAdministration(RBA)

Il miglioramento di Role-based administration semplifica il modo incui gli amministratori configurano ruoli e account, rendendol'integrazione con Trend Micro Control Manager™ più semplice.

Per i dettagli, consultare Role-based Administration (RBA) apagina 13-2.

Requisiti del serverWeb

È possibile integrare questa versione di OfficeScan con il serverWeb Apache 2.2.25.

Riprogettazionedell'interfaccia delserver OfficeScan

L'interfaccia di OfficeScan è stata riprogettata per fornireun'esperienza più semplice e diretta. Tutte le funzioni disponibilinel server OfficeScan precedente sono tuttora presenti nellaversione aggiornata.

• Le voci di menu principali occupano meno spazio nelleschermate

• Il menu "Preferiti" facilita l'accesso alle schermate utilizzatepiù frequentemente

• Una visualizzazione con presentazione delle schedeDashboard consente di visualizzare i dati dei widget senzadover controllare manualmente la console


1-4


Guida onlinecontestuale basatasul cloud

La guida online basata sul cloud sensibile al contesto aiuta gliamministratori ad avere sempre le informazioni più aggiornateogni volta che il sistema di guida viene aperto. Se la connessionea Internet non è disponibile, OfficeScan passa automaticamenteal sistema di guida online locale fornito con il prodotto.

Piattaforme ebrowser compatibili

OfficeScan supporta i seguenti sistemi operativi:

• Windows Server™ 2012 R2 (server e agente)

• Windows 8.1 (solo agente)

OfficeScan supporta il browser seguente:

• Internet Explorer™ 11.0

TABELLA 1-2. Miglioramenti dell'agente


Ripristino Files inQuarantena

OfficeScan offre agli amministratori la possibilità di ripristinare file"sospetti" rilevati in precedenza e ne aggiunge altri agli elenchi"approvati" a livello di dominio, per impedire ulteriori azioni sui file.

Se un file o un programma viene rilevato e messo in quarantena,gli amministratori possono ripristinare il file sugli agenti in modoglobale o capillare. Gli amministratori possono usare lo strumentodi verifica SHA1 per assicurarsi che i file da ripristinare non sianostati modificati in alcun modo. Dopo il ripristino, OfficeScan è ingrado di aggiungere automaticamente i file agli elenchi diesclusione del dominio, escludendoli da ulteriori scansioni.

Per i dettagli, consultare Ripristino dei file in quarantena a pagina7-45.


1-5


Servizio diprotezione avanzata

Il Servizio di protezione avanzata fornisce le seguenti nuovefunzioni di scansione:

• Prevenzione minaccia browser usa la tecnologia sandbox perprovare il comportamento delle pagine Web in tempo reale erilevare programmi o script dannosi prima che l'agenteOfficeScan sia esposto a minacce.

Per i dettagli, consultare Configurazione dei Criteri direputazione Web a pagina 11-5.

• La scansione della memoria migliorata funziona insieme aMonitoraggio del comportamento per individuare le variantidelle minacce informatiche durante le scansioni in temporeale e intraprendere azioni di quarantena contro le minacce.

Per i dettagli, consultare Impostazioni di scansione a pagina7-29.


1-6


Miglioramenti dellaprotezione dati

Protezione dati OfficeScan è stata migliorata per fornire i seguentivantaggi:

• Data Discovery tramite l'integrazione con Control Manager™:gli amministratori possono configurare i criteri di Prevenzioneperdita di dati su Control Manager per effettuare le scansionidelle cartelle sugli agenti OfficeScan per i file sensibili. Dopoaver rilevato dati sensibili all'interno di un file, ControlManager è in grado di registrare la posizione del file o,tramite l'integrazione con Crittografia dispositivo di TrendMicro, di crittografare automaticamente il file sull'agenteOfficeScan.

• Supporto giustificazione utente: gli amministratori possonoconsentire agli utenti di fornire un motivo che giustifichi iltrasferimento di dati sensibili oppure possono essi stessibloccare le trasmissioni. OfficeScan registra tutti i tentativi ditrasferimento e i motivi forniti dall'utente.

Per i dettagli, consultare Azioni di Prevenzione perdita di datia pagina 10-37.

• Supporto smartphone e tablet: Prevenzione perdita di dati eControllo dispositivo ora possono monitorare e intraprendereazioni sui dati sensibili che vengono inviati ai dispositivi mobilioppure bloccare interamente l'accesso a questi ultimi.

Per i dettagli, consultare Controllo dispositivo a pagina 9-2.

• Identificatore di dati e librerie dei modelli aggiornati: le libreriedi Prevenzione perdita di dati sono state aggiornate con 2nuovi elenchi di parole chiave e 93 nuovi modelli.

• Integrazione dei registri di Controllo dispositivo con ControlManager™


1-7


Miglioramento diImpostazioniconnessionesospetta

Servizi di avvisi contatti Command & Control (C&C) è statoaggiornato per includere quanto segue:

• Elenchi globali di indirizzi IP bloccati e approvati definitidall'utente

Per i dettagli, consultare Configurazione impostazioni deglielenchi di indirizzii IP globali definiti dall'utente a pagina11-13.

• Impronta di rete della minaccia per rilevare i callback C&C

• Configurazione delle azioni flessibile quando vengonorilevate connessioni sospette

Per i dettagli, consultare Configurazione delle impostazioni diconnessione sospetta a pagina 11-14.

• I registri dell'agente e del server C&C registrano il processoresponsabile per i callback C&C

Miglioramenti diPrevenzione delleinfezioni

Prevenzione delle infezioni è stato migliorato per offrire protezionedalle seguenti minacce:

• File compressi eseguibili

Per i dettagli, consultare Divieto di accesso ai file compressieseguibili a pagina 7-115.

• Processi mutex

Per i dettagli, consultare Creazione del trattamento diesclusione reciproca sui file/processi di minacce informatichea pagina 7-114.


1-8


Miglioramenti dellefunzioni diprotezioneautomatica

Le funzioni di protezione automatica disponibili in questa versioneforniscono soluzioni per la sicurezza leggere e di alto livello, per laprotezione sia del server sia dei programmi dell'agenteOfficeScan.

• Soluzione leggera: progettata per piattaforme server perproteggere il processo dell'agente OfficeScan e le chiavi diregistro per impostazione predefinita, senza condizionare leprestazioni del server

• Soluzione di alto livello: migliora la funzione di protezioneautomatica dell'agente disponibile nelle versioni precedenti,grazie a:

• Autenticazione del comando IPC

• Verifica e protezione dei file di pattern

• Protezione dell'aggiornamento dei file di pattern

• Protezione del processo Monitoraggio delcomportamento

Per i dettagli, consultare Protezione automatica dell'agenteOfficeScan a pagina 14-13.


1-9


Miglioramenti per ilrilevamento e leprestazioni dellascansione

• La scansione in tempo reale gestisce una cache di scansionecostante che si ricarica ogni volta che l'agente OfficeScanviene avviato. L'agente OfficeScan tiene traccia di tutte lemodifiche ai file o alle cartelle verificatisi dalla rimozionedell'agente OfficeScan, eliminando questi file dalla cache.

• Questa versione di OfficeScan include elenchi Approvatiglobali per i file di sistema Windows, file con firma digitale daorigini affidabili e file sottoposti a test da Trend Micro. Dopoaver accertato la sicurezza di un file, OfficeScan non eseguealcuna azione sul medesimo.

• I miglioramenti di Damage Cleanup Services fornisconofunzioni di rilevamento migliorate per le minacce rootkitnonché un numero ridotto di falsi positivi tramite la scansioneGeneriClean aggiornata.

• Le impostazioni dei file compressi sono divise tra scansionisu richiesta e scansioni in tempo reale, per un miglioramentodelle prestazioni.

Per i dettagli, consultare Configurare le impostazioni discansione per file compressi di grandi dimensioni a pagina7-74.

• I registri su due livelli forniscono una visualizzazione piùdettagliata per i rilevamenti che gli amministratori intendonoesaminare ulteriormente.

Riprogettazionedell'interfacciadell'agenteOfficeScan

L'interfaccia dell'agente OfficeScan è stata riprogettata per fornireun'esperienza più diretta, facile e moderna. Tutte le funzionidisponibili nel programma client OfficeScan precedente sonotuttora presenti nella versione aggiornata.

L'interfaccia aggiornata consente inoltre agli amministratori di"sbloccare" funzioni amministrative direttamente dalla consoledell'agente OfficeScan, al fine di risolvere rapidamente i problemisenza l'apertura della console Web.

Principali funzioni e vantaggiOfficeScan offre le funzioni e i vantaggi seguenti:


1-10

• Plug-In Manager e soluzioni plug-in

Plug-in Manager consente l'installazione, l'implementazione e la gestione dellesoluzioni plug-in.

Gli amministratori possono installare due tipi di soluzioni plug-in:

• Programmi plug-in

• Funzioni OfficeScan native

• Gestione centralizzata

Una console di gestione basata su Web consente agli amministratori di accedere inmodo trasparente a tutti gli agenti e server della rete. La console Web coordinal'implementazione automatica di criteri di sicurezza, file di pattern e aggiornamentisoftware su ciascun agente e server. Grazie ai servizi di prevenzione delle infezioni,arresta i vettori delle infezioni e implementa rapidamente i criteri di protezionespecifici per attacco al fine di prevenire o contenere le infezioni prima che i file dipattern siano resi disponibili. OfficeScan esegue anche il monitoraggio in temporeale, spedisce notifiche degli eventi e genera relazioni complete. Gli amministratoripossono eseguire l'amministrazione in remoto, impostare criteri personalizzati persingoli desktop o gruppi e bloccare le impostazioni di sicurezza degli agenti.

• Protezione contro i rischi per la sicurezza

OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansionedei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezzaindividuato. Un numero estremamente alto di rischi per la sicurezza individuati inun periodo di tempo breve indica un'infezione. Per contenere le infezioni,OfficeScan implementa i criteri di prevenzione delle infezioni e isola i computerinfetti fino a quando sono completamente privi di rischi.

OfficeScan utilizza Smart Scan per rendere il processo di scansione più efficiente.Questa tecnologia consente di scaricare un gran numero di firme precedentementememorizzate negli dispositivo locali su Origini Smart Protection. Con questoapproccio viene ridotto l'impatto sul sistema e sulla rete del volume sempremaggiore di aggiornamenti delle firme per i sistemi dispositivo.

Per informazioni su Smart Scan e su come implementarlo sugli agenti, vedere Tipidi metodi di scansione a pagina 7-8.


1-11

• Damage Cleanup Services

Damage Cleanup Services™ disinfetta i computer dai virus di rete, da quelli basatisu file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro,file virali) utilizzando un processo completamente automatizzato. Per affrontare leminacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup Services effettuale seguenti operazioni:

• Rileva e rimuove i cavalli di Troia attivi

• Blocca i processi innescati dai cavalli di Troia

• Ripara i file di sistema modificati dai cavalli di Troia

• Elimina i file e le applicazioni lasciati dai cavalli di Troia

Poiché Damage Cleanup Services viene eseguito in background, non è necessarioconfigurarlo. Gli utenti non si rendono neanche conto che il sistema è in funzione.Tuttavia, OfficeScan può a volte richiedere all'utente di riavviare l'dispositivo percompletare il processo di rimozione di un cavallo di Troia.

• Reputazione Web

La tecnologia di reputazione Web protegge in modo proattivo i computer agentiall'interno o all'esterno della rete aziendale da siti Web dannosi e potenzialmentepericolosi. La reputazione Web spezza la catena dell'infezione e impedisce ildownload di codice dannoso.

Per verificare la credibilità delle pagine e dei siti Web è sufficiente integrareOfficeScan con Smart Protection Server o con Trend Micro Smart ProtectionNetwork.

• Firewall di OfficeScan

Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di"stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. Èpossibile creare regole per filtrare le connessioni in base all'applicazione,all'indirizzo IP, al numero di porta o al protocollo e poi applicare tali regole agruppi diversi di utenti.

• Prevenzione perdita di dati


1-12

Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione daperdite accidentali o intenzionali. Prevenzione perdita di dati consente agliamministratori di:

• identificare le risorse digitali da proteggere

• Creare criteri che limitano o impediscono la trasmissione delle risorse digitaliattraverso i comuni canali di trasmissione, ad esempio messaggi e-mail edispositivi esterni

• implementare la conformità alle norme vigenti sulla privacy

• Controllo dispositivo

Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e allerisorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire laperdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce aproteggere dai rischi per la sicurezza.

• Monitoraggio del comportamento

Il Monitoraggio del comportamento controlla costantemente gli agenti alla ricercadi modifiche insolite al sistema operativo o al software installato.

Il server OfficeScanIl server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischiper la sicurezza e gli aggiornamenti degli agenti.

Il server esegue due importanti funzioni:

• Installa, controlla e gestisce gli agenti OfficeScan.

• Scarica la maggior parte dei componenti necessari agli agenti. Il server OfficeScanscarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce agliagenti.

NotaAlcuni componenti vengono scaricati dalle origini Smart Protection. Perinformazioni, vedere Origini Smart Protection a pagina 4-6.


1-13

FIGURA 1-1. Funzionamento del server OfficeScan

Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in temporeale tra il server e gli agenti OfficeScan. Gli agenti sono gestiti da una console Webbasata sul browser a cui l'amministratore può accedere virtualmente da qualsiasi puntodella rete. Il server comunica con l'agente (e l'agente con il server) attraverso HypertextTransfer Protocol (HTTP).

Agente OfficeScanL'installazione dell'agente OfficeScan su ogni dispositivo con sistema operativoWindows consente di proteggere i computer dai rischi per la sicurezza.


1-14

L'agente OfficeScan invia quindi delle notifiche al server principale dal quale è statoinstallato. Configurare gli agenti per inviare le segnalazioni a un altro server utilizzandolo strumento Agent Mover. L'agente invia al server dati in tempo reale sugli eventi esullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacceinformatiche, l'avvio e lo spegnimento dell'agente, l'avvio di una scansione o ilcompletamento di un aggiornamento.

Integrazione con i prodotti e i servizi TrendMicro

OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente.Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguitisulle versioni richieste o consigliate.

TABELLA 1-3. Integrazione di prodotti e servizi con OfficeScan

PRODOTTO/SERVIZIO

DESCRIZIONE VERSIONE

ServerActiveUpdate

Fornisce tutti i componenti necessari agli agentiOfficeScan per proteggere gli agenti dalleminacce alla sicurezza

Non pertinente

SmartProtectionNetwork

Fornisce i Servizi di reputazione file e i Servizi direputazione Web agli agenti.

Smart Protection Network è gestito da TrendMicro.

Non pertinente


1-15

PRODOTTO/SERVIZIO

DESCRIZIONE VERSIONE

SmartProtectionServerstandalone

Fornisce gli stessi Servizi di reputazione file eServizi di reputazione Web offerti da SmartProtection Network.

Smart Protection Server standalone è inteso alocalizzare il servizio per garantire una maggioreefficienza della rete aziendale.

NotaIntegrated Smart Protection Server vieneinstallato con il server OfficeScan. Svolgele stesse funzioni del server standalone,ma le sue capacità sono più limitate.

• 3.0

ControlManager

Una soluzione di gestione software che consentedi controllare a livello centrale i programmiantivirus e di protezione dei contenuti, senzatenere conto della piattaforma o dell'ubicazionefisica del programma.

• 6.0 SP1

(consigliato)

• 6.0

• 5.5 SP1

DeepDiscoveryAdvisor

Deep Discovery fornisce un monitoraggio globaledella rete mediante sandboxing personalizzato einformazioni pertinenti in tempo reale, perconsentire il rilevamento degli attacchi,implementare un contenimento rapido e offrireaggiornamenti di sicurezza personalizzati chemigliorino tempestivamente la protezione controulteriori attacchi.

3.0 e versionesuccessiva

2-1

Capitolo 2

Informazioni preliminari suOfficeScan

In questo capitolo vengono descritte le istruzioni preliminari per TrendMicro™OfficeScan™ e le impostazioni iniziali per la configurazione.


• La console Web a pagina 2-2

• Dashboard a pagina 2-5

• Active Directory Integration a pagina 2-35

• Struttura agente OfficeScan a pagina 2-39

• Domini OfficeScan a pagina 2-52


2-2

La console WebLa console Web è l'elemento centrale per il monitoraggio di in tutta la rete aziendale. Laconsole ha una serie di impostazioni e valori predefiniti che possono essere configuratiin base ai requisiti e alle specifiche di protezione. La console Web utilizza tecnologieInternet standard quali Java, CGI, HTML e HTTPS.

Nota

Configurare le impostazioni di timeout dalla console Web. Consultare Impostazioni dellaconsole Web a pagina 13-53.

Utilizzare la console Web per eseguire le operazioni riportate di seguito:

• Gestire gli agenti installati sui computer collegati in rete

• Raggruppare gli agenti in domini logici per consentire configurazione e gestionesimultanee

• Impostare le configurazioni di scansione e avviare la scansione manuale su uno opiù computer collegati in rete

• Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registriinviati dagli agenti

• Configurare i criteri e le notifiche per le infezioni

• Delegare operazioni di amministrazione della console Web ad altri amministratoriOfficeScan mediante la configurazione di ruoli e account utente

• Accertarsi che gli agenti siano conformi con le linee guida sulla sicurezza

Nota

La console Web non è supportata da Windows 8, 8.1 o Windows Server 2012 in modalitàinterfaccia utente di Windows.

Informazioni preliminari su OfficeScan

2-3

Requisiti per l'apertura della console WebAprire la console Web da un dispositivo della rete che abbia i requisiti riportati diseguito:

• Processore Intel ™ Pentium™ da 300 MHz o equivalente

• 128 MB di RAM

• Almeno 30 MB di spazio disponibile su disco

• Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore

• Microsoft Internet Explorer™ 8.0 o versione successiva

NotaPer la visualizzazione della console Web, OfficeScan supporta solo il traffico HTTPS.

Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, aseconda del tipo di installazione prevista per il server OfficeScan:

TABELLA 2-1. URL della console Web OfficeScan

TIPO DI INSTALLAZIONE URL

Senza SSL su un sito predefinito https://<server OfficeScan FQDN oindirizzo IP>/OfficeScan

Senza SSL su un sito virtuale https://<server OfficeScan FQDN oindirizzo IP>:<numero di portaHTTP>/OfficeScan

Con SSL su un sito predefinito https://<server OfficeScan FQDN oindirizzo IP>/OfficeScan

Con SSL su un sito virtuale https://<server OfficeScan FQDN oindirizzo IP>/OfficeScan


2-4

NotaSe è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browserWeb e i file della cache del server proxy potrebbero impedire il corretto caricamento dellaconsole Web OfficeScan. Cancellare la memoria della cache sul browser e su qualunqueserver proxy che si trova tra il server OfficeScan e l'dispositivo usato per accedere allaconsole Web.

Account di accessoDurante l'installazione del server OfficeScan il programma crea un account principale(root) e richiede di digitare la password per tale account. Quando si apre la console Webper la prima volta, digitare "root" come nome utente e come password dell'accountprincipale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica perreimpostarla.

Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti diaccedere alla console Web senza utilizzare l'account principale (root). Quando gli utentiaccedono alla console possono utilizzare gli account utente impostati per loro. Perulteriori informazioni, consultare Role-based Administration (RBA) a pagina 13-2.

Il banner della console WebL'area del banner della console Web presenta le opzioni riportate di seguito:

FIGURA 2-1. Area banner della console Web

• Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possonoinviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro

• Altro

• Enciclopedia delle minacce: visualizza il sito Web Enciclopedia delleminacce, archivio di Trend Micro per le informazioni relative alle minacceinformatiche. Gli esperti Trend Micro sulle minacce pubblicano regolarmente


2-5

rilevamenti di minacce informatiche, spam, URL dannosi e vulnerabilità.L'Enciclopedia delle minacce illustra inoltre gli attacchi Web di alto profilo efornisce informazioni correlate.

• Trova un rivenditore: visualizza il sito Web Trend Micro Contatti coninformazioni sulle sedi in tutto il mondo.

• Informazioni su: fornisce una panoramica del prodotto, le istruzioni percontrollare i dettagli della versione dei componenti e un collegamento aSistema di supporto intelligente. Per i dettagli, consultare Sistema di supportointelligente a pagina 16-2.

• <nome account>: fare clic sul nome account (ad esempio, root) per modificare idettagli dell'account, ad esempio la password.

• Disconnetti: consente di disconnettersi dalla console Web

DashboardLa Dashboard viene visualizzata quando si apre la console Web OfficeScan o si fa clicsu Dashboard nel menu principale.

Ciascun account utente della console Web ha una dashboard completamenteindipendente. Qualunque modifica alla dashboard di un account utente non riguarda ledashboard di altri account utente.

Se una dashboard contiene i dati dell'agente OfficeScan, i dati che vengono visualizzatidipendono dalle autorizzazioni del dominio agente per l'account utente. Ad esempio, sevengono concesse autorizzazioni ad un account utente per la gestione dei domini A e B,la dashboard dell'account utente visualizzerà solamente i dati degli agenti appartenenti aidomini A e B.

Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) apagina 13-2.

La schermata Dashboard contiene:

• Sezione dello stato della licenza del prodotto

• Widget


2-6

• Schede

Sezione dello stato della licenza del prodotto

Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato dellelicenze OfficeScan.

FIGURA 2-2. Sezione dello stato della licenza del prodotto

Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze:

• Se si dispone di una licenza per la versione completa:

• 60 giorni prima della scadenza della licenza

• Durante il periodo di proroga per il prodotto. La durata del periodo diproroga varia a seconda dell'area geografica. Verificare il periodo di prorogacon il rappresentante Trend Micro.

• Alla scadenza della licenza e al termine del periodo di proroga. In questoperiodo non sarà possibile ottenere l'assistenza tecnica o effettuarel'aggiornamento dei componenti. I motori di scansione continueranno aeffettuare l'analisi dei computer utilizzando componenti obsoleti. Talicomponenti obsoleti potrebbero non proteggere in maniera completa dai piùrecenti rischi per la sicurezza.

• Se si dispone di una licenza per la versione di prova:

• 14 giorni prima della scadenza della licenza

• Alla scadenza della licenza. In questo periodo OfficeScan disattival'aggiornamento dei componenti, la scansione e tutte le funzionalità degliagenti.


2-7

Se si dispone di un codice di attivazione, rinnovare una licenza accedendo aAmministrazione > Impostazioni > Licenza del prodotto.

Barre delle informazioni sul prodottoOfficeScan visualizza una serie di messaggi nella parte superiore della schermataDashboard che forniscono informazioni aggiuntive per gli amministratori.

Le informazioni visualizzate includono:

• Service pack o patch più recenti disponibili per OfficeScan

NotaFare clic su Ulteriori informazioni per scaricare la patch dal Centro downloadTrend Micro (http://downloadcenter.trendmicro.com/?regs=IT).

• Nuovi widget disponibili

• Notifiche dei certificati di autenticazione quando il certificato corrente scade oquando non è presente un backup

• Notifiche per i contratti di manutenzione quando la data di scadenza del contrattoè prossima

• Notifiche per le modalità di valutazione

• Notifiche di autenticità

NotaSe la licenza usata per OfficeScan non è originale, verrà visualizzato un messaggio diinformazioni. Se non si riceve una licenza originale, OfficeScan visualizza un avviso einterrompe l'esecuzione degli aggiornamenti.

Schede e widgetI widget sono i componenti principali della dashboard. I widget forniscono informazionispecifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguiredeterminate operazioni, quali l'aggiornamento di componenti obsoleti.

http://downloadcenter.trendmicro.com/?regs=IT


2-8

Le informazioni che i widget visualizzano provengono da:

• Agenti e server OfficeScan

• Soluzioni plug-in e relativi agenti

• Trend Micro Smart Protection Network

Nota

Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulterioriinformazioni su Smart Feedback, vedere Smart Feedback a pagina 13-58.

Le schede forniscono un contenitore per i widget. La Dashboard supporta fino a 30schede.

Utilizzo delle schede

Gestire le schede effettuando le seguenti operazioni:

TABELLA 2-2. Operazioni schede

OPERAZIONE PASSAGGI

Aggiungere unanuova scheda

1. Fare clic sull'icona di aggiunta sulla parte superiore delladashboard. Viene visualizzata una nuova schermata.

2. Inserire le seguenti informazioni.

• Titolo: il nome della scheda

• Layout: scegliere uno dei layout disponibili

• Adatta automaticamente: attivare Adattaautomaticamente se si seleziona un layout con diversecaselle (quali " ") e ciascuna casella conterrà solo unwidget. Adatta automaticamente modifica i widget peradattare le dimensioni a quelle di una casella.

3. Fare clic su Salva.


2-9

OPERAZIONE PASSAGGI

Modificare leimpostazioni dellascheda

1. Fare clic su Impostazioni scheda sull'angolo in alto a destradella scheda. Viene visualizzata una nuova schermata.

2. Modificare il nome della scheda, il layout e le impostazioni diadattamento automatico.


Spostare unascheda

Usare la funzionalità di trascinamento per cambiare la posizionedella scheda.

Eliminare unascheda

Fare clic sull'icona di eliminazione accanto al titolo della scheda.

Eliminare una scheda comporta l'eliminazione di tutti i widget dellascheda.

Utilizzo dei Widget

Gestire i widget effettuando le seguenti operazioni:

TABELLA 2-3. Operazioni widget

OPERAZIONE PASSAGGI

Scorri schedeautomaticamente

Fare clic su Scorri schede automaticamente per spostarsiautomaticamente tra le visualizzazioni delle schede.


2-10

OPERAZIONE PASSAGGI

Aggiungere un nuovowidget

1. Fare clic sulla scheda.

2. Fare clic su Aggiungi widget sull'angolo in alto a destradella scheda. Viene visualizzata una nuova schermata.

3. Selezionare i widget da aggiungere. Per un elenco deiwidget disponibili, vedere Widget disponibili a pagina2-12.

• Fare clic sulle icone di visualizzazione ( )nella sezione superiore della schermata per passareda Visualizzazione dettagliata a Visualizzazione diriepilogo.

• Le categorie di widget si trovano alla sinistra dellaschermata. Selezionare una categoria per restringerele selezioni.

• Utilizzare la casella di testo per la ricerca sull partesuperiore della schermata per cercare un widgetspecifico.

4. Fare clic su Aggiungi.

Spostare un widget Utilizzare la funzionalità di trascinamento per spostare i widgetin diverse posizioni all'interno della scheda.

Ridimensionare unwidget

Ridimensionare i widget su di una scheda multicolonnapuntando il cursore sul bordo del widget e muovendolo versodestra o sinistra.

Modificare il titolo delwidget

1. Fare clic sull'icona di modifica ( ). Viene visualizzatauna nuova schermata.

2. Immettere il nuovo titolo.

NotaPer alcuni widget, quali OfficeScan e Plug-inMashup, le voci relative ai widget possono esseremodificate.



2-11

OPERAZIONE PASSAGGI

Aggiornare i dati delwidget

Fare clic sull'icona di aggiornamento ( ).

Eliminare un widget Fare clic sull'icona di eliminazione ( ).

Schede e widget predefiniti

La Dashboard viene fornita con un set di schede e widget predefiniti. È possibilerinominare o eliminare le schede e i widget.

TABELLA 2-4. Schede predefinite nella Dashboard

SCHEDA DESCRIZIONE WIDGET

OfficeScan Questa scheda contiene le stesseinformazioni trovate nella schermataDashboard nelle precedenti versioni diOfficeScan. In questa scheda èpossibile visualizzare la protezione dairischi per la sicurezza globale della reteOfficeScan. Inoltre, è possibileeffettuare delle azioni su voci cherichiedono un intervento immediato,quali le infezioni o i componentiobsoleti.

• Widget Agenti antivirusconnessi a pagina 2-15

• Widget Rilevamenti deirischi per la sicurezza apagina 2-19

• Widget Infezioni a pagina2-19

• Widget Aggiornamentiagente a pagina 2-22

OfficeScan eplug-in

Questa scheda mostra quali agentieseguono l'agente OfficeScan e lesoluzioni plug-in. Utilizzare questascheda per valutare lo stato disicurezza complessivo degli agenti.

Widget OfficeScan e Plug-insMashup a pagina 2-23


2-12

SCHEDA DESCRIZIONE WIDGET

SmartProtectionNetwork

Questa scheda contiene informazioniper Trend Micro Smart ProtectionNetwork, che fornisce Servizi direputazione file e Servizi di reputazioneWeb agli agenti OfficeScan.

• Widget Origini delleminacce principali dellareputazione Web apagina 2-29

• Widget Principali utentiminacciati dellareputazione Web apagina 2-30

• Widget Mappa delleminacce dellareputazione file a pagina2-31

Widget disponibili

In questa versione sono disponibili i seguenti widget:

TABELLA 2-5. Widget disponibili

NOME WIDGET DISPONIBILITÀ

Agenti antivirus connessi Disponibilità standard

Per i dettagli, consultare Widget Agenti antivirusconnessi a pagina 2-15.

Rilevamenti dei rischi perla sicurezza

Disponibilità standard

Per i dettagli, consultare Widget Rilevamenti dei rischiper la sicurezza a pagina 2-19.

Infezioni Disponibilità standard

Per i dettagli, consultare Widget Infezioni a pagina2-19.

Aggiornamenti agente Disponibilità standard

Per i dettagli, consultare Widget Aggiornamenti agente apagina 2-22.


2-13


OfficeScan e Plug-insMashup

Disponibilità standard ma solo con visualizzazione deidati sugli agenti OfficeScan

I dati provenienti dalle seguenti soluzioni plug-in sonodisponibili successivamente all'attivazione di ciascunasoluzione:

• Firewall di difesa dalle intrusioni

• Supporto Trend Micro Virtual Desktop

Per i dettagli, consultare Widget OfficeScan e Plug-insMashup a pagina 2-23.

Incidenti di Prevenzioneperdita di dati principali

Disponibile dopo l'attivazione di Protezione datiOfficeScan

Per i dettagli, consultare Widget Incidenti di Prevenzioneperdita di dati principali a pagina 2-24.

Incidenti di Prevenzioneperdita di dati per periododi tempo

Disponibile dopo l'attivazione di Protezione datiOfficeScan

Per i dettagli, consultare Widget Incidenti di Prevenzioneperdita di dati per periodo di tempo a pagina 2-26.

Origini delle minacceprincipali della reputazioneWeb


Per i dettagli, consultare Widget Origini delle minacceprincipali della reputazione Web a pagina 2-29.

Principali utenti minacciatidella reputazione Web


Per i dettagli, consultare Widget Principali utentiminacciati della reputazione Web a pagina 2-30.

Mappa delle minacce dellareputazione file


Per i dettagli, consultare Widget Mappa delle minaccedella reputazione file a pagina 2-31.

Eventi di callback C&C Disponibilità standard

Per i dettagli, consultare Widget Eventi di callback C&Ca pagina 2-27.


2-14


IDF - Stato di avviso Disponibile successivamente all'attivazione di IntrusionDefense Firewall. Fare riferimento alla documentazionedi IDF per i dettagli relativi a questi widget.IDF - Stato del computer

IDF - Cronologia eventidella rete

IDF - Cronologia eventi delsistema

Widget Connettività agente e server

Il widget Connettività agente e server visualizza lo stato della connettività di tutti gliagenti con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico atorta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone divisualizzazione ( ).

FIGURA 2-3. Widget Connettività agente e server che visualizza una tabella


2-15

Widget Agenti antivirus connessi

Il widget Agenti antivirus connessi visualizza lo stato della connettività degli agentiantivirus con il server OfficeScan. I dati vengono visualizzati in una tabella e in ungrafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle iconedi visualizzazione ( ).

FIGURA 2-4. Widget Agenti antivirus connessi che visualizza una tabella

Widget Agenti antivirus connessi sotto forma di tabella

La tabella suddivide gli agenti per metodi di scansione.

Se il numero degli agenti per un determinato stato è 1 o maggiore, è possibile fare clicsul numero per visualizzarli nella struttura agente. È possibile avviare delle operazioni sutali agenti o modificare le relative impostazioni.


2-16

Per visualizzare solo gli agenti che utilizzano un particolare metodo di scansione, fareclic su Tutti, quindi selezionare il metodo di scansione.

FIGURA 2-5. Stato della connessione degli agenti con scansione convenzionale

FIGURA 2-6. Stato della connessione degli agenti con Smart Scan


2-17

Se si seleziona Smart Scan:

• La tabella riporta gli agenti Smart Scan online in base allo stato di connessione congli Smart Protection Server.

Nota

Solo gli agenti online possono segnalare lo stato di connessione con Smart ProtectionServer.

Se gli agenti non sono connessi a uno Smart Protection Server, ripristinare laconnessione tramite l'esecuzione della procedura descritta in Soluzioni ai problemiriportati nelle icone dell'agente OfficeScan a pagina 14-40.

• Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia laconsole del server.

• Se sono presenti più Smart Protection Server, fare clic su ALTRO. Vienevisualizzata una nuova schermata con tutti gli Smart Protection Server.

FIGURA 2-7. Elenco Smart Protection Server

In questa schermata, è possibile:

• Visualizzare tutti gli Smart Protection Server a cui si connettono gli agenti e inumeri di agenti connessi a ciascun server. Se si fa clic sul numero viene aperta lastruttura agente dove è possibile gestire le impostazioni degli agenti.


2-18

• Avviare la console di un server facendo clic sul collegamento del server

Widget Agenti antivirus connessi sotto forma di grafico a torta

Il grafico a torta visualizza solamente il numero di agenti per ciascuno stato e non lisuddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo siricongiunge, alla restante porzione del grafico.

FIGURA 2-8. Widget Agenti antivirus connessi che visualizza un grafico a torta


2-19

Widget Rilevamenti dei rischi per la sicurezza

Il widget Rilevamenti rischi per la sicurezza visualizza il numero di rischi per lasicurezza e di dispositivi infetti.

FIGURA 2-9. Widget Rilevamenti dei rischi per la sicurezza

Se il numero degli dispositivi infetti è 1 o maggiore, è possibile fare clic sul numero pervisualizzarli nella struttura agente. È possibile avviare delle operazioni sugli agentipresenti su tali dispositivo o modificare le relative impostazioni.

Widget Infezioni

Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso diinfezione.

FIGURA 2-10. Widget Infezioni


2-20

In questo widget è possibile:

• Visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/oradell'avviso.

• Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazionisull'avviso di infezione e implementare immediatamente le misure di prevenzionedelle infezioni. Per ulteriori informazioni sull'implementazione delle misure diprevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina7-110.

• Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza pervisualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di


2-21

rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata unanuova schermata.

FIGURA 2-11. Schermata Statistiche sui primi 10 rischi per la sicurezza per glidispositivo collegati in rete

Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile:

• Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic suun nome di un rischio per la sicurezza.

• Visualizzare lo stato generale di un determinato dispositivo facendo clic sul nomedell'dispositivo.

• Per visualizzare i registri dei rischi per la sicurezza relativi a un dispositivo, fare clicsu Visualizza in corrispondenza del nome dell'dispositivo.


2-22

• Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimpostaconteggio.

Widget Aggiornamenti agente

Il widget Aggiornamenti agente visualizza i componenti e i programmi cheproteggono gli dispositivo collegati in rete contro i rischi per la sicurezza.

FIGURA 2-12. Widget Aggiornamenti agente


• Visualizzare la versione attuale di ciascun componente.

• Visualizzare il numero di agenti con componenti obsoleti nella colonna Nonaggiornato. Se sono presenti agenti che devono essere aggiornati, fare clic sulcollegamento numerico per avviare l'aggiornamento.

• Per ciascun programma, visualizzare gli agenti che non sono stati aggiornatifacendo clic sul collegamento numerico corrispondente al programma.


2-23

Widget OfficeScan e Plug-ins Mashup

Il widget OfficeScan e Plug-ins Mashup combina i dati degli agenti OfficeScan e deiprogrammi di plug-in installati e li visualizza in una struttura agente. Questo widget aiutaa valutare rapidamente la copertura di protezione sugli agenti e riduce il sovraccaricorichiesto per la gestione dei programmi di plug-in individuali.

FIGURA 2-13. Widget OfficeScan e Plug-ins Mashup

Questo widget visualizza i dati per i seguenti programmi di plug-in:

• Firewall di difesa dalle intrusioni

• Supporto Trend Micro Virtual Desktop

Questi programmi di plug-in devono essere attivati affinché il widget mashup possavisualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamentodei programmi di plug-in.


• Scegliere le colonne visualizzate nella struttura agente. Fare clic sull'icona dimodifica ( ) sull'angolo in alto a destra del widget, quindi selezionare le colonnenella schermata visualizzata.


2-24

TABELLA 2-6. Colonne OfficeScan e Plug-ins Mashup

NOME COLONNA DESCRIZIONE

Nome computer Nome Dispositivo

Questa colonna è sempre disponibile e non può essererimossa.

Gerarchia dominio Il dominio dell'dispositivo nella struttura agenteOfficeScan.

Stato dellaconnessione

La connettività degli agenti OfficeScan con il relativoserver OfficeScan principale.

Virus/minacceinformatiche

Il numero di virus e minacce informatiche rilevatidall'agente OfficeScan

Spyware/Grayware Il numero di spyware e grayware rilevati dall'agenteOfficeScan

Supporto VDI Indica se l'dispositivo è una macchina virtuale.

Profilo sicurezza IDF Fare riferimento alla documentazione di IDF per i dettaglirelativi a queste colonne e ai relativi dati.

Firewall IDF

Stato IDF

DPI IDF

• Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, verràvisualizzata la struttura agente OfficeScan. Se si fa doppio clic sui dati deiprogrammi di plug-in (ad eccezione dei dati della colonna Supporto VDI), verràvisualizzata la schermata principale dei programmi di plug-in.

• Utilizzare la funzionalità di ricerca per trovare dispositivo individuali. È possibileimmettere il nome completo o una parte del nome dell'host.

Widget Incidenti di Prevenzione perdita di dati principali

Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.


2-25

Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentementedall'azione (blocca o ignora).

FIGURA 2-14. Widget Incidenti di Prevenzione perdita di dati principali

Per visualizzare i dati:

1. Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioniillustrate di seguito.

• Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente

• 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente

• 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente

• 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente

2. Dopo aver selezionato il periodo di tempo, scegliere tra:

• Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza

• Canale: canali usati per trasmettere risorse digitali con maggiore frequenza

• Modello: modelli di risorse digitali che hanno avviato la maggior parte deirilevamenti

• Computer: computer che hanno trasmesso risorse digitali con maggiorefrequenza


2-26

Nota

Questo widget visualizza al massimo 10 utenti, canali, modelli o computer.

Widget Incidenti di Prevenzione perdita di dati per periododi tempo

Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.

Questo widget traccia il numero di trasmissioni di risorse digitali in un determinatoperiodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate(consentite).

FIGURA 2-15. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo

Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sonodisponibili le opzioni illustrate di seguito.

• Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente

• 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente


2-27

• 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente

• 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente

Widget Eventi di callback C&C

Il widget Eventi di callback C&C mostra tutte le informazioni sugli eventi di callbackC&C, compresa la destinazione dell'attacco e l'indirizzo di callback dell'origine.

Gli amministratori possono scegliere di visualizzare le informazioni di callback C&C daun elenco di server C&C specifici. Per selezionare l'origine dell'elenco (GlobalIntelligence, Virtual Analyzer), fare clic sull'icona di modifica ( ) e selezionare l'elencodal menu a discesa Origine elenco C&C.

Visualizzare i dati di callback C&C selezionando quanto segue:

• Host compromesso: visualizza le informazioni C&C più recenti per per ciascundispositivo di destinazione

FIGURA 2-16. Widget Eventi di callback C&C che mostra le informazioni delladestinazione

TABELLA 2-7. Informazioni host compromesso

COLONNA DESCRIZIONE

Host compromesso Nome dell'dispositivo destinazione dell'attacco C&C


2-28

COLONNA DESCRIZIONE

Indirizzo di callback Numero di indirizzi di callback che l'dispositivo ha tentatodi contattare

Ultimo indirizzo dicallback

Ultimo indirizzo di callback che l'dispositivo ha tentato dicontattare

Tentativi di callback Numero di tentativi da parte dell'dispositivo didestinazione di contattare l'indirizzo di callback

NotaFare clic sul collegamento ipertestuale per aprire laschermata Registri dei callback C&C e pervisualizzare informazioni più dettagliate.

• Indirizzo di callback: visualizza le informazioni C&C più recenti per ciascunindirizzo di callback C&C

FIGURA 2-17. Widget Eventi di callback C&C che mostra le informazionisull'indirizzo di callback


2-29

TABELLA 2-8. Informazioni sull'indirizzo C&C

COLONNA DESCRIZIONE

Indirizzo di callback Indirizzo di callback C&C originato dalla rete

Livello di rischio C&C Livello di rischio dell'indirizzo di callback determinatodall'elenco Global Intelligence o Virtual Analyzer

Host compromessi Numero di dispositivo di destinazione dell'indirizzo dicallback

Ultimo hostcompromesso

Nome dell'ultimo dispositivo che ha tentato di contattarel'indirizzo di callback C&C

Tentativi di callback Numero di tentativi di callback effettuati dalla rete versol'indirizzo

NotaFare clic sul collegamento ipertestuale per aprire laschermata Registri dei callback C&C e pervisualizzare informazioni più dettagliate.

Widget Origini delle minacce principali della reputazioneWeb

Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezzaeffettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una


2-30

mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questowidget, fare clic sul pulsante Guida ( ) nella parte superiore del widget.

FIGURA 2-18. Widget Origini delle minacce principali della reputazione Web

Widget Principali utenti minacciati della reputazione Web

Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi direputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla


2-31

località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsanteGuida ( ) nella parte superiore del widget.

FIGURA 2-19. Widget Principali utenti minacciati della reputazione Web

Widget Mappa delle minacce della reputazione file

Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezzaeffettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa


2-32

mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fareclic sul pulsante Guida ( ) nella parte superiore del widget.

FIGURA 2-20. Widget Mappa delle minacce della reputazione file

Strumento di migrazione del serverOfficeScan fornisce lo Strumento di migrazione del server, che consente agliamministratori di copiare le impostazioni OfficeScan dalle versioni precedenti allaversione corrente. Lo Strumento di migrazione del server esegue la migrazione delleimpostazioni seguenti:

• Strutture dei domini • Impostazioni aggiuntive del servizio*

• Impostazioni scansione manuale* • Elenco approvati spyware/grayware*


2-33

• Impostazioni scansione pianificata* • Impostazioni globali agente

• Impostazioni scansione in temporeale*

• Posizione dispositivo (computer)

• Impostazioni funzione Eseguiscansione*

• Criteri e profili del firewall

• Impostazioni di reputazione Web* • Origini Smart Protection

• Elenco URL approvato* • Pianificazione aggiornamento delserver

• Impostazioni del monitoraggio delcomportamento*

• Pianificazione e originedell'aggiornamento dell'agente (client)

• Impostazioni di controllo dispositivo* • Notifiche

• Impostazioni di Prevenzione perdita didati*

• Impostazioni proxy

• Privilegi e altre impostazioni* • Porta dell'agente (client) OfficeScan eClient_LocalServer_Port nel fileofcscan.ini

Nota

• Le impostazioni con un asterisco (*) mantengono le configurazioni sia a livelloprincipale sia al livello di dominio.

• Lo strumento non effettua il backup degli elenchi dell'agente OfficeScan nel serverOfficeScan ma solo delle strutture dei domini.

• L'agente OfficeScan esegue la migrazione solo delle funzioni disponibili sulla versioneprecedente del server dell'agente OfficeScan. Per funzioni che non sono disponibilisulla versione precedente, l'agente OfficeScan applica le impostazioni predefinite.


2-34

Utilizzo dello Strumento di migrazione del server

Nota

Questa versione di OfficeScan supporta le migrazioni da OfficeScan versione 10.0 esuccessive.

Le versioni precedenti di OfficeScan potrebbero non contenere tutte le impostazionidisponibili nella versione più recente. OfficeScan applica automaticamente le impostazionipredefinite per ogni funzione non migrata nella versione del server OfficeScan precedente.

Procedura

1. Nel computer server OfficeScan 11.0, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ServerMigrationTool.

2. Copiare lo Strumento di migrazione del server sul computer del server OfficeScandi origine.

Importante

Usare lo Strumento di migrazione del server di OfficeScan 11.0 della versione delserver OfficeScan di origine per garantire la corretta formattazione di tutti i dati per ilnuovo server di destinazione. OfficeScan 11.0 non è compatibile con le versioniprecedenti dello Strumento di migrazione del server.

3. Fare doppio clic su ServerMigrationTool.exe per avviare lo Strumento dimigrazione del server.

Lo Strumento di migrazione del server viene aperto.

4. Per esportare le impostazioni dal server OfficeScan di origine:

a. Specificare la cartella di destinazione utilizzando il pulsante Sfoglia.

Nota

Il nome predefinito del pacchetto di esportazione è OsceMigrate.zip.

b. Fare clic sul pulsante Esporta.


2-35

Viene visualizzato un messaggio che richiede la conferma dell'operazione.

c. Copiare il pacchetto di esportazione nel server OfficeScan di destinazione.

5. Per importare le impostazioni nel server OfficeScan di destinazione:

a. Individuare il pacchetto di esportazione utilizzando il pulsante Sfoglia.

b. Fare clic su Importa.

Viene visualizzato un messaggio di avviso.

c. Fare clic su Sì per procedere.

Viene visualizzato un messaggio che richiede la conferma dell'operazione.

6. Verificare che il server contenga tutte le impostazioni della versione di OfficeScanprecedente.

7. Spostare gli agenti OfficeScan precedenti nel nuovo server.

Per ulteriori informazioni sullo spostamento degli agenti OfficeScan, vedereSpostamento di agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-61 oAgent Mover a pagina 14-23.

Active Directory IntegrationL'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consentedi gestire gli agenti OfficeScan in modo più efficiente, di assegnare le autorizzazioni perla console Web tramite gli account Active Directory e di determinare in quali agenti nonè installato il software di protezione. Tutti gli utenti del dominio della rete possono avereaccesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitatoper utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo diautenticazione e la chiave di crittografia convalidano le credenziali degli utenti.

L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioniindicate di seguito:

• Role-based Administration (RBA): consente di assegnare agli utentiresponsabilità amministrative specifiche concedendo loro l'accesso alla console del


2-36

prodotto mediante i loro account Active Directory. Per i dettagli, consultare Role-based Administration (RBA) a pagina 13-2.

• Personalizza gruppi di agenti: consente di utilizzare Active Directory o gliindirizzi IP per raggruppare gli agenti in modo manuale e associarli ai domini dellastruttura agente OfficeScan. Per i dettagli, consultare Raggruppamento automatico agentia pagina 2-54.

• Gestione server esterni: assicurarsi che i computer della rete che non sono gestitidal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per idettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-70.

Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il serverOfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione deidati con i domini di Active Directory a pagina 2-38.

Integrazione di Active Directory con OfficeScan

Procedura

1. Accedere a Amministrazione > Active Directory > Active DirectoryIntegration.

2. In Domini Active Directory specificare il nome del dominio Active Directory.

3. Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazionedei dati con il dominio Active Directory specificato. Le credenziali sonoobbligatorie se il server non appartiene al dominio. In caso contrario, le credenzialisono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server nonsarà in grado di sincronizzare i dati.

a. Fare clic su Specificare le credenziali di dominio.

b. Nella finestra popup visualizzata, immettere il nome utente e la password. Ilnome utente può essere specificato in uno dei seguenti formati:

• dominio\nome utente

• nomeutente@dominio

c. Fare clic su Salva.


2-37

4. Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare lecredenziali per i domini eventualmente aggiunti.

5. Fare clic sul pulsante ( ) per eliminare i domini.

6. Specificare le impostazioni di crittografia se sono state specificate le credenziali peri domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominiospecificate dall'utente prima di salvarle nel database. Quando OfficeScansincronizza i dati con uno dei domini specificati, usa una chiave di crittografia perdecodificare le credenziali del dominio.

a. Andare alla sezione Impostazioni di crittografia per le credenziali deldominio.

b. Immettere una chiave di crittografia non superiore a 128 caratteri.

c. Specificare un file in cui salvare la chiave di crittografia. È possibile scegliereun comune formato di file, come .txt. Includere il nome e il percorsocompleto del file, ad esempio C:\AD_Encryption\EncryptionKey.txt.

AVVERTENZA!

se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà ingrado di sincronizzare i dati con i domini specificati.

7. Fare clic su una delle opzioni riportate di seguito.

• Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiedeuna notevole quantità di risorse della rete, è possibile scegliere di salvare solole impostazioni e di eseguire la sincronizzazione successivamente, ad esempiodurante le ore con minore carico di lavoro.

• Salva e sincronizza: Salva le impostazioni e sincronizza i dati con i dominiActive Directory.

8. Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione deidati con i domini di Active Directory a pagina 2-38.


2-38

Sincronizzazione dei dati con i domini di Active Directory

Sincronizzare i dati con i domini Active Directory regolarmente in modo che la strutturaagente OfficeScan sia sempre aggiornata e per inviare query agli agenti non gestiti.

Sincronizzazione manuale dei dati con i domini di ActiveDirectory

Procedura

1. Accedere a Amministrazione > Active Directory > Active DirectoryIntegration.

2. Verificare che le credenziali dei domini e le impostazioni di crittografia non sianocambiate.

3. Fare clic su Salva e sincronizza.

Sincronizzazione automatica dei dati con i domini di ActiveDirectory

Procedura

1. Accedere a Amministrazione > Active Directory > Sincronizzazionepianificata.

2. Selezionare Attiva sincronizzazione pianificata di Active Directory.

3. Specificare la pianificazione di sincronizzazione.

Nota

Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica ilnumero di ore che OfficeScan destina alla sincronizzazione di Active Directory con ilserver OfficeScan.


2-39


Struttura agente OfficeScanLa struttura agente OfficeScan visualizza tutti gli agenti raggruppati in dominiattualmente gestiti dal server. Gli agenti sono raggruppati in domini per consentire diconfigurare e gestire contemporaneamente tutti i membri del dominio, nonché diassegnare loro la stessa configurazione.

La struttura agente viene visualizzata nel riquadro principale quando si accede adeterminate funzioni dal menu principale.

FIGURA 2-21. Struttura agente OfficeScan

Icone della struttura agente

Le icone della struttura agente di OfficeScan offrono suggerimenti visivi che indicano iltipo di dispositivo e lo stato degli agenti OfficeScan gestiti da OfficeScan.


2-40

TABELLA 2-9. Icone della struttura agente di OfficeScan

ICONA DESCRIZIONE

Dominio

Root

Update agent

Agente scansione convenzionale

Smart Scan disponibile nell'agente OfficeScan

Smart Scan non disponibile nell'agente OfficeScan

Smart Scan disponibile in Update Agent

Smart Scan non disponibile in Update Agent

Operazioni generali della struttura agente

Di seguito è riportato un elenco delle operazioni generali possibili quando vienevisualizzata la struttura agente:

Procedura

• Per selezionare tutti i domini e tutti gli agenti, fare clic sull'icona del dominio root( ). Quando viene selezionata l'icona del dominio root e si sceglie un'operazioneal di sopra della struttura agente, viene visualizzata una schermata per laconfigurazione delle impostazioni. Nella schermata scegliere le seguenti opzionigenerali:


2-41

• Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti ea qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I dominifuturi sono i domini non ancora creati al momento della configurazione delleimpostazioni.

• Applica soltanto ai domini futuri: applica le impostazioni solo agli agentiaggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuoviagenti aggiunti a un dominio esistente.

• Per selezionare più agenti o domini adiacenti:

• Nel pannello situato a destra, selezionare il primo dominio, tenere premuto iltasto MAIUSC e fare clic sull'ultimo dominio o agente dell'intervallo.

• Per selezionare un intervallo di agenti o domini non adiacenti, nel pannello situatoa destra, tenere premuto il tasto CTRL e fare clic sui domini o agenti che sidesidera selezionare.

• È possibile cercare un determinato agente, specificando il nome dell'agente nellacasella di testo Cerca dispositivo.

L'elenco dei risultati viene visualizzato nella struttura agente. Per selezionare altreopzioni di ricerca, fare clic su Ricerca avanzata.

NotaNon è possibile specificare indirizzi IPv6 o IPv4 quando si cercano degli agentispecifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per idettagli, consultare Opzioni di ricerca avanzate a pagina 2-42.

• Quando si seleziona un dominio, la tabella della struttura agente si espande emostra tutti gli agenti appartenenti al dominio e tutte le colonne contenenti leinformazioni relative a tali agenti. Per vedere solo un gruppo di colonne,selezionare un elemento all'interno della visualizzazione della struttura agente.

• Visualizza tutto: mostra tutte le colonne

• Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi

• Visualizzazione antivirus: mostra tutti i componenti antivirus

• Visualizzazione anti-spyware: mostra tutti i componenti anti-spyware


2-42

• Visualizzazione protezione dati: mostra lo stato del modulo Protezione datisugli agenti

• Visualizzazione firewall: mostra tutti i componenti firewall

• Visualizza Smart Protection: mostra il metodo di scansione utilizzato dagliagenti (convenzionale o Smart Scan) e i componenti Smart Protection

• Visualizzazione Update Agent: mostra le informazioni su tutti gli UpdateAgent gestiti dal server OfficeScan

• È possibile cambiare la disposizione delle colonne, trascinando i titoli delle colonnein posizioni diverse all'interno della struttura agente. OfficeScan salvaautomaticamente la nuova posizione delle colonne.

• Facendo clic sul nome di una colonna, è possibile ordinare gli agenti sulla base delleinformazioni in essa contenute.

• La struttura agente può essere aggiornata facendo clic sull'icona ( ).

• Le statistiche relative agli agenti vengono visualizzate al di sotto della strutturaagente e comprendono informazioni quali il numero totale di agenti, il numero diagenti Smart Scan e il numero di agenti con scansione convenzionale.

Opzioni di ricerca avanzate

La ricerca degli agenti si basa sui seguenti criteri:

Procedura

• Criteri di base: comprende le informazioni di base sugli dispositivo, comeindirizzo IP, sistema operativo, indirizzo MAC, metodo di scansione e stato direputazione Web

• La ricerca in base al segmento IPv4 richiede una porzione di indirizzo IP cheinizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti glidispositivo con indirizzi IP contenenti la voce specificata. Se, ad esempio, se sidigita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo diindirizzi IP da 10.5.0.0 a 10.5.255.255.


2-43

• La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso.

• La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC innotazione esadecimale, ad esempio 000A1B123C12.

• Versioni componenti: selezionare la casella di controllo accanto al nome delcomponente, restringere i parametri selezionando Precedente a o Precedente a eincluso e immettere un numero di versione. Per impostazione predefinita vieneinserito il numero di versione attuale.

• Stato: comprende le impostazioni dell'agente

• Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno dellastruttura agente viene visualizzato un elenco di nomi di dispositivo corrispondentiai criteri.

Operazioni specifiche della struttura agenteLa struttura agente viene visualizzata quando si accede ad alcune schermate della consoleWeb. Al di sopra della struttura agente sono disponibili elementi specifici dellaschermata visualizzata. Questi elementi del menu consentono di effettuare operazionispecifiche quali configurare le impostazioni degli agenti o avviare operazioni degli agenti.Per eseguire una delle operazioni, selezionare prima l'operazione di destinazione, quindiselezionare una voce del menu.

La seguente schermata visualizza la struttura agente:

• Schermata Gestione agente a pagina 2-44

• Schermata Prevenzione delle infezioni a pagina 2-47

• Schermata Selezione agente a pagina 2-48

• Schermata Rollback a pagina 2-49

• Schermata Registri dei rischi per la sicurezza a pagina 2-50

La struttura agente fornisce l'accesso alle seguenti funzioni:

• Cerca dispositivo: individuare gli dispositivo specifici digitando i criteri di ricercanella casella di testo.


2-44

Gli amministratori possono inoltre cercare manualmente la struttura agente perindividuare dispositivo o domini. Le informazioni su specifici computer vengonovisualizzate nella tabella sulla destra.

Schermata Gestione agente

Per visualizzare questa schermata, accedere ad Agenti > Gestione agente.

Gestione delle impostaxioni generale dell'agente e visualizzazione delle informazionisullo stato relative ad agenti specifici (ad esempio, Utente di accesso, Indirizzo IP eStato della connessione) nella schermata Gestione agente.

FIGURA 2-22. Schermata Gestione agente

La tabella seguente elenca le operazioni che è possibile effettuare:


2-45

TABELLA 2-10. Schermata Gestione agente

PULSANTE DI MENU OPERAZIONE

Stato Visualizzare le informazioni dettagliate sull'agente. Per i dettagli,consultare Visualizzazione delle informazioni dettagliate sull'agenteOfficeScan a pagina 14-55.

Operazioni • Eseguire l'opzione Esegui scansione nei computer agenti. Per idettagli, consultare Avvio di Esegui scansione a pagina 7-26.

• Disinstallare l'agente. Per i dettagli, consultare Disinstallazionedell'agente OfficeScan dalla console Web a pagina 5-73.

• Ripristinare il rilevamento dei file sospetti. Per i dettagli,consultare Ripristino dei file in quarantena a pagina 7-45.

• Ripristinare i componenti spyware/grayware. Per i dettagli,consultare Ripristino spyware/grayware a pagina 7-54.


2-46


Impostazioni • Configurare le impostazioni di scansione. Per ulteriori dettagli,leggere i seguenti argomenti:

• Tipi di metodi di scansione a pagina 7-8

• Scansione manuale a pagina 7-19

• Scansione in tempo reale a pagina 7-16

• Scansione pianificata a pagina 7-21

• Esegui scansione a pagina 7-24

• Configurare le impostazioni di reputazione Web. Per i dettagli,consultare Criteri di reputazione Web a pagina 11-5.

• Configurare le impostazioni di connessione sospetta. Per idettagli, consultare Configurazione delle impostazioni diconnessione sospetta a pagina 11-14.

• Configurare le impostazioni di Monitoraggio del comportamento.Per i dettagli, consultare Monitoraggio del comportamento apagina 8-2.

• Configurare le impostazioni di Controllo dispositivo. Per idettagli, consultare Controllo dispositivo a pagina 9-2.

• Configurare i criteri di Prevenzione perdita di dati. Per i dettagli,consultare Configurazione dei criteri Prevenzione perdita di datia pagina 10-44.

• Assegnare gli agenti come Update Agent. Per i dettagli,consultare Configurazione di Update Agent a pagina 6-59.

• Configurare i privilegi agente e altre impostazioni. Per i dettagli,consultare Configurazione dei privilegi dell'agente e altreimpostazioni a pagina 14-90.

• Attivare o disattivare i servizi dell'agente OfficeScan. Per idettagli, consultare Servizi dell'agente OfficeScan a pagina14-7.

• Configurare l'elenco di spyware/grayware approvato. Per idettagli, consultare Elenco Approvati spyware/grayware apagina 7-51.

• Importazione ed esportazione delle impostazioni agente. Per idettagli, consultare Importazione ed esportazione delleimpostazioni degli agenti a pagina 14-55.


2-47


Registri Visualizzare i registri riportati di seguito:

• Registri di virus/minacce informatiche (per maggiori dettagli,vedere Visualizzazione dei registri di virus/minacce informatichea pagina 7-91)

• Registri spyware/grayware (per maggiori dettagli, vedereVisualizzazione dei registri di spyware/grayware a pagina 7-99)

• Registri del firewall (per maggiori dettagli, vedere Registri delfirewall a pagina 12-29)

• Registri di reputazione Web (per maggiori dettagli, consultareRegistri delle minacce Web a pagina 11-23)

• Registri delle connessioni sospette (per maggiori dettagli,consultare Visualizzazione dei registri delle connessionisospette a pagina 11-26)

• Registri dei callback C&C (per maggiori dettagli, vedereVisualizzazione dei registri dei callback C&C a pagina 11-25.)

• Registri di Monitoraggio del comportamento (per maggioridettagli, vedere Registri di Monitoraggio del comportamento apagina 8-14)

• Registri DLP (per maggiori dettagli, consultare Registri diPrevenzione perdita di dati a pagina 10-53)

• Registri di Controllo dispositivo (per maggiori dettagli, vedereRegistri di controllo dispositivo a pagina 9-18)

Eliminare i registri. Per i dettagli, consultare Gestione dei registri apagina 13-34.

Gestionestruttura agente

Gestire la struttura agente. Per i dettagli, consultare Operazioni diraggruppamento agenti a pagina 2-58.

Esporta Esportare un elenco degli agenti in un file .csv.

Schermata Prevenzione delle infezioni

Per visualizzare questa schermata, accedere a Agenti > Prevenzione delle infezionivirali.


2-48

Specificare ed attivare le impostazioni di prevenzione delle infezioni nella schermataPrevenzione delle infezioni. Per i dettagli, consultare Configurazione della prevenzione deirischi per la sicurezza a pagina 7-108.

FIGURA 2-23. Schermata Prevenzione delle infezioni

Schermata Selezione agente

Per visualizzare questa schermata, accedere a Aggiornamenti > Agenti >Aggiornamento manuale. Fare clic su Seleziona agenti manualmente, quindi suSeleziona.


2-49

Avviare l'aggiornamento manuale nella schermata Selezione agente. Per i dettagli,consultare Aggiornamenti manuali agente OfficeScan a pagina 6-47.

FIGURA 2-24. Schermata Selezione agente

Schermata Rollback

Per visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic suSincronizza con il server.


2-50

Eseguire il rollback dei componenti agenti nella schermata Rollback. Per i dettagli,consultare Rollback dei componenti per gli agenti OfficeScan a pagina 6-56.

FIGURA 2-25. Schermata Rollback

Schermata Registri dei rischi per la sicurezza

Per visualizzare questa schermata, accedere a Registri > Agenti > Rischi per lasicurezza.


2-51

Visualizzare e gestire i registri nella schermata Registri dei rischi per la sicurezza.

FIGURA 2-26. Schermata Registri dei rischi per la sicurezza

Eseguire le operazioni riportate di seguito:

1. Visualizzare i registri che gli agenti inviano al server. Per maggiori dettagli,consultare:

• Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91

• Visualizzazione dei registri di spyware/grayware a pagina 7-99

• Visualizzazione dei registri firewall a pagina 12-30

• Visualizzazione dei registri di reputazione Web a pagina 11-24

• Visualizzazione dei registri delle connessioni sospette a pagina 11-26

• Visualizzazione dei registri dei callback C&C a pagina 11-25

• Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-14

• Visualizzazione dei registri di controllo dispositivo a pagina 9-19


2-52

• Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-54

2. Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-34.

Domini OfficeScanUn dominio all'interno di OfficeScan è un gruppo di agenti che condividono la stessaconfigurazione ed eseguono le stesse operazioni. Il raggruppamento degli agenti indomini consente di configurare e gestire tutti i membri del dominio, nonché di assegnareloro la stessa configurazione. Per ulteriori informazioni sul raggruppamento degli agenti,vedere Raggruppamento agenti a pagina 2-52.

Raggruppamento agentiUtilizzare Raggruppamento agenti per creare e gestire domini in modo manuale oautomatico nella struttura agente OfficeScan.

Esistono due modi per raggruppare gli agenti nei domini.

TABELLA 2-11. Metodi di raggruppamento agenti

METODORAGGRUPPAMENTO

AGENTIDESCRIZIONI

Manuale • DominioNetBIOS

• Dominio ActiveDirectory

• Dominio DNS

Il raggruppamento manuale agenti definisce ildominio al quale il nuovo agente installato dovrebbeappartenere. Quando l'agente viene visualizzatonella struttura agente, è possibile spostarlo in unaltro dominio o in un altro server OfficeScan.

Il raggruppamento manuale agenti consente inoltre dicreare, gestire e rimuovere domini nella strutturaagente.

Per i dettagli, consultare Raggruppamento manualeagenti a pagina 2-53.


2-53

METODORAGGRUPPAMENTO

AGENTIDESCRIZIONI

Automatici Personalizzagruppi di agenti

Il raggruppamento agenti automatico utilizza delleregole per ordinare gli agenti nella struttura agente.Dopo la definizione delle regole, è possibile accederealla struttura agente per ordinarli manualmente o perconsentire a OfficeScan di ordinarli automaticamentequando si verificano eventi specifici o a intervalliprogrammati.

Per i dettagli, consultare Raggruppamentoautomatico agenti a pagina 2-54.

Raggruppamento manuale agenti

OfficeScan utilizza questa impostazione solo per le installazioni agenti da zero. Ilprogramma di installazione controlla il dominio di rete a cui appartiene l'dispositivo didestinazione. Se il nome del dominio è già presente nella struttura agente, OfficeScanraggruppa l'agente dell'dispositivo di destinazione sotto quel dominio e applica ad esso leimpostazioni configurate per quel dominio. Se il nome del dominio non è presente,OfficeScan aggiunge il dominio alla struttura agente, raggruppa l'agente sotto taledominio, quindi applica le impostazioni della directory principale al dominio e all'agente.

Configurazione raggruppamento manuale agenti

Procedura

1. Accedere a Agenti > Raggruppamento agenti.

2. Specificare il metodo di raggruppamento degli agenti:

• Dominio NetBIOS

• Dominio Active Directory

• Dominio DNS



2-54

Operazioni successive

Per gestire i domini e i relativi raggruppamenti di agenti, eseguire le seguenti operazioni:

• Aggiungere un dominio

• Eliminare un dominio o un agente

• Rinominare un dominio

• Trasferire un singolo agente a un altro dominio

Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-58.

Raggruppamento automatico agentiIl raggruppamento automatico degli agenti utilizza le regole definite dagli indirizzi IP odai domini Active Directory. Se una regola definisce un indirizzo IP o un intervallo diindirizzi IP, il server OfficeScan raggrupperà gli agenti con un indirizzo IPcorrispondente a un dominio specifico della struttura agente. Analogamente, se unaregola definisce uno o più domini Active Directory, il server OfficeScan raggrupperàagenti appartenenti a un particolare dominio Active Directory in un dominio specificodella struttura agente.

Gli agenti applicano soltanto una regola per volta. Assegnare delle priorità alle regole, inmodo che se un agente soddisfa più di una regola, si applicherà quella con la priorità piùalta.

Configurazione del raggruppamento automatico agenti

Procedura

1. Accedere a Agenti > Raggruppamento agenti

2. Accedere alla sezione Raggruppamento agenti e selezionare Personalizzagruppi di agenti.

3. Accedere alla sezione Raggruppamento automatico agenti.

4. Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare ActiveDirectory oppure Indirizzo IP.


2-55

• Se è stato selezionato Active Directory, consultare le istruzioni per laconfigurazione in Definizione di una regola di raggruppamento degli agenti in base aidomini Active Directory a pagina 2-56.

• Se è stato selezionato Indirizzo IP, consultare le istruzioni per laconfigurazione in Definizione delle regole di raggruppamento degli agenti in base agliindirizzi IP a pagina 2-57.

5. Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi:

a. Selezionare una regola.

b. Fare clic su una freccia sotto la colonna Priorità di raggruppamento perspostare la regola in alto o in basso nell'elenco. Il numero ID della regolacambia in base alla nuova posizione assegnata.

6. Per utilizzare le regole durante il riordino dell'agente:

a. Selezionare le caselle di controllo delle regole da utilizzare.

b. Attivare la regola impostando lo Stato su Attivato.

Nota

Se non viene selezionata la casella di controllo per una regola o se la regola vienedisattivata, la stessa non verrà utilizzata quando si riordinano gli agenti nella strutturaagente. Ad esempio, se la regola determina che un agente deve spostarsi su un nuovodominio, l'agente non si sposterà e rimarrà nel dominio attuale.

7. Specificare una pianificazione di riordino nella sezione Creazione dominiopianificata.

a. Selezionare Attiva creazione dominio pianificata.

b. Specificare la pianificazione in Creazione dominio basata supianificazione.

8. Scegliere una delle opzioni elencate di seguito.

• Salva e crea dominio ora: scegliere questa opzione se sono stati specificatinuovi domini in Definizione delle regole di raggruppamento degli agenti in base agliindirizzi IP a pagina 2-57, passaggio 7 o in Definizione di una regola di


2-56

raggruppamento degli agenti in base ai domini Active Directory a pagina 2-56,passaggio 7.

• Salva: scegliere questa opzione se non sono stati specificati nuovi domini o sidesidera crearne di nuovi solo quando il riordino dell'agente è in esecuzione.

NotaIl riordino dell'agente non inizierà dopo il completamento di questo passaggio.

Definizione di una regola di raggruppamento degli agenti inbase ai domini Active Directory

Accertarsi di aver configurato le impostazioni di integrazione di Active Directory primadi eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration apagina 2-35.

Procedura




4. Fare clic su Aggiungi, quindi selezionare Active Directory.

Viene visualizzata una nuova schermata.

5. Selezionare Attiva raggruppamento.

6. Specificare un nome per la regola.

7. In Origine di Active Directory, selezionare il domini o i sottodomini di ActiveDirectory.

8. In Struttura agente, selezionare un dominio OfficeScan esistente al quale sonoassociati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste,attenersi alla procedura riportata di seguito:


2-57

a. Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clicsull'icona ( ) per l'aggiunta dei domini.

b. Immettere il nome del dominio nella casella di testo fornita.

c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominioviene aggiunto ed è selezionato automaticamente.

9. Facoltativamente, selezionare Duplica la struttura Active Directory nellastruttura dell'agente OfficeScan. Questa opzione duplica la gerarchia dei dominiActive Directory selezionati nel dominio OfficeScan selezionato.


Definizione delle regole di raggruppamento degli agenti inbase agli indirizzi IP

Per ordinare gli agenti della struttura agente OfficeScan, creare gruppi di agentipersonalizzati utilizzando gli indirizzi IP di rete. La funzione si rivela utile agliamministratori per organizzare la struttura agente OfficeScan prima della registrazionedell'agente con il server OfficeScan.

Procedura




4. Fare clic su Aggiungi e selezionare Indirizzo IP.


5. Selezionare Attiva raggruppamento.

6. Specificare un nome per il raggruppamento.

7. Specificare una delle seguenti opzioni:


2-58

• Un indirizzo IPv4 o IPv6 singolo

• Un intervallo di indirizzi IPv4

• Una lunghezza e un prefisso IPv6

Nota

Se gli indirizzi IPv4 e IPv6 di un agente dual-stack appartengono a due gruppi diagenti diversi, l'agente sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 èdisattivato nella macchina host dell'agente, questo sarà spostato sotto il gruppo IPv4.

8. Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP èassociato. Se il dominio non esiste, attenersi alla procedura riportata di seguito:

a. Posizionare il mouse sopra la struttura agente e fare clic sull'icona perl'aggiunta dei domini.

FIGURA 2-27. Icona per l'aggiunta dei domini

b. Digitare il dominio nella casella di testo disponibile.

c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominioviene aggiunto ed è selezionato automaticamente.


Operazioni di raggruppamento agenti

Durante il raggruppamento agenti nei domini è possibile effettuare le operazioniriportate di seguito:


2-59

• Aggiungere un dominio. Consultare Aggiunta di un dominio a pagina 2-59 perulteriori dettagli.

• Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di unagente a pagina 2-60 per ulteriori dettagli.

• Rinominare un dominio. Consultare Ridenominazione di un dominio a pagina 2-61 perulteriori dettagli.

• Trasferire un singolo agente a un altro dominio o a un altro server OfficeScan.Consultare Spostamento di agenti OfficeScan in un altro dominio o server OfficeScan a pagina2-61 per ulteriori dettagli.

• Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di unagente a pagina 2-60 per ulteriori dettagli.

Aggiunta di un dominio

Procedura

1. Accedere a Agenti > Gestione agente.

2. Fare clic su Gestione struttura agente > Aggiungi dominio.

3. Digitare un nome per il dominio che si desidera aggiungere.


Il nuovo dominio viene visualizzato nella struttura agente.

5. Creare sottodomini (Facoltativo).

a. Selezionare il dominio principale.

b. Fare clic su Gestione struttura agente > Aggiungi dominio.

c. Immettere il nome del sottodominio.


2-60

Eliminazione di un dominio o di un agente

Procedura


2. Nella struttura agente, selezionare:

• Uno o più domini

• Uno, alcuni o tutti gli agenti appartenenti a un dominio

3. Fare clic su Gestione struttura agente > Rimuovi dominio/agente.

4. Per eliminare un dominio vuoto, fare clic su Rimuovi dominio/agente. Se neldominio sono presenti agenti e si fa clic su Rimuovi dominio/agente, il serverOfficeScan crea nuovamente il dominio e raggruppa tutti gli agenti sotto taledominio la volta successiva che gli agenti si connettono al server OfficeScan. Primadi eliminare il dominio, è possibile effettuare le seguenti operazioni:

a. Trasferire gli agenti ad altri domini. Per spostare gli agenti in altri domini,trascinarli nei domini di destinazione.

b. Eliminare tutti gli agenti.

5. Per eliminare un singolo dominio, fare clic su Rimuovi dominio/agente.

NotaL'eliminazione di un agente da una struttura agente non comporta l'eliminazionedell'agente OfficeScan dall'dispositivo agente. L'agente OfficeScan è comunque ingrado di effettuare delle operazioni indipendenti dal server quali l'aggiornamento deicomponenti. Tuttavia, sul server non è presente alcuna traccia dell'esistenzadell'agente e, per questo motivo, non è possibile implementare configurazioni oinviare notifiche all'agente.


2-61

Ridenominazione di un dominio

Procedura


2. Selezionare un dominio nella struttura agente.

3. Fare clic su Gestione struttura agente > Rinomina dominio.

4. Inserire un nuovo nome per un dominio.

5. Fare clic su Rinomina.

All'interno della struttura agente viene visualizzato il nuovo nome assegnato aldominio.

Spostamento di agenti OfficeScan in un altro dominio o serverOfficeScan

Procedura


2. Nella struttura agente, selezionare uno, alcuni o tutti gli agenti.

3. Fare clic su Gestione struttura agente > Sposta agente.

4. Per spostare gli agenti a un altro dominio:

• Selezionare Sposta gli agenti selezionati in un altro dominio.

• Selezionare il dominio.

• Applicare le impostazioni del nuovo dominio agli agenti (facoltativo).

Suggerimento

È inoltre possibile trascinare gli agenti e rilasciarli in un altro dominio della strutturaagente.


2-62

5. Per spostare gli agenti a un altro server OfficeScan:

• Selezionare Sposta gli agenti selezionati in un altro server OfficeScan.

• Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di portaHTTP.

6. Fare clic su Sposta.

3-1

Capitolo 3

Informazioni preliminari suProtezione dati

In questo capitolo vengono descritte le modalità di installazione e di attivazione delmodulo Protezione dati.


• Installazione di Protezione dati a pagina 3-2

• Licenza di Protezione dati a pagina 3-4

• Implementazione di Protezione dati negli agenti OfficeScan a pagina 3-6

• Cartella dati forensi e database DLP a pagina 3-9

• Disinstallazione di Protezione dati a pagina 3-15


3-2

Installazione di Protezione datiIl modulo Protezione dati comprende le funzionalità seguenti:

• Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata dirisorse digitali

• Controllo dispositivo: Regola l'accesso ai dispositivi esterni

Nota

La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo checonsente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazioneUSB. La funzionalità Controllo dispositivo del modulo Protezione dati consente diampliare la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedereControllo dispositivo a pagina 9-2.

Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan marichiedono una licenza separata. Dopo aver installato il server OfficeScan, questefunzionalità sono disponibili ma non sono operative e non possono essere implementatesugli agenti. L'installazione di Protezione dati prevede il download di un file dal serverActiveUpdate o da una origine aggiornamenti personalizzata, se è stata impostata.Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la licenza diProtezione dati per attivarne le funzionalità complete. L'installazione e l'attivazionevengono eseguite da Plug-in Manager.

Importante

• Non è necessario installare il modulo standalone Protezione dati se il softwarePrevenzione della perdita di dati Trend Micro è già installato e in esecuzione suglidispositivo.

• Il modulo Protezione dati può essere installato su un Plug-in Manager IPv6 puro.Tuttavia, solo la funzionalità Controllo dispositivo può essere implementata negliagenti IPv6 puri. La funzione Prevenzione perdita di dati non funziona negli agentiIPv6 puri.

Informazioni preliminari su Protezione dati

3-3

Installazione di Protezione dati

Procedura

1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.

2. Nella schermata Plug-in Manager, andare alla sezione Protezione datiOfficeScan e fare clic su Download.

Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download.

Plug-In Manager archivia il file scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

NotaSe Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamentedopo 24 ore. Per avviare manualmente il download del file da parte di Plug-inManager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft ManagementConsole.

3. Monitorare l'avanzamento del download.

Nel corso del download è possibile effettuare altre operazioni.

Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare iregistri di aggiornamento server sulla console web di OfficeScan. Nella barralaterale, fare clic su Registri > Aggiornamento del server.

Una volta completato il download del file di Plug-in Manager, Protezione datiOfficeScan viene visualizzato in una nuova schermata.

NotaSe Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioniin Risoluzione dei problemi di Plug-in Manager a pagina 15-12.

4. Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa orao per installarlo in un secondo momento, fare quanto segue:

a. Fare clic su Installa in un secondo momento.


3-4

b. Aprire la schermata Plug-in Manager.

c. Andare alla sezione Protezione dati OfficeScan e fare clic su Installa.

5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.

L'installazione viene avviata.

6. Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione vienevisualizzata la versione di Protezione dati OfficeScan.

Licenza di Protezione datiVisualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager.

Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza.

Attivazione della licenza del programma plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Gestione programma.

Viene visualizzata la schermata Nuovo codice di attivazione della licenza delprodotto.

3. Digitare o copiare e incollare il codice di attivazione nei campi del testo.


Viene visualizzata la console plug-in.


3-5

Informazioni sulla visualizzazione e il rinnovo dellalicenza

Procedura



3. Accedere alla console plug-in e selezionare il collegamento ipertestuale Visualizzainformazioni sulla licenza.

Non tutti i programmi plug-in visualizzano il collegamento ipertestuale Visualizzainformazioni sulla licenza nello stesso percorso. Per ulteriori informazioni, fareriferimento alla documentazione utente sui programmi plug-in.

4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.

OPZIONE DESCRIZIONE

Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

Versione Indica se la versione è "Completa" o se si tratta di una "Versionedi prova"

NotaL'attivazione viene visualizzata come "Completa" sia per laversione completa e sia per la versione di prova.

Postazioni Indica quanti dispositivo il programma plug-in è in grado digestire

La licenzascade il

Se il programma plug-in prevede diverse licenze, verràvisualizzata l'ultima data di scadenza.

Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11,verrà visualizzata la data 31.12.11.

Codice diattivazione

visualizza il Codice di attivazione


3-6

OPZIONE DESCRIZIONE

Promemoria A seconda della versione della licenza corrente, il plug-invisualizza i promemoria sulla data di scadenza della licenzadurante il periodo di proroga (solo nelle versioni complete)oppure quando scade la licenza.

NotaLa durata del periodo di proroga varia a seconda dell'area geografica. Verificare ilperiodo di proroga di in programma plug-in con un rappresentante Trend Micro.

Quando la licenza di un programma plug-in scade, questo continua a funzionare magli aggiornamenti e l'assistenza non sono più disponibili.

5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza corrente sul sito Web di Trend Micro.

6. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic suAggiorna informazioni.

7. Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codicedi attivazione della licenza del prodotto.

Per i dettagli, consultare Attivazione della licenza del programma plug-in a pagina 3-4.

Implementazione di Protezione dati negliagenti OfficeScan

Implementare il modulo Protezione dati negli agenti OfficeScan dopo l'attivazione dellalicenza. Dopo l'implementazione, gli agenti OfficeScan iniziano ad utilizzarePrevenzione perdita di dati e Controllo dispositivo.


3-7

Importante

• Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003,Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effettonegativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazionidel sistema costantemente e adottare le misure necessarie quando si verificano cali diprestazioni.

Nota

Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultareServizi dell'agente OfficeScan a pagina 14-7.

• Se il software Prevenzione della perdita di dati Trend Micro è disponibilenell'dispositivo, OfficeScan non lo sostituisce con il modulo Protezione dati.

• Solo Controllo dispositivo può essere implementato negli agenti IPv6 puri.Prevenzione perdita di dati non funziona negli agenti IPv6 puri.

• Il modulo Protezione dati viene installato immediatamente negli agenti online. Negliagenti offline e roaming il modulo viene installato quando diventano online.

• Gli utenti devono riavviare i computer per completare l'installazione dei driver diPrevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare.

• Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione deiproblemi di implementazione. Per i dettagli, consultare Attivazione del registro di debug peril modulo Protezione dati a pagina 10-60.

Implementazione del modulo Protezione dati agli agentiOfficeScan

Procedura


2. Nella struttura agente è possibile:

• Fare clic sull'icona del dominio root ( ) per implementare il modulo su tuttigli agenti esistenti e futuri.


3-8

• Selezionare un dominio specifico per implementare il modulo su tutti gliagenti esistenti e futuri del dominio.

• Selezionare un agente specifico per implementare il modulo solo suquell'agente.

3. Implementare il modulo in due modi diversi:

• Fare clic su Impostazioni > Impostazioni DLP.

• Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

Nota

Se si esegue l'implementazione da Impostazioni > Impostazioni DLP e ilmodulo Protezione dati è stato implementato correttamente, saranno installati idriver di Prevenzione perdita di dati. Se i driver sono installati correttamente,viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare glidispositivo per terminare l'installazione dei driver.

Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemidurante l'installazione dei driver. Se il registro di debug è attivato, controllare iregistri di debug per ottenere dettagli sui problemi di installazione dei driver.

4. Viene visualizzato un messaggio per indicare il numero di agenti in cui il modulonon è installato. Fare clic su Sì per avviare l’implementazione.

Nota

Se si fa clic su No (o se il modulo non è stato implementato su uno o più client), lostesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni >Impostazioni DLP o Impostazioni > Impostazioni di controllo dispositivo.

Gli agenti OfficeScan iniziano il download del modulo dal server.

5. Controllare se il modulo è stato implementato sugli agenti.

a. Selezionare un dominio nella struttura agente.

b. Nell visualizzazione struttura agente, selezionare Visualizzazione protezionedati o Visualizza tutto.


3-9

c. Controllare la colonna Stato Protezione dati. Lo stato dell'implementazionepuò essere uno dei valori riportati di seguito:

• In esecuzione: l'implementazione del modulo è riuscita e le funzionisono state attivate.

• Riavvio necessario: i driver di Prevenzione perdita di dati non sonostati installati perché gli utenti non hanno riavviato i rispettivi computer.Se i driver non sono installati, Prevenzione perdita di dati non funziona.

• Operazione interrotta: il servizio per il modulo non è stato avviato ol'dispositivo di destinazione è stato arrestato in modo normale. Peravviare il servizio Protezione dati, accedere a Agenti > Gestione agente> Impostazioni > Impostazioni aggiuntive del servizio e attivareServizio Protezione dati.

• Impossibile eseguire l'installazione: si è verificato un problemadurante l'implementazione del modulo sull'agente. Occorreimplementare di nuovo il modulo dalla struttura agente.

• Impossibile eseguire l'installazione (esiste già un programma perla prevenzione della perdita di dati): il software Prevenzione dellaperdita di dati Trend Micro è già disponibile nell'dispositivo. OfficeScannon lo sostituisce con il modulo Protezione dati.

• Non installato: il modulo non è stato implementato sull'agente. Lo statoviene visualizzato se si sceglie di non implementare il modulo sull'agenteo se lo stato dell'agente è offline o roaming durante l'implementazione.

Cartella dati forensi e database DLPQuando si verifica un incidente di Prevenzione perdita di dati, OfficeScan registra i datidell'incidente su un database specializzato di dati forensi. OfficeScan crea inoltre un filecrittografato contenente una copia dei dati sensibili che hanno causato l'incidente egenera un valore hash a scopo di verifica e per assicurare l'integrità dei dati sensibili.OfficeScan crea i file crittografati di dati forensi sulla macchina agente, caricandolisuccessivamente in un percorso specifico sul server.


3-10

Importante

• I file crittografati dei dati forensi contengono dati altamente sensibili e gliamministratori devono agire con cautela quando consentono l'accesso a tali file.

• OfficeScan, in combinazione con Control Manager, fornisce agli utenti di ControlManager con ruolo di Responsabile della revisione degli incidenti DLP o diResponsabile di conformità DLP la facoltà di accedere ai dati all'interno dei filecrittografati. Per ulteriori informazioni sui ruoli DLP e l'accesso ai file di dati forensiin Control Manager, vedere la guida per l'amministratore di Control Manager 6.0 Patch 2 oversioni successive.

Modifica delle impostazioni della cartella e del databasedei dati forensi

Gli amministratori possono modificare il percorso e la pianificazione dell'eliminazionedella cartella dei dati forensi nonché le dimensioni massime dei file che gli agenticaricano, modificando i file INI di OfficeScan.

AVVERTENZA!La modifica del percorso della cartella di dati forensi dopo la registrazione degli incidenti diPrevenzione perdita di dati può causare una disconnessione tra i dati del database e ilpercorso dei file di dati forensi esistenti. Trend Micro consiglia di effettuare manualmentela migrazione di eventuali file di dati forensi esistenti alla nuova cartella di dati forensi dopoaverne modificato il percorso.

La seguente tabella delinea le impostazioni del server disponibili nel file del percorso<Cartella di installazione del server>\PCCSRV\Private\ofcserver.ini nel serverOfficeScan.


3-11

TABELLA 3-1. Impostazioni del server della cartella di dati forensi in PCCSRV\Private\ofcserver.ini

OBIETTIVO IMPOSTAZIONE INI VALORI

Attivazione delpercorso dellacartella di datiforensi definitodall'utente

[INI_IDLP_SECTION]

EnableUserDefinedUploadFolder

0: Disattiva(predefinito)

1: Attiva

Configurazione del percorsodella cartella didati forensidefinitodall'utente

[INI_IDLP_SECTION]

UserDefinedUploadFolder

Nota

• Gli amministratori devono attivarel'impostazioneEnableUserDefinedUploadFolderprima che questa venga applicata daPrevenzione perdita di dati.

• Il percorso predefinito della cartella didati forensi è:

<Cartella di installazione del server>\PCCSRV\Private\DLPForensicData

• Il percorso della cartella di dati forensidefinito dall'utente deve essereun'unità fisica (interna o esterna) sulserver. OfficeScan non supporta lamappatura di un percorso di un'unitàdi rete.

Valore predefinito:<Sostituire il valorecon il percorso dicartella definito dalcliente. Adesempio: C:\VolumeData\OfficeScanDlpForensicData>

Valore definitodall'utente: deveessere un percorsofisico di un'unità nelserver

Attivazionedella puliziadei file di datiforensi

[INI_IDLP_SECTION]

ForensicDataPurgeEnable

0: Disattiva

1: Attiva(predefinito)


3-12


Configurazione dellafrequenzatemporaledella verifica dipulizia del filedi dati forensi

[INI_IDLP_SECTION]

ForensicDataPurgeCheckFrequency

Nota

• Gli amministratori devono attivarel'impostazioneForensicDataPurgeEnable prima chequesta venga applicata da OfficeScan.

• OfficeScan elimina solamente i file didati che hanno superato la data discadenza specificatanell'impostazioneForensicDataExpiredPeriodInDays.

1: Mensilmente, ilprimo giorno delmese alle 00:00

2: Settimanalmente(predefinito), ognidomenica alle00:00

3:Quotidianamente,ogni giorno alle00:00

4: Frequenzaoraria, ogni ora alleHH:00

Configurazione del periododi tempo perarchiviare i filedi dati forensinel server

[INI_IDLP_SECTION]

ForensicDataExpiredPeriodInDays

Valore predefinito(in giorni): 180

Valore minimo: 1

Valore massimo:3650

Configurazione dellafrequenzatemporaledella verifica dispazio sudisco del file didati forensi

[INI_SERVER_DISK_THRESHOLD]

MonitorFrequencyInSecond

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato per l'impostazioneInformUploadOnDiskFreeSpaceInGb,OfficeScan crea un registro eventi sullaconsole Web.

Valore predefinito(in secondi): 5


3-13


Configurazione dellafrequenza dicaricamentodella verifica dispazio sudisco del file didati forensi


IsapiCheckCountInRequest

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato per l'impostazioneInformUploadOnDiskFreeSpaceInGb,OfficeScan crea un registro eventi sullaconsole Web.

Valore predefinito(in numero di file):200

Configurazione del valoredello spazio sudisco minimoche generauna notifica dispazio sudisco limitato


InformUploadOnDiskFreeSpaceInGb

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato, OfficeScan crea un registroeventi sulla console Web.

Valore predefinito(in GB): 10

Configurazione dello spaziominimodisponibile percaricare i file didati forensidagli agenti


RejectUploadOnDiskFreeSpaceInGb

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato, gli agenti OfficeScan noncaricano i file dei dati forensi nel server eOfficeScan crea un registro eventi sullaconsole Web.

Valore predefinito(in GB): 1

La seguente tabella delinea le impostazioni dell'agente OfficeScan disponibili nel file<Cartella di installazione del server>\PCCSRV\ofcscan.ini nel server OfficeScan.


3-14

TABELLA 3-2. Impostazioni dell'agente dei file di dati forensi in PCCSRV\ofcscan.ini


Attivazione delcaricamentodei file di datiforensi nelserver

UploadForensicDataEnable 0: Disattiva

1: Attiva(predefinito)

Configurazione delledimensionimassime deifile chel'agenteOfficeScancarica nelserver

UploadForensicDataSizeLimitInMb

NotaL'agente OfficeScan invia al server solo filecon dimensioni inferiori a queste.

Valore predefinito(in MB): 10

Valore minimo: 1

Valore massimo:2048

Configurazione del periododi tempo perarchiviare i filedi dati forensinell'agenteOfficeScan

ForensicDataKeepDays

NotaL'agente OfficeScan elimina i file di datiforensi che hanno superato la data discadenza specificata ogni giorno alle11:00.

Valore predefinito(in giorni): 180

Valore minimo: 1

Valore massimo:3650

Configurazione dellafrequenza concui l'agenteOfficeScanverifica laconnettività delserver

ForensicDataDelayUploadFrequenceInMinutes

NotaGli agenti OfficeScan che non sono ingrado di caricare i file di dati forensi nelserver cercano automaticamente direinviarli in base all'intervallo di tempospecificato.

Valore predefinito(in minuti): 5

Valore minimo: 5

Valore massimo:60


3-15

Creazione di un backup di dati forensiIn base ai criteri di protezione dell'azienda, il tempo necessario per l'archiviazione delleinformazioni dei dati forensi può variare enormemente. Al fine di liberare spazio sudisco nel server, Trend Micro consiglia di effettuare un backup manuale della cartella edel database contenenti i dati forensi.

Procedura

1. Accedere al percorso della cartella di dati forensi nel server.

• Percorso predefinito: <Cartella di installazione del server>\PCCSRV\Private\DLPForensicData

• Per individuare la cartella di dati forensi personalizzata, vedere Configurazionedel percorso della cartella di dati forensi definito dall'utente a pagina 3-11.

2. Copiare la cartella in un nuovo percorso.

3. Per effettuare il backup manuale del database di dati forensi, andare a <Cartella diinstallazione del server>\PCCSRV\Private.

4. Copiare il file DLPForensicDataTracker.db in un nuovo percorso.

Disinstallazione di Protezione datiSe si disinstalla il modulo Protezione dati da Plug-in Manager:

• Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registrisaranno rimossi dal server OfficeScan.

• Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dalmodulo Protezione dati vengono rimosse dal server.

• Il modulo Protezione dati viene rimosso dagli agenti. Per rimuovere la Protezionedati completamente, è necessario riavviare gli dispositivo agente.

• I criteri di Prevenzione perdita di dati non saranno più applicati agli agenti.


3-16

• Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi:

• Adattatori Bluetooth

• Porte COM e LPT

• Interfaccia IEEE 1394

• Dispositivi per l'acquisizione di immagini

• Dispositivi a infrarossi

• Modem

• Scheda PCMCIA

• Tasto Stamp

• Schede NIC wireless:

Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione,attivare la licenza con un Codice di attivazione valido.

Disinstallazione di Protezione dati da Plug-in Manager

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Protezione datiOfficeScan e fare clic su Disinstalla.

3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione èpossibile effettuare altre operazioni.

4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. LaProtezione dati di OfficeScan è di nuovo disponibile per l'installazione.

Parte IIProtezione degli agenti

OfficeScan

4-1

Capitolo 4

Utilizzo di Trend Micro SmartProtection

In questo capitolo vengono descritte le soluzioni Trend Micro™ Smart Protection e lemodalità di impostazione dell'ambiente richiesto per l'utilizzo di queste soluzioni.


• Informazioni su Trend Micro Smart Protection a pagina 4-2

• Servizi Smart Protection a pagina 4-3

• Origini Smart Protection a pagina 4-6

• File Smart Protection Pattern a pagina 4-8

• Impostazione dei servizi Smart Protection a pagina 4-13

• Utilizzo dei servizi Smart Protection a pagina 4-34


4-2

Informazioni su Trend Micro Smart ProtectionTrend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti degliagenti cloud di prossima generazione concepita per proteggere gli utenti contro i rischiper la sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestiteda host per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie ad agentileggeri che accedono alla combinazione cloud unica di tecnologie di reputazione file,posta elettronica e Web, nonché ai database delle minacce. La protezione dei clientiviene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti,servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezionereciproca in tempo reale per gli utenti.

Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione ecorrelazione, le soluzioni Trend Micro Smart Protection riducono al minimo ladipendenza dai download convenzionali dei file di pattern ed eliminano i ritardinormalmente associati agli aggiornamenti desktop.

L'esigenza di una nuova soluzione

Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni)richiesti per proteggere gli dispositivo, vengono per la maggior parte distribuiti in base auna pianificazione, che prevede una distribuzione in batch da Trend Micro agli agenti.Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/minacce informatiche in esecuzione sull'agente ricarica nella memoria le definizioni deipattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/minaccia informatica, tale pattern deve nuovamente essere parzialmente ocompletamente aggiornato e ricaricato sull'agente per garantire protezione continua.

Nel corso del tempo, si è verificato un significativo aumento del volume di minacceemergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corsodegli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischiper la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezzarappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulleprestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, ingenerale, sul tempo globale richiesto per offrire una protezione di qualità o sul temponecessario a garantirla.

Utilizzo di Trend Micro Smart Protection

4-3

Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delleminacce, volto a proteggere i clienti dalle minacce poste dal volume di virus/minacceinformatiche. La tecnologia e l'architettura utilizzate in questo approccio sfruttano latecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce informatichenell'ambiente cloud. Scaricando la memorizzazione di queste firme di virus/minacceinformatiche in tale ambiente, Trend Micro è in grado di fornire ai clienti una miglioreprotezione contro rischi per la sicurezza emergenti.

Servizi Smart ProtectionSmart Protection include servizi che forniscono firme anti-malware, reputazione Web edatabase delle minacce che vengono memorizzati nella rete cloud.

I servizi Smart Protection includono:

• Servizi di reputazione file: Servizi di reputazione file scarica un elevato numero difirme contro le minacce informatiche (in precedenza memorizzate nei computeragente) nelle origini Smart Protection. Per i dettagli, consultare Servizi di reputazionefile a pagina 4-3.

• Servizi di reputazione Web: Servizi di reputazione Web consente alle originiSmart Protection locali di ospitare i dati di reputazione degli URL che inprecedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicuranoun consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o laverifica della validità degli URL. Per i dettagli, consultare Servizi di reputazione Web apagina 4-4.

• Smart Feedback: Trend Micro continua a raccogliere informazioni inviate informa anonima dai prodotti Trend Micro in tutto il mondo per essere in grado diindividuare nuove minacce in modo proattivo. Per i dettagli, consultare SmartFeedback a pagina 4-4.

Servizi di reputazione fileI Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database"in-the-cloud". Poiché le informazioni relative alle minacce informatiche sonomemorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad


4-4

elevate prestazioni in termini di disponibilità del contenuto e i server con cache localepermettono che la latenza durante il processo di controllo sia minima. L'architetturacloud offre protezione immediata, elimina la necessità di implementare i pattern e riducein modo significativo il carico complessivo degli agenti.

Gli agenti devono essere in modalità Smart Scan per utilizzare i Servizi di reputazionefile. In questo documento questi agenti sono definiti agenti Smart Scan. Gli agenti chenon sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e sonodefiniti agenti con scansione convenzionale. Gli amministratori OfficeScan possonoconfigurare tutti gli agenti, o solo alcuni, in modalità Smart Scan.

OfficeScan deve essere in modalità Smart Scan per utilizzare i Servizi di reputazione file.

Servizi di reputazione Web

Avvalendosi di uno dei database di reputazione dei domini più grandi del mondo, latecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei dominiWeb assegnando un punteggio di reputazione basato su fattori quali la maturità del sitoWeb, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediantel'analisi del comportamento delle minacce informatiche. Servizi di reputazione Web ècontinuamente sottoposto alla reputazione Web e l'accesso ai siti infetti viene bloccato.Le informazioni di reputazione Web contribuiscono a garantire che le pagine visitatedagli utenti siano sicure e prive di minacce Web quali minacce informatiche, spyware efrodi di phishing volte a indurre gli utenti a fornire informazioni personali. Peraumentare l'accuratezza e ridurre i falsi allarmi, la tecnologia di reputazione Web diTrend Micro assegna punteggi di reputazione a pagine e collegamenti individuali dei sitianziché classificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimisono pericolose e la reputazione può cambiare con il tempo.

Gli agenti OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizidi reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri direputazione Web a tutti gli agenti o solo ad alcuni.

Smart Feedback

Trend Micro Smart Feedback rappresenta un canale di comunicazione costante tra iprodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce.


4-5

Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ognisingolo cliente aggiorna automaticamente il database completo delle minacce di TrendMicro, consentendo in tal modo di impedire che altri clienti riscontrino la stessaminaccia.

Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso lavasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezioneautomatica in tempo reale contro le minacce più recenti e di fornire una miglioresicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco dellacomunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione dellafonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacydelle informazioni personali o professionali è sempre protetta.

Esempi di informazioni inviate a Trend Micro:

• File checksum

• Siti Web visitati

• Informazioni sui file, comprese le dimensioni e i percorsi

• Nomi di file eseguibili

È possibile interrompere la partecipazione al programma in qualsiasi momento dallaconsole Web.

SuggerimentoPer proteggere il computer non è necessario partecipare al programma Smart Feedback. Lapartecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Microconsiglia di partecipare al programma Smart Feedback per contribuire a migliorare laprotezione complessiva di tutti i clienti Trend Micro.

Per ulteriori informazioni su Smart Protection Network, visitare:

http://it.trendmicro.com/it/technology/smart-protection-network/



4-6

Origini Smart ProtectionTrend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle originiOfficeScan e Smart Protection.

Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggiorparte delle definizioni dei pattern di virus e minacce informatiche. Gli agenti OfficeScanospitano le definizioni rimanenti. L'agente invia le query di scansione alle origini SmartProtection se le relative definizioni dei pattern non sono in grado di determinare ilrischio del file. Le origini Smart Protection determinano il rischio utilizzando leinformazioni di identificazione.

Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati direputazione Web precedentemente disponibili solo attraverso i server host di TrendMicro. L'agente invia query di reputazione Web alle origini Smart Protection perverificare la reputazione di siti Web ai quali l'utente tenta di accedere. L'agente mette incorrelazione la reputazione di un sito Web con il criterio di reputazione Web applicatosull'dispositivo per determinare se l'accesso al sito sarà consentito o bloccato.

L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'agente.Gli agenti possono connettersi o a Smart Protection Network di Trend Micro o a SmartProtection Network.

Trend Micro™ Smart Protection Network™

Trend Micro ™Smart Protection Network™ è un'infrastruttura per la sicurezza deicontenuti dei client cloud di prossima generazione concepita per proteggere gli utenticontro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestiteda host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio.Smart Protection Network utilizza agenti più leggeri che accedono alla combinazione"in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché aidatabase delle minacce. La protezione dei clienti viene aggiornata e rafforzataautomaticamente con il progressivo aumento di prodotti, servizi e utenti che accedonoalla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gliutenti.

Per ulteriori informazioni su Smart Protection Network, visitare:


4-7


Smart Protection ServerGli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendalilocali. I server locali limitano i servizi Smart Protection alla rete aziendale per unamaggiore efficienza.

Esistono due tipi di Smart Protection Server:

• Integrated Smart Protection Server: Il programma di installazione di OfficeScancomprende un Integrated Smart Protection Server che viene installato nello stessodispositivo dove è installato il server OfficeScan. Dopo l'installazione è possibilegestire le impostazioni di questo server dalla console Web OfficeScan. Il serverintegrato è inteso per piccole implementazioni di OfficeScan. Per implementazionisuperiori, è necessario Smart Protection Server standalone.

• Smart Protection Server standalone: Smart Protection Server standalone vieneinstallato su un server VMware o un server Hyper-V. Il server standalone disponedi una console di gestione separata e non è gestito dalla console Web OfficeScan.

Confronto delle origini Smart ProtectionLa seguente tabella sottolinea le differenze tra Smart Protection Network e SmartProtection Server.

TABELLA 4-1. Confronto delle origini Smart Protection

CRITERI DICONFRONTO

SMART PROTECTION SERVERTREND MICRO SMART PROTECTION

NETWORK

Disponibilità Disponibile per gli agenti interni,ossia gli agenti che soddisfano icriteri di posizione specificatinella console Web OfficeScan

Disponibile principalmente per gliagenti esterni, ossia gli agentiche non soddisfano i criteri diposizione specificati nellaconsole Web OfficeScan.



4-8

CRITERI DICONFRONTO

SMART PROTECTION SERVERTREND MICRO SMART PROTECTION

NETWORK

Scopo Progettata e finalizzataall'identificazione dei serviziSmart Protection per la reteaziendale al fine di ottimizzarel'efficienza.

Un'infrastruttura, basata suInternet, su scala globale chefornisce servizi Smart Protectionagli agenti che non possonoaccedere direttamente alla lororete aziendale.

Amministrazione Gli amministratori OfficeScaninstallano e gestiscono questeorigini Smart Protection.

Trend Micro gestisce questaorigine.

Origine diaggiornamentodei pattern

Server ActiveUpdate di TrendMicro

Server ActiveUpdate di TrendMicro

Protocolli diconnessionedegli agenti

HTTP e HTTPS HTTPS

File Smart Protection PatternI file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e iServizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il serverActiveUpdate di Trend Micro.

Smart Scan Agent PatternSmart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricatodall'origine aggiornamenti dell'agente OfficeScan (il server OfficeScan o un'origineaggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern pergli agenti Smart Scan.


4-9

Nota

Gli agenti con Smart Scan sono agenti OfficeScan che gli amministratori hanno configuratoper utilizzare i Servizi di reputazione file. Gli agenti che non utilizzano i Servizi direputazione file sono definiti agenti con scansione convenzionale.

Gli agenti con Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono lascansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischiodel file, viene utilizzato un altro pattern: Smart Scan Pattern.

Smart Scan Pattern

Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini SmartProtection Gli agenti con Smart Scan non scaricano Smart Scan Pattern. Gli agentiverificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansionealle origini Smart Protection.

Elenco siti Web bloccati

L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. Gli agentiOfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco sitiWeb bloccati.

Nota

Gli amministratori possono applicare i criteri di reputazione Web a tutti gli agenti o solo adalcuni.

Gli agenti ai quali vengono applicati i criteri di reputazione Web verificano lareputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query direputazione Web all'origine Smart Protection. L'agente mette in correlazione i dati direputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Webapplicato sull'dispositivo. In base al criterio, l'agente blocca o consente l'accesso al sito.


4-10

Processo di aggiornamento di Smart Protection PatternTutti gli aggiornamenti degli Smart Protection Pattern provengono dal serverActiveUpdate di Trend Micro.

FIGURA 4-1. Processo di aggiornamento dei pattern

Utilizzo degli Smart Protection PatternL'agente OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per irischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern


4-11

non è in grado di determinare il rischio di un file. L'agente invia una query all'Elenco sitiWeb bloccati quando un utente tenta di accedere ad un sito Web. La tecnologia di filtroavanzata consente all'agente di inserire nella "cache" i risultati della query. In questomodo si elimina la necessità di inviare la stessa query per più di una volta.

Gli agenti che si trovano attualmente nell'Intranet possono connettersi a SmartProtection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati.È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sonostati impostati più Smart Protection Server, gli amministratori possono determinare lapriorità di connessione.

SuggerimentoInstallare diversi Smart Protection Server per garantire la continuità della protezione nelcaso in cui la connessione a uno Smart Protection Server non sia disponibile.


4-12

Gli agenti attualmente non presenti nella Intranet non possono connettersi a TrendMicro Smart Protection Network per tale operazione. Per connettersi a Smart ProtectionNetwork, è necessaria una connessione ad Internet.

FIGURA 4-2. Processo di query

Gli agenti senza accesso alla rete o ad Internet possono ancora sfruttare la protezionefornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di queryprecedenti. La protezione viene ridotta solo quando una nuova query si rende necessariae l'agente, dopo ripetuti tentativi, continua a non essere in grado di raggiungereun'origine Smart Protection. In questo caso, l'agente contrassegna il file per la verificaconsentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessioneall'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo ascansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono staticonfermati come minaccia.

La seguente tabella riepiloga l'entità della protezione in base alla posizione dell'agente.


4-13

TABELLA 4-2. Comportamenti di protezione in base alla località

POSIZIONE COMPORTAMENTO DEI FILE DEI PATTERN E DELLE QUERY

Per accedere alla intranet • File di pattern: gli agenti scaricano il file Smart ScanAgent Pattern dal server OfficeScan o da un'origineaggiornamenti personalizzata.

• Query di reputazione file e Web: gli agenti siconnettono agli Smart Protection Server per le query.

Senza accesso allaIntranet, ma conconnessione a SmartProtection Network

• File di pattern: gli agenti non scaricano il file SmartScan Agent Pattern più recente a meno che non siadisponibile una connessione al server OfficeScan o aun'origine aggiornamenti personalizzata.

• Query di reputazione file e Web: gli agenti siconnettono a Smart Protection Network per le query.

Senza accesso allaIntranet e senzaconnessione a SmartProtection Network

• File di pattern: gli agenti non scaricano il file SmartScan Agent Pattern più recente a meno che non siadisponibile una connessione al server OfficeScan o aun'origine aggiornamenti personalizzata.

• Query di reputazione file e Web: gli agenti nonricevono i risultati delle query e devono affidarsi a SmartScan Agent Pattern e alla cache che contiene i risultatidelle query precedenti.

Impostazione dei servizi Smart ProtectionPrima che gli agenti possano utilizzare Servizi di reputazione file e Servizi di reputazioneWeb, è necessario assicurarsi che l'ambiente sia stato impostato correttamente.Controllare quanto segue:

• Installazione di Smart Protection Server a pagina 4-14

• Gestione di Integrated Smart Protection Server a pagina 4-20

• Elenco delle origini Smart Protection a pagina 4-25

• Impostazioni proxy connessione agente a pagina 4-33


4-14

• Installazioni di Trend Micro Network VirusWall a pagina 4-34

Installazione di Smart Protection ServerSe il numero degli agenti è minore o uguale a 1.000, è possibile installare SmartProtection Server integrato o standalone. Installare uno Smart Protection Serverstandalone se il numero degli agenti è superiore a 1.000.

Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. Gliagenti che non sono in grado di connettersi a un server particolare tenteranno diconnettersi agli altri server impostati.

Dato che il server integrato e il server OfficeScan vengono eseguiti nello stessodispositivo, le prestazioni possono diminuire in modo significativo durante i periodi ditraffico intenso per i due server. Si consideri di utilizzare uno Smart Protection Serverstandalone come origine Smart Protection principale per gli agenti e Integrated SmartProtection Server come supporto di backup.

Installazione di Smart Protection Server standalonePer istruzioni sull'installazione e la gestione di Smart Protection Server standalone,consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server.

Installazione di Integrated Smart Protection ServerSe durante l'installazione del server OfficeScan è stato installato Integrated SmartProtection Server:

• Attivare Integrated Smart Protection Server e configurare le impostazioni per ilserver. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina4-20.

• Se Integrated Smart Protection Server e l'agente OfficeScan sono sullo stessocomputer server, considerare la possibilità di disattivare il firewall di OfficeScan. Ilfirewall OfficeScan è destinato a essere utilizzato per l'dispositivo agente e puòavere un'influenza negativa sulle prestazioni dei server. Per le istruzioni perdisattivare il firewall, vedere Attivazione o disattivazione del Frewall di OfficeScan a pagina12-6.


4-15

Nota

Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i pianidella sicurezza.

Suggerimento

Installare Integrated Smart Protection Server dopo aver completato l'installazioneOfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 4-15.

Integrated Smart Protection Server Tool

L'Integrated Smart Protection Tool di Trend Micro OfficeScan consente agliamministratori di installare o disinstallare Integrated Smart Protection Server dopo chel'installazione del server OfficeScan è completata. La versione corrente di OfficeScannon consente agli amministratori di installare/rimuovere Integrated Smart ProtectionServer una volta completata l'installazione del server OfficeScan. Questo strumentomigliora la flessibilità delle funzionalità di installazione rispetto alle versioni precedenti diOfficeScan.

Prima di installare Integrated Smart Protection Server, importare i seguenti elementi sulserver OfficeScan 11.0 aggiornato:

• Strutture dei domini

• Il livello principale e le impostazioni del livello dei domini seguenti:

• Configurazioni di scansione per tutti i tipi di scansione (Manuale, In temporeale, Pianificata, Esegui scansione)

• Impostazioni di reputazione Web

• Impostazione del monitoraggio del comportamento

• Impostazioni di controllo dispositivo

• Impostazioni di Prevenzione perdita di dati

• Privilegi e altre impostazioni

• Impostazioni aggiuntive del servizio


4-16

• Elenco approvati spyware/grayware

• Impostazioni globali agente

• Posizione dispositivo

• Criteri e profili del firewall

• Origini Smart Protection

• Pianificazione aggiornamento del server

• Pianificazione e origine dell'aggiornamento agente

• Notifiche

• Impostazioni proxy

Procedura

1. Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione delserver>\PCCSRV\Admin\Utility\ISPSInstaller in cui si trovaISPSInstaller.exe.

2. Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti:

TABELLA 4-3. Opzioni del programma di installazione

COMANDO DESCRIZIONE

ISPSInstaller.exe /i Installa Integrated Smart Protection Serverutilizzando le impostazioni della porta predefinita.

Per ulteriori informazioni sulle impostazioni dellaporta predefinita, consultare la tabella seguente.


4-17

COMANDO DESCRIZIONE

ISPSInstaller.exe /i /f:[numero porta] /s:[numeroporta] /w:[numero porta]

Installa Integrated Smart Protection Serverutilizzando le porte specificate, dove:

• /f:[numero porta] rappresenta la porta direputazione del file HTTP

• /s:[numero porta] rappresenta la porta direputazione del file HTTPS

• /w:[numero porta] rappresenta la porta direputazione Web

NotaAlla porta non specificata viene assegnatoautomaticamente un valore predefinito.

ISPSInstaller.exe /u Disinstalla Integrated Smart Protection Server

TABELLA 4-4. Porte dei servizi di reputazione dell'Integrated Smart ProtectionServer

SERVER WEB E IMPOSTAZIONI

PORTE PER SERVIZI DI REPUTAZIONEFILE

PORTA HTTPPER I SERVIZI DI

REPUTAZIONEWEBHTTP HTTPS (SSL)

Server Apache Web con SSLattivato

8082 4345 (nonconfigurabile)

5274 (nonconfigurabile)

Server Apache Web con SSLdisattivato



Sito Web predefinito IIS conSSL attivato



Sito Web predefinito IIS conSSL disattivato



Sito Web virtuale IIS con SSLattivato

8080 4343(configurabile)

8080(configurabile)


4-18

SERVER WEB E IMPOSTAZIONI

PORTE PER SERVIZI DI REPUTAZIONEFILE

PORTA HTTPPER I SERVIZI DI

REPUTAZIONEWEBHTTP HTTPS (SSL)

Sito Web virtuale IIS con SSLdisattivato

8080 4343(configurabile)

8080(configurabile)

3. Dopo il completamento dell'installazione, aprire la console Web OfficeScan everificare quanto segue:

• Aprire Microsoft Management Console (digitando services.msc nelmenu Avvia) e verificare che Trend Micro Local Web Classification Server eTrend Micro Smart Scan Server siano elencati con lo stato "Avviato".

• Aprire Windows Task Manager. Nella scheda Processi, verificare cheiCRCService.exe e LWCSService.exe siano in esecuzione,

• Nella console Web OfficeScan, verificare che sia visualizzata la voce di menuAmministrazione > Smart Protection > Server integrato.

Migliori pratiche per Smart Protection Server

Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioniriportate di seguito:

• Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate.Suddividere le scansioni in gruppi.

• Evitare di configurare tutti gli agenti in modo che eseguano l'operazione Eseguiscansione simultaneamente.

• Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa512 Kbps, modificando il file ptngrowth.ini.


4-19

Personalizzazione di ptngrowth.ini per il server standalone

Procedura

1. Aprire il file ptngrowth.ini in /var/tmcss/conf/.

2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Salvare il file ptngrowth.ini.

4. Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia dellariga di comando (CLI, Command Line Interface):

• service lighttpd restart

Personalizzazione di ptngrowth.ini per il server integrato

Procedura

1. Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV\WSS\.

2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Salvare il file ptngrowth.ini.


4-20

4. Riavviare il servizio Trend Micro Smart Protection Server.

Gestione di Integrated Smart Protection Server

Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni:

• Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file delserver integrato

• Registrazione degli indirizzi del server integrato

• Aggiornamento dei componenti del server integrato

• Configurazione dell'Elenco URL approvati/bloccati del server integrato

• Configurazione delle impostazioni dell'elenco Virtual Analyzer C&C

Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server apagina 4-23.

Attivazione dei Servizi di reputazione Web e dei Servizi direputazione file del server integrato

Affinché gli agenti siano in grado di inviare query di reputazione Web o di scansione alserver integrato, è necessario attivare i Servizi di reputazione file e i Servizi direputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato diaggiornare i componenti dal server ActiveUpdate.

Questi servizi vengono attivati automaticamente se si sceglie di installare il serverintegrato durante l'installazione del server OfficeScan.

Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Serverstandalone ai quali gli agenti possono inviare le query.



4-21

Registrazione degli Indirizzi del server integrato

Gli indirizzi del server integrato sono necessari per configurare l'elenco delle originiSmart Protection per gli agenti interni. Per ulteriori informazioni sull'elenco, vedereElenco delle origini Smart Protection a pagina 4-25.

Quando inviano le query al server integrato, gli agenti identificano il server attraversouno dei due indirizzi dei Servizi di reputazione file: l'indirizzo HTTP o HTTPS. Laconnessione mediante l'indirizzo HTTPS permette una connessione più sicura mentrequella HTTP richiede un utilizzo di ampiezza di banda inferiore.

Quando gli agenti inviano query di reputazione Web, identificano il server integratodall'indirizzo dei relativi Servizi di reputazione Web.

Suggerimento

Anche gli agenti gestiti da un altro server OfficeScan possono connettersi a questo serverintegrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del serverintegrato all'elenco delle origini Smart Protection.


Aggiornamento dei componenti del server integrato

Il server integrato aggiorna i seguenti componenti:

• Smart Scan Pattern: Gli agenti OfficeScan verificano potenziali minacce rispetto aSmart Scan Pattern inviando query di scansione al server integrato.

• Elenco siti Web bloccati: gli agenti OfficeScan ai quali vengono applicati i criteridi reputazione Web verificano la reputazione di un sito Web rispetto a Elenco sitiWeb bloccati inviando query di reputazione Web al server integrato.

È possibile aggiornare manualmente tali componenti o configurare una pianificazione diaggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate.


4-22

NotaUn server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalserver ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi alserver ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gliindirizzi IP, come ad esempio DeleGate.


Configurazione dell'Elenco URL approvati/bloccati delserver integrato

Gli agenti gestiscono i rispettivi elenchi degli URL approvati/bloccati. Configurarel'elenco degli agenti quando vengono impostati i criteri di reputazione Web (consultareCriteri di reputazione Web a pagina 11-5 per ulteriori informazioni). Qualsiasi URLnell'elenco dell'agente verrà automaticamente consentito o bloccato.

Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non èpresente nell'elenco dell'agente, l'agente invia una query di reputazione Web al serverintegrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL sitrova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notificaall'agente di consentire o bloccare l'URL.

NotaL'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati.

Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato,importare un elenco da Smart Protection Server standalone. Non è possibile aggiungeremanualmente gli URL.



4-23

Impostazioni di connessione di Deep Discovery Advisor eVirtual AnalyzerConfigurare le impostazioni dell'elenco Virtual Analyzer C&C per stabilire unaconnessione tra lo Smart Protection Server integrato e il server Deep Discovery Advisor.Virtual Analyzer di Deep Discovery Advisor crea l'elenco Virtual Analyzer C&C, cheSmart Protection Server archivia per l'uso da parte di OfficeScan.

Una volta stabilita una corretta connessione al server Deep Discovery Advisor, abilitarel'elenco Virtual Analyzer C&C per monitorare i callback C&C effettuati ai serverprecedentemente identificati da altri agenti della rete.


Configurazione delle impostazioni di Integrated SmartProtection Server

Procedura

1. Accedere a Amministrazione > Smart Protection > Server integrato.

2. Selezionare Attiva Servizi di reputazione file.

3. Selezionare il protocollo (HTTP o HTTPS) che gli agenti useranno per inviare lequery di scansione al server integrato.

4. Selezionare Attiva Servizi di reputazione Web.

5. Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server.

6. Per aggiornare i componenti del server integrato:

• Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Webbloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Ilrisultato dell'aggiornamento viene visualizzato nella parte superiore dellaschermata.

• Per aggiornare automaticamente il pattern:

a. Selezionare Attiva aggiornamenti pianificati.


4-24

b. Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti.

c. Selezionare un'origine aggiornamenti in Servizi di reputazione file.Smart Scan Pattern verrà aggiornato da questa origine.

d. Selezionare un'origine aggiornamenti in Servizi di reputazione Web.L'Elenco siti Web bloccati verrà aggiornato da questa origine.

Nota

• Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che ilserver disponga di una connessione a Internet e, se si utilizza un server proxy,verificare se la connessione a Internet è disponibile utilizzando le impostazioniproxy. Consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-21 perulteriori dettagli.

• Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente ele risorse di aggiornamento appropriate su tale origine di aggiornamento.Accertarsi, inoltre, che la connessione tra il computer server e l'origineaggiornamenti funzioni. Per ottenere supporto per la configurazione diun'origine di aggiornamento, contattare l'assistenza tecnica.

7. Per configurare l'elenco dei siti approvati/bloccati del server integrato:

a. Fare clic su Importa per immettere nell'elenco gli URL del file .csvpreformattato. È possibile ottenere il file .csv da uno Smart ProtectionServer standalone.

b. Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco inun file .csv.

8. Nota

• Contattare l'amministratore di Deep Discovery Advisor per ottenere il nome ol'indirizzo IP del server, il numero di porta e una chiave API valida.

• Questa versione di OfficeScan supporta solo Deep Discovery Advisor 3.0 eversioni successive.

Per configurare la connessione Virtual Analyzer del server Deep DiscoveryAdvisor:


4-25

a. Digitare il nome o l'indirizzo IP del server Deep Discovery Advisor.

Nota

Il nome del server supporta i formati FQDN e l'indirizzo IP il formato IPv4.L'indirizzo del server supporta solo il protocollo HTTPS.

b. Digitare la chiave API.

c. Fare clic su Registra per effettuare la connessione al server Deep DiscoveryAdvisor.

Nota

Gli amministratori possono verificare la connessione al server prima dieffettuare la registrazione.

d. Selezionare Attiva elenco Virtual Analyzer C&C per consentire aOfficeScan di utilizzare l'elenco C&C personalizzato analizzato dal serverDeep Discovery Advisor locale.

Nota

L'opzione Attiva elenco Virtual Analyzer C&C è disponibile solo dopo avereffettuato una corretta connessione al server Deep Discovery Advisor.

Gli amministratori sono in grado di effettuare in qualsiasi momento lasincronizzazione manuale con Deep Discovery Advisor facendo clic sul pulsanteSincronizza adesso.


Elenco delle origini Smart Protection

Gli agenti inviano query alle origini Smart Protection quando eseguono la scansione per irischi sulla sicurezza e per determinare la reputazione di un sito Web.


4-26

Supporto IPv6 per le origini Smart Protection

Un agente IPv6 puro non è in grado di inviare query direttamente alle origini IPv4,come:

• Smart Protection Server 2.0 (integrato o standalone)

NotaIl supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5.


Analogamente, un agente IPv4 puro non è in grado di inviare query agli SmartProtection Server IPv6 puri.

Per consentire agli agenti di connettersi alle origini, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.

Origini Smart Protection e posizione dispositivo

L'origine Smart Protection a cui si connette l'agente dipende dalla posizionedell'dispositivo agente.

Per ulteriori informazioni sulla configurazione delle impostazioni della località, vederePosizione dispositivo a pagina 14-2.

TABELLA 4-5. Origini Smart Protection per località

POSIZIONE ORIGINI SMART PROTECTION

Esterni Gli agenti esterni inviano query di reputazione Web e di scansione aTrend Micro Smart Protection Network.


4-27

POSIZIONE ORIGINI SMART PROTECTION

Interni Gli agenti interni inviano query di reputazione Web e di scansione aSmart Protection Server o Trend Micro Smart Protection Network.

Se sono stati installati gli Smart Protection Server, configurare l'elencodelle origini di Smart Protection nella console Web OfficeScan. Unagente interno sceglie un server dall'elenco se deve inviare una query.Se un agente non è in grado di connettersi al primo server, ne sceglieun altro dall'elenco.

SuggerimentoAssegnare uno Smart Protection Server standalone come originedi scansione principale e il server integrato come backup. In talmodo si riduce il traffico diretto all'dispositivo che ospita il serverOfficeScan e il server integrato. Inoltre il server standalone è ingrado di elaborare un maggior numero di query.

È possibile configurare un elenco standard o personalizzato di originiSmart Protection. L'elenco standard è utilizzato da tutti gli agenti interni.L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzoIP di un agente interno è compreso nell'intervallo, l'agente utilizzal'elenco personalizzato.

Configurazione dell'elenco standard di Origini SmartProtection

Procedura

1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection.

2. Fare clic sulla scheda Agenti interni.

3. Selezionare Utilizza l'elenco standard (per tutti gli agenti interni).

4. Fare clic sul collegamento elenco standard.




4-28


6. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Seviene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.

NotaSpecificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono aSmart Protection Server.

7. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansioneutilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette unaconnessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezzadi banda inferiore.

a. Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascoltodel server per le richieste HTTP. Se si desidera che gli agenti utilizzinol'HTTPS, selezionare SSL ed immettere la porta di ascolto del server per lerichieste HTTPS.

b. Per verificare se è possibile stabilire una connessione con il server, fare clic suTest di connessione.

SuggerimentoLe porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenerel'indirizzo del server:

Per il server integrato, aprire la console Web OfficeScan e accedere aAmministrazione > Smart Protection > Server integrato.

Per il server standalone, aprire la console del server standalone e andare allaschermata Riepilogo.

8. Selezionare Servizi di reputazione Web. Gli agenti inviano query di reputazioneWeb utilizzando il protocollo HTTP. L'HTTPS non è supportato.

a. Immettere la porta di ascolto del server per le richieste HTTP.

b. Per verificare se è possibile stabilire una connessione con il server, fare clic suTest di connessione.



4-29

La schermata si chiude.

10. Aggiungere altri server ripetendo i passaggi precedenti.

11. Sulla parte superiore della schermata, selezionare Ordine o Casuale.

• Ordine: Gli agenti scelgono i server nell'ordine con il quale sono visualizzatinell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordineper spostare i server in alto e in basso all'interno dell'elenco.

• Casuale: gli agenti scelgono i server in modo casuale.

SuggerimentoDato che Integrated Smart Protection Server e il server OfficeScan vengono eseguitinello stesso dispositivo, le prestazioni possono diminuire in modo significativodurante i periodi di traffico intenso per i due server. Per ridurre il traffico verso ilcomputer server OfficeScan, assegnare uno Smart Protection Server standalone comeorigine di Smart Protection principale e il server integrato come origine di backup.

12. Eseguire operazioni varie sulla schermata.

• Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.

• Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

• Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.

• Fare clic sul nome del server per effettuare una delle operazioni riportate diseguito:

• Per visualizzare o modificare le informazioni del server.

• Visualizzare l'indirizzo completo del server per Servizi di reputazioneWeb o Servizi di reputazione file.

• Per aprire la console di uno Smart Protection Server, fare clic su Avviaconsole.

• Per Integrated Smart Protection Server, viene visualizzata la schermata diconfigurazione del server.


4-30

• Per Smart Protection Server standalone e Integrated Smart ProtectionServer di un altro server OfficeScan viene visualizzata la schermata diaccesso.

• Per eliminare una voce, selezionare la casella di controllo del server e fare clicsu Elimina.


La schermata si chiude.

14. Fare clic su Invia una notifica tutti gli agenti.

Configurazione degli elenchi personalizzati di Origini SmartProtection

Procedura

1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection.

2. Fare clic sulla scheda Agenti interni.

3. Selezionare Utilizza elenchi personalizzati basati sull'indirizzo IP dell'agente.

4. Facoltativamente, selezionare Utilizza l'elenco standard quando nessun serverdegli elenchi personalizzati è disponibile.



6. Nella sezione dell'Intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, oentrambi.

NotaGli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a SmartProtection Server dual stack. Gli agenti con un indirizzo IPv6 possono connettersi aun IPv6 puro o a Smart Protection Server dual stack. Gli agenti con entrambi gliindirizzi IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server.


4-31

7. Nella sezione Impostazione proxy, specificare le impostazioni proxy che gli agentiutilizzeranno per connettersi a Smart Protection Server.

a. Selezionare Utilizza un server proxy per la comunicazione tra l'agente elo Smart Protection Server.

b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del serverproxy.

c. Se il server proxy richiede l'autenticazione, digitare il nome utente e lapassword.

8. Nell'Elenco personalizzato Smart Protection Server, aggiungere gli SmartProtection Server.

a. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server.Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.

NotaSpecificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettonoa Smart Protection Server.

b. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansioneutilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette unaconnessione più sicura mentre il protocollo HTTP richiede un utilizzo diampiezza di banda inferiore.

i. Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta diascolto del server per le richieste HTTP. Se si desidera che gli agentiutilizzino l'HTTPS, selezionare SSL e immettere la porta di ascolto delserver per le richieste HTTPS.

ii. Per verificare se è possibile stabilire una connessione con il server, fareclic su Test di connessione.


4-32

SuggerimentoLe porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenerel'indirizzo del server:

Per il server integrato, aprire la console Web OfficeScan e accedere aAmministrazione > Smart Protection > Server integrato.

Per il server standalone, aprire la console del server standalone e andarealla schermata Riepilogo.

c. Selezionare Servizi di reputazione Web. Gli agenti inviano query direputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.

i. Immettere la porta di ascolto del server per le richieste HTTP.

ii. Per verificare se è possibile stabilire una connessione con il server, fareclic su Test di connessione.

d. Fare clic su Aggiungi all'elenco.

e. Aggiungere altri server ripetendo i passaggi precedenti.

f. Selezionare Ordine o Casuale.

• Ordine: Gli agenti scelgono i server nell'ordine con il quale sonovisualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nellacolonna Ordine per spostare i server in alto e in basso all'internodell'elenco.

• Casuale: gli agenti scelgono i server in modo casuale.

SuggerimentoDato che Integrated Smart Protection Server e il server OfficeScan vengonoeseguiti nello stesso computer, le prestazioni possono diminuire in modosignificativo durante i periodi di traffico intenso per i due server. Per ridurre iltraffico verso il computer server OfficeScan, assegnare uno Smart ProtectionServer standalone come origine di Smart Protection principale e il serverintegrato come origine di backup.

g. Eseguire operazioni varie nella schermata.

• Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.


4-33

• Per aprire la console di uno Smart Protection Server, fare clic su Avviaconsole.

• Per Integrated Smart Protection Server, viene visualizzata laschermata di configurazione del server.

• Per Smart Protection Server standalone e Integrated SmartProtection Server di un altro server OfficeScan viene visualizzata laschermata di accesso.

• Per eliminare una voce, fare clic su Elimina ( ).


La schermata si chiude. L'elenco appena aggiunto viene visualizzato comecollegamento dell'intervallo IP nella tabella Intervallo IP

10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati.

11. Eseguire operazioni varie nella schermata.

• Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindimodificare le impostazioni nella schermata visualizzata.

• Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

• Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.


Impostazioni proxy connessione agente

Se la connessione a Smart Protection Network richiede l'autenticazione proxy,specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno per gliagenti OfficeScan a pagina 14-51.


4-34

Configurare le impostazioni del proxy interno che gli agenti dovranno utilizzare durantela connessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno pergli agenti OfficeScan a pagina 14-50.

Impostazioni sulla posizione dell'dispositivo

OfficeScan comprende la funzione di Location Awarness in grado di identificare laposizione del computer agente e determinare se l'agente si connette a Smart ProtectionNetwork o a Smart Protection Server. In tal modo, gli agenti rimangono protettiindipendentemente dalla loro posizione.

Per configurare le impostazioni della località, vedere Posizione dispositivo a pagina 14-2.

Installazioni di Trend Micro Network VirusWall

Se è installato Trend Micro™ Network VirusWall™ Enforcer:

• Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build1013 per Network VirusWall Enforcer 1200).

• Per consentire al prodotto di rilevare il metodo di scansione di un agente, eseguirel'aggiornamento del motore OPSWAT alla versione 2.5.1017.

Utilizzo dei servizi Smart ProtectionDopo che l'ambiente Smart Protection è stato impostato correttamente, gli agentipossono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anchepossibile iniziare a configurare le impostazioni di Smart Feedback.

Nota

Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione deiservizi Smart Protection a pagina 4-13.


4-35

Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, gli agentidevono usare un metodo di scansione denominato Smart Scan. Per informazioni suSmart Scan e su come attivarlo sugli agenti, vedere Tipi di metodi di scansione a pagina 7-8.

Per consentire agli agenti OfficeScan di usare Servizi di reputazione Web, configurare icriteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina11-5.

NotaLe impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. Aseconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti gli agenti oconfigurare impostazioni diverse per i singoli agenti o per gruppi di agenti.

Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina13-58.

5-1

Capitolo 5

Installazione dell'agente OfficeScanQuesto capitolo descrive i requisiti di sistema Trend Micro™ OfficeScan™ e leprocedure di installazione dell'agente OfficeScan.

Per ulteriori informazioni sull'aggiornamento dell'agente OfficeScan, consultare la Guidaall'installazione e all'aggiornamento di OfficeScan.


• Installazione da zero dell'agente OfficeScan a pagina 5-2

• Considerazioni sull'installazione a pagina 5-2

• Considerazioni sull'implementazione a pagina 5-11

• Migrazione all'agente OfficeScan a pagina 5-65

• Post-installazione a pagina 5-70

• Disinstallazione dell'agente OfficeScan a pagina 5-73


5-2

Installazione da zero dell'agente OfficeScanL'agente OfficeScan può essere installato su computer con piattaforme MicrosoftWindows. OfficeScan è compatibile anche con diversi prodotti di terzi.

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e deiprodotti compatibili di terze parti:


Considerazioni sull'installazionePrima di installare gli agenti, valutare le informazioni riportate di seguito.

TABELLA 5-1. Considerazioni sull'installazione agente

CONSIDERAZIONE DESCRIZIONE

Supporto dellafunzioneWindows

Alcune funzioni dell'agente OfficeScan non sono disponibili sudeterminate piattaforme Windows.

Supporto IPv6 L'agente OfficeScan può essere installato su agenti dual-stack o IPv6puri. Tuttavia:

• Alcuni sistemi operativi Windows sui quali è possibile installarel'agente OfficeScan non supportano l'indirizzamento IPv6.

• Alcuni metodi di installazione richiedono dei requisiti particolariper installare correttamente l'agente OfficeScan.

Indirizzi IPdell'agenteOfficeScan

Per gli agenti con indirizzi IPv4 e IPv6, è possibile scegliere qualeindirizzo IP sarà usato dall'agente per effettuare la registrazione alserver.


Installazione dell'agente OfficeScan

5-3

CONSIDERAZIONE DESCRIZIONE

Elencoeccezioni

assicurarsi che gli elenchi di eccezioni per le funzioni seguenti sianoconfigurati correttamente:

• Monitoraggio del comportamento: Aggiungere le applicazioniimportanti dell'dispositivo all'elenco Programmi approvati perevitare che tali applicazioni siano bloccate dall'agente OfficeScan.Per ulteriori informazioni, consultare Elenco eccezioniMonitoraggio del comportamento a pagina 8-6.

• Reputazione Web: Aggiungere i siti Web considerati sicuriall'Elenco URL approvati per evitare che l'agente OfficeScanblocchi l'accesso ai siti Web. Per ulteriori informazioni, consultareCriteri di reputazione Web a pagina 11-5.

Funzioni dell'agente OfficeScanLe funzioni dell'agente OfficeScan disponibili nell'dispositivo dipendono dal sistemaoperativo dell'dispositivo.

TABELLA 5-2. Funzionalità dell'agente OfficeScan su piattaforme server

FUNZIONE

SISTEMA OPERATIVO WINDOWS

SERVER 2003 SERVER 2008/SERVER CORE 2008

SERVER 2012/SERVER CORE 2012

Scansione manuale,scansione in temporeale e scansionepianificata.

Sì Sì Sì

Aggiornamento deicomponenti(aggiornamentomanuale e pianificato)

Sì Sì Sì

Update Agent Sì Sì Sì


5-4

FUNZIONE




Reputazione Web Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver e consupporto limitatoalla modalitàinterfaccia utentedi Windows

Damage CleanupServices

Sì Sì Sì

Firewall di OfficeScan Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver e Filtro diapplicazioni nonsupportato

Monitoraggio delcomportamento

Sì (32 bit), madisattivato perimpostazionepredefinita



No (64 bit) Sì (64 bit), madisattivato perimpostazionepredefinita


5-5

FUNZIONE




Protezione automaticadell'agente per:

• Chiavi di registro

• Processi






• Servizi

• Protezione file

Sì Sì Sì

Controllo dispositivo

(Servizio prevenzionemodifiche nonautorizzate)





Protezione dati

(inclusa protezione datiper controllodispositivo)






Scansione e-mailPOP3

Sì Sì Sì


5-6

FUNZIONE




Plug-in Manageragente

Sì Sì Sì

Modalità roaming Sì Sì (Server)

No (Server Core)

Sì

Smart Feedback Sì Sì Sì

TABELLA 5-3. Funzionalità dell'agente OfficeScan su piattaforme desktop

FUNZIONE


XP VISTA WINDOWS 7 WINDOWS8/8.1

Scansione manuale,scansione in temporeale e scansionepianificata.

Sì Sì Sì Sì

Aggiornamento deicomponenti(aggiornamentomanuale e pianificato)

Sì Sì Sì Sì

Update Agent Sì Sì Sì Sì

Reputazione Web Sì Sì Sì Sì, ma èsupportatasolo lamodalitàinterfacciautente diWindows

Damage CleanupServices

Sì Sì Sì Sì


5-7

FUNZIONE



Firewall di OfficeScan Sì Sì Sì Sì, ma non èsupportatoFiltro diapplicazioni

Monitoraggio delcomportamento

Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit)

No (64 bit) Sì (64 bit)

Il supporto diVista a 64 bitrichiede SP1o SP2

Sì (64 bit) Sì (64 bit)


• Chiavi di registro

• Processi






• Servizi

• Protezione file

Sì Sì Sì Sì

Controllo dispositivo

(Servizio prevenzionemodifiche nonautorizzate)






5-8

FUNZIONE



Protezione dati

(inclusa protezionedati per controllodispositivo)

Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) inmodalitàdesktop

Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) inmodalitàdesktop

Scansione e-mailPOP3

Sì Sì Sì Sì

Plug-in Manageragente

Sì Sì Sì Sì

Modalità roaming Sì Sì Sì Sì

Smart Feedback Sì Sì Sì Sì

Installazione dell'agente OfficeScan e supporto IPv6In questo argomento vengono illustrate le considerazioni relative all'installazionedell'agente OfficeScan su agenti dual-stack IPv6 puri.

Sistema operativo

L'agente OfficeScan può essere installato solo sui seguenti sistemi operativi chesupportano l'indirizzamento IPv6:

• Windows Vista™ (tutte le edizioni)

• Windows Server 2008 (tutte le edizioni)

• Windows 7 (tutte le edizioni)

• Windows Server 2012 (tutte le edizioni)

• Windows 8/8.1 (tutte le edizioni)


5-9

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:


Metodi di installazione

Per installare l'agente OfficeScan sugli agenti dual-stack o IPv6 puri, è possibile usaretutti i metodi di installazione dell'agente OfficeScan. Alcuni metodi di installazionerichiedono dei requisiti particolari per installare correttamente l'agente OfficeScan.

Non è possibile migrare ServerProtect™ all'agente OfficeScan con lo Strumento dimigrazione di server normali ServerProtect in quanto lo strumento non supportal'indirizzamento IPv6.

TABELLA 5-4. Metodi di installazione e supporto IPv6

METODO DIINSTALLAZIONE

REQUISITI E CONSIDERAZIONI

Pagina di installazioneWeb e installazionebasata sul browser

L'URL per la pagina di installazione include il nome host delserver OfficeScan o il relativo indirizzo IP.

Se si sta effettuando l'installazione su un agente IPv6 puro, ilserver deve essere dual-stack o IPv6 puro e il relativo nomehost o indirizzo IPv6 deve essere incluso nell'URL.

Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nellaschermata dello stato d'installazione dipende dall'opzioneselezionata nella sezione Indirizzo IP preferito di Agenti >Impostazioni globali agente.

Agent Packager Quando si esegue lo strumento Packager, è necessarioscegliere se assegnare i privilegi Update Agent all'agente.Tenere presente che gli Update Agent IPv6 puri possonodistribuire gli aggiornamenti solo agli agenti IPv6 puri o dual-stack.

Conformità sicurezza,Vulnerability Scanner einstallazione remota

Un server IPv6 puro non può installare l'agente OfficeScan sudispositivo IPv4 puri. Analogamente, un server IPv4 puro nonpuò installare l'agente OfficeScan su dispositivo IPv6 puri.



5-10

Indirizzi IP dell'agente

I server OfficeScan installati in un ambiente che supporta l'indirizzamento IPv6 possonogestire i seguenti agenti OfficeScan:

• I server OfficeScan installati su macchine host IPv6 pure possono gestire gli agentiIPv6 puri.

• I server OfficeScan installati su macchine host dual-stack con indirizzi IPv4 e IPv6assegnati possono gestire agenti IPv6 puri, dual-stack e IPv4 puri.

Quando vengono installati o aggiornati, gli agenti effettuano la registrazione al serverusando un indirizzo IP.

• Gli agenti IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6.

• Gli agenti IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4.

• Gli agenti dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 oIPv6. È possibile scegliere l'indirizzo IP che gli agenti utilizzeranno.

Configurazione dell'indirizzo IP utilizzato dagli agenti dual-stackper la registrazione al server

Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solodagli agenti dual-stack.

Procedura

1. Accedere a Agenti > Impostazioni globali agente.

2. Andare alla sezione Indirizzo IP preferito.

3. Scegliere una delle opzioni elencate di seguito.

• Solo IPv4: gli agenti usano il proprio indirizzo IPv4.

• Prima IPv4, poi IPv6: gli agenti usano prima il proprio indirizzo IPv4. Sel'agente non è in grado di effettuare la registrazione con l'indirizzo IPv4, usal'indirizzo IPv6. Se la registrazione non riesce con entrambi gli indirizzi IP,l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione.


5-11

• Prima IPv6, poi IPv4: gli agenti usano prima il proprio indirizzo IPv6. Sel'agente non è in grado di effettuare la registrazione con l'indirizzo IPv6, usal'indirizzo IPv4. Se la registrazione non riesce con entrambi gli indirizzi IP,l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione.


Considerazioni sull'implementazioneQuesta sezione fornisce un riepilogo dei diversi metodi di installazione dell'agenteOfficeScan disponibili per l'installazione da zero dell'agente OfficeScan. Tutti i metodi diinstallazione necessitano dei privilegi di amministratore sui computer di destinazione.

Se si stanno installando gli agenti e si desidera attivare il supporto IPv6, leggere leistruzioni riportate in Installazione dell'agente OfficeScan e supporto IPv6 a pagina 5-8.

TABELLA 5-5. Considerazioni sull'implementazione per l'installazione

METODO DIINSTALLAZIONE/

SUPPORTO SISTEMAOPERATIVO

CONSIDERAZIONI SULL'IMPLEMENTAZIONE

IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT

IMPLEMENTAZIONEDI MASSA

AMPIEZZA DIBANDA

UTILIZZATA

Pagina diinstallazione sulWeb

Supportato su tutti isistemi operativi aeccezione diWindows ServerCore 2008 eWindows 8/8.1/Server 2012/ServerCore 2012 inmodalità interfacciautente di Windows

No No Sì No No Alto


5-12




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Installazioni basatesu browser

Supporto per tutti isistemi operativi

NotaNonsupportato inWindows 8,8.1 oWindowsServer 2012in modalitàinterfacciautente diWindows.

No No Sì Sì No Alto, se leinstallazionivengonoavviatenello stessomomento

Installazioni basatesu UNC




5-13




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Installazioni remote

Supporto per tutti isistemi operativieccetto:

• Windows VistaHome BasicEdition e HomePremiumEdition

• Windows XPHome Edition

• Windows 7Home Basic/Home Premium

• Windows 8/8.1(versioni base)

No Sì No Sì No Alto

Impostazione scriptdi accesso



Agent Packager


No No Sì Sì No Basso, sepianificato


5-14




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Agent Packager(pacchetto MSIimplementatotramite MicrosoftSMS)


Sì Sì Sì/No Sì Sì Basso, sepianificato

Agent Packager(pacchetto MSIimplementatotramite ActiveDirectory)


Sì Sì Sì/No Sì Sì Alto, se leinstallazionivengonoavviatenello stessomomento

Immagine discodell'agente


No No No Sì No Basso


5-15




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Trend MicroVulnerabilityScanner (TMVS)







5-16




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Installazioni diconformitàsicurezza




• Windows 7Home Basic/Home Premium



Installazioni della pagina di installazione sul WebAffinché gli utenti possano installare il programma agente OfficeScan dalla pagina diinstallazione Web, il server OfficeScan deve essere installato in dispositivo che utilizzanouna delle piattaforme riportate di seguito:

• Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x

• Windows Server 2008 con Internet Information Server (IIS) 7.0

• Windows Server 2008 R2 con Internet Information Server (IIS) 7.5

• Windows Server 2012 con Internet Information Server (IIS) 8.0


5-17

Per installare dalla pagina di installazione Web, occorre disporre della configurazioneriportata di seguito:

• Internet Explorer con il livello di sicurezza impostato in modo da consentire icontrolli ActiveX™. Sono richieste le versioni seguenti:

• versione 6.0 con Windows XP e Windows Server 2003

• versione 7.0 con Windows Vista e Windows Server 2008

• versione 8.0 con Windows 7

• versione 10.0 su Windows 8/8.1 e Windows Server 2012

• Privilegi di amministratore sull'dispositivo

Per installare l'agente OfficeScan dalla pagina di installazione Web, inviare agli utenti leseguenti istruzioni. Per inviare una notifica di installazione tramite messaggio e-mail,vedere Avvio di un'installazione basata sul browser a pagina 5-19.

Installazione dalla pagina di installazione Web

Procedura

1. Accedere all'dispositivo utilizzando un account amministratore integrato.

Nota

Per le piattaforme Windows 7, 8 o 8.1 occorre aver attivato prima l'account diamministratore predefinito. Per impostazione predefinita Windows 7, 8 e 8.1disattivano l'account di amministratore predefinito. Per ulteriori informazioni, fareriferimento al sito del supporto Microsoft (http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx).

2. Se si effettua l'installazione su dispositivo con Windows XP, Vista, Server 2008, 7,8, 8.1 o Server 2012, attenersi alla procedura riportata di seguito:

a. Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (adesempio https://<nome server OfficeScan>:4343/officescan)all'elenco di siti affidabili. In Windows XP Home, per accedere a tale elenco

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx


5-18

fare clic su Strumenti > Opzioni Internet > Protezione, selezionare l'iconaSiti affidabili e fare clic su Siti.

b. Modificare le impostazioni di sicurezza di Internet Explorer e attivareRichiesta di conferma automatica per controlli ActiveX. In Windows XP,per effettuare la stessa operazione selezionare Strumenti > Opzioni Internet> Protezione e fare clic su Livello personalizzato.

3. Aprire una finestra di Internet Explorer e digitare quanto segue:

https://<nome server OfficeScan>:<porta>/officescan

4. Fare clic sul collegamento del programma di installazione nella pagina diaccesso, per visualizzare le seguenti opzioni di installazione:

• Installazione agente basata su browser (solo Internet Explorer): Seguire leistruzioni sullo schermo in base al sistema operativo.

• Installazione agente MSI: scaricare il pacchetto a 32 o a 64 bit, in base alsistema operativo, e seguire le istruzioni sullo schermo.

NotaQuando viene richiesto, consentire l'installazione dei controlli ActiveX.

5. Dopo il completamento dell'installazione, l'icona dell'agente OfficeScan vienevisualizzata nella barra delle applicazioni di Windows.

NotaPer ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedereIcone dell'agente OfficeScan a pagina 14-26.

Installazione basata su browserImpostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioniper installare l'agente OfficeScan. Per avviare l'installazione, gli utenti devono fare clicsul collegamento per l'installazione dell'agente OfficeScan contenuto nel messaggio e-mail.


5-19

Prima di installare gli agenti OfficeScan:

• Verificare i requisiti di installazione degli agenti OfficeScan.

• Individuare quali computer della rete non sono attualmente provvisti di protezionecontro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito:

• Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica lapresenza di applicazioni software antivirus installate sugli dispositivo in base aun intervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultareUtilizzo di Vulnerability Scanner a pagina 5-39.

• Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezzaper dispositivo non gestiti a pagina 14-70.

Avvio di un'installazione basata sul browser

Procedura

1. Accedere a Agenti > Installazione agente > Basato su browser.

2. Se necessario, modificare la riga dell'oggetto del messaggio e-mail.

3. Fare clic su Crea e-mail.

Si apre il programma di posta predefinito.

4. Inviare il messaggio ai destinatari designati.

Esecuzione di un'installazione basata su UNCAutoPcc.exe è un programma standalone che installa l'agente OfficeScan neicomputer non protetti e aggiorna i componenti e i file di programma. Per poterutilizzare AutoPcc tramite il percorso UNC (Uniform Naming Convention), glidispositivo devono appartenere al dominio.

Procedura

1. Accedere a Agenti > Installazione agente > Basato su UNC.


5-20

• Per installare l'agente OfficeScan su un dispositivo non protetto utilizzandoAutoPcc.exe:

a. Connettersi al computer server OfficeScan. Accedere al percorso UNC:

\\<nome del computer server>\ofscan

b. Fare clic con il pulsante destro del mouse su AutoPcc.exe eselezionare Esegui come amministratore.

• Per le installazioni desktop in remoto che utilizzano AutoPcc.exe:

a. Aprire una connessione da desktop remoto (Mstsc.exe) in modalitàconsole. In questo modo l'installazione di AutoPcc.exe vieneforzatamente eseguita nella sessione 0.

b. Accedere alla directory \\<nome del computer server>\ofscaned eseguire AutoPcc.exe.

Installazione remota dalla console Web OfficeScanÈ possibile installare in remoto l'agente OfficeScan su uno o più computer collegati inrete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazioneremota sui computer di destinazione. L'installazione remota non installa l'agenteOfficeScan su dispositivo sui quali è già in esecuzione il server OfficeScan.

NotaQuesto metodo di installazione non può essere adottato sugli dispositivo con Windows XPHome, Windows Vista Home Basic e Home Premium Edition, Windows 7 Home Basic eHome Premium Edition (versioni a 32 e a 64 bit) e Windows 8/8.1 (versioni di base a 32 ea 64 bit). Un server IPv6 puro non può installare l'agente OfficeScan su agenti IPv4 puri.Analogamente, un server IPv4 puro non può installare l'agente OfficeScan su agenti IPv6puri.

Procedura

1. Se si utilizza Windows Vista, Windows 7, Windows 8 (Pro, Enterprise), Windows8.1 o Windows Server 2012, attenersi alla procedura riportata di seguito:


5-21

a. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

b. Disattivare la condivisione dei file sull'dispositivo.

c. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".

e. Aprire Microsoft Management Console (fare clic su Avvia > Esegui edigitare services.msc) e avviare i servizi Registro remoto e RemoteProcedure Call. Quando si installa l'agente OfficeScan, utilizzare l'account ela password di amministratore integrati.

2. Nella console Web, accedere a Agenti > Installazione agente > Remote.

3. Selezionare i computer di destinazione.

• L'elenco Dispositivo e domini visualizza tutti i domini Windows della rete.Per visualizzare gli dispositivo in un dominio specifico, fare doppio clic sulnome del dominio. Selezionare un dispositivo e fare clic su Aggiungi.

• Se si conosce già il nome dell'dispositivo di destinazione, immetterlo nelcampo in cima alla pagina Cerca dispositivoe fare clic su INVIO..

OfficeScan richiede il nome utente e la password del computer di destinazione. Perproseguire utilizzare un nome utente e una password con privilegi diamministratore.

4. Immettere il nome utente e la password e fare clic su Accedi.

Nella tabella Dispositivo selezionati viene visualizzato l'dispositivo didestinazione.

5. Per aggiungere altri computer, ripetere i passaggi 4 e 3.

6. Quando si è pronti per installare l'agente OfficeScan sui computer di destinazione,fare clic su Installa.

Viene visualizzata una finestra di dialogo di conferma.


5-22

7. Fare clic su Sì per confermare l'installazione dell'agente OfficeScan sui computer didestinazione.

Mentre i file di programma vengono copiati sui diversi dispositivo di destinazione,viene visualizzata una schermata di avanzamento.

Quando OfficeScan ha completato l'installazione in un dispositivo di destinazione, ilnome dell'dispositivo non viene più visualizzato nell'elenco Dispositivo selezionati eviene visualizzato nell'elenco Dispositivo e domini con un segno di spunta rosso.

Quando tutti i computer di destinazione sono visualizzati nell'elenco Dispositivo edomini con un segno di spunta rosso, il processo di installazione remota è concluso.

NotaNell'installazione su diversi computer, OfficeScan riporta nei registri tutte le installazioninon completate (per i dettagli vedere Registri installazioni da zero a pagina 16-16); questo,tuttavia, non causa problemi all'installazione del software sugli altri computer. Dopo averfatto clic su Installa, pertanto, non è più necessario supervisionare la procedura diinstallazione. Per vedere i risultati dell'installazione, controllare i registri al terminedell'operazione.

Installazione con Impostazione script di accessoL'Impostazione script di accesso automatizza l'installazione dell'agente OfficeScan sucomputer non protetti quando questi accedono alla rete. L'Impostazione script diaccesso aggiunge allo script di accesso del server un programma denominatoAutoPcc.exe.

AutoPcc.exe installa l'agente OfficeScan negli dispositivo non gestiti e aggiorna icomponenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script diaccesso, gli dispositivo devono appartenere al dominio.


Quando l'dispositivo effettua l'accesso al server sul quale sono stati modificati gli scriptdi accesso, AutoPcc.exe installa automaticamente l'agente OfficeScan su undispositivo Windows Server 2003 non protetto. AutoPcc.exe, tuttavia, non effettua


5-23

installazioni automatiche dell'agente OfficeScan sui computer con Windows Vista, 7, 8,8.1, Server 2008 e Server 2012. Gli utenti devono collegarsi al computer server, accederea \\<nome computer server>\ofcscan, fare clic con il pulsante destro del mousesu AutoPcc.exe e selezionare Esegui come amministratore.

Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe:

• L'dispositivo deve essere eseguito in modalità Mstsc.exe / console. In questomodo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0.

• Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da taleposizione.

Aggiornamenti dei componenti e del programma

AutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-spyware e di Damage Cleanup Services.

Script di Windows Server 2003, 2008 e 2012

Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge uncomando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un filebatch denominato officescan.bat che contiene il comando per eseguireAutoPcc.exe.

L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati diseguito.

\\<Server_name>\ofcscan\autopcc

Dove:

• <Nome_server> è il nome dell'dispositivo o l'indirizzo IP dell'dispositivo serverOfficeScan.

• "ofcscan" è il nome della cartella condivisa di OfficeScan sul server.

• "autopcc" è il collegamento al file eseguibile autopcc che installa l'agenteOfficeScan.


5-24

Posizione dello script di accesso (tramite una directory condivisa mediante accesso direte):

• Windows Server 2003: \\server Windows 2003\unità di sistema\windir\sysvol\domain\scripts\ofcscan.bat



Aggiunta di Autopcc.exe allo script di accesso con l'utilizzodi Impostazione script di accesso

Procedura

1. Nell'dispositivo da cui si esegue l'installazione del server, dal menu Start diWindows, fare clic su Programmi > Server OfficeScan di Trend Micro <Nomeserver> > Impostazione script di accesso.

Viene caricata l'utilità Impostazione script di accesso. La console visualizza unastruttura ad albero con tutti i domini della rete.

2. Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo efare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario edi disporre dei privilegi di amministratore del server.

L'Impostazione script di accesso richiede un nome utente e una password.

3. Immettere il nome utente e la password. Fare clic su OK per continuare.

Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene iprofili degli utenti che si collegano al server. L'elenco Utenti selezionati contieneinvece i profili degli utenti di cui si desidera modificare lo script di accesso.

4. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elencoUtenti e fare clic su Aggiungi.

5. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti.


5-25

6. Per escludere il profilo di un utente precedentemente selezionato, selezionarne ilnome nell'elenco Utenti selezionati e fare clic su Elimina.

7. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto.

8. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utentiselezionati, fare clic su Applica.

Viene visualizzato un messaggio in cui viene confermata la corretta modifica degliscript di accesso al server.

9. Fare clic su OK.

Si ritorna alla schermata iniziale dell'Impostazione script di accesso.

10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4.

11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci.

Installazione con Agent PackagerAgent Packager crea un pacchetto di installazione che può essere inviato agli utenti consupporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sui propridispositivo agente per installare o aggiornare la versione dell'agente OfficeScan eaggiornare i componenti.

Agent Packager risulta particolarmente utile quando si esegue l'implementazionedell'agente OfficeScan o dei componenti sugli agenti nelle sedi remote con ampiezza dibanda ridotta. Gli agenti OfficeScan installati mediante Agent Packager si collegano alserver in cui è stato creato il pacchetto.

Requisiti di Agent Packager:

• 350 MB di spazio libero su disco

• Windows Installer 2.0 (per eseguire un pacchetto MSI)

Linee guida per l'implementazione del pacchetto1. Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto agente

OfficeScan sui loro computer, facendo doppio clic sul file .exeo .msi.


5-26

Nota

Inviare il pacchetto solo agli utenti con agente OfficeScan che riporta al server laposizione nella quale è stato creato.

2. Informare gli utenti che installano il pacchetto .exe su computer con WindowsVista, Server 2008, 7, 8,8.1 o Server 2012, che è necessario fare clic con il pulsantedestro del mouse sul file .exe e selezionare Esegui come amministratore.

3. Se è stato creato un file .msi, per implementare il pacchetto effettuare leoperazioni riportate di seguito:

• Utilizzare Active Directory o Microsoft SMS. Vedere Implementazione di unpacchetto MSI utilizzando Active Directory a pagina 5-32 o Implementazione di unpacchetto MSI utilizzando Microsoft SMS a pagina 5-33.

4. Avviare il pacchetto MSI tramite il prompt dei comandi e installare l'agenteOfficeScan in modalità invisibile su un dispositivo remoto con Windows XP, Vista,Server 2008, 7, 8 8.1 o Server 2012.

Linee guida del metodo di scansione per i pacchetti agente

Selezionare il metodo di scansione del pacchetto. Per informazioni, vedere Tipi di metodidi scansione a pagina 7-8.

I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Perulteriori informazioni sui componenti disponibili per ciascun metodo di scansione,vedere Aggiornamenti agente OfficeScan a pagina 6-30.

Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo discansione leggere le linee guida riportate di seguito.

• Se il pacchetto verrà utilizzato per aggiornare l'agente a questa versione diOfficeScan, verificare il metodo di scansione del livello del dominio nella consoleWeb. Nella console, accedere a Agenti > Gestione agente, selezionare il dominiodella struttura agente a cui appartiene l'agente, quindi fare clic su Impostazioni >Impostazioni di scansione > Metodi di scansione. Il metodo di scansione dellivello del dominio deve essere coerente con il metodo di scansione del pacchetto.


5-27

• Se il pacchetto verrà utilizzato per eseguire un'installazione da zero dell'agenteOfficeScan, verificare l'impostazione di raggruppamento dell'agente. Nella consoleWeb, accedere a Agenti > Raggruppamento agenti.

• Se il raggruppamento dell'agente avviene in base a NetBIOS, Active Directory odominio DNS, verificare il dominio di appartenenza dell'dispositivo didestinazione. Se il dominio esiste, verificare il metodo di scansione configurato peril dominio. Se il dominio non esiste, verificare il metodo di scansione del livelloroot (selezionare l'icona del dominio root ( ) nella struttura agente e fare clic suImpostazioni > Impostazioni di scansione > Metodi di scansione). Il metododi scansione del livello del dominio o del livello principale deve essere coerente conil metodo di scansione del pacchetto.

• Se il raggruppamento degli agenti avviene in base ai gruppi di agenti personalizzati,verificare Priorità di raggruppamento e Origine.

FIGURA 5-1. Riquadro di anteprima Raggruppamento automatico agenti

Se l'dispositivo di destinazione appartiene a un'origine particolare, verificare laDestinazione corrispondente. La destinazione è il nome del dominio visualizzatonella struttura agente. Dopo l'installazione l'agente utilizzerà il metodo di scansioneper quel dominio.

• Se il pacchetto verrà utilizzato per aggiornare i componenti negli agenti con questaversione di OfficeScan, verificare il metodo di scansione configurato per il dominiodella struttura agente a cui appartiene l'agente. Il metodo di scansione del livello deldominio deve essere coerente con il metodo di scansione del pacchetto.


5-28

Considerazioni su Update Agent

Assegnare i privilegi di Update Agent all'agente OfficeScan dell'dispositivo didestinazione. Gli Update Agent assistono il server OfficeScan nell'implementazione deicomponenti sugli agenti. Per i dettagli, consultare Update Agent a pagina 6-58.

Per assegnare privilegi Update Agent all'agente OfficeScan:

1. Tenere presente che se il pacchetto sarà implementato su un agente IPv6 puro,Update Agent può distribuire gli aggiornamenti solo agli agenti IPv6 puri o dual-stack.

2. Per attivare e configurare gli aggiornamenti dell'agente, utilizzare Strumento diconfigurazione aggiornamento pianificato. Per i dettagli, consultare Metodi diaggiornamento per Update Agent a pagina 6-65.

3. Il server OfficeScan che gestisce l'Update Agent non sarà in grado di sincronizzareo implementare le seguenti impostazioni sull'agente:

• Privilegio Update Agent

• aggiornamento pianificato agente

• Aggiornamenti dal server ActiveUpdate di Trend Micro

• Aggiornamenti da altre origini di aggiornamenti

Il pacchetto dell'agente OfficeScan, quindi, deve essere implementato solo suicomputer che non saranno gestiti dal server OfficeScan. Successivamente,configurare Update Agent in modo che ottenga gli aggiornamenti da un'origine diaggiornamenti diversa dal server OfficeScan, ad esempio, un'origine aggiornamentipersonalizzata. Per fare in modo che il server OfficeScan sincronizzi leimpostazioni con Update Agent, non utilizzare Agent Packager e scegliere undiverso metodo di installazione per l'agente OfficeScan.


5-29

Creazione di un pacchetto di installazione con l'utilizzo diAgent Packager

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager.

2. Per eseguire lo strumento, fare doppio clic su ClnPack.exe.

Viene aperta la console di Agent Packager.

3. Selezionare il tipo di pacchetto che si desidera creare.

TABELLA 5-6. Tipi di pacchetti agente

TIPO PACCHETTO DESCRIZIONE

Installazione Selezionare Installazione per creare il pacchetto come fileeseguibile. Il pacchetto installa il programma agenteOfficeScan con i componenti attualmente disponibili nelserver. Se nell'dispositivo di destinazione è installata unaversione precedente dell'agente, il file eseguibile consentedi aggiornare l'agente.

Aggiornamento Selezionare Aggiorna per creare un pacchetto contenentei componenti attualmente disponibili nel server. Il pacchettoviene creato come file eseguibile. Utilizzare questopacchetto se si verificano problemi con l'aggiornamento deicomponenti in un dispositivo agente.

MSI Selezionare MSI per creare un pacchetto conforme alformato Microsoft Installer Package. Il pacchetto installaanche il programma agente OfficeScan con i componentiattualmente disponibili nel server. Se nell'dispositivo didestinazione è installata una versione precedentedell'agente, il file MSI consente di aggiornare l'agente.

4. Selezionare il sistema operativo per cui si desidera creare il pacchetto.Implementare il pacchetto solo sugli endopint che eseguono questo tipo di sistemaoperativo. Creare un altro pacchetto da implementare su un altro tipo di sistemaoperativo.


5-30

5. Selezionare il metodo di scansione implementato dal pacchetto agente.

Per le linee guida su come selezionare un metodo di scansione, vedere Linee guidadel metodo di scansione per i pacchetti agente a pagina 5-26.

6. Nella sezione Dominio, selezionare una delle opzioni illustrate di seguito:

• Consenti all'agente di segnalare i propri domini automaticamente: dopoaver installato l'agente OfficeScan, l'agente invia una query al database delserver OfficeScan e invia al server le segnalazioni relative alle impostazioni deldominio.

• Qualsiasi dominio nell'elenco: Agent Packager si sincronizza con il serverOfficeScan ed elenca i domini attualmente usati nella struttura agente.

7. Nella sezione Opzioni, selezionare tra quelle illustrate di seguito:

OPZIONE DESCRIZIONE

Modalità invisibile Questa opzione crea un pacchetto che viene installato inbackground sull'dispositivo agente, in modo impercettibile perl'agente e senza visualizzare la finestra sullo statodell'installazione. Attivare questa opzione se si intendeimplementare il pacchetto in modo remoto sull'dispositivo didestinazione.

Sovrascritturaforzata con ultimaversione

Questa opzione sovrascrive le versioni dei componentidell'agente con le versioni attualmente disponibili nel server.Attivare questa opzione per fare in modo che i componentidel server e dell'agente siano sincronizzati.

DisattivaScansionepreliminare (soloinstallazioni dazero)

Se nell'dispositivo di destinazione non è installato l'agenteOfficeScan, prima di installare l'agente OfficeScan ilpacchetto esegue la scansione dell'dispositivo per rilevareeventuali rischi per la sicurezza. Se si è certi che l'dispositivodi destinazione non sia infetto, è possibile disattivare la pre-scansione.

Se la pre-scansione è attivata, il programma di installazioneesegue la scansione per rilevare virus e minacce informatichenelle aree dell'dispositivo più vulnerabili, comprese quelleriportate di seguito:

• Area boot e la directory boot (per i virus del settore boot)


5-31

OPZIONE DESCRIZIONE

• Cartella Windows

• Cartella Programmi

8. In Funzioni di Update Agent, selezionare quali funzioni Update Agent è in gradodi implementare.

Per ulteriori informazioni sull'assegnazione delle funzioni di Update Agent, vedereConsiderazioni su Update Agent a pagina 5-28.

9. In Componenti, selezionare i componenti e le funzioni da includere nel pacchetto.

• Per ulteriori informazioni sui componenti, vedere Programmi e componenti diOfficeScan a pagina 6-2.

• Il modulo Protezione dati è disponibile solo se si installa e si attiva laProtezione dati. Per ulteriori informazioni su Protezione dati, vedereInformazioni preliminari su Protezione dati a pagina 3-1.

10. Successivamente a File di origine, assicurarsi che il percorso del fileofcscan.ini sia corretto. Per modificare il percorso, fare clic su per cercareil file ofcscan.ini.

Per impostazione predefinita, questo file si trova nella cartella <Cartella diinstallazione del server>\PCCSRV del server OfficeScan.

11. In File di destinazione, fare clic su , specificare in quale percorso e con qualenome si desidera creare il pacchetto agente OfficeScan, (ad esempioAgentSetup.exe).

12. Fare clic su Crea.

Quando Agent Packager ha completato la creazione del pacchetto, vienevisualizzato il messaggio “Creazione pacchetto completata”. Individuare il packagenella directory specificata nel passaggio precedente.

13. Implementare il pacchetto.


5-32

Implementazione di un pacchetto MSI utilizzando ActiveDirectoryÈ possibile sfruttare le caratteristiche di Active Directory per implementare il pacchettoMSI contemporaneamente su diversi dispositivo agente. Per istruzioni sulla creazione diun file MSI, consultare Installazione con Agent Packager a pagina 5-25.

Procedura

1. Eseguire le operazioni riportate di seguito:

• Per Windows Server 2003 e versioni precedenti:

a. Aprire la console di Active Directory

b. Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desideraimplementare il pacchetto MSI e fare clic su Proprietà.

c. Nella scheda Criterio di gruppo, fare clic su Nuovo.

• Per Windows Server 2008 e Windows Server 2008 R2:

a. Aprire la console Gestione Criteri di gruppo. Fare clic su Start >Pannello di controllo > Strumenti di amministrazione > GestioneCriteri di gruppo.

b. Nell'albero della console espandere Oggetti Criteri di grupponell'insieme di strutture e nel dominio che contiene l'oggetto Criteri digruppo da modificare.

c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo damodificare, quindi fare clic su Modifica. Viene visualizzato l'Editoroggetti Criteri di gruppo.

• Per Windows Server 2012:

a. Aprire la console Gestione Criteri di gruppo. Fare clic su Gestioneserver > Strumenti > Gestione Criteri di gruppo.

b. Nell'albero della console espandere Oggetti Criteri di grupponell'insieme di strutture e nel dominio che contiene l'oggetto Criteri digruppo da modificare.


5-33

c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo damodificare, quindi fare clic su Modifica. Viene visualizzato l'Editoroggetti Criteri di gruppo.

2. Scegliere tra Configurazione computer e Configurazione utente e aprire lerelative Impostazioni software.

Suggerimento

Per essere sicuri che l'installazione del pacchetto MSI avvenga correttamenteindipendentemente da quale utente accede all'dispositivo, Trend Micro consiglia diutilizzare la Configurazione computer anziché la Configurazione utente.

3. Sotto a Impostazioni software, fare clic con il pulsante destro del mouse suInstallazione software, quindi selezionare Nuovo e Pacchetto.

4. Individuare e selezionare il pacchetto MSI.

5. Selezionare un metodo di implementazione e fare clic su OK.

• Assegnato: il pacchetto MSI viene automaticamente implementato alsuccessivo accesso dell'utente all'dispositivo (se è stata selezionata laConfigurazione utente) o al successivo riavvio dell'dispositivo (se è stataselezionata la Configurazione computer). Questo metodo non richiede alcunintervento da parte dell'utente.

• Pubblicato: per eseguire il pacchetto MSI, dare istruzioni all'utente affinchéapra il Pannello di controllo e la schermata Installazione applicazioni eselezioni l'opzione per l'installazione di programmi in rete. All'avvio delpacchetto MSI dell'agente OfficeScan, gli utenti possono procedere conl'installazione dell'agente OfficeScan.

Implementazione di un pacchetto MSI utilizzando MicrosoftSMS

Se Microsoft BackOffice SMS è installato nel server, è possibile implementare ilpacchetto MSI utilizzando Microsoft System Management Server (SMS). Per istruzionisulla creazione di un file MSI, consultare Installazione con Agent Packager a pagina 5-25.


5-34

Prima di implementare il pacchetto sul computer di destinazione, il server SMS deveottenere il file MSI dal server OfficeScan.

• Locale: il server SMS e il server OfficeScan si trovano sullo stesso dispositivo.

• Remoto: il server SMS e il server OfficeScan si trovano su computer diversi.

Problemi noti relativi all'installazione con Microsoft SMS:

• Nella colonna relativa all'ora di esecuzione della console SMS viene visualizzato ilmessaggio "Sconosciuto".

• Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor delprogramma SMS potrebbe comunque indicare che l'installazione è stata completata.Per istruzioni su come controllare se l'installazione è stata conclusa correttamente,vedere Post-installazione a pagina 5-70.

Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito.

Ottenimento del pacchetto localmente

Procedura

1. Aprire la console dell'amministratore SMS.

2. Nella scheda Struttura ad albero, fare clic su Pacchetti.

3. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.

Viene visualizzata la schermata iniziale della procedura guidata per la creazionedel pacchetto.

4. Fare clic su Avanti.

Viene visualizzata la schermata Package Definition.

5. Fare clic su Sfoglia.

Viene visualizzata la schermata Open.

6. Sfogliare e selezionare il file del pacchetto MSI creato da Agent Packager, quindifare clic su Apri.


5-35

Il nome del pacchetto MSI viene visualizzato sulla schermata Definizionepacchetto. Il pacchetto visualizza la versione del programma e di "agenteOfficeScan".


Viene visualizzata la schermata Source Files.

8. Fare clic su Ricevere sempre i file da una directory di origine, quindi suAvanti.

Viene visualizzata la schermata Directory di origine con il nome del pacchettoche viene creato e la directory di origine stessa.

9. Fare clic su Unità locale sul server del sito.

10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI.


Viene creato il pacchetto. Al termine del processo, il nome del pacchetto vienevisualizzato sulla console dell'amministratore SMS.

Ottenimento del pacchetto in remoto

Procedura

1. Sul server OfficeScan, utilizzare Agent Packager per creare un pacchetto diinstallazione con estensione .exe (non è possibile creare un pacchetto .msi). Perinformazioni, vedere Installazione con Agent Packager a pagina 5-25.

2. Sull'dispositivo sul quale si desidera archiviare il file di origine, creare una cartellacondivisa.

3. Aprire la console dell'amministratore SMS.

4. Nella scheda Struttura ad albero, fare clic su Pacchetti.

5. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.

Viene visualizzata la schermata iniziale della procedura guidata per la creazionedel pacchetto.


5-36


Viene visualizzata la schermata Package Definition.

7. Fare clic su Sfoglia.

Viene visualizzata la schermata Open.

8. Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata.


Viene visualizzata la schermata Source Files.

10. Fare clic su Ricevere sempre i file da una directory di origine, quindi suAvanti.

Viene visualizzata la schermata Directory di origine.

11. Fare clic su Percorso di rete (nome UNC).

12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (lacartella condivisa creata in precedenza).


Viene creato il pacchetto. Al termine del processo, il nome del pacchetto vienevisualizzato sulla console dell'amministratore SMS.

Distribuzione del pacchetto agli dispositivo di destinazione

Procedura

1. Nella scheda Struttura ad albero, fare clic su Annunci.

2. Dal menu Azione, fare clic su All Tasks > Distribute Software.

Viene visualizzata la schermata Benvenuto della procedura guidata per ladistribuzione del software.


Viene visualizzata la schermata Package.


5-37

4. Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchettodi installazione creato.


Viene visualizzata la schermata Distribution Points.

6. Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic suAvanti.

Viene visualizzata la schermata Advertise a Program.

7. Fare clic su Sì per annunciare il pacchetto di installazione dell'agente OfficeScan,quindi su Avanti.

Viene visualizzata la schermata Advertisement Target.

8. Fare clic su Sfoglia per selezionare i computer di destinazione.

Viene visualizzata la schermata Browse Collection.

9. Fare clic su Tutti i sistemi Windows NT.

10. Fare clic su OK.

Viene nuovamente visualizzata la schermata Advertisement Target.


Viene visualizzata la schermata Advertisement Name.

12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clicsu Avanti.

Viene visualizzata la schermata Advertise to Subcollections.

13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere diannunciare il programma solo ai membri della raccolta specificata oppure anche aimembri delle sottoraccolte.


Viene visualizzata la schermata Advertisement Schedule.


5-38

15. Specificare il momento in cui annunciare il pacchetto di installazione dell'agenteOfficeScan digitando o selezionando la data e l'ora.

NotaSe si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una dataspecifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data el'ora nelle caselle di riepilogo Data e ora di scadenza.


Viene visualizzata la schermata Assign Program.

17. Fare clic su Sì, assegna il programma, quindi su Avanti.

Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratoreSMS.

18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero ilprogramma agente OfficeScan) ai computer di destinazione, su ognuno deglidispositivo di destinazione viene visualizzata una schermata. Chiedere agli utenti difare clic su Sì e seguire le istruzioni fornite dalla procedura guidata per installarel'agente OfficeScan sul proprio computer.

Installazioni con l'uso delle immagini disco dell'agenteLa tecnologia delle immagini disco consente di creare un'immagine dell'agenteOfficeScan e di clonarlo su altri computer della rete utilizzando un software perimmagini disco.

Affinché il server possa identificare i singoli agenti, ogni installazione agente OfficeScannecessita di un Identificatore univoco globale (GUID). Per creare GUID diversi perognuno dei cloni, utilizzare il programma OfficeScan denominato ImgSetup.exe.

Creazione di un'immagine disco di un agente OfficeScan

Procedura

1. Installare l'agente OfficeScan sull'dispositivo.


5-39

2. Copiare ImgSetup.exe da <Cartella di installazione del server>\PCCSRV\Admin\Utility\ImgSetup in questo dispositivo.

3. Eseguire ImgSetup.exe su questo dispositivo.

Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE.

4. Creare un'immagine disco dell'agente OfficeScan utilizzando il software perl'immagine disco.

5. Riavviare il clone.

ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. L'agenteOfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per ilnuovo agente OfficeScan.

AVVERTENZA!Per evitare di avere nel database di OfficeScan due computer con lo stesso nome,modificare manualmente il nome dell'dispositivo o del dominio relativo all'agenteOfficeScan clonato.

Utilizzo di Vulnerability ScannerIl programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate,di cercare i computer non protetti presenti nella rete e di installare gli agenti OfficeScannei computer.

Considerazioni sull'utilizzo di Vulnerability ScannerLe considerazioni riportate di seguito possono aiutare a decidere se utilizzareVulnerability Scanner:

• Amministrazione della rete a pagina 5-40

• Topologia e architettura della rete a pagina 5-40

• Specifiche software/hardware a pagina 5-41

• Struttura del dominio a pagina 5-41


5-40

• Traffico di rete a pagina 5-42

• Dimensioni della rete a pagina 5-42

Amministrazione della rete

TABELLA 5-7. Amministrazione della rete

INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER

Amministrazione con criteri diprotezione rigidi

Estremamente efficace. Vulnerability Scannersegnala se in tutti i computer è installato o meno ilsoftware antivirus.

Le responsabilità amministrativesono distribuite nei vari siti

Mediamente efficace

Amministrazione centralizzata Mediamente efficace

Servizio esterno Mediamente efficace

Gli utenti amministrano i propricomputer

Non efficace. Poiché Vulnerability Scanner esegue lascansione della rete per rilevare le installazioni delsoftware antivirus, non è possibile fare in modo chegli utenti eseguano la scansione dei propri computer.

Topologia e architettura della rete

TABELLA 5-8. Topologia e architettura della rete


Sede unica Estremamente efficace. Vulnerability Scannerconsente di eseguire la scansione di un interosegmento IP e di installare l'agente OfficeScan nellaLAN con facilità.

Sedi diverse con connessione adalta velocità

Mediamente efficace


5-41


Sedi diverse con connessione abassa velocità

Non efficace. Occorre eseguire Vulnerability Scannerin ciascuna posizione e l'installazione dell'agenteOfficeScan deve essere diretta a un serverOfficeScan locale.

Computer remoti e isolati Mediamente efficace

Specifiche software/hardware

TABELLA 5-9. Specifiche software/hardware


Sistemi operativi basati suWindows NT

Estremamente efficace. Vulnerabilty Scanner è ingrado di installare facilmente l'agente OfficeScan inremoto nei computer con sistema operativo basatosu Windows NT.

Sistemi operativi misti Mediamente efficace. Vulnerability Scanner è ingrado di eseguire l'installazione solo nei computercon sistemi operativi basati su Windows NT.

Software di gestione dei desktop Non efficace. Vulnerability Scanner non può essereutilizzato con software di gestione dei desktop.Tuttavia, può essere utile per tenere tracciadell'installazione dell'agente OfficeScan.

Struttura del dominio

TABELLA 5-10. Struttura del dominio


Microsoft Active Directory Estremamente efficace. Per consentire l'installazioneremota dell'agente OfficeScan, specificare l'accountdell'amministratore del dominio in VulnerabilityScanner.


5-42


Workgroup Non efficace. Vulnerability Scanner potrebbeincontrare difficoltà nell'installazione in computer cheutilizzano password e account amministrativi diversi.

Servizio di directory Novell™ Non efficace. Vulnerability Scanner richiede unaccount di dominio Windows per installare l'agenteOfficeScan.

Peer-to-peer Non efficace. Vulnerability Scanner potrebbeincontrare difficoltà nell'installazione in computer cheutilizzano password e account amministrativi diversi.

Traffico di rete

TABELLA 5-11. Traffico di rete


Connessione LAN Estremamente efficace.

512 Kbps Mediamente efficace

Connessione T1 e superiore Mediamente efficace

Accesso remoto Non efficace. Richiede molto tempo per portare atermine l'installazione dell'agente OfficeScan.

Dimensioni della rete

TABELLA 5-12. Dimensioni della rete


Rete aziendale molto grande Estremamente efficace. Vulnerability Scanner sirivela molto utile con reti di grandi dimensioni per lequali è indispensabile controllare le installazionidell'agente OfficeScan.


5-43


Piccole e medie imprese Mediamente efficace. Vulnerability Scanner è utileper installare l'agente OfficeScan nelle reti di piccoledimensioni. Tuttavia, altri metodi di installazionedell'agente OfficeScan potrebbero rivelarsi piùsemplici da implementare.

Linee guida per l'installazione dell'agente OfficeScan conVulnerability ScannerVulnerability Scanner non installa l'agente OfficeScan nei casi indicati di seguito:

• Il server OfficeScan o un altro software di sicurezza è installato sulla macchina hostdi destinazione.

• Nell'dispositivo remoto è presente Windows XP Home, Windows Vista HomeBasic, Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 HomePremium o Windows 8 (versioni base) Windows 8.1.

NotaÈ possibile installare l'agente OfficeScan sulla macchina host di destinazione utilizzandoaltri metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 5-11.

Prima di usare Vulnerability Scanner per installare l'agente OfficeScan, attenersi allaprocedura riportata di seguito:

• Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7(Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise),Windows 8.1, Windows Server 2012 (Standard):

1. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

2. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

3. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".


5-44

4. Aprire Microsoft Management Console (fare clic su Start > Esegui e digitareservices.msc) e avviare il servizio Remote Registry. Quando si installal'agente OfficeScan, utilizzare l'account e la password di amministratoreintegrati.

• Per Windows XP Professional (versione a 32 bit o a 64 bit):

1. Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella.

2. Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione filesemplice (scelta consigliata).

Metodi di scansione di vulnerabilità

La scansione di vulnerabilità verifica se nelle macchine host è presente un software disicurezza e può installare l'agente OfficeScan nelle macchine non protette.

Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità.

TABELLA 5-13. Metodi di scansione di vulnerabilità

METODO DETTAGLI

Scansione divulnerabilità manuale

Ora gli amministratori possono eseguire scansioni di vulnerabilitàsu richiesta.

Scansione DHCP Gli amministratori possono eseguire scansioni di vulnerabilità sumacchine host che richiedono gli indirizzi IP da un server DHCP.

Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta diascolto del server DHCP per le richieste DHCP). Se rileva unarichiesta DHCP proveniente da una macchina host, la scansionedi vulnerabilità viene eseguita sulla macchina.

NotaVulnerability Scanner non rileva le richieste DHCP separtono da Windows Server 2008, Windows 7, Windows 8,8.1 o Windows Server 2012.


5-45

METODO DETTAGLI

Scansione divulnerabilitàpianificata

Le scansioni pianificate vengono eseguite in base allapianificazione configurata dagli amministratori.

Una volta eseguito, Vulnerability Scanner visualizza lo stato dell'agente OfficeScan sullemacchine host di destinazione. Lo stato può essere:

• Normale: l'agente OfficeScan è in esecuzione e sta funzionando correttamente

• Anomalo: i servizi dell'agente OfficeScan non sono in esecuzione oppure l'agentenon dispone della protezione in tempo reale

• Non installato: manca il servizio TMListen oppure l'agente OfficeScan non è statoinstallato

• Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire laconnessione con la macchina host e di determinare lo stato dell'agente OfficeScan

Esecuzione di una scansione di vulnerabilità manuale

Procedura

1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andarea <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e faredoppio clic su TMVS.exe. Viene visualizzata la console Trend Micro VulnerabilityScanner. Per eseguire la scansione di vulnerabilità su un altro dispositivo conWindows Server 2003, Server 2008, Vista, 7, 8, 8.1 o Server 2012:

a. Nel computer server OfficeScan, accedere a <Cartella diinstallazione del server>\PCCSRV\Admin\Utility.

b. Copiare la cartella TMVS nell'altro dispositivo.

c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe.

Viene visualizzata la console Trend Micro Vulnerability Scanner.


5-46

Nota

Non è possibile avviare lo strumento da Terminal Server.

2. Andare alla sezione Scansione manuale.

3. immettere l'intervallo di indirizzi IP dei computer da controllare.

a. Immettere un intervallo di indirizzi IPv4.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solose è eseguito su una macchina host IPv4 pura o dual-stack. VulnerabilityScanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da168.212.1.1 a 168.212.254.254.

b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefissoIPv6.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solose è eseguito su una macchina host IPv6 pura o dual-stack.

4. Fare clic su Impostazioni.

Viene visualizzata la schermata Impostazioni.

5. Configurare le impostazioni riportate di seguito:

a. Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degliindirizzi IP specificati nel passaggio precedente per verificare se sonoattualmente in uso. Se una macchina host di destinazione usa un indirizzo IP,Vulnerability Scanner può determinare il sistema operativo della macchinahost. Per i dettagli, consultare Impostazioni ping a pagina 5-60.

b. Metodo di recupero delle descrizioni del computer: per le macchine hostche rispondono al comando "ping", Vulnerability Scanner è in grado direperire ulteriori informazioni sulle macchine host. Per i dettagli, consultareMetodo per recuperare le descrizioni degli dispositivo a pagina 5-57.


5-47

c. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nelle macchine host di destinazione. Per i dettagli,consultare Query prodotto a pagina 5-54.

d. Impostazioni server OfficeScan: configurare queste impostazioni se sidesidera che Vulnerability Scanner installi automaticamente l'agenteOfficeScan sulle macchine host non protette. Queste impostazioniconsentono di identificare il server principale dell'agente OfficeScan e lecredenziali amministrative usate per l'accesso alle macchine host. Per i dettagli,consultare Impostazioni server OfficeScan a pagina 5-62.

Nota

Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nellemacchine host di destinazione. Per i dettagli, consultare Linee guida perl'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43.

e. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansionedi vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado divisualizzare le notifiche sulle macchine host non protette. Per i dettagli,consultare Notifiche a pagina 5-58.

f. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agliamministratori, Scansione di vulnerabilità è anche in grado di salvare i risultatiin un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina5-59.

6. Fare clic su OK.

La schermata Impostazioni si chiude.

7. Fare clic su Avvio.

I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione manuale.

Nota

Se nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, leinformazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.


5-48

8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,individuare la cartella in cui salvare il file, digitare il nome del file e fare clic suSalva.

Esecuzione di una scansione DHCP

Procedura

1. Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartellariportata di seguito: <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS.

TABELLA 5-14. Impostazioni DHCP nel file TMVS.ini

IMPOSTAZIONE DESCRIZIONE

DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Ilvalore minimo è 3 e il valore massimo è 100. Il valorepredefinito è 8.

DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito ilcontrollo del software antivirus nell'dispositivo che effettuala richiesta.

Il valore minimo è 0 (senza attesa) e il valore massimo è600. Il valore predefinito è 30.

LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva.

Vulnerability Scanner invia i risultati della scansione alserver OfficeScan. I registri vengono visualizzati nellaschermata Registri eventi di sistema nella console Web.

OsceServer=x L'indirizzo IP o il nome DNS del server OfficeScan.

OsceServerPort=x La porta del server Web nel server OfficeScan.

2. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, passarea <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la consoleTrend Micro Vulnerability Scanner.


5-49





NotaNon è possibile avviare lo strumento da Terminal Server.

3. Nella sezione Scansione manuale, fare clic su Impostazioni.



a. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nelle macchine host di destinazione. Per i dettagli,consultare Query prodotto a pagina 5-54.

b. Impostazioni server OfficeScan: configurare queste impostazioni se sidesidera che Vulnerability Scanner installi automaticamente l'agenteOfficeScan sulle macchine host non protette. Queste impostazioniconsentono di identificare il server principale dell'agente OfficeScan e lecredenziali amministrative usate per l'accesso alle macchine host. Per i dettagli,consultare Impostazioni server OfficeScan a pagina 5-62.

NotaAlcune condizioni possono impedire l'installazione dell'agente OfficeScan nellemacchine host di destinazione. Per i dettagli, consultare Linee guida perl'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43.

c. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansionedi vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado divisualizzare le notifiche sulle macchine host non protette. Per i dettagli,consultare Notifiche a pagina 5-58.

d. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agliamministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati


5-50

in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina5-59.

5. Fare clic su OK.


6. Nella tabella Risultati fare clic sulla scheda Scansione DHCP.

NotaLa scheda Scansione DHCP non è disponibile nei computer che eseguonoWindows Server 2008,Windows 7, Windows 8, Windows 8.1 e Windows Server 2012.

7. Fare clic su Avvio.

Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione dicontrolli di vulnerabilità sui computer mano a mano che questi si connettono allarete.


Configurazione di una scansione di vulnerabilità pianificata

Procedura

1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andarea <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e faredoppio clic su TMVS.exe. Viene visualizzata la console Trend MicroVulnerability Scanner. Per eseguire una scansione di vulnerabilità su un altrodispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1 o Server 2012:





5-51


Nota

Non è possibile avviare lo strumento da Terminal Server.

2. Andare alla sezione Scansione pianificata.

3. Fare clic su Aggiungi/Modifica.

Viene visualizzata la schermata Scansione pianificata.


a. Nome: digitare un nome per la scansione di vulnerabilità pianificata.

b. Intervallo di indirizzi IP: immettere l'intervallo di indirizzi IP dei computerda controllare.

i. Immettere un intervallo di indirizzi IPv4.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizziIPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack conun indirizzo IPv4 disponibile. Vulnerability Scanner supporta soltanto gliintervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a168.212.254.254.

ii. Per un intervallo di indirizzi IPv6, immettere una lunghezza o unprefisso IPv6.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizziIPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack conun indirizzo IPv6 disponibile.

c. Pianificazione: specificare un'ora di inizio con il formato 24 ore, quindiselezionare con quale frequenza si desidera eseguire la scansione. Selezionareuna frequenza giornaliera, settimanale o mensile.


5-52

d. Impostazioni: selezionare le impostazioni di scansione vulnerabilità da usare.

• Se sono state configurate le impostazioni di scansione vulnerabilitàmanuale e si desidera usarle, selezionare Usa impostazioni correnti.Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilitàmanuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina5-45.

• Se non sono state specificate le impostazioni di scansione vulnerabilitàmanuale o si desidera usare altre impostazioni, selezionare Modificaimpostazioni e fare clic su Impostazioni. Viene visualizzata laschermata Impostazioni.

È possibile configurare le seguenti impostazioni e fare clic su OK:

• Impostazioni ping: la Scansione di vulnerabilità può eseguire il"ping" degli indirizzi IP specificati nel passaggio 4b per verificare sesono attualmente in uso. Se una macchina host di destinazione usaun indirizzo IP, Vulnerability Scanner può determinare il sistemaoperativo della macchina host. Per i dettagli, consultare Impostazioniping a pagina 5-60.

• Metodo di recupero delle descrizioni del computer: per lemacchine host che rispondono al comando "ping", VulnerabilityScanner è in grado di reperire ulteriori informazioni sulle macchinehost. Per i dettagli, consultare Metodo per recuperare le descrizioni deglidispositivo a pagina 5-57.

• Query prodotto: Vulnerability Scanner è in grado di verificare lapresenza di software di sicurezza nelle macchine host didestinazione. Per i dettagli, consultare Query prodotto a pagina 5-54.

• Impostazioni server OfficeScan: configurare queste impostazionise si desidera che Vulnerability Scanner installi automaticamentel'agente OfficeScan sulle macchine host non protette. Questeimpostazioni consentono di identificare il server principaledell'agente OfficeScan e le credenziali amministrative usate perl'accesso alle macchine host. Per i dettagli, consultare Impostazioniserver OfficeScan a pagina 5-62.


5-53

Nota

Alcune condizioni possono impedire l'installazione dell'agenteOfficeScan nelle macchine host di destinazione. Per i dettagli,consultare Linee guida per l'installazione dell'agente OfficeScan conVulnerability Scanner a pagina 5-43.

• Notifiche: Vulnerability Scanner è in grado di inviare i risultati dellascansione di vulnerabilità agli amministratori OfficeScan. Inoltre, èin grado di visualizzare le notifiche sulle macchine host nonprotette. Per i dettagli, consultare Notifiche a pagina 5-58.

• Salva risultati: oltre ad inviare i risultati della scansione divulnerabilità agli amministratori, Scansione di vulnerabilità è anchein grado di salvare i risultati in un file .csv. Per i dettagli, consultareRisultati scansione vulnerabilità a pagina 5-59.

5. Fare clic su OK.

La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilitàpianificata creata viene visualizzata nella sezione Scansione pianificata. Se sonostate attivate le notifiche, Vulnerability Scanner invia i risultati della scansione divulnerabilità pianificata.

6. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic suEsegui ora.

I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione pianificata.

Nota

Se nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, leinformazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.



5-54

Impostazioni Scansione vulnerabilità

Le impostazioni di Scansione vulnerabilità sono configurate da Trend MicroVulnerability Scanner (TMVS.exe) o dal file TMVS.ini.

Nota

Per ulteriori dettagli su come raccogliere le informazioni nei registri di debug perVulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 16-3.

Query prodotto

Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negliagenti. La tabella seguente illustra in che modo avviene il controllo dei prodotti diprotezione da parte di Vulnerability Scanner:

TABELLA 5-15. Prodotti di protezione controllati da Vulnerability Scanner

PRODOTTO DESCRIZIONE

ServerProtect perWindows

Per controllare se SPNTSVC.exe è in esecuzione,Vulnerability Scanner utilizza dispositivo RPC. In tal modoottiene informazioni quali il sistema operativo e le versioni delmotore di scansione virus, del pattern dei virus e dei prodotti.Vulnerability Scanner non è in grado di rilevare il serverinformazioni di ServerProtect o la console di gestione diServerProtect.

ServerProtect per Linux Se nell'dispositivo di destinazione non è presente Windows,Vulnerability Scanner tenta di connettersi alla porta 14942per verificare che ServerProtect per Linux sia installato.

Agente OfficeScan Per verificare se l'agente OfficeScan è installato, VulnerabilityScanner utilizza la porta dell'agente OfficeScan. Controllainoltre se il processo TmListen.exe è in esecuzione. Seviene eseguito dalla posizione predefinita, ottiene il numerodi porta in modo automatico.

Se Vulnerability Scanner viene avviato in un dispositivodiverso dal server OfficeScan, controllare la porta dicomunicazione dell'altro dispositivo prima di utilizzarla.


5-55

PRODOTTO DESCRIZIONE

PortalProtect™ Per controllare l'installazione del prodotto, VulnerabilityScanner carica la pagina Web http://localhost:port/PortalProtect/index.html.

ScanMail™ perMicrosoft Exchange™

Per controllare l'installazione di ScanMail, VulnerabilityScanner carica la pagina Web http://ipaddress:port/scanmail.html. Per impostazione predefinita, ScanMailutilizza la porta 16372. Se ScanMail utilizza un numero diporta differente, specificare tale numero. In caso contrario,Vulnerability Scanner non è in grado di rilevare ScanMail.

Serie InterScan™ Per controllare l'installazione dei prodotti, VulnerabilityScanner carica la pagina Web di ciascun prodotto.

• InterScan Messaging Security Suite 5.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan eManager 3.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgi-bin/interscan.dll

Trend Micro InternetSecurity™ (PC-cillin)

Per controllare se Trend Micro Internet Security è installato,Vulnerability Scanner utilizza la porta 40116.

McAfee VirusScanePolicy Orchestrator

Vulnerability Scanner invia un token speciale alla porta TCP8081, la porta predefinita di ePolicy Orchestrator per laconnessione tra server e agente. L'dispositivo con questoprodotto antivirus risponde utilizzando un tipo di tokenspeciale. Vulnerability Scanner non è in grado di rilevareMcAfee VirusScan standalone.

Norton Antivirus™Corporate Edition

Vulnerability Scanner invia un token speciale alla porta UDP2967, la porta predefinita di Norton Antivirus CorporateEdition RTVScan. L'dispositivo con questo prodotto antivirusrisponde utilizzando un tipo di token speciale. Poiché NortonAntivirus Corporate Edition comunica tramite UDP, il livello diaccuratezza non è garantito. Inoltre il traffico di rete potrebbeinfluenzare il tempo di attesa UDP.

Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati diseguito:


5-56

• RPC: rileva ServerProtect per NT

• UDP: rileva i client Norton AntiVirus Corporate Edition

• TCP: rileva McAfee VirusScan ePolicy Orchestrator

• ICMP: rileva i computer tramite l'invio di pacchetti ICMP

• HTTP: Rileva gli agenti OfficeScan

• DHCP: Se viene rilevata una richiesta DHCP, Vulnerability Scanner è in grado dicontrollare se sull'dispositivo che invia la richiesta sia già installato un softwareantivirus.

Configurazione delle impostazioni della query del prodotto

Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni discansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione divulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.

Procedura

1. Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner(TMVS.exe):

a. Avviare TMVS.exe.

b. Fare clic su Impostazioni.


c. Andare alla sezione Query prodotto.

d. Selezionare i prodotti da esaminare.

e. Fare clic su Impostazioni accanto al nome del prodotto e specificare ilnumero di porta che verrà controllato da Vulnerability Scanner.

f. Fare clic su OK.



5-57

2. Consente di impostare il numero di computer che verranno contemporaneamentecontrollati da Vulnerability Scanner per verificare la presenza di software disicurezza.

a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocconote.

b. Per impostare il numero di computer che verranno sottoposti alla scansione divulnerabilità manuale, modificare il valore per ThreadNumManual.Specificare un valore compreso tra 8 e 64.

Ad esempio, digitare ThreadNumManual=60 se si desidera che VulnerabilityScanner esegua il controllo su 60 computer alla volta.

c. Per impostare il numero di computer che verranno sottoposti alla scansione divulnerabilità pianificata, modificare il valore per ThreadNumSchedule.Specificare un valore compreso tra 8 e 64.

Ad esempio, digitare ThreadNumSchedule=50 se si desidera cheVulnerability Scanner esegua il controllo su 50 computer alla volta.

d. Salvare il file TMVS.ini.

Metodo per recuperare le descrizioni degli dispositivo

Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, puòreperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi direcupero delle informazioni:

• Recupero rapido: Recupera solo il nome dell'dispositivo

• Recupero normale: Recupera le informazioni del dominio e dell'dispositivo

Configurazione delle impostazioni di recupero

Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansionevulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,vedere Metodi di scansione di vulnerabilità a pagina 5-44.


5-58

Procedura

1. Avviare TMVS.exe.



3. Andare alla sezione Metodo per recuperare le descrizioni computer.

4. Selezionare Normale o Rapido.

5. Se è stata seleziona l'opzione Normale, selezionare Recupera descrizionicomputer quando disponibili.

6. Fare clic su OK.


Notifiche

Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agliamministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchinehost non protette.

Configurazione delle impostazioni di notifica

Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansionevulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,vedere Metodi di scansione di vulnerabilità a pagina 5-44.

Procedura




3. Andare alla sezione Notifica.


5-59

4. Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi oad altri amministratori nell'organizzazione:

a. Selezionare Risultati e-mail all'amministratore di sistema.

b. Fare clic su Configura per specificare le impostazioni e-mail.

c. Nel campo A immettere l'indirizzo e-mail del destinatario.

d. Nel campo Da, immettere l'indirizzo e-mail del mittente.

e. Nel campo Server SMTP digitare l'indirizzo del server SMTP.

ad esempio smtp.azienda.com. Le informazioni sul server SMTP sonoobbligatorie.

f. Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppureaccettare quello predefinito.

g. Fare clic su OK.

5. Per comunicare agli utenti che sui computer non è installato il software disicurezza:

a. Selezionare Visualizza una notifica sui computer non protetti.

b. Fare clic su Personalizza per configurare il messaggio di notifica.

c. Nella schermata Messaggio di notifica, digitare un nuovo messaggio oaccettare il messaggio predefinito.

d. Fare clic su OK.

6. Fare clic su OK.


Risultati scansione vulnerabilità

È possibile configurare Vulnerability Scanner in modo da salvare i risultati dellascansione in un file CSV.


5-60

Configurazione risultati di scansione

Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delleimpostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni discansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.

Procedura




3. Andare alla sezione Salva risultati.

4. Selezionare Salva automaticamente i risultati in un file CSV.

5. Per cambiare la cartella predefinita in cui salvare il file CSV:

a. Fare clic su Sfoglia.

b. Selezionare una cartella di destinazione nell'dispositivo o nella rete.

c. Fare clic su OK.

6. Fare clic su OK.


Impostazioni ping

Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina didestinazione e verificare il sistema operativo usato. Se queste impostazioni sonodisattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallospecificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi iltentativo di eseguire la scansione impiegherà più tempo di quanto previsto.


5-61

Configurazione delle impostazioni ping

Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità.Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodidi scansione di vulnerabilità a pagina 5-44.

Procedura

1. Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe):

a. Avviare TMVS.exe.

b. Fare clic su Impostazioni.


c. Andare alla sezione delle impostazioni Ping.

d. Selezionare Consenti a Vulnerability Scanner di eseguire il ping deicomputer della rete per verificarne lo stato.

e. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campiDimensioni pacchetto e Timeout.

f. Selezionare Rilevare il tipo di sistema operativo usando l'impronta delsistema operativo ICMP.

Se si seleziona questa opzione, Vulnerability Scanner determina se unamacchina host esegue Windows o un altro sistema operativo. Per le macchinehost con Windows, Vulnerability Scanner è in grado di identificare la versionedi Windows.

g. Fare clic su OK.


2. Per impostare il numero di computer che verranno sottoposticontemporaneamente a ping da parte di Vulnerability Scanner:

a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocconote.


5-62

b. Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64.

Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scannereffettui il ping su 60 computer alla volta.

c. Salvare il file TMVS.ini.

Impostazioni server OfficeScan

Le impostazioni del server OfficeScan sono usate quando:

• Vulnerability Scanner è in grado di installare l'agente OfficeScan su macchine didestinazione non protette. Le impostazioni del server consentono a VulnerabilityScanner di identificare il server principale dell'agente OfficeScan e le credenzialiamministrative da usare per il collegamento alle macchine di destinazione.

NotaAlcune condizioni possono impedire l'installazione dell'agente OfficeScan nellemacchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazionedell'agente OfficeScan con Vulnerability Scanner a pagina 5-43.

• Vulnerability Scanner invia i registri di installazione dell'agente al server OfficeScan.

Configurazione impostazioni server OfficeScan

Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni discansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione divulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.

Procedura




3. Andare alla sezione Impostazioni server OfficeScan.

4. Immettere il nome e il numero della porta del server OfficeScan.


5-63

5. Selezionare Installa automaticamente l'agente OfficeScan sui computer nonprotetti.

6. Per configurare le credenziali amministrative:

a. Fare clic su Installa nell'account.

b. Nella schermata Informazioni account, digitare un nome utente e unapassword.

c. Fare clic su OK.

7. Selezionare Invia registri al server OfficeScan.

8. Fare clic su OK.


Installazione con Conformità sicurezzaInstallare gli agenti OfficeScan nei computer dei domini della rete oppure installarel'agente OfficeScan in un dispositivo di destinazione mediante il suo indirizzo IP.

Prima di installare l'agente OfficeScan, tenere presente quando segue:

Procedura

1. Prendere nota delle credenziali di accesso di ogni dispositivo. Durantel'installazione, OfficeScan richiede di specificare le credenziali di accesso.

2. L'agente OfficeScan non viene installato in un dispositivo nei casi seguenti:

• Il server OfficeScan è installato nell'dispositivo.

• Nell'dispositivo è in esecuzione Windows XP Home, Windows Vista HomeBasic, Windows Vista Home Premium, Windows 7™ Starter, Windows 7Home Basic, Windows 7 Home Premium e Windows 8 (versioni di base) eWindows 8.1. Per i computer con tali piattaforme è necessario scegliere unaltro metodo di installazione. Consultare Considerazioni sull'implementazione apagina 5-11 per ulteriori dettagli.


5-64

3. Se nell'dispositivo di destinazione è eseguito Windows Vista (Business, Enterpriseo Ultimate Edition) o Windows 7 (Professional, Enterprise o UltimateEdition),Windows 8 (Pro, Enterprise), Windows 8.1 o Windows Server 2012(Standard), eseguire nell'dispositivo la procedura riportata di seguito:

a. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

b. Disattivare il firewall di Windows.

c. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".

e. Aprire Microsoft Management Console (da Start > Esegui, digitareservices.msc) e avviare il servizio Registro remoto. Quando si installal'agente OfficeScan, utilizzare l'account e la password di amministratoreintegrati.

4. Se nell'dispositivo sono installati programmi di protezione dispositivo di TrendMicro o di terzi, verificare se OfficeScan è in grado di disinstallareautomaticamente il software e sostituirlo con l'agente OfficeScan. Per un elenco delsoftware di protezione dell'agente che OfficeScan disinstalla automaticamente,aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Peraprire tali file utilizzare un editor di testo, ad esempio Blocco note.

• tmuninst.ptn

• tmuninst_as.ptn

Se il software nell'dispositivo di destinazione non è compreso nell'elenco,disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione,potrebbe essere necessario riavviare l'dispositivo.


5-65


Procedura

1. Accedere a Valutazione > Dispositivo non gestiti.

2. Fare clic su Installa in cima alla struttura agente.

• Se nell'dispositivo è già installata una versione precedente dell'agenteOfficeScan e si fa clic su Installa, l'installazione non viene eseguita e l'agentenon viene aggiornato a questa versione. Per aggiornare l'agente, è necessariodisattivare un'impostazione.

a. Accedere a Agenti > Gestione agente.

b. Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni >Altre impostazioni.

c. Disattivare l'opzione Gli agenti OfficeScan possono aggiornare icomponenti, ma non possono aggiornare il programma agente néimplementare gli hotfix.

3. Specificare l'account di accesso amministratore di ciascun dispositivo e fare clic suAccesso. OfficeScan inizia l'installazione dell'agente nell'dispositivo didestinazione.

4. Visualizzare lo stato dell'installazione.

Migrazione all'agente OfficeScanSostituire il software di protezione dell'agente installato su un dispositivo di destinazionecon l'agente OfficeScan.

Migrazione da altro software di protezione dispositivoQuando si installa l'agente OfficeScan, il programma di installazione esegue il controllodel software di protezione dispositivo di Trend Micro o di terzi installato nell'dispositivo


5-66

di destinazione. Il programma di installazione è in grado di disinstallare automaticamenteil software e di sostituirlo con l'agente OfficeScan.

Per ottenere un elenco del software di protezione dispositivo che OfficeScan è in gradodi disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note.

• tmuninst.ptn

• tmuninst_as.ptn

Se il software nell'dispositivo di destinazione non è compreso nell'elenco, disinstallarloin modo manuale. In base al tipo di processo di disinstallazione, potrebbe esserenecessario riavviare l'dispositivo.

Problemi relativi alla migrazione degli agenti OfficeScan

• Se la migrazione automatica dell'agente si è conclusa correttamente ma l'utente hariscontrato dei problemi nell'uso dell'agente OfficeScan subito dopo l'installazione,riavviare l'dispositivo.

• Se il programma di installazione OfficeScan ha eseguito l'installazione dell'agenteOfficeScan senza disinstallare l'altro software di protezione, si verificheranno deiconflitti tra i due software. Disinstallare entrambi i software, quindi installarel'agente OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazionisull'implementazione a pagina 5-11.

Migrazione dai normali server ServerProtectLo strumento di migrazione di server normali ServerProtect™ consente di effettuare lamigrazione di computer con server normale Trend Micro ServerProtect all'agenteOfficeScan.

Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifichehardware e software del server OfficeScan. Eseguire lo strumento su computer conWindows Server 2003 e Windows Server 2008.

Se la disinstallazione del server normale ServerProtect viene completata correttamente,lo strumento installa l'agente OfficeScan. Consente anche di migrare le impostazioni


5-67

dell'elenco di esclusione dalla scansione (per tutti i tipi di scansione) all'agenteOfficeScan.

Durante l'installazione del'agente OfficeScan, potrebbe verificarsi il timeout delprogramma di installazione dell'agente dello strumento di migrazione ed esserevisualizzata una notifica per avvisare che l'installazione non è riuscita. Se questo dovesseverificarsi, non è detto che l'agente OfficeScan non sia stato installato correttamente.Verificare l'installazione sull'dispositivo agente dalla console Web OfficeScan.

La migrazione non riesce nelle seguenti situazioni:

• L'agente remoto ha solo un indirizzo IPv6. Lo strumento di migrazione nonsupporta l'indirizzamento IPv6.

• L'agente remoto non è in grado di utilizzare il protocollo NetBIOS.

• Le porte 455, 337 e 339 sono bloccate.

• L'agente remoto non è in grado di utilizzare il protocollo RPC.

• Il servizio Registro remoto s'interrompe.

NotaLo strumento di migrazione di server normali ServerProtect non effettua la disinstallazionedell'agente Control Manager™ di ServerProtect. Per istruzioni su come disinstallarel'agente, fare riferimento alla documentazione di ServerProtect e/o di Control Manager.

Utilizzo dello strumento di migrazione di server normaliServerProtect

Procedura

1. Nel computer server OfficeScan aprire <Cartella di installazione del server>\PCCSRV\Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini inCartella di installazione del server>\PCCSRV\Admin.

2. Fare doppio clic su SPNSXfr.exe per aprire lo strumento.

Viene visualizzata la console dello strumento di migrazione del server normaleServerProtect.


5-68

3. Selezionare il server OfficeScan. Il percorso del server OfficeScan vienevisualizzato nell'apposita sezione. Se il percorso non è quello corretto, fare clic suSfoglia e selezionare la cartella PCCSRV nella directory di installazione diOfficeScan. Per attivare lo strumento in modo che al successivo utilizzo troviautomaticamente il server OfficeScan, selezionare la casella di controlloIndividuazione automatica percorso server (selezionata per impostazionepredefinita).

4. Per selezionare i computer sui quali è in esecuzione il server normale ServerProtectper i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nellasezione Dispositivo di destinazione:

• Struttura di rete Windows: visualizza una struttura ad albero dei dominipresenti nella rete. Per selezionare i computer che utilizzano questo metodo,fare clic sui domini sui quali effettuare la ricerca dei computer agente.

• Nome server informazioni: ricerca effettuata per nome server informazioni.Per selezionare i computer con questo metodo, immettere il nome di unserver informazioni presente sulla propria rete. Per effettuare la ricerca didiversi server informazioni, inserire un punto e virgola ";" tra i nomi deiserver.

• Nome server normale certo: ricerca effettuata per nome server normale. Perselezionare i computer con questo metodo, immettere il nome di un servernormale presente sulla propria rete. Per effettuare la ricerca su diversi servernormali, inserire un punto e virgola ";" tra i nomi dei server.

• Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Perselezionare i computer con questo metodo, immettere un intervallo diindirizzi IP di classe B nella casella Intervallo IP.

Nota

Se un server DNS presente in rete non risponde in fase di ricerca degli agenti, anchel'operazione di ricerca non risponde. Attendere il timeout della ricerca.

5. Selezionare Riavvio dopo l'installazione per riavviare automaticamente icomputer di destinazione dopo la migrazione.


5-69

Per completare la migrazione correttamente, è necessario riavviare il computer. Senon si seleziona questa opzione, riavviare il computer manualmente dopo lamigrazione.

6. Fare clic su Cerca.

I risultati della ricerca vengono visualizzati nella sezione Server normaliServerProtect.

7. Fare clic sui computer per i quali effettuare la migrazione.

a. Per selezionare tutti i computer, fare clic su Seleziona tutto.

b. Per deselezionare tutti i computer, fare clic su Deseleziona tutto.

c. Per esportare l'elenco in un file CSV (comma-separated value), fare clic suEsporta in CSV.

8. Se per accedere ai computer di destinazione sono necessari nome utente epassword, effettuare le seguenti operazioni:

a. Selezionare la casella di controllo Usa account/password gruppo.

b. Fare clic su Imposta account di accesso.

Viene visualizzata la finestra Inserisci informazioni di amministrazione.

c. Immettere il nome utente e la password.

Nota

Per accedere all'dispositivo di destinazione, utilizzare l'account diamministratore locale o di dominio. Se si effettua l'accesso senza i necessariprivilegi (ad esempio, come "Guest" o "Utente normale"), non sarà possibileeffettuare l'installazione.

d. Fare clic su OK.

e. Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri dipoter inserire il nome utente e la password nel corso del processo dimigrazione nel caso in cui l'accesso risulti impossibile.

9. Fare clic su Migra.


5-70

10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare icomputer di destinazione dopo la migrazione.

Post-installazioneAl termine dell'installazione, verificare i seguenti elementi:

• Collegamento agente OfficeScan a pagina 5-70

• Elenco programmi a pagina 5-70

• Servizi dell'agente OfficeScan a pagina 5-71

• Registri di installazione agente OfficeScan a pagina 5-71

Collegamento agente OfficeScan

I collegamenti all'agente OfficeScan vengono visualizzati nel menu Start di Windowsnell'dispositivo agente.

FIGURA 5-2. Collegamento agente OfficeScan

Elenco programmi

Security Agent è incluso nell'elenco Installazione applicazioni del Pannello dicontrollo dell'dispositivo agente.


5-71

Servizi dell'agente OfficeScan

I seguenti servizi dell'agente OfficeScan sono visualizzati in Microsoft ManagementConsole:

• OfficeScan NT Listener (TmListen.exe)

• Scansione in tempo reale OfficeScanNT (NTRtScan.exe)

• OfficeScan NT Proxy Service (TmProxy.exe)

Nota

OfficeScan NT Proxy Service non è presente su piattaforme Windows 8/8.1 oWindows Server 2012.

• OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durantel'installazione

• Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)

• Framework soluzione client comune Trend Micro (TmCCSF.exe)

Registri di installazione agente OfficeScan

Il registro di installazione dell'agente OfficeScan, OFCNT.LOG si trova nei percorsiriportati di seguito:

• %windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazionedel pacchetto MSI

• %temp% per il metodo di installazione con il pacchetto MSI

Attività post-installazione consigliate

Al termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni.


5-72

Aggiornamento dei componenti

Per essere sicuri che tutti gli agenti siano dotati della protezione contro i rischi per lasicurezza più recente, aggiornare i componenti degli agenti OfficeScan. È possibileeseguire gli aggiornamenti manuali degli agenti dalla console Web oppure chiedere agliutenti di eseguire "Aggiorna ora" dai propri computer.

Scansione di prova mediante lo script di prova EICAR

L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per laricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consentedi controllare in modo sicuro la corretta installazione e configurazione del softwareantivirus. Per ulteriori informazioni, visitare il sito Web EICAR:

http://www.eicar.org

Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo filenon è un virus e non contiene alcun frammento di codice virale, ma la maggior parte deisoftware antivirus reagiscono a tale file come se si trattasse di un virus. È possibileutilizzare il file per simulare un'infezione virale e verificare così il correttofunzionamento delle notifiche e-mail e dei registri dei virus.

AVVERTENZA!

Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus.

Esecuzione di una scansione di prova

Procedura

1. Attivare la scansione in tempo reale sull'agente.

2. Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testosemplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Salvare il file nominandolo EICAR.com in una directory temporanea. OfficeScanrileva immediatamente il file.

http://www.eicar.org


5-73

4. Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato inun messaggio e-mail e inviarlo ad uno dei computer.

SuggerimentoTrend Micro consiglia di comprimere il file EICAR utilizzando un software dicompressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova.

Disinstallazione dell'agente OfficeScanPer disinstallare l'agente OfficeScan dai computer, è possibile procedere in due modi:

• Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-73

• Esecuzione del Programma di disinstallazione dell'agente OfficeScan a pagina 5-75

Se non è possibile disinstallare l'agente OfficeScan con i metodi illustrati, rimuoverlomanualmente. Per i dettagli, consultare Disinstallazione manuale dell'agente OfficeScan a pagina5-76.

Disinstallazione dell'agente OfficeScan dalla console WebDisinstallare il programma agente OfficeScan dalla console Web. Eseguire ladisinstallazione solo in caso di problemi con il programma. Per mantenere l'dispositivoprotetto dai rischi per la sicurezza, reinstallare subito il programma.

Procedura


2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per includeretutti gli agenti oppure selezionare domini o agenti specifici.

3. Fare clic su Operazioni > Disinstallazione di Agent.

4. Nella schermata Disinstallazione Agent, fare clic su Avvia disinstallazione. Ilserver invia una notifica agli agenti.


5-74

5. Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto lanotifica.

a. Fare clic su Seleziona dispositivo non notificati, quindi su Avviadisinstallazione per inviare nuovamente la notifica agli agenti che nonl'hanno ricevuta.

b. Se si desidera che OfficeScan interrompa l'invio della notifica agli agenti, fareclic su Interrompi disinstallazione. Gli agenti che hanno già ricevuto lanotifica, hanno già avviato il processo di disinstallazione e pertanto ignoranoquesto comando.

Programma di disinstallazione dell'agente OfficeScanAssegnare agli utenti i privilegi per disinstallare il programma agente OfficeScan erichiedere loro di eseguire il programma di disinstallazione dell'agente dai loro computer.

In base alla configurazione, la disinstallazione può richiedere o meno una password. Se èrichiesta una password, assicurarsi di condividere la password solo con gli utenti chedevono eseguire il programma di disinstallazione e cambiarla immediatamente se vienedivulgata ad altri utenti.

Assegnazione dei privilegi di disinstallazione dell'agenteOfficeScan

Procedura



3. Fare clic su Impostazioni > Privilegi e altre impostazioni.

4. Nella scheda Privilegi, andare alla sezione Disinstallazione.

5. Per consentire agli utenti di eseguire la disinstallazione senza password, selezionareConsenti agli utenti di disinstallare l'agente OfficeScan. Se è richiesta una


5-75

password, selezionare Richiedi una password per disinstallare l'agenteOfficeScan, digitare la password e confermarla.

6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Seè stata selezionata l'icona del dominio principale, scegliere una delle opzioniriportate di seguito:



Esecuzione del Programma di disinstallazione dell'agenteOfficeScan

Procedura

1. Nel menu di Windows Start, fare clic su Programmi > Trend Micro OfficeScanAgent > Disinstalla l'agente OfficeScan.

È inoltre possibile eseguire la procedura riportata di seguito:

a. Fare clic su Pannello di controllo > Installazione applicazioni.

b. Individuare Trend Micro OfficeScan Agent e fare clic su Cambia.

c. Seguire le istruzioni visualizzate.

2. Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza unafinestra che informa l'utente sul progresso e il completamento della disinstallazione.Per completare la disinstallazione, non è necessario riavviare l'dispositivo agente.


5-76

Disinstallazione manuale dell'agente OfficeScanEseguire la disinstallazione manuale solo in caso di problemi con la disinstallazionedell'agente OfficeScan dalla console Web o dopo aver eseguito il programma didisinstallazione.

Procedura

1. Accedere all'dispositivo agente mediante un account con privilegi diamministratore.

2. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan presentenella barra delle applicazioni e selezionare Scarica OfficeScan. Se viene richiestauna password, specificare la password per la rimozione, quindi fare clic su OK.

Nota

• In Windows 8, 8.1 e Windows Server 2012, passare alla modalità desktop perrimuovere l'agente OfficeScan.

• Disattivare la password nei computer in cui l'agente OfficeScan verrà rimosso.Per i dettagli, consultare Configurazione dei privilegi dell'agente e altre impostazioni apagina 14-90.

3. Se la password per la rimozione non è stata specificata, utilizzare MicrosoftManagement Console per interrompere i servizi riportati di seguito:

• OfficeScan NT Listener

• OfficeScan NT Firewall

• Scansione in tempo reale di OfficeScan NT

• OfficeScan NT Proxy Service

NotaOfficeScan NT Proxy Service non è presente su piattaforme Windows 8, 8.1 oWindows Server 2012.

• Servizio prevenzione modifiche non autorizzate di Trend Micro


5-77

• Framework soluzione client comune Trend Micro

4. Rimuovere il collegamento all'agente OfficeScan presente nel menu Start.

• In Windows 8, 8.1 e Windows Server 2012:

a. passare alla modalità desktop.

b. Spostare il puntatore del mouse sull'angolo in basso a destra delloschermo e scegliere Start dal menu visualizzato.

Viene visualizzata la schermata Home.

c. Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan.

d. Fare clic su Rimuovi da Start.

• In tutte le altre piattaforme Windows:

Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse suTrend Micro OfficeScan Agent, quindi fare clic su Elimina.

5. Aprire l'editor del Registro di sistema (regedit.exe).

AVVERTENZA!La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se siapportano modifiche errate al registro di sistema, possono verificarsi seri probleminel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre unacopia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor delregistro.

6. Eliminare le chiavi di registro riportate di seguito:

• Se nell'dispositivo non sono installati altri prodotti Trend Micro:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro

Per computer a 64 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro

• Se nell'dispositivo sono installati altri prodotti Trend Micro, eliminare solo lechiavi riportate di seguito:


5-78

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\OfcWatchDog

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp

7. Eliminare i valori o le chiavi di registro riportati di seguito:

• Per sistemi a 32 bit:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Per sistemi a 64 bit:

• HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run

8. Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati diseguito:

• Percorsi:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services


5-79



• Chiavi:

• NTRtScan

• tmcfw

• tmcomm

• TmFilter

• TmListen

• tmpfw

• TmPreFilter

• TmProxy

NotaTmProxy non è presente sulle piattaforme Windows 8/8.1 o WindowsServer 2012.

• tmtdi

Notatmtdi non è presente sulle piattaforme Windows 8/8.1 o Windows Server2012.

• VSApiNt

• tmlwf (per computer Windows Vista/Server 2008/7/8/8.1/Server 2012)

• tmwfp (per computer Windows Vista/Server 2008/7/8/8.1/Server2012)

• tmactmon

• TMBMServer


5-80

• TMebc

• tmevtmgr

• tmeevw (per Windows 8/8.1/Server 2012)

• tmusa (per Windows 8/8.1/Server 2012)

• tmnciesc

• tmeext (per Windows XP/2003)

9. Chiudere l'editor del Registro di sistema.

10. Fare clic su Avvia > Impostazioni > Pannello di controllo e fare doppio clic suSistema.

NotaSaltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012.

11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi.


12. Fare clic su Visualizza > Mostra dispositivi nascosti.


13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati diseguito (Windows XP/Vista/7/Server 2003/Server 2008):

• tmcomm

• tmactmon

• tmevtmgr

• Trend Micro Filter


5-81

• Trend Micro PreFilter

• Trend Micro TDI Driver

• Trend Micro VSAPI NT

• Servizio prevenzione modifiche non autorizzate di Trend Micro

• Trend Micro WFP Callout Driver (per computer con Windows Vista/Server2008/7)

14. Per eliminare manualmente i driver di Trend Micro con un editor della riga dicomando (solo Windows 8/8.1/Server 2012), eseguire i comandi seguenti:

• sc delete tmcomm

• sc delete tmactmon

• sc delete tmevtmgr

• sc delete tmfilter

• sc delete tmprefilter

• sc delete tmwfp

• sc delete vsapint

• sc delete tmeevw

• sc delete tmusa

• sc delete tmebc

Nota

Per essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor dariga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tastodestro del mouse sul file cmd.exe e scegliere Esegui come amministratore).

15. Disinstallare il Driver comune Firewall.

a. Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic suProprietà.


5-82

b. Fare clic con il tasto destro del mouse su Connessione alla rete locale(LAN) e fare clic su Proprietà.

c. Nella scheda Generale selezionare Driver comune Firewall di TrendMicro e fare clic su Disinstalla.

NotaI seguenti passaggi sono relativi solo ai sistemi operativi Windows Vista/Server2008/7/8/8.1/Server 2012. Per gli agenti che utilizzano tutti gli altri sistemioperativi, andare al punto 15.

d. Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà.

e. Fare clic su Gestisci connessioni di rete.

f. Fare clic con il tasto destro del mouse su Connessione alla rete locale(LAN) e fare clic su Proprietà.

g. Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fareclic su Disinstalla.

16. Riavviare l'dispositivo agente.

17. Se nell'dispositivo non sono installati altri prodotti Trend Micro, eliminare lacartella di installazione Trend Micro (normalmente C:\Programmi\TrendMicro). Nei computer a 64 bit la cartella di installazione è in C:\Programmi(x86)\Trend Micro.

18. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelleriportate di seguito:

• <Cartella di installazione dell'agente>

• La cartella BM nella cartella di installazione Trend Micro (solitamente C:\Programmi\Trend Micro\BM per i sistemi a 32 bit e C:\Programmi(x86)\Trend Micro\BM per i sistemi a 64 bit )

6-1

Capitolo 6

Come mantenere la protezioneaggiornata

In questo capitolo vengono descritti i componenti OfficeScan™ di Trend Micro™ e leprocedure di aggiornamento.


• Programmi e componenti di OfficeScan a pagina 6-2

• Panoramica sugli aggiornamenti a pagina 6-14

• Aggiornamenti server OfficeScan a pagina 6-17

• Aggiornamenti di Integrated Smart Protection Server a pagina 6-30

• Aggiornamenti agente OfficeScan a pagina 6-30

• Update Agent a pagina 6-58

• Riepilogo aggiornamento componenti a pagina 6-67


6-2

Programmi e componenti di OfficeScanOfficeScan utilizza i componenti e i programmi per mantenere i computer agenteprotetti dai rischi per la sicurezza più recenti. Per mantenere questi componenti eprogrammi aggiornati, eseguire gli aggiornamenti manuali o pianificati.

Oltre ai componenti, gli agenti OfficeScan ricevono dal server OfficeScan anche i file diconfigurazione aggiornati. Gli agenti necessitano di tali file di configurazione per poterapplicare le nuove impostazioni. Ogni volta che si modificano le impostazioni diOfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.

I componenti sono raggruppati come segue:

• Componenti antivirus a pagina 6-2

• Componenti di Damage Cleanup Services a pagina 6-7

• Componenti anti-spyware a pagina 6-7

• Componenti firewall a pagina 6-8

• Componente di Reputazione Web a pagina 6-9

• Componenti monitoraggio del comportamento a pagina 6-9

• Programmi a pagina 6-11

• Componenti Connessioni sospette a pagina 6-13

• Soluzione minaccia browser a pagina 6-13

Componenti antivirusI componenti antivirus sono composti dai pattern, driver e motori seguenti:

• Pattern antivirus a pagina 6-3

• Motore di scansione virus a pagina 6-4

• Driver scansione dei virus a pagina 6-5

• Pattern IntelliTrap a pagina 6-6

Come mantenere la protezione aggiornata

6-3

• Pattern eccezioni IntelliTrap a pagina 6-6

• Pattern ispezione memoria a pagina 6-6

Pattern antivirus

Il pattern antivirus disponibile nell'dispositivo agente dipende dal metodo di scansioneutilizzato dall'agente. Per informazioni sui metodi di scansione, vedere Tipi di metodi discansione a pagina 7-8.

TABELLA 6-1. Pattern antivirus

METODO DISCANSIONE

PATTERN IN USO

Scansioneconvenzionale

Il Pattern antivirus contiene informazioni che consentono aOfficeScan di identificare i virus, le minacce informatiche e le minaccedi tipo misto più recenti. Trend Micro crea e distribuisce nuove versionidel pattern antivirus diverse volte alla settimana e ogniqualvolta vienescoperta una particolare minaccia.

Trend Micro consiglia di pianificare gli aggiornamenti automatici inmodo che vengano effettuati almeno ogni ora; questa è l'impostazionepredefinita per tutti i prodotti.


6-4

METODO DISCANSIONE

PATTERN IN USO

Smart Scan Nella modalità Smart Scan gli agenti OfficeScan utilizzano due patternleggeri che vengono integrati per fornire lo stesso livello di protezionedei pattern anti-malware e anti-spyware convenzionali.

Un'origine Smart Protection ospita lo Smart Scan Pattern. Questopattern viene aggiornato ogni ora e contiene la maggior parte delledefinizioni dei pattern. Questo pattern non viene scaricato dagli agentiSmart Scan. Gli agenti verificano potenziali minacce rispetto al patterninviando query di scansione all'origine Smart Protection.

L'origine aggiornamenti dell'agente (il server OfficeScan oppure unadelle origini aggiornamenti personalizzate) ospita Smart Scan AgentPattern. Questo pattern viene aggiornato quotidianamente e contienetutte le altre definizioni dei pattern non disponibili in Smart ScanPattern. Gli agenti scaricano questo pattern dall'origine aggiornamentiutilizzando gli stessi metodi di download degli altri componentiOfficeScan.

Per ulteriori informazioni su Smart Scan Pattern e Smart Scan AgentPattern, vedere File Smart Protection Pattern a pagina 4-8.

Motore di scansione virus

Il motore di scansione rappresenta il fulcro dei prodotti Trend Micro e originariamente èstato sviluppato in risposta ai primi virus degli dispositivo basati su file. Il motore discansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di diversi diVirus e minacce informatiche a pagina 7-2. Il motore di scansione inoltre rileva i viruscontrollati sviluppati e utilizzati per la ricerca.

Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei patterncollaborano per identificare gli elementi riportati di seguito:

• Caratteristiche riconoscibili del codice del virus

• La posizione precisa del virus all'interno del file

OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristinal'integrità del file.


6-5

Aggiornamento del motore di scansione

Attraverso la memorizzazione delle informazioni più sensibili a livello temporale su viruso minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre alminimo il numero di aggiornamenti del motore di scansione mantenendo al contempo laprotezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuoveversioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenticircostanze:

• Implementazione di nuove tecnologie di scansione e rilevamento all'interno delsoftware.

• Scoperta di un nuovo virus potenzialmente molto dannoso che il motore discansione non è in grado di gestire

• Miglioramento delle prestazioni di scansione

• Aggiunta di formati di file, linguaggi per script, codifica e/o formati dicompressione

Driver scansione dei virus

Il Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Leoperazioni comprendono l'apertura o la chiusura di un file e l'esecuzione diun'applicazione. Esistono due versioni del driver. Le due versioni disponibili sonoTmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazionein tempo reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delleoperazioni degli utenti.

NotaQuesto componente non viene visualizzato nella console. Per verificare la versione in uso,accedere a vCartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con il pulsantedestro del mouse sul file .sys, selezionare Proprietà e accedere alla scheda Versione.


6-6

Pattern IntelliTrap

Pattern IntelliTrap ( Per maggiori dettagli, consultare IntelliTrap a pagina E-7 ). Ilpattern rileva i file compressi in tempo reale impacchettati come file eseguibili.

Pattern eccezioni IntelliTrap

Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati".

Pattern ispezione memoria

La scansione in tempo reale utilizza il Pattern ispezione memoria per valutare i filecompressi eseguibili identificati dal monitoraggio del comportamento. La scansione intempo reale effettua nei file compressi eseguibili le seguenti azioni:

1. Crea un file di mappatura nella memoria dopo aver verificato il percorso diimmagine del processo.

Nota

L'elenco di esclusione scansione sovrascrive la scansione del file.

2. Invia l'ID di processo al Servizio di protezione avanzata che quindi:

a. Usa il Motore di scansione virus per effettuare la scansione della memoria.

b. Filtra il processo tramite gli elenchi Approvati globali per i file di sistemaWindows, i file con firma digitale da origini affidabili e i file sottoposti a testda Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan nonesegue alcuna azione sul medesimo.

3. Dopo aver elaborato la scansione della memoria, il Servizio di protezione avanzatainvia i risultati alla Scansione in tempo reale.

4. La Scansione in tempo reale quindi mette in quarantena eventuali minacceinformatiche rilevate e interrompe il processo.


6-7

Componenti di Damage Cleanup Services

I componenti di Damage Cleanup Services sono composti dal motore e dal modelloseguenti.

• Motore di disinfezione virus a pagina 6-7

• Modello disinfezione virus a pagina 6-7

• Driver Early Boot Clean a pagina 6-7

Motore di disinfezione virus

Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativiprocessi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit.

Modello disinfezione virus

Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus perindividuare i file dei cavalli di Troia e i relativi processi per consentire al motore dieliminarli.

Driver Early Boot Clean

Il driver Early Boot Clean di Trend Micro viene caricato prima dei driver del sistemaoperativo, consentendo il rilevamento e il blocco dei rootkit di tipo boot. Dopo ilcaricamento dell'agente OfficeScan, il driver Early Boot Clean di Trend Micro invocaDamage Cleanup Services per disinfettare il rootkit.

Componenti anti-spyware

I componenti anti-spyware sono formati dal motore e dai pattern seguenti:

• Pattern spyware a pagina 6-8

• Motore di scansione spyware a pagina 6-8


6-8

• Pattern di monitoraggio attivo spyware a pagina 6-8

Pattern spyware

Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli dimemoria, nel registro di Windows e nei collegamenti URL.

Motore di scansione spyware

Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata suspyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit.

Pattern di monitoraggio attivo spyware

Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo realedi spyware/grayware. Solo gli agenti con scansione convenzionale utilizzano questopattern.

Gli agenti con Smart Scan utilizzano Smart Scan Agent Pattern per la scansione intempo reale di spyware/grayware. Se non è possibile determinare il rischio delladestinazione della scansione, gli agenti inviano query di scansione a un'origine SmartProtection.

Componenti firewallI componenti Firewall sono composti dal pattern e dal driver seguenti:

• Driver comune Firewall a pagina 6-8

• Pattern comune firewall a pagina 6-9

Driver comune Firewall

Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire lascansione dei computer agente per rilevare virus di rete. Questo driver supportapiattaforme a 32 bit e a 64 bit.


6-9

Pattern comune firewall

Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuarele impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus direte.

Componente di Reputazione Web

Il componente di reputazione Web è il Motore Filtro URL.

Motore Filtro URL

Il motore Filtro URL consente la comunicazione tra OfficeScan e il servizio di filtroURL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL etrasmette a OfficeScan le informazioni sulla valutazione.

Componenti monitoraggio del comportamento

I componenti del monitoraggio del comportamento sono composti dai pattern, driver eservizi seguenti:

• Pattern rilevamento monitoraggio del comportamento a pagina 6-9

• Driver monitoraggio del comportamento a pagina 6-10

• Servizio principale monitoraggio del comportamento a pagina 6-10

• Pattern di configurazione monitoraggio del comportamento a pagina 6-10

• Digital Signature Pattern a pagina 6-10

• Pattern implementazione dei criteri a pagina 6-10

Pattern rilevamento monitoraggio del comportamento

Questo pattern contiene le regole per rilevare il comportamento relativo a minaccesospette.


6-10

Driver monitoraggio del comportamento

Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principalemonitoraggio del comportamento per implementare i criteri.

Servizio principale monitoraggio del comportamento

Questo servizio in modalità utente ha le seguenti funzioni:

• Rileva rootkit

• Regola l'accesso ai dispositivi esterni

• Protegge file, chiavi di registro e servizi

Pattern di configurazione monitoraggio del comportamento

Driver monitoraggio del comportamento utilizza questo pattern per individuare glieventi di sistema normali ed escluderli dall'implementazione dei criteri.

Digital Signature Pattern

Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principalemonitoraggio del comportamento per determinare se un programma responsabile di unevento di sistema è sicuro.

Pattern implementazione dei criteri

Servizio principale monitoraggio del comportamento controlla gli eventi di sistemarispetto ai criteri contenuti in questo pattern.

Pattern avvio scansione memoria

Monitoraggio del comportamento utilizza il Pattern avvio scansione memoria peridentificare possibili minacce dopo il rilevamento delle seguenti operazioni:

• Azione di scrittura del file


6-11

• Azione di scrittura del registro

• Creazione di un nuovo processo

Dopo aver identificato una di queste operazioni, Monitoraggio del comportamentorichiama il Pattern ispezione memoria della Scansione in tempo reale per verificare irischi per la sicurezza.

Per ulteriori informazioni sulle operazioni di scansione in tempo reale, consultare Patternispezione memoria a pagina 6-6.

Programmi

OfficeScan utilizza i programmi e gli aggiornamenti dei prodotti seguenti:

• Programma agente OfficeScan a pagina 6-11

• Hot fix, patch e service pack a pagina 6-11

Programma agente OfficeScan

Il programma agente OfficeScan fornisce una protezione reale contro i rischi per lasicurezza.

Hot fix, patch e service pack

Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch eservice pack come quelli riportati di seguito per risolvere problemi, migliorare leprestazioni del prodotto oppure aggiungere nuove funzioni.

• Hot Fix a pagina E-5

• Patch a pagina E-10

• Patch di protezione a pagina E-11

• Service Pack a pagina E-12


6-12

Quando questi elementi vengono resi disponibili, l'utente viene informato dalrivenditore o dal fornitore dell'assistenza. Per informazioni sul rilascio di hot fix, patch eservice pack, consultare il sito Web di Trend Micro:

http://downloadcenter.trendmicro.com/index.php?regs=it

Tutte le release includono un file readme che contiene informazioni su installazione,implementazione e configurazione. Prima di eseguire l'installazione, leggere attentamenteil file readme.

Cronologia hot fix e patch

Quando il server OfficeScan implementa file di hot fix o patch negli agenti OfficeScan, ilprogramma agente OfficeScan registra le informazioni su hot fix e patch nell'editor delRegistro di sistema. È possibile inviare una query su queste informazioni a più agentiutilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™.

Nota

Questa funzione non registra hot fix e patch implementate solo nel server.

Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1.

• Gli agenti che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1con patch 3.1 o versioni successive registrano le hot fix e le patch installate per laversione 8.0 e le versioni successive.

• Gli agenti che hanno eseguito l'aggiornamento dalle versioni precedenti allaversione 8.0 Service Pack 1 con la patch 3.1 registrano le hot fix e le patch installateper la versione 10.0 e successive.

Le informazioni sono memorizzate nelle chiavi riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

• Per computer con piattaforme di tipo x64:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>



6-13

Controllare le chiavi riportate di seguito:

• Chiave: HotFix_installed

Tipo: REG_SZ

Valore: <Nome di hot fix o patch>

• Chiave: HotfixInstalledNum

Tipo: DWORD

Valore: <Numero di hot fix o patch>

Componenti Connessioni sospetteI componenti di Connessioni sospette sono composti dal modello e dall'elenco seguenti:

• Elenco IP C&C globale a pagina 6-13

• Pattern regola di pertinenza a pagina 6-13

Elenco IP C&C globale

L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (NetworkContent Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C noti.Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete.

Per la valutazione, OfficeScan registra tutte le informazioni di connessione ai servernell'elenco IP C&C globale.

Pattern regola di pertinenza

Il servizio Connessioni sospette usa il Pattern regola di pertinenza per individuare perrilevare firme di famiglie di minacce uniche nelle intestazioni nei pacchetti di rete.

Soluzione minaccia browserLa Soluzione minaccia browser è composta da due modelli:


6-14

• Pattern prevenzione minaccia browser a pagina 6-14

• Pattern Script Analyzer a pagina 6-14

Pattern prevenzione minaccia browser

Il pattern identifica le vulnerabilità più recenti del browser Web e impedisce l'uso di talivulnerabilità per compromettere il browser Web.

Pattern Script Analyzer

Il pattern analizza gli script delle pagine Web e identifica gli script dannosi.

Panoramica sugli aggiornamentiTutti gli aggiornamenti dei componenti provengono dal server Trend MicroActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e leorigini Smart Protection (Smart Protection Server o Smart Protection Network)scaricano i componenti aggiornati. I download delle origini Smart Protection e del serverOfficeScan non si sovrappongono in quanto ciascun server scarica un insieme dicomponenti specifico.

NotaÈ possibile configurare sia il server OfficeScan che Smart Protection Server in modo cheeseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. Atale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per laconfigurazione di questa origine di aggiornamento, contattare l'assistenza tecnica.

Aggiornamento dell'agente OfficeScan e serverOfficeScan

Il server OfficeScan scarica la maggior parte dei componenti necessari all'agente. L'unicocomponente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini SmartProtection.


6-15

Se un server OfficeScan gestisce un numero considerevole di agenti, l'aggiornamentopotrebbe utilizzare una grande quantità di risorse del computer server e influire sullastabilità e sulle prestazioni del server. Per ovviare a questo problema, OfficeScandispone della funzione Update Agent che consente ad alcuni agenti di condividerel'attività di distribuzione degli aggiornamenti agli altri agenti.

La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento deicomponenti per gli agenti e per il server OfficeScan, con consigli per l'utilizzo:

TABELLA 6-2. Opzioni di aggiornamento server-agente

OPZIONE DIAGGIORNAMENTO

DESCRIZIONE RACCOMANDAZIONE

ServerActiveUpdate >Server > Agente

Il server OfficeScan riceve icomponenti aggiornati dalserver ActiveUpdate di TrendMicro (o da un'altra origineaggiornamenti) e avvial'aggiornamento deicomponenti sugli agenti.

Utilizzare questo metodo se non cisono sezioni di larghezza di bandaridotta tra il server OfficeScan e gliagenti.

ServerActiveUpdate >Server > UpdateAgent > Agente

Il server OfficeScan riceve icomponenti aggiornati dalserver ActiveUpdate (o daun'altra origineaggiornamenti) e avvial'aggiornamento deicomponenti sugli agenti. Gliagenti designati comeUpdate Agent segnalano aglialtri agenti di aggiornare icomponenti.

Se ci sono sezioni ad larghezza dibanda ridotta tra il serverOfficeScan e gli agenti, utilizzarequesto metodo per bilanciare ilcarico del traffico nella rete.


6-16

OPZIONE DIAGGIORNAMENTO

DESCRIZIONE RACCOMANDAZIONE

ServerActiveUpdate >Update Agent >

Agente

Gli Update Agent ricevono icomponenti aggiornatidirettamente dal serverActiveUpdate (o da un'altraorigine aggiornamenti) esegnalano agli agenti diaggiornare i componenti.

Utilizzare questo metodo solo se siverificano problemi conl'aggiornamento di Update Agentdal server OfficeScan o da un altroUpdate Agent.

Nella maggior parte dei casi, gliUpdate Agent ricevono gliaggiornamenti più velocemente dalserver OfficeScan o da altri UpdateAgent, piuttosto che da un'origine diaggiornamenti esterna.

ServerActiveUpdate >

Agente

Gli agenti OfficeScanricevono i componentiaggiornati direttamente dalserver ActiveUpdate (o daun'altra origineaggiornamenti).

Utilizzare questo metodo solo se siverificano problemi conl'aggiornamento degli agenti dalserver OfficeScan o da altri UpdateAgent.

Nella maggior parte dei casi, gliagenti ricevono gli aggiornamentipiù velocemente dal serverOfficeScan o dagli Update Agent,rispetto a un'origine aggiornamentiesterna.

Aggiornamento dell'origine Smart Protection

Un'origine Smart Protection (Smart Protection Server o Smart Protection Network)scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dagli agenti SmartScan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query discansione all'origine Smart Protection.

Nota

Consultare Origini Smart Protection a pagina 4-6 per ulteriori informazioni sulle origini SmartProtection.


6-17

Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle originiSmart Protection.

TABELLA 6-3. Processo di aggiornamento delle origini Smart Protection

PROCESSO DIAGGIORNAMENTO

DESCRIZIONE

Server ActiveUpdate> Smart ProtectionNetwork

Trend Micro Smart Protection Network riceve gli aggiornamentidal server ActiveUpdate di Trend Micro. Gli agenti Smart Scanche non sono connessi alla rete aziendale inviano query aTrend Micro Smart Protection Network.

Server ActiveUpdate> Smart ProtectionServer

Smart Protection Server (integrato o standalone) riceve gliaggiornamenti dal server ActiveUpdate di Trend Micro. Gliagenti Smart Protection connessi alla rete aziendale invianoquery a Smart Protection Server.

Smart ProtectionNetwork > SmartProtection Server

Smart Protection Server (integrato o standalone) riceve gliaggiornamenti da Trend Micro Smart Protection Network. Gliagenti Smart Protection connessi alla rete aziendale invianoquery a Smart Protection Server.

Aggiornamenti server OfficeScanIl server OfficeScan scarica i componenti riportati di seguito e li implementa negli agenti:

TABELLA 6-4. Componenti scaricati dal server OfficeScan

COMPONENTE

DISTRIBUZIONE

AGENTI SCANSIONECONVENZIONALE

AGENTI SMART SCAN

Antivirus

Smart Scan Agent Pattern No Sì

Pattern dei virus Sì No

Pattern IntelliTrap Sì Sì


6-18

COMPONENTE

DISTRIBUZIONE


AGENTI SMART SCAN

Pattern eccezioni IntelliTrap Sì Sì

Pattern ispezione memoria Sì Sì

Motore di scansione virus (32 bit) Sì Sì


Anti-spyware

Pattern spyware Sì Sì

Pattern di monitoraggio attivospyware

Sì No

Motore di scansione spyware (32 bit) Sì Sì

Motore di scansione spyware (64 bit) Sì Sì

Damage Cleanup Services

Modello disinfezione virus Sì Sì

Motore di disinfezione virus (32-bit) Sì Sì

Motore di disinfezione virus (64-bit) Sì Sì

Driver Early Boot Clean (32 bit) Sì Sì


Firewall

Pattern comune firewall Sì Sì


Pattern rilevamento monitoraggio delcomportamento (32 bit)

Sì Sì


6-19

COMPONENTE

DISTRIBUZIONE


AGENTI SMART SCAN

Driver monitoraggio delcomportamento a 32 bit

Sì Sì

Servizio principale monitoraggio delcomportamento (32 bit)

Sì Sì


Sì Sì

Driver monitoraggio delcomportamento a 64 bit

Sì Sì


Sì Sì

Pattern di configurazionemonitoraggio del comportamento

Sì Sì

Pattern implementazione dei criteri Sì Sì

Digital Signature Pattern Sì Sì

Pattern avvio scansione memoria (32bit)

Sì Sì


Sì Sì

Servizio di avvisi contatti C&C

Elenco IP C&C globale Sì Sì

Pattern regola di pertinenza Sì Sì

Soluzione minaccia browser

Pattern prevenzione minacciabrowser

Sì Sì

Pattern Script Analyzer Sì Sì


6-20

Suggerimenti e promemoria per gli aggiornamenti:

• Per consentire al server di implementare i componenti aggiornati sugli agenti,attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamentiautomatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico èdisattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti.

• Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamentidirettamente agli agenti IPv4 puri. Analogamente, un server OfficeScan IPv4 puronon è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv6 puri.Per consentire al server OfficeScan di distribuire gli aggiornamenti agli agenti, ènecessario un server proxy dual-stack in grado di convertire gli indirizzi IP, comead esempio DeleGate.

• Trend Micro rilascia regolarmente i file di pattern, in modo da mantenereaggiornata la protezione dell'agente. Poiché i file di pattern sono disponibiliregolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione deicomponenti che consente un download più rapido dei file di pattern. ConsultareDuplicazione dei componenti server OfficeScan a pagina 6-23 per ulteriori informazioni.

• Se per il collegamento a Internet si utilizza un server proxy, utilizzare leimpostazioni proxy corrette per il download degli aggiornamenti.

• Nella dashboard della console Web, aggiungere il widget Aggiornamenti agenteper visualizzare le versioni correnti dei componenti e determinare il numero diagenti con componenti aggiornati e obsoleti.

Origini aggiornamenti del server OfficeScanConfigurare il server OfficeScan per scaricare i componenti dal server Active Update diTrend Micro o da un'altra origine. È possibile specificare un'altra origine se il serverOfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per unoscenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 6-26.

Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamentenotificare agli agenti di effettuare l'aggiornamento dei componenti sulla base delleimpostazioni specificate in Aggiornamenti > Agenti > Aggiornamento automatico.Se l'aggiornamento di un componente è particolarmente importante, fare in modo che ilserver invii la notifica agli agenti immediatamente accedendo a Aggiornamenti >Agenti > Aggiornamento manuale.


6-21

NotaSe non vengono specificate impostazioni di aggiornamento attivate da eventi né unapianificazione delle impostazioni all'interno di Aggiornamenti > Agenti >Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà lanotifica agli agenti affinché effettuino l'aggiornamento.

Supporto IPv6 per gli aggiornamenti del server OfficeScanUn server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamentodirettamente da origini IPv4 pure, come:

• Server ActiveUpdate di Trend Micro

• Qualsiasi origine aggiornamenti personalizzata IPv4 pura

Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguirel'aggiornamento direttamente da origini personalizzate IPv6 pure.

Per consentire a un server di connettersi alle origini aggiornamenti, è necessario unserver proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempioDeleGate.

Proxy per gli aggiornamenti del server OfficeScanConfigurare i programmi server ospitati nel computer server per utilizzare leimpostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate diTrend Micro. I programmi server comprendono il server OfficeScan e Integrated SmartProtection Server.

Configurazione delle impostazioni proxy

Procedura

1. Accedere a Amministrazione > Impostazioni > Proxy.

2. Fare clic sulla scheda Proxy esterno.

3. Andare alla sezione Aggiornamenti del computer server OfficeScan.


6-22

4. Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motoree licenza.

5. Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero diporta.

6. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password.


Configurazione della fonte di aggiornamento server

Procedura

1. Accedere a Aggiornamenti > Server > Origine aggiornamenti.

2. Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti.

Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessionea Internet e, se si utilizza un server proxy, provare se la connessione a Internet èdisponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gliaggiornamenti del server OfficeScan a pagina 6-21.

Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e lerisorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi,inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni.Per ottenere supporto per la configurazione di un'origine di aggiornamento,contattare l'assistenza tecnica.

Nota

Il server OfficeScan utilizza la duplicazione dei componenti per scaricare icomponenti dall'origine di aggiornamento. Per informazioni, vedere Duplicazione deicomponenti server OfficeScan a pagina 6-23.



6-23

Duplicazione dei componenti server OfficeScanQuando la versione più recente di un file di pattern completo è disponibile per ildownload dal server Trend Micro ActiveUpdate, sono disponibili anche 14 patternincrementali. I pattern incrementali sono versioni ridotte del file di pattern completo checolmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti.Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (laversione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto inumeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175contiene i dati presenti nella versione 175 e non presenti nella versione 171.

Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScanesegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti incui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Perinformazioni sul modo in cui gli Update Agent eseguono la duplicazione deicomponenti, consultare Duplicazione dei componenti di Update Agent a pagina 6-64.

La duplicazione dei componenti si applica ai seguenti componenti:

• Pattern dei virus

• Smart Scan Agent Pattern

• Modello disinfezione virus

• Pattern eccezioni IntelliTrap

• Pattern spyware

• Pattern di monitoraggio attivo spyware

Scenario di duplicazione dei componenti

Per comprendere la duplicazione dei componenti per il server, considerare il seguentescenario:


6-24

TABELLA 6-5. Scenario di duplicazione dei componenti del server

Patterncompleti sulserverOfficeScan

Versione attuale: 171

Altre versioni disponibili:

169 167 165 161 159

Versione piùrecente sulserverActiveUpdate

173.175 171.175 169.175 167.175 165.175 163.175

161.175 159.175 157.175 155.175 153.175 151.175

149.175 147.175

1. Il server OfficeScan confronta la versione attuale del pattern completo con laversione più recente sul server ActiveUpdate. Se la differenza tra le due versioni èal massimo 14, il server scarica solo il pattern incrementale per colmare ladifferenza tra le due versioni.

Nota

Se la differenza è superiore a 14, il server scarica automaticamente la versionecompleta del file di pattern e 14 pattern incrementali.

Esempio:

• La differenza tra le versioni 171 e 175 è 2. Questo significa che il server nondispone delle versioni 173 e 175.

• Il server scarica il pattern incrementale 171.175. Questo pattern incrementalecolma la differenza tra le versioni 171 e 175.

2. Il server integra il pattern incrementale con il pattern completo corrente pergenerare il pattern completo più recente.

Esempio:

• Sul server, OfficeScan integra la versione 171 con il pattern incrementale171.175 per generare la versione 175.

• Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente(versione 175).


6-25

3. Il server genera pattern incrementali sulla base degli altri pattern completidisponibili sul server. Se il server non genera questi pattern incrementali, gli agentiche non hanno scaricato i pattern incrementali precedenti, scaricanoautomaticamente il file di pattern completo, che genererà poi ulteriore traffico direte.

Esempio:

• Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, puògenerare i seguenti pattern incrementali:

169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server non deve utilizzare la versione 171 perché dispone già del patternincrementale 171.175.

• Ora il server dispone di 7 pattern incrementali:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169,167, 165, 163, 161). Le versioni precedenti vengono rimosse (159).

4. Il server confronta i pattern incrementali correnti con i pattern incrementalidisponibili sul server ActiveUpdate. Il server scarica i pattern incrementali nonpresenti.

Esempio:

• Il server ActiveUpdate ha 14 pattern incrementali:

173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• Il server OfficeScan ha 7 pattern incrementali:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server OfficeScan scarica altri 7 pattern incrementali:

173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• Ora il server dispone di tutti i pattern incrementali disponibili sul serverActiveUpdate.


6-26

5. Il pattern completo più recente e i 14 pattern incrementali sono resi disponibili pergli agenti.

Aggiornamenti server OfficeScan isolatoSe il server OfficeScan appartiene a una rete completamente isolata da tutte le originiesterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguirel'aggiornamento da un'origine interna che contiene i componenti più recenti.

In questo argomento vengono descritte le operazioni necessarie per eseguirel'aggiornamento di un server OfficeScan isolato.

Aggiornamento di un server OfficeScan isolato

Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte leoperazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggidettagliati di ciascuna operazione.

Procedura

1. Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager oun'altra macchina host. L'origine aggiornamenti deve disporre di:

• Una connessione Internet in modo da poter per scaricare i componenti piùrecenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet,il solo modo per ottenere i componenti aggiornati necessari le originiaggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelleorigini aggiornamenti.

• Una connessione funzionante con il server OfficeScan. Se tra il serverOfficeScan e le origini aggiornamenti esiste un server proxy, configurare leimpostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del serverOfficeScan a pagina 6-21.

• Spazio su disco sufficiente per i componenti scaricati

2. Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli,consultare Origini aggiornamenti del server OfficeScan a pagina 6-20.


6-27

3. Identificare i componenti che il server implementa per gli agenti. Per un elenco deicomponenti implementabili, vedere Aggiornamenti agente OfficeScan a pagina 6-30.

Suggerimento

Per provare a determinare se un componente viene implementato sugli agenti,accedere alla schermata Riepilogo aggiornamento nella console Web(Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamentoper un componente che viene implementato è sempre maggiore dello 0%.

4. Determinare la frequenza di scaricamento dei componenti. I file di patternvengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia diaggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenzatecnica di notificare gli aggiornamenti importanti.

5. Su un'origine aggiornamenti:

a. Effettuare la connessione al server ActiveUpdate. L'URL del server varia inbase alla versione OfficeScan.

b. Scaricare i seguenti elementi:

• Il file server.ini. Questo file contiene informazioni sui componentipiù recenti.

• I componenti identificati nel passaggio 3.

c. Salvare gli elementi scaricati in una directory dell'origine aggiornamenti.

6. Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultareAggiornamento manuale del server OfficeScan a pagina 6-28.

7. Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare icomponenti.

Metodi di aggiornamento del server OfficeScan

I componenti del server OfficeScan possono essere aggiornati manualmente oppureconfigurando una pianificazione di aggiornamento.


6-28

Per consentire al server di implementare i componenti aggiornati sugli agenti, attivarel'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automaticidell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, ilserver scarica gli aggiornamenti ma non li implementa negli agenti.

I metodi aggiornamento includono:

• Aggiornamento server manuale: Quando un aggiornamento è importante,eseguire l'aggiornamento manuale in modo che il server possa ottenere gliaggiornamenti immediatamente. Per informazioni, vedere Aggiornamento manuale delserver OfficeScan a pagina 6-28.

• Aggiornamento server pianificato: Il server OfficeScan si connette all'origine diaggiornamento nella data e orario pianificati per ottenere i componenti più recenti.Per informazioni, vedere Pianificazione aggiornamenti per il server OfficeScan a pagina6-28.

Aggiornamento manuale del server OfficeScanAggiornare manualmente i componenti nel server OfficeScan dopo aver installato oaggiornato il server e quando si verifica un'infezione.

Procedura

1. Avviare un aggiornamento manuale tramite:

• Accesso a Aggiornamenti > Server > Aggiornamento manuale.

• Selezione di Aggiorna server ora nel menu principale della console Web.

2. Selezionare i componenti da aggiornare.

3. Fare clic su Aggiorna.

Il server scarica i componenti aggiornati.

Pianificazione aggiornamenti per il server OfficeScanConfigurare il server OfficeScan affinché controlli con regolarità l'origine diaggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché di


6-29

norma gli agenti ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è unmodo semplice ed efficace per assicurare una protezione continua contro i rischi per lasicurezza.

Procedura

1. Accedere a Aggiornamenti > Server > Aggiornamento pianificato.

2. Selezionare Attiva aggiornamento pianificato del server OfficeScan.

3. Selezionare i componenti da aggiornare.

4. Specificare la pianificazione dell'aggiornamento.

Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica ilnumero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti diOfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallotemporale.


Registri di aggiornamento del server OfficeScanVerificare i registri di aggiornamento del server per determinare se esistono dei problemidi aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti deicomponenti del server OfficeScan.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina13-34.

Visualizzazione dei registri di aggiornamento

Procedura

1. Accedere a Registri > Aggiornamento server.


6-30

2. Controllare la colonna Risultato per verificare se alcuni componenti non sono statiaggiornati.

3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta inCSV. Aprire il file o salvarlo in una posizione specifica.

Aggiornamenti di Integrated Smart ProtectionServer

Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern el'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e comeaggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 4-20.

Aggiornamenti agente OfficeScanPer garantire la continua protezione degli agenti contro i più recenti rischi per lasicurezza, è necessario aggiornare regolarmente i componenti dell'agente.

Prima di aggiornare gli agenti, verificare che la loro origine aggiornamenti (serverOfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti piùrecenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamentiserver OfficeScan a pagina 6-17.

La seguente tabella comprende un elenco di tutti i componenti implementati dalle originiaggiornamenti sugli agenti e i componenti utilizzati con un determinato metodo discansione.

TABELLA 6-6. Componenti OfficeScan implementati sugli agenti

COMPONENTE

DISTRIBUZIONE


AGENTI SMART SCAN

Antivirus


6-31

COMPONENTE

DISTRIBUZIONE


AGENTI SMART SCAN

Smart Scan Agent Pattern No Sì

Pattern dei virus Sì No

Pattern IntelliTrap Sì Sì

Pattern eccezioni IntelliTrap Sì Sì



Pattern ispezione memoria Sì Sì

Anti-spyware

Pattern spyware/grayware Sì Sì

Pattern di monitoraggio attivospyware

Sì No

Motore di scansione spyware/grayware (32 bit)

Sì Sì

Motore di scansione spyware/grayware (64 bit)

Sì Sì

Damage Cleanup Services

Modello Damage Cleanup Sì Sì

Motore Damage Cleanup (32 bit) Sì Sì

Motore Damage Cleanup (64 bit) Sì Sì



Servizi di reputazione Web


6-32

COMPONENTE

DISTRIBUZIONE


AGENTI SMART SCAN

Motore Filtro URL Sì Sì

Firewall

Pattern di firewall Sì Sì

Driver per firewall (32 bit) Sì Sì

Driver per firewall (64 bit) Sì Sì



Sì Sì

Driver principale monitoraggio delcomportamento (32 bit)

Sì Sì


Sì Sì


Sì Sì

Driver principale monitoraggio delcomportamento (64 bit)

Sì Sì


Sì Sì

Pattern di configurazionemonitoraggio del comportamento

Sì Sì

Pattern implementazione dei criteri Sì Sì

Digital Signature Pattern Sì Sì


Sì Sì


6-33

COMPONENTE

DISTRIBUZIONE


AGENTI SMART SCAN


Sì Sì

Connessioni sospette

Elenco IP C&C globale Sì Sì

Pattern regola di pertinenza Sì Sì

Vulnerabilità browser

Pattern prevenzione minacciabrowser

Sì Sì

Pattern Script Analyzer Sì Sì

Origini aggiornamenti dell'agente OfficeScan

Gli agenti possono ottenere gli aggiornamenti dalle origini aggiornamenti standard(server OfficeScan) o componenti specifici dalle origini aggiornamenti personalizzate,come il server ActiveUpdate di Trend Micro. Per ulteriori dettagli, vedere Origineaggiornamenti standard per gli agenti OfficeScan a pagina 6-34 e Origini aggiornamentipersonalizzate per gli agenti OfficeScan a pagina 6-35.

Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan

Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalleorigini aggiornamenti IPv4 pure, come:

• Un server OfficeScan IPv4 puro

• Un Update Agent IPv4 puro




6-34

Analogamente, un agente IPv4 puro non è in grado di eseguire direttamentel'aggiornamento dalle origini aggiornamenti IPv6 pure, come un server OfficeScan IPv6puro o un Update Agent.

Per consentire agli agenti di connettersi alle origini aggiornamenti, è necessario un serverproxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.

Origine aggiornamenti standard per gli agenti OfficeScan

Il server OfficeScan server è l'origine aggiornamenti standard per gli agenti.

Se il server OfficeScan non è raggiungibile, gli agenti non avranno un'origine di backup equindi non saranno aggiornati. Per aggiornare gli agenti che non sono in grado diraggiungere il server OfficeScan, Trend Micro consiglia di usare Agent Packager. Usarequesto strumento per creare un pacchetto con i componenti più recenti disponibili sulserver, quindi eseguire il pacchetto sugli agenti.

Nota

L'indirizzo IP dell'agente (IPv4 o IPv6) determina se è possibile stabilire la connessione alserver OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamentiagente, vedere Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan a pagina 6-33.

Configurazione dell'origine aggiornamenti standard per gli agentiOfficeScan

Procedura

1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.

2. Selezionare Origini di aggiornamento standard (aggiorna dal serverOfficeScan).



6-35

Processo di aggiornamento dell'agente OfficeScan

NotaIn questo argomento viene illustrato il processo di aggiornamento per gli agenti OfficeScan.Il processo di aggiornamento per gli Update Agent è trattato in Origine aggiornamenti standardper gli agenti OfficeScan a pagina 6-34.

Se gli agenti OfficeScan vengono configurati per eseguire l'aggiornamento direttamentedal server OfficeScan, il processo di aggiornamento è il seguente:

1. L'agente OfficeScan ottiene gli aggiornamenti dal server OfficeScan.

2. Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, l'agente tentadi connettersi direttamente al server ActiveUpdate di Trend Micro se l'opzione Gliagenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate diTrend Micro è attivata in Agenti > Gestione agente, fare clic sulla schedaImpostazioni > Privilegi e altre impostazioni > Altre impostazioni >Impostazioni di aggiornamento.

NotaÈ possibile aggiornare solo i componenti dal server ActiveUpdate. È possibilescaricare i programmi, le hot fix e le impostazioni del dominio solo dal serverOfficeScan o dagli Update Agent. Per rendere più rapido il processo diaggiornamento, configurare gli agenti OfficeScan in modo che dal serverActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni,consultare Server ActiveUpdate come origine aggiornamenti dell'agente OfficeScan a pagina 6-40.

Origini aggiornamenti personalizzate per gli agentiOfficeScanOltre che dal server OfficeScan, gli agenti OfficeScan possono eseguire l'aggiornamentodalle origini aggiornamenti personalizzate. Le origini aggiornamenti personalizzatecontribuiscono a ridurre il traffico degli aggiornamenti dell'agente OfficeScan diretto alserver OfficeScan e consentono agli agenti OfficeScan che non riescono a connettersi alserver OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le originidi aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate,che può contenere fino a 1024 origini di aggiornamento.


6-36

Suggerimento

Trend Micro consiglia di assegnare alcuni agenti OfficeScan come Update Agent e poiaggiungerli all'elenco.

Configurazione delle origini aggiornamenti personalizzate per gliagenti OfficeScan

Procedura


2. Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi.

3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibileimmettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.

4. Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent seè stato assegnato oppure digitare l'URL di un'origine specifica.

Nota

Accertarsi che gli agenti OfficeScan siano in grado di connettersi all'origineaggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificatoun intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4.Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamentideve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gliaggiornamenti agente, vedere Origini aggiornamenti dell'agente OfficeScan a pagina 6-33.


6. Eseguire operazioni varie nella schermata.

a. Selezionare una delle impostazioni riportate di seguito. Per ulterioriinformazioni sul funzionamento di queste impostazioni, vedere Processo diaggiornamento dell'agente OfficeScan a pagina 6-35.

• Gli Update Agent aggiornano componenti, impostazioni didominio, programmi agente e hot fix solo dal server OfficeScan


6-37

• Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScanse tutte le origini personalizzate non sono disponibili o non sono statetrovate:

• Componenti

• Impostazioni dominio

• Programmi agenti OfficeScan e hot fix

b. Se come origine è stato specificato almeno un Update Agent, fare clic suSegnalazione analitica di Update Agent per generare una segnalazione cheevidenzi lo stato di aggiornamento degli agenti. Per ulteriori informazioni sullasegnalazione, vedere Segnalazione analitica di Update Agent a pagina 6-66.

c. Modificare un'origine aggiornamenti facendo clic sul collegamentodell'intervallo di indirizzi IP. Modificare le impostazioni nella schermatavisualizzata e fare clic su Salva.

d. Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella dicontrollo e facendo clic su Elimina.

e. Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. Èpossibile spostare solo un'origine per volta.


Processo di aggiornamento dell'agente OfficeScan

Nota

In questo argomento viene illustrato il processo di aggiornamento per gli agenti OfficeScan.Il processo di aggiornamento per gli Update Agent è trattato in Origini aggiornamentipersonalizzate per gli Update Agent a pagina 6-62.

Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, ilprocesso di aggiornamento prosegue come riportato di seguito:

1. L'agente OfficeScan esegue gli aggiornamenti dalla prima origine dell'elenco.


6-38

2. Se non è in grado di eseguire l'aggiornamento dalla prima origine, l'agenteOfficeScan utilizza la seconda voce e così via.

3. Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, l'agenteOfficeScan controlla le impostazioni seguenti nella schermata Origineaggiornamenti:

TABELLA 6-7. Altre impostazioni per le origini aggiornamenti personalizzate


Gli Update Agentaggiornano componenti,impostazioni di dominio,programmi agente e hotfix solo dal serverOfficeScan

Se tale impostazione è attivata, gli Update Agenteseguono l'aggiornamento direttamente dal serverOfficeScan e ignorano Elenco origini di aggiornamentopersonalizzate.

Se disattivata, gli Update Agent applicano leimpostazioni di origine aggiornamenti personalizzataconfigurate per gli agenti normali.

Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte leorigini personalizzate non sono disponibili o non sono state trovate:


6-39


Componenti Se questa opzione è attivata, l'agente eseguel'aggiornamento dei componenti dal server OfficeScan.

Se l'opzione è disattivata, l'agente tenta di connettersidirettamente al server ActiveUpdate di Trend Micro se siverifica una delle seguenti condizioni:

• In Agenti > Gestione agente, fare clic sulla schedaImpostazioni > Privilegi e altre impostazioni >Altre impostazioni > Aggiorna impostazioni,l'opzione Gli agenti OfficeScan scaricano gliaggiornamenti dal server ActiveUpdate di TrendMicro è attivata.

• Il server ActiveUpdate non è incluso nell'Elencoorigini aggiornamento personalizzate.

NotaÈ possibile aggiornare solo i componenti dalserver ActiveUpdate. È possibile scaricare iprogrammi, le hot fix e le impostazioni del dominiosolo dal server OfficeScan o dagli Update Agent.Per rendere più rapido il processo diaggiornamento, configurare gli agenti in modo chedal server ActiveUpdate vengano scaricati solo ifile di pattern. Per ulteriori informazioni, consultareServer ActiveUpdate come origine aggiornamentidell'agente OfficeScan a pagina 6-40.

Impostazioni dominio Se questa opzione è attivata, l'agente eseguel'aggiornamento delle impostazioni a livello di dominiodal server OfficeScan.

Programmi agentiOfficeScan e hot fix

Se questa impostazione è attivata, l'agente aggiorna iprogrammi e le hot fix dal server OfficeScan.

4. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, l'agenteinterrompe il processo di aggiornamento.


6-40

Server ActiveUpdate come origine aggiornamentidell'agente OfficeScanQuando gli agenti OfficeScan sono configurati per scaricare gli aggiornamentidirettamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file dipattern per ridurre la larghezza di banda utilizzata durante gli aggiornamenti e renderepiù rapido il processo di aggiornamento.

I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenzadei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern.

Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal serverActiveUpdate di Trend Micro. Per consentire agli agenti OfficeScan di connettersi alserver ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gliindirizzi IP, come ad esempio DeleGate.

Limitazione dei download dal server ActiveUpdate

Procedura


2. Andare alla sezione Aggiornamenti.

3. Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gliaggiornamenti.

Metodi di aggiornamento dell'agente OfficeScanGli agenti OfficeScan che eseguono l'aggiornamento dei componenti dal serverOfficeScan o da un'origine aggiornamenti personalizzata possono utilizzare uno deimetodi di aggiornamento riportati di seguito:

• Aggiornamenti automatici: L'aggiornamento degli agenti viene eseguitoautomaticamente quando si verificano alcuni eventi o in base a una pianificazione.Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41.

• Aggiornamento manuale: Quando un aggiornamento è importante, utilizzarel'aggiornamento manuale per notificare immediatamente agli agenti di eseguire


6-41

l'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manualiagente OfficeScan a pagina 6-47.

• Aggiornamenti basati su privilegi: Gli utenti con privilegi di aggiornamentohanno maggiore controllo sulla modalità di aggiornamento dell'agente OfficeScannei propri computer. Per i dettagli, consultare Configurazione dei privilegi diaggiornamento e altre impostazioni a pagina 6-49.

Aggiornamenti automatici dell'agente OfficeScan

La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento agliagenti ed elimina il rischio che i componenti dei computer agente diventino obsoleti.

Nel corso dell'aggiornamento automatico, oltre ai componenti, gli aggiornamentiOfficeScan ricevono anche dei file di configurazione aggiornati. Gli agenti necessitano ditali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che simodificano le impostazioni di OfficeScan attraverso la console Web, vengono modificatianche i file di configurazione. Per specificare la frequenza in base alla quale i file diconfigurazione vengono applicati agli agenti, vedere il punto 3 Configurazione degliaggiornamenti automatici dell'agente OfficeScan a pagina 6-43.

Nota

È possibile configurare gli agenti in modo che utilizzino le impostazioni proxy nel corsodell'aggiornamento automatico. Per informazioni, vedere Proxy per gli aggiornamenti deicomponenti dell'agente OfficeScan a pagina 6-52.

Esistono due tipi di aggiornamenti automatici:

• Aggiornamenti provocati da un evento a pagina 6-41

• Aggiornamenti pianificati a pagina 6-43

Aggiornamenti provocati da un evento

Il server può notificare agli agenti online di effettuare l'aggiornamento dei componentidopo aver effettuato il download di quelli più recenti e notificare agli agenti offline dieffettuare l'aggiornamento quando avranno ristabilito la connessione con il server.


6-42

Facoltativamente, al termine dell'aggiornamento, sui computer dell'agente OfficeScan èpossibile avviare Esegui scansione (scansione manuale).

TABELLA 6-8. Opzioni di aggiornamento provocate da un evento

OPZIONE DESCRIZIONE

Avvia l'aggiornamentodei componenti degliagenti subito dopo cheil server OfficeScan hascaricato un nuovocomponente

Non appena completato un aggiornamento, il server notificaagli agenti di eseguirlo. Gli agenti aggiornati di frequentedevono scaricare pattern incrementali, riducendo in tal modo iltempo necessario per completare l'aggiornamento (permaggiori dettagli sui pattern incrementali, vedere Duplicazionedei componenti server OfficeScan a pagina 6-23). Tuttavia, gliaggiornamenti frequenti potrebbero incidere negativamentesulle prestazioni del server, soprattutto se molti agentieseguono l'aggiornamento contemporaneamente.

Per includere nell'aggiornamento gli agenti in modalitàroaming, selezionare Includi agenti in roaming e offline. Permaggiori dettagli sulla modalità roaming, vedere Privilegio diroaming dell'agente OfficeScan a pagina 14-20.

Consente agli agenti diavviare l'aggiornamentodei componenti dopo ilriavvio e la connessioneal server OfficeScan(escludendo gli agentiin roaming)

Se un agente non ha eseguito un aggiornamento, icomponenti vengono scaricati non appena questo stabilisce laconnessione con il server. L'agente potrebbe non eseguire unaggiornamento se è offline o se l'dispositivo dove è installatonon è in esecuzione.

Effettua Eseguiscansione dopol'aggiornamento(escludendo gli agentiin roaming)

Il server invia una notifica agli agenti per l'esecuzione dellascansione dopo un'aggiornamento attivato da un evento.Attivare questa opzione se un aggiornamento specificorisponde a un rischio per la sicurezza già diffuso nella rete.


6-43

Nota

Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento agli agenti altermine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15minuti. Il server continuerà a inviare le notifiche di aggiornamento per un massimo di 5volte, fino a ottenere risposta dall'agente. Se il quinto tentativo non riesce, il server noninvierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componentiquando gli agenti si riavviano e si connettono al server, l'aggiornamento dei componentiavverrà in ogni caso.

Aggiornamenti pianificati

L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionaregli agenti OfficeScan che dispongono di tale privilegio e tali agenti OfficeScan potrannoeseguire gli aggiornamenti in base alla pianificazione.

Nota

Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultareConfigurazione aggiornamenti dell'agente OfficeScan pianificati con NAT a pagina 6-45.

Configurazione degli aggiornamenti automatici dell'agenteOfficeScan

Procedura

1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.

2. Selezionare gli eventi per un Aggiornamento provocato da un evento:

• Avvia l'aggiornamento dei componenti degli agenti subito dopo che ilserver OfficeScan ha scaricato un nuovo componente

• Includi agenti in roaming e offline

• Consente agli agenti di avviare l'aggiornamento dei componenti dopo ilriavvio e la connessione al server OfficeScan (escludendo gli agenti inroaming)


6-44

• Effettua Esegui scansione dopo l'aggiornamento (escludendo gli agentiin roaming)

Per ulteriori informazioni sulle opzioni disponibili, vedere Aggiornamenti provocati daun evento a pagina 6-41.

3. Configurare la pianificazione per l'Aggiornamento pianificato.

• Minuto/i o Ora/e

L'opzione Aggiorna le configurazioni degli agenti solo una volta algiorno è disponibile quando viene pianificata una frequenza di aggiornamentooraria o basata sui minuti. La configurazione contiene tutte le impostazionidegli agenti OfficeScan configurati usando la console Web

SuggerimentoTrend Micro aggiorna frequentemente i componenti; tuttavia è probabile che leimpostazioni di configurazione di OfficeScan cambino con minore frequenza.L'aggiornamento dei file di configurazione effettuato insieme a quello deicomponenti, richiede una maggiore ampiezza di banda e aumenta il temponecessario affinché OfficeScan completi l'aggiornamento. Per questo motivo,Trend Micro consiglia di aggiornare le configurazioni degli agenti OfficeScansolo una volta al giorno.

• Frequenza giornaliera o Frequenza settimanale

Specificare l'ora dell'aggiornamento e il periodo di tempo in cui il serverOfficeScan notifica agli agenti di aggiornare i componenti.

SuggerimentoQuesta impostazione consente di evitare che tutti gli agenti online si connettanocontemporaneamente al server nell'ora di inizio indicata e di ridurre la quantitàdi traffico indirizzato al server. Se, ad esempio, l'ora di inizio è fissata alle 12 e ilperiodo di tempo è fissato a 2 ore, OfficeScan invia la notifica di aggiornamentodei componenti a tutti gli agenti online in modo casuale dalle 12:00 alle 14:00.


6-45

Nota

Dopo aver configurato la pianificazione degli aggiornamenti, attivare la pianificazionesugli agenti selezionati. Per informazioni sull'attivazione degli aggiornamentipianificati, vedere il passaggio 4 di Configurazione dei privilegi di aggiornamento e altreimpostazioni a pagina 6-49.


OfficeScan non può inviare immediatamente la notifica agli agenti offline.Selezionare Consente agli agenti di avviare l'aggiornamento dei componentidopo il riavvio e la connessione al server OfficeScan (escludendo gli agentiin roaming) per aggiornare gli agenti offline che passano online dopo la scadenzadel periodo di tempo. Gli agenti offline che non hanno questa impostazioneattivata aggiornano i componenti alla pianificazione successiva o durante unaggiornamento manuale.

Configurazione aggiornamenti dell'agente OfficeScan pianificaticon NAT

Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito:

• Gli agenti OfficeScan vengono visualizzati offline nella console Web.

• Il server OfficeScan non è in grado di notificare agli agenti le modifiche degliaggiornamenti e della configurazione.

Per risolvere questi problemi, implementare i componenti aggiornati e i file diconfigurazione dal server all'agente OfficeScan con un aggiornamento pianificato cosìcome descritto di seguito.

Procedura

• Prima di installare l'agente OfficeScan sui computer agente:

a. Configurare la pianificazione dell'aggiornamento agente nella sezioneAggiornamento pianificato di Aggiornamenti > Agenti >Aggiornamento automatico.


6-46

b. Assegnare agli agenti il privilegio per attivare l'aggiornamento pianificato inAgenti > Gestione agente, fare clic sulla scheda Impostazioni > Privilegie altre impostazioni > Privilegi > Privilegi aggiornamento componenti.

• Se gli agenti OfficeScan sono già presenti sui computer agente:

a. Assegnare agli agenti il privilegio per eseguire "Aggiorna ora" in Agenti >Gestione agente, fare clic sulla scheda Impostazioni > Privilegi e altreimpostazioni > Privilegi > Privilegi aggiornamento componenti.

b. Chiedere agli utenti di aggiornare manualmente i componenti sull'dispositivoagente (fare clic con il pulsante destro del mouse sull'icona dell'agenteOfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") perottenere le impostazioni di configurazione aggiornate.

Quando gli agenti OfficeScan eseguono un aggiornamento, ricevono sia i componentiaggiornati sia i file di configurazione.

Utilizzo dello Strumento di aggiornamento pianificazione deidomini

L'aggiornamento pianificato configurato negli aggiornamenti automatici dell'agente sonoapplicabili solo agli agenti con privilegi di aggiornamento pianificato. Per gli altri agenti,è possibile impostare una pianificazione di aggiornamento separata. Per effettuare questaoperazione, è necessario configurare una pianificazione in base ai domini della strutturaagente. Questa impostazione viene applicata a tutti gli agenti appartenenti al dominio.

Nota

Non è possibile impostare una pianificazione di aggiornamento per un agente o unsottodominio specifico. La configurazione configurata per il dominio principale si applica atutti i sottodomini.

Procedura

1. Registrare i nomi dei domini della struttura agente e le pianificazioni diaggiornamento.


6-47

2. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\DomainScheduledUpdate.

3. Copiare i file seguenti in <Cartella di installazione del server>\PCCSRV:

• DomainSetting.ini

• dsu_convert.exe

4. Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note.

5. Specificare il dominio della struttura agente e configurare la pianificazione diaggiornamento per il dominio. Ripetere questo passaggio per aggiungere altridomini.

NotaNel file .ini sono fornite istruzioni dettagliate per la configurazione.

6. Salvare DomainSetting.ini.

7. Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV.

8. Immettere il seguente comando e premere Invio.

dsuconvert.exe DomainSetting.ini

9. Nella console Web, accedere a Agenti > Impostazioni globali agente.


Aggiornamenti manuali agente OfficeScan

Aggiornare manualmente i componenti dell'agente OfficeScan quando questi sonoestremamente obsoleti e ogni volta che viene rilevata un'infezione. I componentidell'agente OfficeScan diventano estremamente obsoleti quando esso non è in grado diaggiornarli dall'origine aggiornamenti per un periodo di tempo prolungato.

Nel corso dell'aggiornamento manuale, oltre ai componenti, gli agenti OfficeScanricevono anche file di configurazione aggiornati. Gli agenti OfficeScan necessitano di tali


6-48

file di configurazione per poter applicare le nuove impostazioni. Ogni volta che simodificano le impostazioni di OfficeScan attraverso la console Web, vengono modificatianche i file di configurazione.

Nota

Oltre all'avvio, è possibile concedere agli utenti il privilegio dell'esecuzione degliaggiornamenti manuali (ovvero Aggiorna ora sugli dispositivo agente OfficeScan). Per idettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49.

Aggiornamento manuale degli agenti OfficeScan

Procedura

1. Accedere a Aggiornamenti > Agenti > Aggiornamento manuale.

2. Nella parte superiore della schermata vengono visualizzati i componentiattualmente disponibili nel server OfficeScan e la data in cui tali componenti sonostati aggiornati. Prima di notificare l'aggiornamento agli agenti, accertarsi che icomponenti siano aggiornati.

Nota

Aggiornare manualmente i componenti obsoleti nel server. Per informazioni, vedereAggiornamenti manuali agente OfficeScan a pagina 6-47.

3. Per aggiornare solo gli agenti con componenti non aggiornati:

a. Fare clic su Selezionare agenti con componenti non aggiornati.

b. Facoltativamente, selezionare Includi agenti in roaming e offline

• Per aggiornare gli agenti in roaming con connessione attiva sul server.

• Per aggiornare gli agenti offline quando passano online.

c. Fare clic su Avvia aggiornamento.


6-49

Nota

Il server cerca gli agenti con componenti di versioni precedenti alle versioni del servere invia agli agenti la notifica dell'aggiornamento. Per controllare lo stato dellenotifiche, accedere alla schermata Aggiornamenti > Riepilogo

4. Per aggiornare gli agenti selezionati:

a. Selezionare Seleziona agenti manualmente.

b. Fare clic su Seleziona.

c. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

d. Fare clic su Avvia aggiornamento componenti.

Nota

Il server inizia a inviare a ogni agente la notifica del download dei componentiaggiornati. Per controllare lo stato delle notifiche, accedere alla schermataAggiornamenti > Riepilogo

Configurazione dei privilegi di aggiornamento e altreimpostazioni

Configurare le impostazioni di aggiornamento e concedere agli utenti agente alcuniprivilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamentopianificato.

Procedura





6-50

4. Fare clic sulla scheda Altre impostazioni e configurare le seguenti opzioni nellasezione Aggiorna impostazioni:

OPZIONE DESCRIZIONE

Gli agentiOfficeScanscaricano gliaggiornamenti dal serverActiveUpdatedi TrendMicro

Quando gli aggiornamenti vengono avviati, gli agenti OfficeScantentano di ottenere gli aggiornamenti prima dall'origineaggiornamenti specificata nella schermata Aggiornamenti >Agenti > Origine aggiornamenti. Se l'aggiornamento non riesce,gli agenti tentano di eseguirlo dal server OfficeScan. Se siseleziona questa opzione, si consente agli agenti di provare aeseguire l'aggiornamento dal server ActiveUpdate di Trend Micro,qualora l'aggiornamento dal server OfficeScan non riesca.

NotaUn agente IPv6 puro non è in grado di eseguire l'aggiornamentodirettamente dal server ActiveUpdate di Trend Micro. Perconsentire agli agenti di connettersi al server ActiveUpdate, ènecessario un server proxy dual-stack in grado di convertire gliindirizzi IP, come ad esempio DeleGate.

Attivaaggiornamenti pianificatisugli agentiOfficeScan

La selezione di questa opzione configura tutti gli agentiOfficeScan per attivare gli aggiornamenti pianificati comeimpostazione predefinita. Gli utenti con il privilegio Attiva/Disattiva aggiornamenti pianificati possono sovrascrivere taleimpostazione.

Per maggiori dettagli sulla configurazione della pianificazione degliaggiornamenti, vedere Configurazione degli aggiornamentiautomatici dell'agente OfficeScan a pagina 6-43.

Gli agentiOfficeScanpossonoaggiornare icomponenti,ma nonpossonoaggiornare ilprogrammaagente néimplementarele hot fix.

Questa opzione consente agli aggiornamenti dei componenti diproseguire, ma impedisce l'implementazione delle hot fix el'aggiornamento dell'agente OfficeScan.

NotaLa disattivazione di questa opzione potrebbe influirenegativamente sulle prestazioni del server, poiché tutti gli agenti siconnettono simultaneamente al server per aggiornare o installareuna hot fix.


6-51

5. Fare clic sulla scheda Privilegi e configurare le seguenti opzioni nella sezioneAggiornamento dei componenti:

OPZIONE DESCRIZIONE

Esecuzionedi "Aggiornaora"

Gli utenti con questo privilegio possono aggiornare i componentisu richiesta facendo clic con il pulsante destro del mousesull'icona dell'agente OfficeScan nella barra delle applicazioni eselezionando Aggiorna ora

NotaGli utenti dell'agente OfficeScan possono utilizzare le impostazioniproxy durante l'operazione "Aggiorna ora". Per informazioni,vedere Privilegi di configurazione del proxy per gli agenti a pagina14-52.

Attiva/Disattivaaggiornamenti pianificati

La selezione di questa opzione consente agli utenti degli agentiOfficeScan di attivare e disattivare gli aggiornamenti pianificatiutilizzando il menu di scelta rapida dell'agente OfficeScan, che èin grado di sovrascrivere l'impostazione Attiva aggiornamentipianificati sugli agenti OfficeScan.

NotaGli amministratori devono selezionare innanzitutto l'impostazioneAttiva aggiornamenti pianificati sugli agenti OfficeScan nellascheda Altre impostazioni prima che la voce di menu vengavisualizzata nel menu dell'agente OfficeScan.





6-52

Configurazione dello spazio su disco riservato per gliaggiornamenti degli agenti OfficeScan

OfficeScan è in grado di assegnare una determinata quantità di spazio sul discodel'agente per hot fix, file di pattern, motori di scansione e aggiornamenti deiprogrammi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco.

Procedura


2. Andare alla sezione Spazio su disco riservato.

3. Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti.

4. Selezionare lo quantità di spazio su disco.


Proxy per gli aggiornamenti dei componenti dell'agenteOfficeScan

Gli agenti OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamentoautomatico oppure se dispongono del privilegio di eseguire "Aggiorna ora".


6-53

TABELLA 6-9. Impostazioni proxy utilizzate durante gli aggiornamenti dei componentidell'agente OfficeScan

METODO DIAGGIORNAMENTO

IMPOSTAZIONI PROXYUTILIZZATE

UTILIZZO

Aggiornamentoautomatico

• Impostazioni proxyautomatiche. Per idettagli, consultareImpostazioni proxyautomatiche perl'agente OfficeScan apagina 14-53.

• Impostazioni proxyinterne. Per i dettagli,consultare Proxyinterno per gli agentiOfficeScan a pagina14-50.

1. Per aggiornare i componenti, gliagenti OfficeScan utilizzeranno perprima cosa le impostazioni proxyautomatiche.

2. Qualora le impostazioni proxyautomatiche non fossero attive,verranno utilizzate le impostazioniproxy interne.

3. Se entrambe sono disattivate, gliagenti non utilizzeranno alcunaimpostazione proxy.

Aggiorna ora • Impostazioni proxyautomatiche. Per idettagli, consultareImpostazioni proxyautomatiche perl'agente OfficeScan apagina 14-53.

• Impostazioni proxyconfigurate dall'utente.È possibile concedereagli utenti agente ilprivilegio di configurarele impostazioni proxy.Per i dettagli,consultare Privilegi diconfigurazione delproxy per gli agenti apagina 14-52.

1. Per aggiornare i componenti, gliagenti OfficeScan utilizzeranno perprima cosa le impostazioni proxyautomatiche.

2. Qualora le impostazioni proxyautomatiche non fossero attive,verranno utilizzate le impostazioniproxy configurare dall'utente.

3. Se entrambe le impostazioni sonodisattivate o se le impostazioniproxy automatiche sono disattivaree gli utenti agente non dispongonodegli appositi privilegi, gli agentinon utilizzeranno nessun proxy perl'aggiornamento dei componenti.


6-54

Configurazione delle notifiche di aggiornamentodell'agente OfficeScan

OfficeScan notifica agli utenti agente quando si verificano i seguenti eventi relativiall'aggiornamento:

Procedura


2. Andare alla sezione Impostazioni avvisi.

3. Selezionare le seguenti opzioni:

• Mostra l'icona di avviso sulla barra delle applicazioni di Windows se ilfile di pattern dei virus non è aggiornato da __ giorno/i: Un'icona diavviso viene visualizzata nella barra delle applicazioni di Windows perricordare agli utenti di aggiornare un Pattern dei virus che non è statoaggiornato dal numero di giorni specificato. Per aggiornare il pattern, usareuno dei metodi di aggiornamento illustrati in Metodi di aggiornamento dell'agenteOfficeScan a pagina 6-40.

Questa impostazione viene applicata a tutti gli agenti gestiti dal server.

• Visualizza un messaggio di notifica se è necessario un riavviodell'dispositivo per caricare un driver in modalità kernel: Dopol'installazione di una hot fix o di un pacchetto di aggiornamenti che contieneuna nuova versione di un driver in modalità kernel, la precedente versione deldriver potrebbe essere ancora presente sull'dispositivo. L'unico modo pereliminare la versione precedente e caricare quella nuova è riavviarel'dispositivo. Dopo aver riavviato l'dispositivo, la nuova versione vieneautomaticamente installata e non sono necessari altri riavvii.

Subito dopo l'installazione della hot fix o del pacchetto di aggiornamenti,sull'dispositivo agente viene visualizzato un messaggio di notifica.



6-55

Visualizzazione dei registri dei aggiornamento dell'agenteOfficeScan

Esaminare i registri di aggiornamenti dell'agente per determinare eventuali problemi diaggiornamento del pattern antivirus negli agenti.

NotaIn questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern deivirus possono essere inviate dalla console Web.


Procedura

1. Accedere a Registri > Agenti > Aggiornamento componente agente.

2. Per visualizzare il numero di aggiornamenti degli agenti, fare clic su Visualizzanella colonna Avanzamento. Nella schermata Avanzamento aggiornamentocomponenti visualizzata, controllare il numero di agenti aggiornati ogni 15 minutie il numero totale di agenti aggiornati.

3. Per visualizzare gli agenti il cui pattern antivirus è stato aggiornato, fare clic suVisualizza nella colonna Dettagli.

4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esportain CSV. Aprire il file o salvarlo in una posizione specifica.

Implementazione aggiornamenti dell'agente OfficeScanUtilizzare Conformità sicurezza per garantire che gli agenti dispongano dei componentipiù recenti. La conformità della sicurezza consente di determinare le incoerenze deicomponenti tra gli agenti e il server OfficeScan. In genere le incoerenze si verificanoquando gli agenti non riescono a connettersi al server per aggiornare i componenti. Se


6-56

l'agente ottiene un aggiornamento da un'altra origine (ad esempio dal serverActiveUpdate), è possibile che un componente dell'agente sia più recente rispetto a unodel server.

Per ulteriori informazioni, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-58.

Rollback dei componenti per gli agenti OfficeScan

Il termine rollback si riferisce all'azione di ripristino della versione precedente del Patterndei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questicomponenti non funzionano correttamente, ripristinare le versioni precedenti.OfficeScan conserva la versione attuale e quella precedente del Motore di scansionevirus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern.

Nota

Il rollback è consentito solo per i componenti riportati sopra.

OfficeScan utilizza diversi motori di scansione per gli agenti con piattaforme a 32 e 64bit. Questi motori di scansione devono essere ripristinati separatamente. La procedura diripristino per tutti i tipi di motore di scansione è identica.

Procedura

1. Accedere a Aggiornamenti > Rollback

2. Nella sezione appropriata, fare clic su Sincronizza con il server.

a. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

b. Fare clic su Rollback

c. Fare clic su Visualizza registri di aggiornamento per verificare i risultati osu Indietro per tornare alla schermata Rollback.


6-57

3. Se sul server è presente una versione precedente del file di pattern, è possibileeffettuare il rollback del file di pattern per server e per l'agente OfficeScan, facendoclic su Rollback versioni di server e agenti.

Esecuzione di Touch Tool per le hot fix dell'agenteOfficeScan

Touch Tool esegue la sincronizzazione dell'indicatore data e ora di un file conl'indicatore data e ora di un altro file o con l'orario di sistema dell'dispositivo. Se non siriesce a implementare correttamente una hot fix nel server OfficeScan, utilizzare TouchTool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a OfficeScandi interpretare il file hot fix come nuovo elemento per cui il server tenta nuovamente diimplementarlo automaticamente.

Procedura

1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\Touch.

2. Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Persincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionareentrambi i file nella stessa posizione di Touch Tool.

3. Aprire un prompt dei comandi ed accedere al percorso di Touch Tool.

4. Digitare i comandi seguenti:

TmTouch.exe <nome file di destinazione> <nome file diorigine>

Dove:

• <nome file destinazione> è il nome dell'hot fix di cui si desideramodificare l'indicatore di data e ora

• <nome file origine> è il nome del file di cui si desidera replicarel'indicatore di data e ora


6-58

Nota

Se non viene specificato un nome del file di origine, lo strumento imposta l'indicatoredata e ora del file di destinazione in base all'orario di sistema dell'dispositivo.Utilizzare il carattere jolly (*) per il nome del file di destinazione, ma non per quellodel file di origine.

5. Per verificare se la modifica dell'indicatore data e ora è stata applicata, immetteredir nel prompt dei comandi oppure verificare le proprietà del file in Esplorarisorse.

Update AgentPer distribuire l'attività di implementazione dei componenti, delle impostazioni didominio o dei programmi agente e delle hot fix negli agenti OfficeScan, è necessarioimpostare alcuni agenti OfficeScan come Update Agent o come origini aggiornamentiper altri agenti. In questo modo si ha la certezza che gli agenti ricevano tempestivamentegli aggiornamenti senza indirizzare una quantità eccessiva di traffico di rete al serverOfficeScan.

Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti ècaratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent aciascuna località.

Nota

Gli agenti OfficeScan assegnati ai componenti per l'aggiornamento da un Update Agentricevono soltanto componenti aggiornati e impostazioni dall'Update Agent. Tutti gli agentiOfficeScan segnalano il proprio stato al server OfficeScan.

Requisiti di sistema per gli Update Agent

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:




6-59

Configurazione di Update AgentIl processo di configurazione di Update Agent prevede due operazioni:

1. Assegnare l'agente OfficeScan come Update Agent per componenti specifici.

2. Specificare gli agenti che eseguiranno l'aggiornamento da tale Update Agent.

Nota

Il numero di connessioni degli agenti simultanee che un singolo Update Agent puògestire dipende dalle specifiche hardware dell'dispositivo.

Assegnazione degli agenti OfficeScan come Update Agent

Procedura


2. Nella struttura agente, selezionare gli agenti da designare come Update Agent.

Nota

Non è possibile selezionare l'icona del dominio root, in quanto tale operazionedesignerebbe tutti gli agenti come Update Agent. Un Update Agent IPv6 puro non èin grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri.Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gliaggiornamenti direttamente agli agenti IPv6 puri. Per consentire ad un Update Agentdi distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack ingrado di convertire gli indirizzi IP, come ad esempio DeleGate.

3. Fare clic su Impostazioni > Impostazioni Update Agent.

4. Selezionare gli elementi che Update Agent possono condividere.

• Aggiornamento dei componenti




6-60


Specifica degli agenti OfficeScan che seguonol'aggiornamento da un Update Agent

Procedura


2. In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.

3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibileimmettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.

4. Nel campo Update Agent, selezionare l'Update Agent da assegnare agli agenti.

NotaAccertarsi che gli agenti siano in grado di connettersi all'Update Agent utilizzando irispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4,l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza eun prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6.


Origini aggiornamenti per gli Update AgentGli Update Agent possono ottenere gli aggiornamenti da varie origini quali il serverOfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origineaggiornamenti dalla schermata Origine aggiornamenti della console Web.

Supporto IPv6 per gli Update AgentUn Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento daorigini IPv4 pure, come:



6-61



Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamentel'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro:

Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessarioun server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempioDeleGate.

Origine aggiornamenti standard per gli Update Agent

Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gliagenti vengono configurati per eseguire l'aggiornamento direttamente dal serverOfficeScan, il processo di aggiornamento avviene come riportato di seguito:

1. L'Update Agent ottiene gli aggiornamenti dal server OfficeScan.

2. Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersidirettamente al server ActiveUpdate di Trend Micro se si verifica almeno una delleseguenti condizioni:

• In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altreimpostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzioneGli agenti OfficeScan scaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamentopersonalizzate.

Suggerimento

Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi diaggiornamento dal server OfficeScan. Quando gli Update Agent eseguonol'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza dibanda tra la rete e Internet è considerevole.

3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, UpdateAgent interrompe il processo di aggiornamento.


6-62

Origini aggiornamenti personalizzate per gli Update Agent

Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento daorigini di aggiornamento personalizzate. Le origini di aggiornamento personalizzatecontribuiscono a ridurre il traffico degli aggiornamenti degli agenti diretto al serverOfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini diaggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento.Vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35 per laprocedura per configurare l'elenco.

Nota

Assicurarsi che l'opzione Gli Update Agent aggiornano componenti, impostazioni didominio, programmi agente e hot fix solo dal server OfficeScan sia disattivata nellaschermata Origine di aggiornamento per Update Agent (Aggiornamenti > Agenti >Origine aggiornamenti) per consentire agli Update Agent di connettersi alle originiaggiornamenti personalizzate.

Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue comeriportato di seguito:

1. Update Agent esegue l'aggiornamento dalla prima voce dell'elenco.

2. Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza laseconda voce e così via.

3. Se non è in grado di effettuare l'aggiornamento da tutte le voci, l'agente verifica leseguenti opzioni nell'intestazione Gli agenti OfficeScan aggiornano le seguentivoci dal server OfficeScan se tutte le origini personalizzate non sonodisponibili o non sono state trovate:

• Componenti: se attivata l'agente esegue l'aggiornamento dal serverOfficeScan.

Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al serverActiveUpdate di Trend Micro se si verifica almeno una delle seguenticondizioni:


6-63

Nota

È possibile eseguire l'aggiornamento dei componenti solo dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni deldominio dal server o dagli Update Agent.

• In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi ealtre impostazioni > Altre impostazioni > Aggiorna impostazioni,l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dalserver ActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamentopersonalizzate.

• Impostazioni dominio: se attivata l'agente esegue l'aggiornamento dal serverOfficeScan.

• Programmi agenti OfficeScan e hot fix: se attivata l'agente eseguel'aggiornamento dal server OfficeScan.


Il processo di aggiornamento è diverso se l'opzione Origini di aggiornamentostandard (aggiorna dal server OfficeScan) è attivata e il server OfficeScan notificaall'agente di aggiornare i componenti. Il processo è il seguente:

1. Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignoral'elenco delle origini di aggiornamento.

2. Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamenteal server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenticondizioni:

• In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altreimpostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzioneGli agenti OfficeScan scaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamentopersonalizzate.


6-64

Suggerimento

Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi diaggiornamento dal server OfficeScan. Quando gli agenti OfficeScan eseguonol'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza dibanda tra la rete e Internet è considerevole.


Configurazione dell'origine aggiornamenti per Update Agent

Procedura


2. Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gliUpdate Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gliUpdate Agent.


Duplicazione dei componenti di Update Agent

Come il server OfficeScan, anche gli Update Agent utilizzano il metodo delladuplicazione per scaricare i componenti. Per informazioni sul modo in cui il serveresegue la duplicazione dei componenti, consultare Duplicazione dei componenti serverOfficeScan a pagina 6-23.

Il processo di duplicazione dei componenti per gli Update Agent è il seguente:

1. Update Agent confronta la versione corrente del pattern completo con la versionepiù recente sull'origine aggiornamenti. Se la differenza tra le due versioni è almassimo 14, Update Agent scarica il pattern incrementale per colmare la differenzatra le due versioni.


6-65

NotaSe la differenza è superiore a 14, Update Agent scarica automaticamente la versionecompleta del file di pattern.

2. Update Agent integra il pattern incrementale scaricato con il pattern completocorrente per generare il pattern completo più recente.

3. Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti.

4. Il pattern completo più recente e tutti i pattern incrementali sono resi disponibiliper gli agenti.

Metodi di aggiornamento per Update AgentGli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per gli agentinormali. Per i dettagli, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.

È possibile utilizzare lo strumento di configurazione aggiornamento pianificato perattivare e configurare gli aggiornamenti pianificati di un Update Agent installatomediante Agent Packager.

NotaQuesto strumento non è disponibile se l'Update Agent è stato installato mediante altrimetodi di installazione. Per ulteriori informazioni, consultare Considerazionisull'implementazione a pagina 5-11.

Uso dello strumento di configurazione aggiornamentopianificato

Procedura

1. Nell'dispositivo Update Agent, accedere a <Cartella di installazione dell'agente>.

2. Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la consoledello Strumento di configurazione aggiornamento pianificato.

3. Selezionare Attiva aggiornamento pianificato.


6-66

4. Specificare la frequenza e l'orario dell'aggiornamento.

5. Fare clic su Applica.

Segnalazione analitica di Update Agent

La segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura diaggiornamento e determinare quali agenti scaricano dal server OfficeScan, dagli UpdateAgent o dal server ActiveUpdate. Questa segnalazione è utile anche per controllare se ilnumero di agenti che richiedono aggiornamenti dalle origini aggiornamenti supera illimite di risorse disponibili ed, eventualmente, per reindirizzare il traffico di rete alleorigini appropriate.

Nota

Questa segnalazione comprende tutti gli Update Agent. Se l'attività di gestione di uno o piùdomini è stata delegata ad altri amministratori, essi vedranno anche gli Update Agentappartenenti ai domini non gestiti da loro.

OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (comma-separated value).

In questa segnalazione sono contenute le seguenti informazioni:

• Dispositivo dell'agente OfficeScan

• Indirizzo IP

• Percorso struttura dell'agente

• Origine aggiornamenti

• Se gli agenti scaricano i seguenti elementi dagli Update Agent:

• Componenti




6-67

Importante

La segnalazione analitica di Update Agent elenca solamente gli agenti OfficeScanconfigurati per ricevere aggiornamenti parziali da un Update Agent. Gli agenti OfficeScanconfigurati per eseguire aggiornamenti completi da un Update Agent (inclusi componenti,impostazioni di dominio, hot fix e programmi dell'agente OfficeScan) non vengonovisualizzati nella segnalazione.

Per ulteriori informazioni sulla generazione della segnalazione, vedere Originiaggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35.

Riepilogo aggiornamento componentiLa console Web fornisce la schermata Riepilogo aggiornamento (accedere aAggiornamenti > Riepilogo), che contiene informazioni sullo stato complessivodell'aggiornamento dei componenti e consente di aggiornare quelli obsoleti. Se è statoattivato l'aggiornamento server pianificato, la schermata informa anche sulla dataprevista per il prossimo aggiornamento.

Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare laschermata periodicamente.

Nota

Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server,accedere a Amministrazione > Smart Protection > Server integrato.

Stato dell'aggiornamento per gli agenti OfficeScan

Se l'aggiornamento dei componenti sugli agenti è stato avviato, è possibile visualizzare inquesta sezione le seguenti informazioni:

• Numero di agenti ai quali è stata inviata la notifica per l'aggiornamento deicomponenti.


6-68

• Numero di agenti che non hanno ancora ricevuto la notifica, ma che sono presentinella coda di notifica. Per annullare l'invio della notifica a questi agenti, fare clic suAnnulla notifica.

ComponentiNella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascuncomponente scaricato e distribuito dal server OfficeScan.

Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimoaggiornamento. Fare clic sul collegamento numerato per visualizzare gli agenti concomponenti obsoleti. Aggiornare manualmente gli agenti con componenti obsoleti.

7-1

Capitolo 7

Analisi dei rischi per la sicurezzaQuesto capitolo descrive come proteggere i computer dai rischi per la sicurezzautilizzando l'analisi basata su file.


• Informazioni sui rischi per la sicurezza a pagina 7-2

• Tipi di metodi di scansione a pagina 7-8

• Tipi di scansione a pagina 7-15

• Impostazioni comuni a tutti i tipi di scansione a pagina 7-28

• Privilegi scansione e altre impostazioni a pagina 7-55

• Impostazioni globali di scansione a pagina 7-70

• Notifiche sui Rischi per la sicurezza a pagina 7-82

• Registri dei rischi per la sicurezza a pagina 7-90

• Rischi per la sicurezza a pagina 7-104


7-2

Informazioni sui rischi per la sicurezzaRischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche,spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraversola scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per lasicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuatiin un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere leinfezioni, implementando i criteri di prevenzione delle infezioni e isolando i computerinfetti fino a quando sono completamente privi di rischi. Le notifiche e i registricontribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fossenecessaria un'azione tempestiva.

Virus e minacce informaticheEsistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengonocreati molti altri. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, ivirus degli dispositivo odierni, grazie alla loro capacità di sfruttare le vulnerabilità,possono causare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web.

TABELLA 7-1. Tipi di virus/minaccia informatica

TIPO DI VIRUS/MINACCIA

INFORMATICADESCRIZIONE

ProgrammaJoke

I programmi Joke sono programmi simili ai virus che spessomanipolano l'aspetto degli oggetti sul monitor di un dispositivo.

Altro "Altri" includono virus/minacce informatiche non classificati come altritipi di virus/minacce informatiche.

Packer I packer sono programmi eseguibili compressi e/o codificati perWindows o Linux™, spesso sono cavalli di Troia. La compressione diprogrammi eseguibili rende i packer più difficili da rilevare per i prodottiantivirus.

Analisi dei rischi per la sicurezza

7-3



Rootkit I rootkit sono programmi o raccolte di programmi che installano edeseguono un codice su un sistema senza il consenso o laconsapevolezza dell'utente finale. Utilizzano un virus stealth permantenere la presenza costante e non rilevabile sulla macchina. Irootkit non infettano le macchine ma cercano piuttosto di fornire unambiente non rilevabile affinché sia possibile eseguire un codicedannoso. I rootkit vengono installati sui sistemi tramite socialengineering, in presenza di minacce informatiche o semplicementeaccedendo ad un sito Web dannoso. Una volta installato, l'aggressorepuò virtualmente eseguire qualunque funzione sul sistema che includal'accesso remoto, le intercettazioni, nascondere i processi, i file lechiavi di registro e i canali di comunicazione.

virus di prova I virus di prova sono file inerti che agiscono come virus reali e chepossono essere rilevati dal software di scansione antivirus. I virus diprova, come gli script di prova EICAR, possono essere utilizzati perverificare che l'antivirus installato funzioni correttamente.

Cavallo diTroia

I cavalli di Troia spesso usano porte per accedere ai computer o aiprogrammi eseguibili. I programmi cavallo di Troia non sono in grado diriprodursi, ma risiedono nei sistemi per compiere operazioni dannose,ad esempio l'apertura delle porte, per consentire l'ingresso deglihacker. Le soluzioni antivirus tradizionali sono in grado di rilevare erimuovere i virus ma non i cavalli di Troia, soprattutto se sono già inesecuzione nel sistema.


7-4



Virus I virus sono programmi in grado di replicarsi. Per farlo, un virus deveattaccarsi ad altri file di programma che gli consentono di attivarsiquando il programma che lo ospita viene eseguito, inclusi:

• Codice dannoso ActiveX: codice presente nelle pagine Web cheeseguono controlli ActiveX™.

• Virus da settore boot: virus che infetta il settore boot o unapartizione del disco.

• File COM ed EXE infettante: programma eseguibile conestensione .com o .exe.

• Codice dannoso Java: codice virus indipendente dal sistemaoperativo scritto o incluso in un codice Java™.

• Virus da macro: virus codificato come macro di un'applicazione espesso incluso in un documento.

• VBScript, JavaScript o virus HTML: virus presente in una paginaWeb e scaricato tramite un browser.

• Worm: programma (o gruppo di programmi) autonomo in grado didiffondere copie funzionanti di se stesso o di suoi segmenti ad altrisistemi di dispositivo, spesso tramite e-mail.

Virus di rete un virus che si diffonde su una rete non è necessariamente un virus direte. Solo alcuni tipi di virus o minacce informatiche, quali i worm,possono essere considerati virus di rete. In particolare, permoltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP,UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i filedi sistema né modificano i settori boot dei dischi rigidi. Tuttavia,infettano la memoria dei computer agente, obbligandoli a invadere larete di traffico e causando rallentamenti o persino errori nell'intera rete.Poiché i virus di rete rimangono in memoria, spesso non sono rilevabilimediante i tradizionali metodi di scansione I/O dei file.


7-5



Probabilevirus/minacciainformatica

I virus/minacce informatiche probabili sono file sospetti che presentanocaratteristiche di virus/minacce informatiche.

Per dettagli, consultare l'Enciclopedia dei virus di Trend Micro:

http://www.trendmicro.com/vinfo/it/virusencyclo/default.asp

NotaLa disinfezione non può essere eseguita su un probabile virus/minaccia informatica, ma l'azione di scansione è configurabile.

Spyware e grayware

Sono presenti altre minacce che potrebbero mettere a repentaglio gli dispositivo oltre aivirus e alle minacce informatiche. Per spyware e grayware si intendono applicazioni o filenon classificati come virus o cavalli di Troia ma che possono avere un'influenza negativasulle prestazioni degli dispositivo della rete e introdurre notevoli rischi per la sicurezza,la riservatezza e causare problemi legali all'organizzazione. Spesso spyware e graywareattivano una varietà di azioni indesiderate e pericolose come la visualizzazione difastidiose finestre popup, la registrazione delle sequenze di tasti digitate dall'utente ol'esposizione delle vulnerabilità dell'dispositivo agli attacchi.

Se è presente un'applicazione o un file che OfficeScan non riesce a rilevare comegrayware ma si pensa che sia un tipo di grayware, inviarlo a Trend Micro per l'analisi:

http://esupport.trendmicro.com/solution/en-us/1059565.aspx

TIPO DESCRIZIONE

Spyware raccoglie dati come nomi utente e password e li trasmette a terzi.

Adware visualizza delle pubblicità e raccoglie dati come le preferenze dinavigazione Web in modo da indirizzare pubblicità mirata attraversoun browser Web.

http://www.trendmicro.com/vinfo/it/virusencyclo/default.asp



7-6

TIPO DESCRIZIONE

Dialer Modifica le impostazioni Internet dell'dispositivo e può forzarlo aselezionare numeri telefonici preconfigurati attraverso un modem. Sitratta in genere di numeri a pagamento o internazionali cherappresentano un notevole costo per l'organizzazione.

ProgrammaJoke

Causa un comportamento anomalo dell'dispositivo, come l'apertura ela chiusura dell'unità CD-ROM o la visualizzazione di diverse finestredi dialogo.

Strumento dihacking

consente agli hacker di penetrare nel computer.

Strumento diaccesso remoto

consente agli hacker di accedere al computer in remoto e controllarlo.

Applicazione didecifraturadelle password

consente agli hacker di decifrare i nomi utente e le password.

Altro altri tipi di programmi potenzialmente dannosi.

In che modo spyware e grayware penetrano nelle reti

Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utentiscaricano un software legittimo contenente applicazioni grayware all'interno delpacchetto di installazione. La maggior parte dei programmi contiene un contratto dilicenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spessonel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di datipersonali, tuttavia molto frequentemente, gli utenti non leggono attentamente ilcontratto o non comprendono il linguaggio legale.

Rischi e minacce potenziali

L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguentiproblemi:


7-7

TABELLA 7-2. Rischi e minacce potenziali

RISCHIO O MINACCIA DESCRIZIONE

Riduzione delleprestazionidell'dispositivo

per svolgere la loro azione, le applicazioni spyware e graywareutilizzano spesso una quantità considerevole di risorse dimemoria del sistema e della CPU.

Aumento deimalfunzionamentidel browser Web

alcuni tipi di grayware, come ad esempio l'adware, visualizzanoinformazioni in riquadri o finestre del browser. In base al modo incui il codice di queste applicazioni interagisce con i processi disistema, il grayware può bloccare o interrompere il funzionamentodel browser o richiedere un riavvio dell'dispositivo.

Riduzionedell'efficienzadell'utente

costretto a chiudere frequentemente le finestre pop-uppubblicitarie e affrontare gli effetti negativi dei programmi Joke,l'utente viene spesso distratto dalla propria attività principale.

Riduzione dellalarghezza di bandadella rete

le applicazioni spyware e grayware spesso trasmettonoregolarmente i dati raccolti ad altre applicazioni in esecuzionesulla rete o al di fuori della rete.

Perdita diinformazionipersonali eaziendali

non tutti i dati che le applicazioni spyware/grayware raccolgonosono innocui come può esserlo un elenco di pagine Web visitatedall'utente. Spyware e grayware inoltre sono in grado di ottenerele credenziali dell'utente quali quelle di accesso ai conti bancarionline e alle reti aziendali.

Rischio elevato diresponsabilità legali

Se le risorse degli dispositivo nella rete vengono manomesse, glihacker sono in grado di utilizzare i computer agente per lanciareattacchi o installare spyware e grayware su computer al di fuoridella rete. La partecipazione delle risorse di rete a questo tipo diattività potrebbe rendere un'azienda legalmente responsabile didanni causati a terzi.

Protezione da spyware e grayware e da altre minaccePossono essere prese molte precauzioni per evitare l'installazione di spyware e graywaresul proprio dispositivo. Trend Micro consiglia quanto segue:

• Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale,Scansione pianificata e Esegui scansione) per individuare e rimuovere file eapplicazioni spyware/grayware. Consultare Tipi di scansione a pagina 7-15 perulteriori informazioni.


7-8

• Istruire gli utenti agente sulle procedure riportate di seguito:

• Leggere il contratto di licenza (EULA) e la documentazione forniti con leapplicazioni scaricate e installate sui computer.

• Fare clic su No se un messaggio richiede l'autorizzazione per scaricare einstallare software, a meno che gli utenti agente non siano certi dell'affidabilitàdell'autore del software e del sito Web.

• Ignorare messaggi e-mail di natura commerciale non richiesti (spam),soprattutto se viene richiesto di fare clic su un pulsante o un collegamento.

• Configurare le impostazioni del browser Web in modo che assicurino un livello disicurezza alto. Trend Micro consiglia di impostare i browser Web per la richiesta diconferma prima di installare i comandi ActiveX.

• Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modoche Outlook non scarichi automaticamente elementi HTML, come immaginiinviate in messaggi spam.

• Non permettere l'uso di servizi di condivisione file peer-to-peer. Lo spyware e altreapplicazioni grayware potrebbero essere mascherati come altri tipi di file che gliutenti potrebbero scaricare, come file musicali MP3.

• Esaminare periodicamente il software installato sui computer agent e cercareapplicazioni che possano essere spyware o altro grayware.

• Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con lepatch più recenti di Microsoft. Per ulteriori dettagli, consultare il sito WebMicrosoft.

Tipi di metodi di scansioneGli agenti OfficeScan possono utilizzare uno dei due metodi di scansione, quandoeseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: SmartScan e Scansione convenzionale.

• Smart Scan


7-9

Gli agenti che utilizzano Smart Scan, in questo documento vengono definiti agentiSmart Scan. Gli agenti Smart Scan utilizzano le scansioni locali e le query in-the-cloud fornite da Servizi di reputazione file.

• Scansione convenzionale

Gli agenti che non utilizzano Smart Scan sono definiti agenti con scansioneconvenzionale. Un agente con scansione convenzionale archivia tutti icomponenti OfficeScan nell'dispositivo agente ed esegue la scansione locale di tuttii file.

Metodo di scansione predefinito

In questa versione di OfficeScan, il metodo di scansione predefinito per una nuovainstallazione è Smart Scan. Questo significa che se si esegue un'installazione del serverOfficeScan da zero e non si modifica il metodo di scansione sulla console Web, tutti gliagenti gestiti dal server utilizzeranno il metodo Smart Scan.

Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attival'aggiornamento automatico dell'agente, tutti gli agenti gestiti dal server utilizzerannoancora il metodo di scansione configurato prima dell'aggiornamento della versione. Adesempio, se si esegue l'aggiornamento da OfficeScan 10, che supporta Smart Scan eScansione convenzionale, tutti gli agenti aggiornati che utilizzano Smart Scancontinueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavanoScansione convenzionale continueranno ad utilizzare quest'ultima.

Metodi di scansione a confronto

La tabella riportata di seguito consente di confrontare i due metodi di scansione:

TABELLA 7-3. Confronto tra Scansione convenzionale e Smart Scan

CRITERI DICONFRONTO

SCANSIONE CONVENZIONALE SMART SCAN

Disponibilità Disponibile in questaversione di OfficeScan e intutte quelle precedenti

Disponibile a partire da OfficeScan10


7-10

CRITERI DICONFRONTO

SCANSIONE CONVENZIONALE SMART SCAN

Comportamentodella scansione

L'agente con scansioneconvenzionale esegue lascansione nell'dispositivolocale.

• L'agente con Smart Scanesegue la scansionenell'dispositivo locale.

• Se non è in grado dideterminare il rischio del filedurante la scansione, l'agenteverifica il rischio inviando unaquery di scansione a un'origineSmart Protection.

• L'agente memorizza il risultatodella query di scansione permigliorare le prestazioni dellascansione.

Componenti in usoe aggiornati

Tutti i componentidisponibili nell'origine diaggiornamento, adeccezione di Smart ScanAgent Pattern

Tutti i componenti disponibilinell'origine di aggiornamento, adeccezione di Pattern dei virus ePattern di monitoraggio attivospyware

Origine diaggiornamentotipica

Server OfficeScan Server OfficeScan

Modifica del metodo di scansione

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Metodi discansione.

4. Selezionare Scansione convenzionale oppure Smart Scan.


7-11




Passaggio da Smart Scan a Scansione convenzionaleQuando gli agenti passano alla scansione convenzionale, tenere presente quanto segue:

1. Numero degli agenti che effettuano il passaggio

Se il numero di agenti che passa contemporaneamente alla scansione convenzionaleè relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse delserver OfficeScan e di Smart Protection Server. Questi server sono in grado dieseguire altre operazioni importanti durante il passaggio da un metodo di scansioneall'altro.

2. Tempistica

Quando si passa di nuovo alla scansione convenzionale, è probabile che gli agentiscarichino la versione completa di Pattern antvirus e Pattern di monitoraggio attivospyware dal server OfficeScan . Questi file di pattern vengono utilizzati solo dagliagenti con scansione convenzionale.

Per fare in modo che il processo di download termini in tempi brevi, è opportunoeffettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre dieffettuare l'operazione quando per gli agenti non sono pianificati aggiornamenti dalserver. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivarela funzione una volta effettuato il passaggio a Smart Scan.

3. Impostazioni della struttura agente


7-12

Il metodo di scansione è un'impostazione estremamente flessibile che può essereimpostata a livello principale (root), di dominio o di singolo agente. Quando sipassa alla scansione convenzionale è possibile:

• Creare un nuovo dominio della struttura agente e assegnargli la scansioneconvenzionale come metodo di scansione. Gli agenti trasferiti su questodominio utilizzano la scansione convenzionale. Quando si trasferisce l'agente,attivare l'impostazione Applica le impostazioni del nuovo dominio agliagenti selezionati.

• Selezionare un dominio e configurarlo in modo che utilizzi la scansioneconvenzionale. Gli agenti Smart Scan che appartengono al dominiopasseranno alla scansione convenzionale.

• Selezionare uno o più agenti Smart Scan da un dominio, quindi effettuare ilpassaggio alla scansione convenzionale.

NotaI cambiamenti al metodo di scansione del dominio sovrascrivono il metodo discansione configurato per i singoli agenti.

Passaggio da Scansione convenzionale a Smart ScanSe si esegue il passaggio degli agenti da Scansione convenzionale a Smart Scan,assicurarsi di aver impostato i servizi Smart Protection. Per i dettagli, consultareImpostazione dei servizi Smart Protection a pagina 4-13.

La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan:

TABELLA 7-4. Considerazioni sul passaggio a Smart Scan

CONSIDERAZIONE DETTAGLI

Licenza del prodotto Per utilizzare Smart Scan accertarsi di aver attivato le licenzedei servizi riportati di seguito e che le licenze non sianoscadute:

• Antivirus

• Reputazione Web e anti-spyware


7-13


Server OfficeScan Accertarsi che gli agenti siano in grado di connettersi al serverOfficeScan. Solo gli agenti online ricevono la notifica delpassaggio a Smart Scan. Gli agenti offline ricevono la notificaquando sono online. Gli agenti roaming ricevono la notificaquando sono online oppure, se l'agente possiede privilegi diaggiornamento pianificato, quando viene eseguito unaggiornamento pianificato.

Verificare inoltre che il server OfficeScan disponga deicomponenti più recenti perché gli agenti Smart Scan devonoscaricare Smart Scan Agent Pattern dal server. Peraggiornare i componenti, vedere Aggiornamenti serverOfficeScan a pagina 6-17.

Numero degli agentiche effettuano ilpassaggio

Se il numero di agenti che passa contemporaneamente allaScansione convenzionale è relativamente esiguo, è possibileutilizzare in maniera efficiente le risorse del server OfficeScan.Il server OfficeScan è in grado di eseguire altre operazioniimportanti durante il passaggio da un metodo di scansioneall'altro.

Tempistica Quando passano a Smart Scan per la prima volta, gli agentidevono scaricare la versione completa di Smart Scan AgentPattern dal server OfficeScan. Smart Scan Pattern vieneutilizzato solo dagli agenti Smart Scan.

Per fare in modo che il processo di download termini in tempibrevi, è opportuno effettuare il passaggio durante l'orario atraffico ridotto. Si consiglia inoltre di effettuare l'operazionequando per gli agenti non sono pianificati aggiornamenti dalserver. Disattivare temporaneamente anche "Aggiorna ora"negli agenti e riattivare la funzione una volta effettuato ilpassaggio a Smart Scan.


7-14


Impostazioni dellastruttura agente

Il metodo di scansione è un'impostazione estremamenteflessibile che può essere impostata a livello principale (root),di dominio o di singolo agente. Quando si passa a Smart Scanè possibile:

• Creare un nuovo dominio della struttura agente eassegnargli Smart Scan come metodo di scansione. Gliagenti trasferiti su questo dominio utilizzano Smart Scan.Quando si trasferisce l'agente, attivare l'impostazioneApplica le impostazioni del nuovo dominio agli agentiselezionati.

• Selezionare un dominio e configurarlo in modo che utilizziSmart Scan. Gli agenti con la scansione convenzionaleche appartengono al dominio passeranno a Smart Scan.

• Selezionare uno o più agenti con scansioneconvenzionale da un dominio e poi effettuare il passaggioa Smart Scan.

NotaI cambiamenti al metodo di scansione del dominiosovrascrivono il metodo di scansione configurato per isingoli agenti.


7-15


Supporto IPv6 Gli agenti Smart Scan inviano query di scansione alle originiSmart Protection.

Un agente Smart Scan IPv6 puro non è in grado di inviarequery direttamente alle origini IPv4 pure, come:


NotaIl supporto IPv6 per Smart Protection Server èstato introdotto nella versione 2.5.


Analogamente, un agente Smart Scan IPv4 puro non è ingrado di inviare query agli Smart Protection Server IPv6 puri.

Per consentire agli agenti Smart Scan di connettersi alleorigini, è necessario un server proxy dual-stack in grado diconvertire gli indirizzi IP, come ad esempio DeleGate.

Tipi di scansionePer proteggere i computer agente OfficeScan dai rischi per la sicurezza, OfficeScanfornisce i seguenti tipi di scansione:

TABELLA 7-5. Tipi di scansione

TIPO DI SCANSIONE DESCRIZIONE

Scansione intempo reale

Esegue la scansione automatica di un file sull'dispositivo quandoviene ricevuto, aperto, scaricato, copiato o modificato

Per informazioni, vedere Scansione in tempo reale a pagina 7-16.

Scansionemanuale

Una scansione avviata dall'utente che analizza un file o un insiemedi file per iniziativa dell'utente.

Per informazioni, vedere Scansione manuale a pagina 7-19.


7-16

TIPO DI SCANSIONE DESCRIZIONE

Scansionepianificata

Esegue la scansione automatica di file sull'dispositivo in base allapianificazione configurata dall'utente finale o dall'amministratore.

Per informazioni, vedere Scansione pianificata a pagina 7-21.

Esegui scansione Una scansione avviata dall'amministratore per analizzare i file in unoo più computer di destinazione.

Per informazioni, vedere Esegui scansione a pagina 7-24.

Scansione in tempo realeLa scansione in tempo reale è una scansione continua e costante. Ogni volta che un fileviene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo realeanalizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rilevarischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. SeOfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informaticaprobabili, visualizza un messaggio di notifica che indica il nome del file infetto e ilrischio per la sicurezza specifico.

La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ognivolta che l'agente OfficeScan viene avviato. L'agente OfficeScan tiene traccia di tutte lemodifiche ai file o alle cartelle verificatisi dalla rimozione dell'agente OfficeScan,eliminando questi file dalla cache.

NotaPer modificare il messaggio di notifica, aprire la console Web e accedere aAmministrazione > Notifiche > Agente.

Configurare e applicare le impostazioni di Scansione in tempo reale a uno o più agenti edomini oppure a tutti gli agenti gestiti dal server.


7-17

Configurare le impostazioni della scansione in tempo reale

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale.


• Attiva scansione antivirus/minacce informatiche

• Attiva scansione spyware/grayware

Nota

Se si disattiva la scansione per rilevare virus/minacce informatiche, anche lascansione per rilevare spyware/grayware verrà disattivata. Durante un'infezionevirale, per impedire al virus di modificare o eliminare i file e le cartelle neicomputer agente, non è possibile disattivare Scansione in tempo reale (seoriginariamente disattivata viene attivata automaticamente).

5. Configurare i criteri di scansione seguenti:

• Attività utente sui file a pagina 7-28

• File da esaminare a pagina 7-28

• Impostazioni di scansione a pagina 7-29

• Esclusioni scansione a pagina 7-32

6. Fare clic sulla scheda Azione e configurare le seguenti opzioni:


7-18

TABELLA 7-6. Azioni di Scansione in tempo reale

AZIONE RIFERIMENTO

Azione di Virus eminacce informatiche

Azione primaria (effettuare una selezione):

• Usa ActiveAction a pagina 7-39

• Stessa operazione per tutti i tipi virus o minacciainformatica a pagina 7-41

• Azione specifica per ogni tipo di virus o minaccia apagina 7-41

NotaPer ulteriori informazioni sulle varie azioni, vedereAzioni di scansione di virus/minacce informatiche apagina 7-37.

Ulteriori azioni di virus e minacce informatiche:

• Directory di quarantena a pagina 7-41

• Crea copia di backup prima di disinfettare a pagina7-43

• Damage Cleanup Services a pagina 7-43

• Mostra notifica al rilevamento di spyware/grayware apagina 7-45

• Mostra notifica al rilevamento di probabile spyware/grayware a pagina 7-45

Azione di spyware/grayware

Azione primaria:

• Azioni di scansione spyware/grayware a pagina7-50

Ulteriori azioni di spyware/grayware:



7-19




Scansione manualeScansione manuale è un metodo di scansione su richiesta che viene avviatoimmediatamente dopo che un utente esegue la scansione nella console dell'agenteOfficeScan. Il tempo necessario per completare la scansione dipende dal numero di fileda analizzare e dalle risorse hardware dell'dispositivo agente OfficeScan.

Configurare e applicare le impostazioni di Scansione manuale a uno o più agenti edomini oppure a tutti gli agenti gestiti dal server.

Configurazione della scansione manuale

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione manuale.

4. Nella scheda Destinazione, configurare le opzioni riportate di seguito:



7-20


• Uso della CPU a pagina 7-31



TABELLA 7-7. Azione di scansione manuale

AZIONE RIFERIMENTO












Azione primaria:




7-21



Scansione pianificata

Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate.Utilizzare Scansione pianificata per automatizzare le scansioni di routine dell'agente, peruna più efficiente gestione delle scansioni.

Configurare e applicare le impostazioni di Scansione pianificata a uno o più agenti edomini oppure a tutti gli agenti gestiti dal server.

Configurazione della scansione pianificata

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione pianificata.





7-22

NotaSe si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansioneper rilevare spyware/grayware verrà disattivata.


• Pianificazione a pagina 7-32







7-23

TABELLA 7-8. Azioni di Scansione pianificata

AZIONE RIFERIMENTO












• Mostra notifica al rilevamento di probabile spyware/grayware a pagina 7-45


Azione primaria:


Ulteriori azioni di spyware/grayware:



7-24




Esegui scansioneEsegui scansione viene avviata in remoto dall'amministratore di OfficeScan mediante laconsole Web e può essere mirata a uno o più computer agente.

Configurare e applicare le impostazioni di Esegui scansione a uno o più agenti e dominioppure a tutti gli agenti gestiti dal server.

Configurazione delle impostazioni della scansione

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazionifunzione Esegui scansione.





7-25

Nota

Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansioneper rilevare spyware/grayware verrà disattivata.







TABELLA 7-9. Azioni di Esegui scansione

AZIONE RIFERIMENTO












7-26

AZIONE RIFERIMENTO


Azione primaria:





Avvio di Esegui scansione

Avviare Esegui scansione nei computer che si sospetta siano infetti.

Procedura



3. Fare clic su Operazioni > Esegui scansione.

4. Per modificare le impostazioni Esegui scansione pre-configurate prima di avviarela scansione, fare clic su Impostazioni.

Viene aperta la schermata Impostazioni funzione Esegui scansione. Perinformazioni, vedere Esegui scansione a pagina 7-24.


7-27

5. Nella struttura agente, selezionare gli agenti su cui eseguire la scansione e fare clicsu Avvia Esegui scansione.

Nota

Se non si seleziona alcun agente, OfficeScan invia automaticamente una notifica atutti gli agenti della struttura agente.

Il server invia una notifica agli agenti.

6. Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto lanotifica.

7. Fare clic su Seleziona dispositivo non notificati, quindi su Avvia Eseguiscansione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta.

Esempio: Numero totale di agenti: 50

TABELLA 7-10. Scenari di agenti non notificati

SELEZIONE STRUTTURAAGENTE

AGENTI NOTIFICATI (DOPOAVER FATTO CLIC SU "AVVIA

ESEGUI SCANSIONE")AGENTI NON NOTIFICATI

Nessuno (tutti i 50 agentiselezionatiautomaticamente)

35 su 50 agenti 15 agenti

Selezione manuale (45 su50 agenti selezionati)

40 su 45 agenti 5 agenti + altri 5 agentinon inclusi nella selezionemanuale

8. Fare clic su Interrompi notifica per richiedere a OfficeScan di interromperel'invio della notifica agli agenti. Gli agenti che hanno già ricevuto la notifica ehanno già avviato il processo di scansione ignoreranno questo comando.

9. Per gli agenti che stanno già eseguendo la scansione, fare clic su InterrompiEsegui scansione per richiedere l'interruzione della scansione.


7-28

Impostazioni comuni a tutti i tipi di scansionePer ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri discansione, esclusioni di scansione e azioni di scansione. Implementare questeimpostazioni su uno o più agenti e domini oppure su tutti gli agenti gestiti dal server.

Parametri di scansione

Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributidei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano lascansione. Ad esempio, configurare Scansione in tempo reale per ciascun tipo di filedopo averlo scaricato nell'dispositivo.

Attività utente sui file

Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delleopzioni seguenti:

• Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdottinell'dispositivo (ad esempio dopo il download di un file) o dei file modificati

• Scansione dei file recuperati: esegue la scansione dei file alla loro apertura

• Scansione dei file creati/modificati e recuperati

Ad esempio, se viene selezionata la terza opzione, un nuovo file scaricato nell'dispositivoviene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimanenella posizione corrente. Lo stesso file viene sottoposto a scansione quando un utente loapre e, se l'utente lo modifica, prima che le modifiche vengano salvate.

File da esaminare

Selezionare una delle opzioni seguenti:

• Tutti i file analizzabili: esegue la scansione di tutti i file


7-29

• Tipi di file analizzati da IntelliScan: esegue solo la scansione di file che possonopotenzialmente nascondere codici dannosi, compresi quelli mascherati da nomiestensione innocui. Per informazioni, vedere IntelliScan a pagina E-6.

• File con le seguenti estensioni: esegue solo la scansione dei file con estensionecompresa nell'elenco estensioni dei file. Aggiungere nuove estensioni o rimuoverequelle esistenti.

Impostazioni di scansione

Selezionare una o più opzioni tra quelle elencate di seguito:

• Scansione del disco floppy allo spegnimento del sistema: Scansione in temporeale esegue la scansione del disco floppy per rilevare virus da boot prima dellospegnimento dell'dispositivo. Ciò impedisce l'esecuzione di virus/minacceinformatiche quando un utente riavvia l'dispositivo dal disco.

• Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascostedell'dispositivo e di eseguirne la scansione durante Scansione manuale

• Analizza unità di rete: esegue la scansione delle cartelle o delle unità di retemappate nell'dispositivo agente OfficeScan durante Scansione manuale o Scansionein tempo reale.

• Esegui la scansione del settore boot del dispositivo di archiviazione USBdopo il collegamento: esegue la scansione automatica del settore boot di undispositivo di archiviazione USB quando viene collegato con Scansione in temporeale.

• Esegui la scansione di tutti i file nei dispositivi di archiviazione rimovibilidopo il collegamento: esegue la scansione automatica di tutti i file di undispositivo di archiviazione USB quando viene collegato con Scansione in temporeale.

• Varianti di malware in quarantena rilevate nella memoria: Monitoraggio delcomportamento effettua la scansione della memoria di sistema per processi sospettimentre Scansione in tempo reale mappa il processo e ne esegue la scansione per leminacce informatiche. Se è presente una minaccia informatica, Scansione in temporeale sottopone a quarantena il processo e/o il file.


7-30

Nota

Per utilizzare questa funzione gli amministratori devono attivare il Servizioprevenzione modifiche non autorizzate e il Servizio di protezione avanzata.

• Scansione dei file compressi: consente a OfficeScan di analizzare il numerospecificato di livelli di compressione e ignora tutti i livelli in eccesso. InoltreOfficeScan disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio,se il massimo fissato è due livelli e un file compresso da analizzare ha sei livelli,OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compressocontiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file.

Nota

OfficeScan considera i file Microsoft Office 2007 in formato Office Open XMLcome file compressi. Office Open XML, il formato file per le applicazioni Office2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati conqueste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, ènecessario attivare la scansione dei file compressi.

• Analizza oggetti OLE: quando un file contiene più livelli OLE (Object Linkingand Embedding), OfficeScan esegue la scansione del numero di livelli specificato eignora i livelli rimanenti.

Tutti gli agenti OfficeScan gestiti dal server controllano questa impostazionedurante le funzioni Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione. La scansione per rilevare virus/minacceinformatiche e spyware/grayware viene eseguita su ciascun livello.

Ad esempio:

si supponga che il numero di livelli specificati sia 2 e che un file abbia undocumento Microsoft Word incorporato (primo livello) all'interno del quale èpresente un foglio di calcolo Microsoft Excel (secondo livello) che contiene unfile .exe (terzo livello). OfficeScan esegue la scansione del documento Word e delfoglio di calcolo Excel, ma ignora il file .exe.

• Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consentedi identificare in modo euristico eventuali minacce informatiche controllandoche i file Microsoft Office non contengano codice di minaccia.


7-31

Nota

Il numero di livelli specificato è applicabile a entrambe le opzioni Analizzaoggetti OLE e Rileva codice maligno.

• Abilita IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibilicompressi. Questa opzione è disponibile soltanto per Scansione in tempo reale. Perinformazioni, vedere IntelliTrap a pagina E-7.

• Esamina settore boot: esegue la scansione del settore boot del disco rigidodell'dispositivo agente per rilevare virus/minacce informatiche durante Scansionemanuale, Scansione pianificata ed Esegui scansione

Uso della CPU

È possibile impostare in OfficeScan una pausa tra una scansione di un file e quellasuccessiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansionepianificata ed Esegui scansione.

Selezionare una delle opzioni seguenti:

• Alto: nessuna pausa tra le scansioni

• Medio: effettua una pausa tra una scansione file e quella successiva, se il consumodi risorse della CPU è superiore al 50%; in caso contrario non effettua la pausa.

• Basso: effettua una pausa tra una scansione file e quella successiva, se il consumodi risorse della CPU è superiore al 20%; in caso contrario non effettua la pausa.

Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU èinferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa riducendo intal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo mapoiché il consumo di CPU è ottimale, le prestazioni dell'dispositivo non ne risentono inmodo sensibile. Quando il consumo di CPU comincia ad eccedere il valore di soglia,OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando ilconsumo torna al di sotto del valore di soglia.

Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue lascansione dei file senza pause.


7-32

Pianificazione

Configurare la frequenza (giornaliera, settimanale o mensile) e l'ora di esecuzione dellaScansione pianificata.

Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno delmese o della settimana e l'ordine di ricorrenza.

• Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Sesi seleziona il 29, 30 o 31 di un mese che non ha tale giorno, la Scansionepianificata viene eseguita l'ultimo giorno del mese. Quindi:

• Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (adeccezione degli anni bisestili) e il 29 di tutti gli altri mesi.

• Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraioe il 30 di tutti gli altri mesi.

• Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio,il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi.

• Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimanaricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattrolunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Adesempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ognimese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste laquinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza.

Esclusioni scansioneLa configurazione delle esclusioni di scansione consente di migliorare le prestazioni dellascansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando siesegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione dellascansione per determinare i file dell'dispositivo che devono essere esclusi dalla scansioneper il rilevamento di virus/minacce informatiche e spyware/grayware.

Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di unfile negli scenari riportati di seguito:

• Il file si trova in una directory specifica (o in una delle sottodirectory).


7-33

• Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione.

• L'estensione del file corrisponde a un'estensione contenuta nell'elenco diesclusione.

Suggerimento

Per un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in temporeale, accedere a:

http://esupport.trendmicro.com/solution/en-US/1059770.aspx

Eccezioni con caratteri jolly

Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratterijolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione didiversi caratteri.

Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del caratterejolly potrebbero comportare l'esclusione dalla scansione delle directory e dei filesbagliati. Ad esempio, l'aggiunta diC:\* all'Elenco di esclusione scansione (file)escluderebbe l'intera unità C:\.

TABELLA 7-11. Esclusioni dalla scansione con caratteri jolly

VALORE ESCLUSI NON ESCLUSI

c:\director*\fil\*.txt

c:\directory\fil\doc.txt

c:\directories\fil\files\document.txt

c:\directory\file\

c:\directories\files\

c:\directory\file\doc.txt

c:\directories\files\document.txt

c:\director?\file\*.txt

c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\director?\file\?.txt

c:\directory\file\1.txt c:\directory\file\doc.txt

c:\directories\file\document.txt

http://esupport.trendmicro.com/solution/en-US/1059770.aspx


7-34

VALORE ESCLUSI NON ESCLUSI

c:\*.txt Tutti i file .txt nella directoryC:\

Tutti gli altri tipi di file nelladirectory C:\

[] Non supportato Non supportato

*.* Non supportato Non supportato

Elenco di esclusione scansione (directory)

OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica delcomputer. È possibile specificare al massimo 256 directory.

Nota

Escludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte lerelative sottodirectory dalle scansioni.

Inoltre è possibile selezionare l'opzione Escludi directory di installazione deiprogrammi Trend Micro. Se si seleziona questa opzione OfficeScan escludeautomaticamente dalla scansione le directory dei seguenti prodotti Trend Micro:

• <Cartella di installazione del server>

• ScanMail™ per Microsoft Exchange (tutte le versioni tranne la versione 7). Se siutilizza la versione 7, aggiungere all'elenco di esclusione le seguenti cartelle:

• \Smex\Temp

• \Smex\Storage

• \Smex\ShareResPool

• ScanMail eManager™ 3.11, 5.1, 5.11, 5.12

• ScanMail for Lotus Notes™ eManager NT

• InterScan Web Security Suite

• InterScan Web Protect


7-35

• InterScan FTP VirusWall

• InterScan Web VirusWall

• InterScan E-mail VirusWall

• InterScan VirusWall 3.53

• InterScan NSAPI Plug-in

• InterScan eManager 3.5x

Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungeremanualmente la directory del prodotto all'elenco di esclusione dalla scansione.

Configurare inoltre OfficeScan per escludere le direcrory di Microsoft Exchange2000/2003 accedendo alla sezione Impostazioni di scansione di Agenti >Impostazioni globali agente. Se si utilizza Microsoft Exchange 2007 o versionisuccessive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione.Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di seguito:

http://technet.microsoft.com/en-us/library/bb332342.aspx

Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:

• Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione perimpedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.Per salvare e implementare le modifiche effettuate all'elenco di esclusione,selezionare una delle altre opzioni.

• Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusionesull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gliagenti, OfficeScan visualizza un messaggio di conferma.

• Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco correnteall'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco diesclusione dell'agente, l'agente lo ignorerà.

• Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco correnteall'elenco di esclusione esistente dell'agente, se presenti.



7-36

Elenco di esclusione scansione (file)

OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno deinomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in undeterminato percorso dell'dispositivo, includere il percorso, ad esempio C:\Temp\esempio.jpg.

È possibile specificare al massimo 256 file.

Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:

• Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione perimpedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.Per salvare e implementare le modifiche effettuate all'elenco di esclusione,selezionare una delle altre opzioni.

• Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusionesull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gliagenti, OfficeScan visualizza un messaggio di conferma.

• Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco correnteall'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco diesclusione dell'agente, l'agente lo ignorerà.

• Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco correnteall'elenco di esclusione esistente dell'agente, se presenti.

Elenco di esclusione scansione (estensione file)

OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a unadelle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo256 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione.

Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando sispecificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti ifile le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile digitareD*.

Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un puntointerrogativo (?) o un asterisco (*) come carattere jolly.


7-37

Applica impostazioni di esclusione scansione a tutti i tipi discansione

OfficeScan consente di configurare le impostazioni di esclusione per un tipo discansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione.Ad esempio:

Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computeragente e si rende conto che questi file non rappresentano una minaccia alla sicurezza.Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applicaquesta impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale,Esegui scansione e Scansione pianificata sono impostate in modo da ignorare ifile .jpg.

Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione intempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Orai file JPG vengono sottoposti a scansione solo con Scansione in tempo reale.

Azioni di scansione

Specificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva unrischio per la sicurezza. OfficeScan ha gruppi di azioni o operazioni di scansionedifferenti per virus/minacce informatiche e spyware/grayware.

Azioni di scansione di virus/minacce informatiche

L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minacciainformatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Adesempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minacciainformatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione(operazione) del file infetto.

Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacceinformatiche a pagina 7-2.

Di seguito sono riportate le operazioni di OfficeScan contro virus/minacceinformatiche:


7-38

TABELLA 7-12. Azioni di scansione di virus/minacce informatiche

AZIONE DESCRIZIONE

Elimina OfficeScan elimina il file infetto.

Metti inquarantena

OfficeScan rinomina e sposta il file infetto in una directory di quarantenatemporanea sull'dispositivo agente, che si trova in <Cartella diinstallazione dell'agente>\Suspect.

L'agente OfficeScan invia i file in quarantena alla directory di quarantenadesignata. Per informazioni, vedere Directory di quarantena a pagina7-41.

La directory di quarantena predefinita si trova sul server OfficeScan in<Cartella di installazione del server>\PCCSRV\Virus. OfficeScan codificai file in quarantena inviati a questa directory.

Se occorre ripristinare i file in quarantena, utilizzare lo strumentoVSEncrypt. Per ottenere informazioni sull'utilizzo di questo strumento,vedere Server Tuner a pagina 13-55.

Disinfetta Prima di consentire l'accesso completo al file, OfficeScan disinfetta il fileinfetto.

Se il file non può essere disinfettato, OfficeScan esegue una secondaoperazione: Metti in quarantena, Elimina, Rinomina, e Ignora. Perconfigurare la seconda azione, accedere a Agenti > Gestione agente.Fare clic sulla scheda Impostazioni > Impostazioni di scansione >{Tipo di scansione} > Azione.

Questa operazione può essere eseguita su tutti i tipi di minacceinformatiche ad eccezione di virus/minacce informatiche probabili.

Rinomina OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti nonpossono aprire il file rinominato immediatamente ma solo se lo associanoa una determinata applicazione.

All'apertura del file infetto rinominato, il virus o la minaccia informatica inesso contenuti potrebbero entrare in azione.


7-39

AZIONE DESCRIZIONE

Ignora OfficeScan può utilizzare questa operazione di scansione solo se rilevaun tipo di virus durante Scansione manuale, Scansione pianificata edEsegui scansione. OfficeScan non può utilizzare questa operazione discansione durante la Scansione in tempo reale perché la mancataesecuzione di un'operazione quando si rileva un tentativo di aprire oeseguire un file infetto consente l'esecuzione del virus/della minaccia.Tutte le altre azioni di scansione possono essere utilizzate.

Impediscil'accesso

Questa operazione di scansione può essere eseguita solo durante lascansione in tempo reale. Quando OfficeScan rileva un tentativo di aprireo eseguire un file infetto, blocca immediatamente l'operazione.

Gli utenti possono eliminare manualmente il file infetto.

Usa ActiveAction

Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. Lapersonalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacceinformatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveActionper contrastare questi problemi.

ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacceinformatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione ose non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction.

L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito.

• ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non ènecessario dedicare tempo alla configurazione delle operazioni.

• Gli sviluppatori di virus/minacce informatiche modificano costantemente il modoin cui i virus attaccano i computer. Le impostazioni di ActiveAction vengonoaggiornate per fornire protezione dalle minacce più recenti e dalle modalità diattacco di virus/minacce informatiche più recenti.

NotaActiveAction non è disponibile per la scansione spyware/grayware.


7-40

La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus eminacce informatiche:

TABELLA 7-13. Operazioni di scansione consigliate da Trend Micro contro virus eminacce informatiche


INFORMATICA

SCANSIONE IN TEMPO REALESCANSIONE MANUALE/SCANSIONE

PIANIFICATA/ESEGUI SCANSIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

Programma Joke Metti inquarantena

Elimina Metti inquarantena

Elimina

Programmacavallo di Troia

Metti inquarantena

Elimina Metti inquarantena

Elimina

Virus Disinfetta Metti inquarantena

Disinfetta Metti inquarantena

virus di prova Impediscil'accesso

N.D. Ignora N.D.

Packer Metti inquarantena

N.D. Metti inquarantena

N.D.

Altro Disinfetta Metti inquarantena

Disinfetta Metti inquarantena

Probabile virus/minacciainformatica

Impediscil'accesso oazioneconfiguratadall'utente

N.D. Ignora oazioneconfiguratadall'utente

N.D.

Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso"durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansionepianificata ed Esegui scansione. Se non si desidera impostare queste azioni comepreferite, è possibile modificarle in Quarantena, Elimina o Rinomina.


7-41

Stessa operazione per tutti i tipi virus o minacciainformatica

Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se comeprima operazione si è scelto "Disinfetta", selezionare una seconda operazione cheOfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è"Disinfetta", non è possibile configurare una seconda operazione.

Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azionequando rileva probabili virus/minacce informatiche.

Azione specifica per ogni tipo di virus o minaccia

Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus ominaccia informatica.

Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informaticheprobabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si èscelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire sela disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibileconfigurare una seconda operazione.

Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione,ad eccezione di "Disinfetta".

Directory di quarantena

Se l'azione di un file infetto è "Quarantena", l'agente OfficeScan crittografa il file e lotrasferisce in una cartella di quarantena temporanea in <Cartella di installazione dell'agente>\SUSPECT e poi invia il file alla directory di quarantena designata.

Nota

Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, èpossibile ripristinarli. Per ulteriori dettagli, vedere Ripristino dei file crittografati a pagina 7-46.


7-42

Accettare la directory di quarantena predefinita, che si trova nel computer serverOfficeScan. La directory è in formato URL e contiene il nome host del server ol'indirizzo IP.

• Se il server gestisce agenti IPv4 e IPv6, usare il nome host in modo che tutti gliagenti possano inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo),solo gli agenti IPv4 puri e dual-stack possono inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo),solo gli agenti IPv6 puri e dual-stack possono inviare file in quarantena al server.

È anche possibile specificare una directory di quarantena alternativa immettendo ilpercorso in formato URL o UNC o un percorso di file assoluto. Gli agenti devonoessere in grado di connettersi a questa directory alternativa. Ad esempio, la directoryalternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da agenti dual-stack e IPv6 puri. Trend Micro consiglia di designare una directory dual-stack alternativa,identificando la directory con il corrispondente nome host e specificando la directorycon un percorso UNC.

Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL,percorso UNC o percorso di file assoluto:

TABELLA 7-14. Directory di quarantena

DIRECTORY DIQUARANTENA

FORMATOACCETTATO

ESEMPIO NOTE

Una directory sulcomputer serverOfficeScan

URL http:// <serverosce>

Questa è la directory predefinita.

Configurare le impostazioni diquesta directory, quali ledimensioni della cartella diquarantena. Per ulteriori dettagli,vedere Gestore della quarantenaa pagina 13-54.

PercorsoUNC

\\<server osce>\ofcscan\Virus


7-43

DIRECTORY DIQUARANTENA

FORMATOACCETTATO

ESEMPIO NOTE

Una directory suun altro computerserverOfficeScan (sesono presentialtri serverOfficeScan nellarete)

URL http:// <server2osce>

Accertarsi che gli agenti siano ingrado di connettersi a questadirectory. Se si specifica unadirectory non valida, l'agenteOfficeScan conserva i file diquarantena nella cartellaSUSPECT fino a quando nonviene specificata una directory diquarantena valida. Nei registri divirus e minacce informatiche sulserver, il risultato della scansioneè "Impossibile inviare il file damettere in quarantena alla cartellain quarantena specificata".

Se si utilizza il percorso UNC,assicurarsi che la directory diquarantena sia condivisa per ilgruppo "Tutti" e che tutti i membridel gruppo abbiano i permessi dilettura e scrittura.

PercorsoUNC

\\<server2 osce>\ ofcscan\Virus

Un altrodispositivo dellarete

PercorsoUNC

\\<nome_computer>\temp

Una diversadirectorysull'agenteOfficeScan

Percorsoassoluto

C:\temp

Crea copia di backup prima di disinfettareSe OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire ilbackup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro.OfficeScan crittografa il file di backup per prevenirne l'apertura e lo archivia nellacartella <Cartella di installazione dell'agente>\Backup.

Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina7-46.

Damage Cleanup ServicesDamage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file edalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali).

L'agente avvia Damage Cleanup Services prima o dopo la scansione di virus/minacceinformatiche, in base al tipo di scansione.


7-44

• Quando viene eseguita Scansione manuale, Scansione pianificata o Eseguiscansione, l'agente OfficeScan avvia prima Damage Cleanup Services, quindicontinua con la scansione di virus/minacce informatiche. Durante la scansione divirus/minacce informatiche, l'agente può avviare di nuovo Damage CleanupServices, se necessario.

• Durante Scansione in tempo reale, l'agente OfficeScan esegue prima la scansione divirus/minacce informatiche, quindi avvia Damage Cleanup Services, se necessario.

È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services:

• Disinfezione standard: durante la disinfezione standard, l'agente OfficeScanesegue una delle seguenti azioni:

• Rileva e rimuove i cavalli di Troia attivi

• Blocca i processi innescati dai cavalli di Troia

• Ripara i file di sistema modificati dai cavalli di Troia

• Elimina i file e le applicazioni lasciati dai cavalli di Troia

• Disinfezione avanzata: oltre alle azioni di disinfezione standard, l'agenteOfficeScan arresta le attività dei software di sicurezza non legittimi, noti anchecome falsi antivirus, nonché di alcune varianti rootkit. L'agente OfficeScan utilizzaanche regole di disinfezione avanzate per rilevare e arrestare in modo proattivo leapplicazioni che manifestano un comportamento rootkit e da falso antivirus.

Nota

Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altronumero di falsi allarmi.

Damage Cleanup Services non esegue la scansione di virus/minacce informaticheprobabili a meno che non si selezioni l'opzione Esegui disinfezione quando vienerilevato probabile virus/minaccia informatica. Selezionare questa opzione solo sel'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso.Ad esempio, se l'agente OfficeScan rileva virus/minacce informatiche probabili duranteScansione in tempo reale e l'azione è Metti in quarantena, l'agente OfficeScan prima


7-45

mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo didisinfezione (standard o avanzata) dipende dalle opzioni selezionate.

Mostra notifica al rilevamento di spyware/grayware

Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo realee Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio dinotifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dalmenu a discesa Tipo in Amministrazione > Notifiche > Agente.

Mostra notifica al rilevamento di probabile spyware/grayware

Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione intempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato unmessaggio di notifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dalmenu a discesa Tipo in Amministrazione > Notifiche > Agente.

Ripristino dei file in quarantenaÈ possibile ripristinare i file che OfficeScan ha sottoposto a quarantena se si ritiene cheil rilevamento non sia stato accurato. La funzione Ripristino Files in Quarantenaconsente di cercare i file nella directory di quarantena ed eseguire una verifica SHA1 perverificare che i file che si desidera ripristinare non siano stati modificati in alcun modo.

Procedura


2. Nella struttura agente, selezionare un dominio o un qualsiasi agente.

3. Fare clic su Operazioni > Ripristino Files in Quarantena.

Viene visualizzata la schermata Ripristino Files in Quarantena.


7-46

4. Digitare il nome dei dati che si desidera ripristinare nel campo File/oggettoinfetto.

5. Specificare, facoltativamente, il periodo di tempo, il nome della minaccia per lasicurezza e il percorso del file di dati.

6. Fare clic su Cerca.

Viene visualizzata la schermata Ripristino Files in Quarantena, con i risultatidella ricerca.

7. Selezionare Aggiungi file ripristinato all'elenco di esclusione del dominio perassicurare che tutti gli agenti OfficeScan nei domini dove i file sono stati ripristinatiaggiungano il file all'elenco di esclusione scansione.

Questa operazione assicura che OfficeScan non rilevi il file come minaccia durantele future scansioni.

8. Facoltativamente, digitare il valore SHA1 del file a scopo di verifica.

9. Selezionare i file da ripristinare dall'elenco e fare clic su Ripristina.

Suggerimento

Per visualizzare i singoli agenti OfficeScan che ripristinano il file, fare clic sulcollegamento nella colonna Dispositivo.

10. Fare clic su Chiudi nella finestra di dialogo di conferma.

Per verificare che OfficeScan abbia ripristinato correttamente il file di quarantena,vedere Visualizzazione dei registri di ripristino files in quarantena a pagina 7-98.

Ripristino dei file crittografati

Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportatidi seguito:

• Prima di mettere un file in quarantena

• Quando si esegue un backup di un file prima di disinfettarlo


7-47

OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sianecessario recuperare le informazioni in esso contenute. OfficeScan può decodificare eripristinare i file seguenti:

TABELLA 7-15. File soggetti a decodifica e ripristino in OfficeScan

FILE DESCRIZIONE

File messi inquarantenanell'dispositivo agente

Questi file si trovano in <Cartella di installazione dell'agente>\SUSPECT\Backup e vengono automaticamente cancellati dopo7 giorni. Questi file inoltre vengono caricati nella directory diquarantena nel server OfficeScan.

File in quarantenanella directory diquarantena designata

Per impostazione predefinita questa directory si trova nelcomputer server OfficeScan. Per ulteriori dettagli, vedereDirectory di quarantena a pagina 7-41.

File crittografati dibackup

I file di backup dei file infetti disinfettati da OfficeScan. Questifile si trovano in <Cartella di installazionedell'agente>\Backup. Per ripristinare questi file, gli utentidevono trasferirli nella <Cartella di installazionedell'agente>\SUSPECT\Backup.

OfficeScan esegue il backup e la crittografia dei file prima didisinfettarli solo se si seleziona la scheda Esegui backup deifile prima della disinfezione in Agenti > Gestione agente >Impostazioni > Impostazioni di scansione > {tipo discansione} > Azione.

AVVERTENZA!Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche adaltri file e computer. Prima di ripristinare il file, isolare l'dispositivo infetto e trasferire i fileimportanti dell'dispositivo in un percorso di backup.

Decodifica e ripristino dei file

Procedura

• Se il file si trova nell'dispositivo agente OfficeScan:

a. Aprire il prompt dei comandi e accedere a <Cartella di installazione dell'agente>.


7-48

b. Eseguire VSEncode.exe facendo doppio clic sul file o digitando quantosegue nel prompt dei comandi:

VSEncode.exe /u

Questo parametro apre una schermata contenente un elenco dei file presentiin <Cartella di installazione dell'agente>\SUSPECT\Backup.

c. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è ingrado di ripristinare un solo file alla volta.

d. Nella schermata visualizzata specificare la cartella nella quale deve essereripristinato il file.

e. Fare clic su OK. Il file viene ripristinato nella cartella specificata.

NotaSe OfficeScan esegue di nuovo la scansione del file subito dopo che è statoripristinato, è possibile che venga considerato infetto. Per impedire la scansionedel file, aggiungerlo all'elenco di esclusione della scansione. Per informazioni,vedere Esclusioni scansione a pagina 7-32.

f. Terminato il ripristino dei file, fare clic su Chiudi.

• Se il file si trova nel server OfficeScan o in una directory di quarantenapersonalizzata:

a. Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandie accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\VSEncrypt.

Se il file si trova in una directory di quarantena personalizzata, accedere a<Cartella di installazione del server>\PCCSRV\Admin\Utility e copiare la cartella VSEncrypt nell'dispositivo contenente ladirectory di quarantena personalizzata.

b. Creare un file di testo e digitare l'intero percorso dei file da codificare odecodificare.

Ad esempio, per ripristinare i file C:\Documenti\Reports, digitarenel file di testo C:\Documenti\Reports\*.*.


7-49

I file in quarantena nel computer server OfficeScan si trovano in <Cartelladi installazione del server>\PCCSRV\Virus.

c. Salvare il file di testo con estensione INI o TXT. Ad esempio salvarlo con ilnome PerCrittografia.ini nell'unità C: .

d. Aprire un prompt dei comandi e andare alla directory in cui si trova la cartellaVSEncrypt.

e. Digitare il comando riportato di seguito per eseguire VSEncode.exe:

VSEncode.exe /d /i <percorso del file INI o TXT>

Dove:

<percorso del file INI o TXT> è il percorso del file INI o TXTcreato (ad esempio C:\ForEncryption.ini).

f. Utilizzare gli altri parametri per ottenere comandi diversi.

TABELLA 7-16. Parametri di ripristino

PARAMETRO DESCRIZIONE

Nessuno (nessunparametro)

Codifica i file

/d Decodifica i file

/debug Creare un registro di debug e salvarlonell'dispositivo. Nell'dispositivo agente OfficeScan, ilregistro di debug VSEncrypt.log viene creato in<Cartella di installazione dell'agente>.

/o Sovrascrive il file crittografato o decrittografato giàesistente

/f <nome file>. Codifica o decodifica un solo file

/nr Non ripristina il nome del file originale

/v Visualizza le informazioni sullo strumento

/u Avvia l'interfaccia utente dello strumento


7-50

PARAMETRO DESCRIZIONE

/r <Cartella didestinazione>

Cartella contenente il file ripristinato

/s <Nome del fileoriginale>

Il nome del file crittografato originale

Ad esempio, è possibile digitare VSEncode [/d] [/debug] perdecodificare i file nella cartella Suspect e creare un registro di debug.Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato ocodificato nella stessa cartella. Prima di decodificare o codificare un file,accertarsi che il file non sia bloccato.

Azioni di scansione spyware/graywareL'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che harilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche perciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione validaper tutti i tipi di spyware/grayware (per informazioni sui diversi tipi di spyware/grayware, vedere Spyware e grayware a pagina 7-5). Ad esempio, quando OfficeScan rilevaqualsiasi tipo di spyware/grayware durante una scansione manuale (tipo di scansione),esegue la disinfezione (operazione) delle relative risorse di sistema.

NotaLe azioni di spyware/grayware sono configurabili solo tramite la console Web. La consoledell'agente OfficeScan non consente di accedere a queste impostazioni.

Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware:


7-51

TABELLA 7-17. Azioni di scansione spyware/grayware

AZIONE DESCRIZIONE

Disinfetta OfficeScan interrompe i processi o elimina registri, file, cookie ecollegamenti.

Dopo aver effettuato la disinfezione di spyware e grayware, gli agentiOfficeScan effettuano un backup dei dati relativi a spyware e graywarecosì da consentirne il ripristino nel caso in cui l'utente li consideri sicuri.Per informazioni, vedere Ripristino spyware/grayware a pagina 7-54.

Ignora OfficeScan non esegue alcuna operazione sui componenti spyware/grayware rilevati, ma registra il rilevamento di spyware/grayware. Questaazione può essere utilizzata solo durante Scansione manuale, Scansionepianificata ed Esegui scansione. Durante Scansione in tempo reale,l'azione è "Impedisci l'accesso".

OfficeScan non esegue azioni se lo spyware/grayware rilevato non èincluso nell'elenco approvato. Per informazioni, vedere Elenco Approvatispyware/grayware a pagina 7-51.

Impediscil'accesso

OfficeScan nega all'utente l'accesso (per copia e apertura) ai componentigrayware e spyware rilevati. Questa azione può essere eseguita solodurante Scansione in tempo reale. Durante Scansione manuale,Scansione pianificata ed Esegui scansione, l'azione è "Ignora".

Mostra notifica al rilevamento di spyware/grayware

Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale eScansione pianificata, è possibile fare in modo che venga visualizzato un messaggio dinotifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, selezionare Spyware/Grayware dal menu adiscesa Tipo in Amministrazione > Notifiche > Agente.

Elenco Approvati spyware/grayware

OfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file ele applicazioni che non devono essere considerati spyware o grayware. Quando unospyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elenco


7-52

approvati e, se esistono delle corrispondenze con il contenuto dell'elenco, non eseguealcuna azione.

Applicare l'elenco approvati a uno o più agenti e domini oppure a tutti gli agenti gestitidal server. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stessoelenco approvati viene utilizzato durante Scansione manuale, Scansione in tempo reale,Scansione pianificata ed Esegui scansione.

Aggiunta di spyware/grayware già rilevato all'elencoapprovati Approvati

Procedura

1. Accedere a una delle seguenti sezioni:

• Agenti > Gestione agente

• Registri > Agenti > Rischi per la sicurezza


3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >Registri di spyware/grayware.

4. Specificare i parametri del registro e fare clic su Visualizza registri.

5. Selezionare i registri e fare clic su Aggiungi all'elenco Approvati.

6. Applicare gli spyware/grayware approvati solo ai computer agente selezionati o adeterminati domini.

7. Fare clic su Salva. Gli agenti selezionati applicano l'impostazione e il serverOfficeScan aggiunge gli spyware/grayware all'elenco Approvati che si trova inAgenti > Gestione agente > Impostazioni > Elenco Approvati spyware/grayware.


7-53

Nota

OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elencoapprovati.

Gestione dell'elenco approvati spyware/grayware

Procedura



3. Fare clic su Impostazioni > Elenco Approvati spyware/grayware.

4. Nella tabella Nome spyware/grayware selezionare il nome dello spyware/grayware. Per selezionare più nomi, tenere premuto il tasto CTRL durante laselezione.

• Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca.OfficeScan aggiorna la tabella con i nomi che corrispondono alla parolachiave.


Il nome viene aggiunto alla tabella Elenco approvati.

6. Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic suRimuovi. Per selezionare più nomi, tenere premuto il tasto CTRL durante laselezione.




7-54


Ripristino spyware/grayware

Dopo aver eseguito la disinfezione da spyware/grayware, gli agenti OfficeScan eseguonoil backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sonoconsiderati innocui. Scegliere i dati spyware/grayware da ripristinare basandosisull'orario di backup.

Nota

Gli utenti degli agenti OfficeScan non possono avviare il ripristino di spyware/grayware enon ricevono la notifica sui dati di backup che l'agente ha ripristinato.

Procedura


2. Nella struttura agente, aprire un dominio e selezionare un agente.

Nota

Gli spyware/grayware possono essere ripristinati solo da un agente alla volta.

3. Fare clic su Operazioni > Ripristino spyware/grayware.

4. Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic suVisualizza.

Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fareclic su Indietro.

5. Selezionare i segmenti di dati che si desidera ripristinare.

6. Fare clic sul pulsante Ripristina.


7-55

OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo,consultare i registri di ripristino spyware/grayware. Per informazioni, vedereVisualizzazione dei registri di ripristino spyware/grayware a pagina 7-103.

Privilegi scansione e altre impostazioniGli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file neipropri computer. I privilegi di scansione consentono agli utenti o all'agente OfficeScandi effettuare le attività seguenti:

• Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione intempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansionea pagina 7-55.

• Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per idettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-58.

• Gli utenti possono attivare la scansione dei messaggi e-mail POP3 per rilevarevirus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altreimpostazioni a pagina 7-64.

• L'agente OfficeScan può usare le impostazioni delle cache per migliorare le proprieprestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni apagina 7-66.

Privilegi tipo di scansioneConsente agli utenti di configurare le impostazioni di Scansione manuale, Scansione intempo reale e Scansione pianificata.

Concessione dei privilegi tipo di scansione

Procedura



7-56



4. Nella scheda Privilegi, andare alla sezione Privilegi scansione.

5. Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare.




Configurazione delle impostazioni di scansione per l'agenteOfficeScan

Procedura

1. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nellabarra delle applicazioni e selezionare Apri console agente OfficeScan.

2. Fare clic su Impostazioni > {Tipo di scansione}.


7-57

FIGURA 7-1. Impostazioni di scansione nella console dell'agente OfficeScan


• Impostazioni scansione in tempo reale: Attività utente sui file, File daesaminare, Impostazioni di scansione, Esclusioni scansione, Azioni discansione

• Impostazioni scansione manuale: File da esaminare, Impostazioni discansione, Uso CPU, Esclusioni scansione, Azioni di scansione

• Impostazioni scansione pianificata: Pianificazione, File da esaminare,Impostazioni di scansione, Uso CPU, Esclusioni scansione, Azioni discansione


7-58

4. Fare clic su OK.

Privilegi scansione pianificata e altre impostazioni

Se è impostata per l'esecuzione sull'agente, gli utenti possono rimandare, ignorare ointerrompere la Scansione pianificata.

Rimanda scansione pianificata

Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possonoeseguire le seguenti operazioni:

• Rimandare la scansione pianificata prima che venga eseguita e specificare quindi ladurata del ritardo. La scansione pianificata può essere postposta una sola volta.

• Se Scansione pianificata è in esecuzione, gli utenti possono interrompere lascansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deveintercorrere prima del riavvio della scansione. Al riavvio, i file analizzati inprecedenza vengono di nuovo sottoposti a scansione. È possibile interrompere eriavviare la scansione pianificata una sola volta.

Nota

Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15minuti. Il periodo di tempo massimo è 12 ore e 45 minuti, che è possibile ridurre andandosu Agenti > Impostazioni globali agente. Nella sezione Impostazioni scansionepianificata, modificare l'impostazione Rimanda scansione pianificata fino a __ ore e__ minuti.

Salta e interrompi scansione pianificata

Questo privilegio consente agli utenti di eseguire le operazioni seguenti:

• Salta scansione pianificata prima che venga eseguita

• Interrompi scansione pianificata mentre è in corso


7-59

NotaGli utenti non possono ignorare o arrestare Scansione pianificata più di una volta. Anchedopo il riavvio del sistema, Scansione pianificata riprende la scansione in base al successivoorario di pianificazione.

Notifica di privilegio Scansione pianificata

Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibilericordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notificaprima dell'esecuzione di Scansione pianificata.

Concessione privilegi scansione pianificata evisualizzazione notifica dei privilegi

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi scansione pianificata.


• Rimanda scansione pianificata

• Salta e interrompi scansione pianificata

6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioniscansione pianificata.

7. Selezionare Visualizza una notifica prima dell'esecuzione della scansionepianificata.

Quando questa opzione è attivata, nell'dispositivo agente viene visualizzato unmessaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata.


7-60

Gli utenti vengono informati della pianificazione della scansione (data e ora) e deiloro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare ointerrompere la scansione pianificata.

Nota

È possibile configurare il numero di minuti. Per configurare il numero di minuti,accedere a Agenti > Impostazioni globali agente. Nella sezione Impostazioniscansione pianificata, modificare l'impostazione Ricorda agli utenti la scansionepianificata __ minuti prima dell'esecuzione.




Rinviare, ignorare e arrestare la Scansione pianificatasull'agente

Procedura

• Se la scansione pianificata non è stata avviata:

a. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScannella barra delle applicazioni e selezionare Impostazioni scansionepianificata avanzata.


7-61

FIGURA 7-2. Opzione Impostazioni avanzate della scansione

NotaSe il messaggio di notifica è attivato ed è impostato in modo da esserevisualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non ènecessario che gli utenti eseguano questo passaggio. Per ulteriori informazionisul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina7-59.

b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioniseguenti:

• Postponi scansione di __ ore e __ minuti.

• Salta questa scansione pianificata. La prossima Scansionepianificata verrà eseguita il <data> alle <ora>..


7-62

FIGURA 7-3. Privilegi di Scansione pianificata nell'dispositivo agenteOfficeScan

• Se la scansione pianificata è in corso:

a. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScannella barra delle applicazioni e selezionare Impostazioni avanzate dellascansione pianificata.

b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioniseguenti:

• Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti.

• Interrompi scansione. La prossima Scansione pianificata verràeseguita il <data> alle <ora>..


7-63

FIGURA 7-4. Privilegi di Scansione pianificata nell'dispositivo agenteOfficeScan


7-64

Privilegi scansione e-mail e altre impostazioni

Quando gli agenti dispongono dei privilegi di scansione e-mail, l'opzione Scansione e-mail viene visualizzata nella console dell'agente OfficeScan. L'opzione Scansione e-mail visualizza Scansione e-mail POP3.

FIGURA 7-5. Impostazioni di scansione e-mail nella console dell'agente OfficeScan

La seguente tabella indica il programma di scansione e-mail POP3.


7-65

TABELLA 7-18. Programmi di scansione e-mail.

DETTAGLI DESCRIZIONE

Scopo Esegue la scansione dei messaggi e-mail POP3 per rilevarevirus o minacce informatiche.

Prerequisiti • Prima che gli utenti possano utilizzarlo, gli amministratoridevono attivarlo dalla console Web.

NotaPer abilitare la scansione e-mail POP3, vedereConcessione dei privilegi scansione e-mail eattivazione di POP3 Mail Scan a pagina 7-65.

• È possibile configurare azioni per contrastare virus eminacce informatiche dalla console dell'agenteOfficeScan, ma non dalla console Web.

Tipi di scansionesupportati

Scansione in tempo reale

La scansione viene eseguita quando i messaggi e-mailvengono scaricati dal server di posta POP3.

Risultati scansione • Informazioni sui rischi per sicurezza rilevati disponibilidopo il completamento della scansione.

• Risultati di scansione non registrati nella schermataRegistri della console dell'agente OfficeScan

• Risultati di scansione non inviati al server.

Altri dettagli Condivide OfficeScan NT Proxy Service (TMProxy.exe) con lafunzione di reputazione Web.

Concessione dei privilegi scansione e-mail e attivazione diPOP3 Mail Scan

Procedura



7-66



4. Nella scheda Privilegi, accedere alla sezione Scansione e-mail.

5. Selezionare Visualizza la scheda Scansione e-mail nella console dell'agente.

6. Fare clic sulla scheda Altre impostazioni e andare alla sezione ImpostazioniScansione e-mail POP3..

7. Selezionare Analizza i messaggi e-mail POP3.




Impostazioni cache per le scansioniPer migliorare le proprie prestazioni di scansione, l'agente OfficeScan è in grado dicreare la firma digitale e i file di cache per la scansione su richiesta. Quando vieneeseguita una scansione su richiesta, l'agente OfficeScan verifica innanzitutto il file dicache della firma digitale e successivamente il file di cache per la scansione su richiestaper individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti sedalla scansione viene escluso un elevato numero di file.


7-67

Cache della firma digitale

Il file di cache della firma digitale viene utilizzato durante Scansione manuale, Scansionepianificata ed Esegui scansione. Gli agenti non effettuano la scansione dei file le cuifirme sono state aggiunte al file di cache delle firme digitali.

L'agente OfficeScan impiega lo stesso Digital Signature Pattern utilizzato daMonitoraggio del comportamento per creare il file di cache della firma digitale. Il DigitalSignature Pattern contiene un elenco di file che Trend Micro considera affidabili e chepertanto è possibile escludere dalle scansioni.

Nota

Monitoraggio del comportamento viene disattivato automaticamente sulle piattaformeserver Windows (il supporto delle piattaforme a 64 bit per Windows XP, 2003 e Vistasenza SP1 non è disponibile). Se la cache della firma digitale è attivata, gli agenti OfficeScanpresenti su queste piattaforme scaricano Digital Signature Pattern per utilizzarlo nellacache, senza scaricare gli altri componenti di Monitoraggio del comportamento.

Gli agenti creano il file di cache della firma digitale in base a una pianificazione,configurabile dalla console Web. Gli agenti eseguono questa operazione per:

• Aggiungere le firme dei nuovi file introdotti nel sistema dall'ultima volta in cui il filedi cache è stato creato

• Rimuovere le firme dei file che sono stati modificati o eliminati dal sistema

Durante il processo di creazione della cache, gli agenti eseguono un controllo sulleseguenti cartelle per individuare i file affidabili, quindi aggiungono le firme di questi fileal file di cache delle firme digitali:

• %PROGRAMFILES%

• %WINDIR%

Il processo di creazione della cache non influisce sulle prestazioni dell'dispositivo perchégli agenti utilizzano risorse di sistema minime durante tale processo. Gli agenti sonoanche in grado di riprendere l'attività di creazione della cache che per qualche motivo erastata interrotta, ad esempio quando una macchina host viene spenta oppure quando unadattatore dell'dispositivo wireless viene scollegato dall'alimentazione.


7-68

Impostazione cache scansione su richiestaIl file di cache della scansione su richiesta viene utilizzato durante Scansione manuale,Scansione pianificata ed Esegui scansione. Gli agenti OfficeScan non effettuano lascansione dei file le cui cache sono state aggiunte al file di cache della scansione surichiesta.

Ogni qualvolta si esegue una scansione, l'agente OfficeScan verifica le proprietà dei fileprivi di minacce. Se un file privo di minacce non è stato modificato per un certo periododi tempo, (è possibile configurare il periodo di tempo), l'agente OfficeScan aggiunge lacache del file al file di cache della scansione su richiesta. Quando viene eseguita lascansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta.

La cache di un file privo di minacce scade entro un determinato numero di giorni (èpossibile configurare anche il periodo di tempo). Quando si esegue una scansionedurante o dopo la scadenza della cache, l'agente OfficeScan rimuove la cache scaduta edesegue la scansione del file per verificare la presenza di minacce. Se il file è privo diminacce e non viene modificato, la cache del file viene aggiunta nuovamente al file dicache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato direcente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione lavolta successiva.

La cache per il file privo di minacce scade per impedire di escludere dalla scansione i fileinfetti, così come illustrato nei seguenti esempi:

• È possibile che un file di pattern estremamente obsoleto possa aver considerato unfile infetto non modificato come file privo di minacce. Se la cache non è scaduta, ilfile infetto resta nel sistema fino a quando non viene modificato e rilevato daScansione in tempo reale.

• Se un file memorizzato nella cache è stato modificato e Scansione in tempo realenon è operativa durante la modifica del file, la cache deve scadere in modo che ilfile modificato possa essere sottoposto alla scansione per le minacce.

Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipodi scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minorese l'agente OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presentinell'dispositivo durante Scansione manuale.

Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache dellascansione su richiesta riduce significativamente il tempo di scansione. In un'operazione


7-69

di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deverimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni.Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, alfile di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza piùestesa, ciò significa che dalla scansione vengono esclusi più file.

Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare lacache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguitala scansione successiva.

Configurazione impostazioni cache per le scansioni

Procedura




4. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazionicache per le scansioni.

5. Configurare le impostazioni per la cache della firma digitale.

a. Selezionare Attiva cache firma digitale.

b. In Costruisci cache ogni __ giorni, specificare con quale frequenza l'agentedovrà creare la cache.

6. Configurare le impostazioni per la cache della scansione su richiesta.

a. Selezionare Attiva cache scansione su richiesta.

b. In Aggiungi la cache per i file sicuri non modificati per __ giorni,specificare il numero di giorni per i quali un file deve restare inalterato primadi essere memorizzato nella cache.


7-70

c. In La cache per ogni file sicuro scade tra __ giorni, specificare il numeromassimo di giorni in cui una cache deve restare nel file di cache.

Nota

Per evitare che tutte le cache aggiunte nel corso di una scansione scadano lostesso giorno, le cache scadono in modo casuale nell'arco del numero massimodi giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono stateaggiunte 500 cache ed il numero massimo di giorni specificato è 10, una partedelle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Ildecimo giorno, tutte le cache rimaste scadranno.




Impostazioni globali di scansioneLe impostazioni globali di scansione possono essere applicate agli agenti in vari modi.

• Un'impostazione di scansione particolare può essere applicata a tutti gli agentigestiti dal server o solo agli agenti con determinati privilegi di scansione. Adesempio, se si è configurato di rinviare la durata di Scansione pianificata, solo gliagenti con tale privilegio utilizzeranno questa impostazione.

• Un'impostazione di scansione particolare può essere applicata a tutti i tipi discansione o a uno in particolare. Ad esempio, negli dispositivo in cui sono installatisia il server OfficeScan sia l'agente OfficeScan, è possibile escludere il database del


7-71

server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solodurante Scansione in tempo reale.

• Un'impostazione di scansione particolare può essere applicata alla scansione perrilevare virus/minacce informatiche o a quella per rilevare spyware/graywareoppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durantela scansione per rilevare spyware/grayware.

Configurazione delle impostazioni di scansione globali

Procedura


2. Configurare le Impostazioni globali di scansione in ciascuna delle sezioni variabili.

• Sezione impostazioni di scansione a pagina 7-71

• Sezione Impostazioni scansione pianificata a pagina 7-78

• Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche apagina 7-81


Sezione impostazioni di scansioneLa sezione Impostazioni di scansione delle Impostazioni globali agente consenteagli amministratori di configurare quanto segue:

• Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan apagina 7-72

• Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina7-72

• Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 7-73

• Attiva Scansione differita in operazioni su file a pagina 7-73


7-72

• Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-74

• Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 7-74

• Attiva modalità di valutazione a pagina 7-77

• Esegui scansione cookie a pagina 7-78

Aggiungere Scansione manuale al menu dei collegamenti diWindows negli agenti OfficeScan

Quando questa impostazione è attivata, in tutti gli agenti OfficeScan gestiti dal serverviene aggiunta l'opzione Esegui scansione con OfficeScan al menu di scelta rapida inEsplora risorse. Quando gli utenti fanno clic con il pulsante destro del mouse su un fileo una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione,Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacceinformatiche e spyware/grayware.

FIGURA 7-6. Opzione Esegui scansione con OfficeScan

Escludi la cartella del database del server OfficeScan dallascansione in tempo reale

Se l'agente OfficeScan e il server OfficeScan coesistono nello stesso dispositivo, conScansione in tempo reale l'agente OfficeScan non eseguirà la scansione del database delserver per rilevare virus/minacce informatiche e spyware/grayware.


7-73

Suggerimento

Attivare questa impostazione per impedire il verificarsi di eventuali danni al databasedurante la scansione.

Escludi cartelle e file del server Microsoft Exchange dallascansione

Se l'agente OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nellostesso dispositivo, durante Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione OfficeScan non esegue la scansione delle seguenticartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/grayware.

• Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp eBadMail

• .\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb,pub1.stm e pub1.edb

• .\Exchsrvr\Gruppo di archiviazione

Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunteall'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulleesclusioni dalla scansione, visitare il sito Web riportato di seguito:


Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione,vedere Esclusioni scansione a pagina 7-32.

Attiva Scansione differita in operazioni su file

Gli amministratori possono configurare OfficeScan per posticipare la scansione dei file.OfficeScan consente all'utente di copiare i file effettuando la scansione dopo ilcompletamento del processo di copia. Tale scansione differita migliora le prestazioni deiprocessi di copia e scansione.



7-74

Nota

La scansione differita richiede che la versione del motore di scansione virus (VSAPI) 9.713o versioni successive. Per maggiori dettagli sull'aggiornamento del server, vedereAggiornamento manuale del server OfficeScan a pagina 6-28.

Configurare le impostazioni di scansione per file compressidi grandi dimensioni

Durante la scansione dei file compressi per rilevare virus/minacce informatiche espyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione, tutti gli agenti OfficeScan gestiti dal server controllanole impostazioni seguenti:

• Configura le impostazioni di scansione per file compressi di grandidimensioni: selezionare questa opzione per attivare la gestione dei file compressi.

• Configurare le impostazioni seguenti separatamente per Scansione in tempo reale eper gli altri tipi di scansione (Scansione manuale, Scansione pianificata ed Eseguiscansione):

• Non esaminare i file presenti in file compressi se la dimensione superai __ MB: OfficeScan non esegue la scansione dei file che superano questolimite.

• Nei file compressi, esamina solo i primi __ file: dopo aver decompressoun file compresso, OfficeScan esegue la scansione del numero di filespecificato e ignora gli altri file.

Disinfetta/Elimina file infetti all'interno dei file compressi

Quando tutti gli agenti gestiti dal server rilevano virus/minacce informatiche all'internodei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i fileinfetti vengono disinfettati o eliminati dagli agenti.

• "Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Perverificare l'azione che OfficeScan esegue sui file infetti, accedere alla scheda Agenti


7-75

> Gestione agente > Impostazioni > Impostazioni scansione > {Tipo discansione} > Azione.

• Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo dellerisorse dell'dispositivo durante la scansione potrebbe aumentare e la scansionepotrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan devedecomprimere il file compresso, disinfettare/eliminare i file infetti all'interno delfile compresso e infine comprimere di nuovo il file.

• Il formato file compresso è supportato. OfficeScan supporta solo alcuni formatifile compressi, tra cui ZIP e Office Open XML, che utilizza tecnologie dicompressione ZIP. Office Open XML è il formato predefinito per le applicazioniMicrosoft Office 2007 come Excel, PowerPoint e Word.

NotaPer un elenco completo dei formati file compressi supportati, contattare l'assistenzatecnica.

Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus.Quando Scansione in tempo reale decomprime un file compresso denominato abc.zipe rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc ecomprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essereaperto.

La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta.


7-76

TABELLA 7-19. Scenari e risultati dei file compressi

STATO DI"DISINFETTA/ELIMINA FILE

INFETTIALL'INTERNO DEI

FILECOMPRESSI"

OPERAZIONECHE

OFFICESCANDEVE ESEGUIRE

FORMATO FILECOMPRESSO

RISULTATO

Attivato Disinfetta oelimina

Non supportato

Esempio: def.rarcontiene un fileinfetto 123.doc.

OfficeScan codifica def.rar manon disinfetta, elimina o eseguealtre operazioni su 123.doc.

Disattivato Disinfetta oelimina

Supportato/Nonsupportato

Esempio: abc.zipcontiene un fileinfetto 123.doc.

OfficeScan non disinfetta, eliminao esegue altre operazioni suabc.zip e 123.doc.


7-77

STATO DI"DISINFETTA/ELIMINA FILE

INFETTIALL'INTERNO DEI

FILECOMPRESSI"

OPERAZIONECHE

OFFICESCANDEVE ESEGUIRE

FORMATO FILECOMPRESSO

RISULTATO

Attivato/Disattivato

Nondisinfettare oeliminare (inaltre parole,una delleseguenti:Rinomina,Metti inquarantena,Impediscil'accesso oIgnora)

Supportato/Nonsupportato

Esempio: abc.zipcontiene un fileinfetto 123.doc.

OfficeScan esegue l'operazioneconfigurata (Rinomina, Metti inquarantena, Impedisci l'accesso oIgnora) su abc.zip, non su123.doc.

Se l'operazione è:

Rinomina: OfficeScan rinominaabc.zip in abc.vir, ma nonrinomina 123.doc.

Quarantena: OfficeScan mette inquarantena abc.zip (123.doc etutti i file non infetti vengonomessi in quarantena).

Ignora: OfficeScan non eseguealcuna operazione su abc.zip e123.doc ma registra ilrilevamento del virus.

Impedisci l'accesso: OfficeScanimpedisce l'accesso a abc.zipquando è aperto (123.doc e tutti ifile non infetti non possonoessere aperti).

Attiva modalità di valutazione

Durante la modalità di valutazione, tutti gli agenti gestiti dal server registreranno spywaree grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata,Scansione in tempo reale ed Esegui scansione ma i componenti spyware e grayware nonverranno disinfettati. La disinfezione interrompe i processi o elimina registri, file, cookiee collegamenti.


7-78

La modalità di valutazione di Trend Micro consente di valutare gli elementi che TrendMicro considera spyware/grayware e di prendere provvedimenti in base alla valutazione.Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per lasicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati.

In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione:

• Ignora: Durante l'utilizzo di Scansione manuale, Scansione pianificata ed Eseguiscansione

• Impedisci l'accesso: Durante l'utilizzo di Scansione in tempo reale

Nota

La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configuratedall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansionedurante Scansione manuale, "Ignora" resta l'operazione di scansione quando l'agente è inmodalità di valutazione.

Esegui scansione cookie

Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per lasicurezza. Quando l'opzione è selezionata, tutti gli agenti gestiti dal server eseguiranno lascansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansionepianificata, Scansione in tempo reale ed Esegui scansione.

Sezione Impostazioni scansione pianificata

Le impostazioni riportate di seguito vengono utilizzate esclusivamente dagli agentiimpostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado dirilevare virus/minacce informatiche e spyware/grayware.

La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansioneconsente agli amministratori di configurare quanto segue:

• Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 7-79

• Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 7-79


7-79

• Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __minuti a pagina 7-80

• Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless èinferiore a __ % e l'adattatore è scollegato dall'alimentazione a pagina 7-80

• Riprendi una scansione pianificata non effettuata a pagina 7-80

Ricorda agli utenti la scansione pianificata __ minuti primadell'esecuzione

OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansionepianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e perricordargli i privilegi della scansione pianificata concessi.

Il messaggio di notifica può essere attivato/disattivato dalla scheda Agenti > Gestioneagente > Impostazioni > Privilegi e altre impostazioni > Altre impostazioni >Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria nonviene visualizzato.

Rimanda scansione pianificata fino a __ ore e __ minuti

Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possonoeseguire le operazioni riportate di seguito:

• Rimandare la scansione pianificata prima che venga eseguita e specificare quindi ladurata del ritardo.

• Se Scansione pianificata è in esecuzione, gli utenti possono interrompere lascansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deveintercorrere prima del riavvio della scansione. Al riavvio, i file analizzati inprecedenza vengono di nuovo sottoposti a scansione.

La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negliappositi campi.


7-80

Interrompi automaticamente la scansione pianificataquando l'operazione dura più di __ ore e __ minuti

Quando viene superato il periodo di tempo massimo specificato e la scansione non èancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agliutenti i rischi per la sicurezza rilevati durante la scansione.

Saltare la scansione pianificata quando la durata residuadella batteria dell'dispositivo wireless è inferiore a __ % el'adattatore è scollegato dall'alimentazione

Se viene rilevato che la durata residua della batteria dell'dispositivo wireless si staesaurendo e l'adattatore non è collegato all'alimentazione, all'avvio di Scansionepianificata OfficeScan ignora immediatamente la scansione. Se la durata residua dellabatteria è limitata ma l'adattatore è collegato all'alimentazione, la scansione prosegue.

Riprendi una scansione pianificata non effettuata

Quando la Scansione pianificata non viene avviata perché OfficeScan non è inesecuzione nel giorno e all'ora specificati per la Scansione pianificata, è possibilespecificare quando OfficeScan riprenderà la scansione:

• Stessa ora giorno successivo: se OfficeScan viene eseguito alla stessa ora delgiorno successivo, la scansione riprende.

• __ minuti dopo l'avvio dell'dispositivo: OfficeScan riprende la scansionequalche minuto dopo l'accensione dell'dispositivo. Il numero di minuti è compresotra 10 e 120.

Nota

Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongonodei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altreimpostazioni a pagina 7-58.


7-81

Sezione impostazioni della larghezza di banda del registrovirus/minacce informatiche

La sezione delle Impostazioni di banda del registro virus/minacce informatiche delleImpostazioni globali di scansione consente agli amministratori di configurare:

Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per irilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora a pagina 7-81

Consentire agli agenti OfficeScan di creare una sola vocesul registro di virus/minacce informatiche per i rilevamentiricorrenti dello stesso virus/minaccia informatica in un'oraOfficeScan consolida le voci del registro dei virus quando rileva diverse infezioniderivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo ditempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica piùvolte compilando rapidamente il registro relativo a virus/minacce informatiche econsumando larghezza di banda quando l'agente OfficeScan invia le informazioni delregistro al server. L'attivazione di questa funzione consente di ridurre il numero di vocidi registro relative a virus/minacce informatiche e la quantità di larghezza di bandautilizzata dagli agenti OfficeScan quando segnalano le informazioni del registro dei virusal server.

Sezione Servizio certificato Safe SoftwareLa sezione Servizio Certified Safe Software di Impostazioni globali di scansioneconsente agli amministratori di configurare:

Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e lescansioni antivirus a pagina 7-81

Attivazione del servizio certificato Safe Software per ilmonitoraggio del comportamento, il firewall e le scansioniantivirusIl servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare lasicurezza di un programma rilevato da Blocco del comportamento malware,


7-82

Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio CertifiedSafe Software per ridurre la possibilità di falsi allarmi.

Nota

Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per maggioridettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima di attivare ilServizio certificato Safe Software. Impostazioni proxy scorrette, insieme a una connessioneInternet intermittente, possono provocare ritardi o mancate risposte dai datacenter TrendMicro. Di conseguenza, i programmi controllati non rispondono.

Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente aidatacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP,ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di collegarsi aidatacenter Trend Micro.

Notifiche sui Rischi per la sicurezzaOfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente,altri amministratori OfficeScan e gli utenti agente OfficeScan sui rischi per la sicurezzarilevati.

Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche deirischi per la sicurezza per gli amministratori a pagina 7-82.

Per ulteriori informazioni sulle notifiche inviate agli utenti agente OfficeScan, vedereNotifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-87.

Notifiche dei rischi per la sicurezza per gli amministratori

Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori diOfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quandol'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto,l'intervento dell'utente.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibile


7-83

modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.

TABELLA 7-20. Tipi di notifiche sui rischi per la sicurezza

TIPO RIFERIMENTO


Configurazione delle notifiche dei rischi per la sicurezza per gliamministratori a pagina 7-83

Spyware/Grayware Configurazione delle notifiche dei rischi per la sicurezza per gliamministratori a pagina 7-83

Trasmissioni di risorsedigitali

Configurazione delle notifiche di Prevenzione perdita di datiper gli amministratori a pagina 10-50

Callback C&C Configurazione delle notifiche di callback C&C per gliamministratori a pagina 11-18

NotaOfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi diWindows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notificaattraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina13-31.

Configurazione delle notifiche dei rischi per la sicurezza pergli amministratori

Procedura

1. Accedere a Amministrazione > Notifiche > Amministratore.

2. Nella scheda Criteri:

a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware.

b. Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/minacce informatiche e spyware/grayware o solo quando l'azione eseguitacontro i rischi per la sicurezza non è riuscita.

3. Nella scheda E-mail:


7-84

a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti dispyware/grayware.

b. Selezionare Attiva notifica mediante e-mail.

c. Selezionare Invia notifiche agli utenti con autorizzazioni per i dominidella struttura agente.

È possibile usare l'RBA (Role-based Administration) per assegnare agli utentiautorizzazioni al dominio della struttura agente. Se un rilevamento si verificain un agente OfficeScan appartenente a un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per ildominio. La tabella seguente illustra alcuni esempi:

TABELLA 7-21. Autorizzazioni e domini della struttura agente

DOMINIO DELLASTRUTTURA AGENTE

RUOLI CONAUTORIZZAZIONIPER IL DOMINIO

ACCOUNT UTENTECON IL RUOLO

INDIRIZZO E-MAILDELL'ACCOUNT

UTENTE

Dominio A Amministratore(integrato)

root [email protected]

Role_01 admin_john [email protected]

admin_chris [email protected]

Dominio B Amministratore(integrato)


Role_02 admin_jane [email protected]

Se un agente OfficeScan appartenente al Dominio A rileva un virus, ilmessaggio e-mail viene inviato a [email protected], [email protected] [email protected].

Se un agente OfficeScan appartenente al Dominio B rileva uno spyware, ilmessaggio e-mail viene inviato a [email protected] e [email protected].


7-85

Nota

Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominiodevono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notificanon sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Gestione account > Accountutente.

d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gliindirizzi e-mail.

e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. Èpossibile utilizzare solo variabili token per rappresentare i dati nel campoOggetto e Messaggio.

TABELLA 7-22. Variabili token per notifiche dei rischi per la sicurezza

VARIABILE DESCRIZIONE

Rilevamenti di virus/minacce informatiche

%v Nome virus/minaccia informatica

%s Dispositivo con virus/minaccia informatica

%i Indirizzo IP dell'dispositivo

%c Indirizzo MAC dell'dispositivo

%m Dominio dell'dispositivo

%p Posizione di virus/minaccia informatica

%y Data e ora del rilevamento virus/minaccia informatica

%e Versione motore di scansione virus

%r Versione del pattern dei virus

%a Azione eseguita per contrastare il rischio per la sicurezza

%n Nome dell'utente che ha effettuato l'accesso nell'dispositivoinfetto

Rilevamenti di spyware/grayware


7-86


%s Dispositivo con spyware/grayware

%i Indirizzo IP dell'dispositivo

%m Dominio dell'dispositivo

%y Data e ora del rilevamento di spyware/grayware

%n Nome dell'utente collegato all'dispositivo infetto al momentodel rilevamento

%T Risultato della scansione e presenza di spyware e grayware

4. Fare clic sulla scheda Trap SNMP:


b. Selezionare Attiva notifica mediante trap SNMP.

c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 7-22: Variabili token per notifiche dei rischi per la sicurezza a pagina 7-85 perulteriori dettagli.

5. Nella scheda Registro eventi NT:


b. Selezionare Attiva notifica mediante registro eventi NT.

c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 7-22: Variabili token per notifiche dei rischi per la sicurezza a pagina 7-85 perulteriori dettagli.



7-87

Notifiche dei rischi per la sicurezza per gli utentidell'agente OfficeScan

OfficeScan è in grado di visualizzare i messaggi di notifica sull'dispositivo agenteOfficeScan:

• Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se losi desidera, modificarne il contenuto.

• Se il riavvio di un dispositivo agente è necessario per completare la disinfezione deifile infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo lascansione di un rischio per la sicurezza specifico. Con Scansione manuale,Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una voltae solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni dellascansione.

TABELLA 7-23. Tipi di notifiche agente sui rischi per la sicurezza

TIPO RIFERIMENTO


Configurazione delle notifiche di virus/minacce informatiche apagina 7-89

Spyware/Grayware Configurazione delle notifiche di spyware/grayware a pagina7-89

Violazioni del firewall Modifica del contenuto del messaggio di notifica del firewall apagina 12-29

Violazioni dellareputazione Web

Modifica delle notifiche di minacce Web a pagina 11-17

Violazioni del controllodispositivo

Modifica delle notifiche di controllo dispositivo a pagina 9-18

Violazione ai criteri dimonitoraggio delcomportamento

Modifica del contenuto del messaggio di notifica a pagina8-14


Configurazione delle notifiche di Prevenzione perdita di datiper gli agenti a pagina 10-53


7-88

TIPO RIFERIMENTO

Callback C&C Modifica delle notifiche di minacce Web a pagina 11-17

Notifica agli utenti del rilevamento di spyware/grayware evirus/minacce informatiche

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale o su Impostazioni > Impostazioni di scansione >Impostazioni scansione pianificata.

4. Fare clic sulla scheda Operazione.


• Visualizza un messaggio di notifica sull'dispositivo agente alrilevamento di virus/minacce informatiche

• Visualizza un messaggio di notifica sull'dispositivo agente alrilevamento di probabili virus/minacce informatiche




7-89


Configurazione delle notifiche di virus/minacce informatiche

Procedura

1. Accedere a Amministrazione > Notifiche > Agente.

2. Dal menu a discesa Tipo, selezionare Virus/minacce informatiche

3. Configurare le impostazioni di rilevamento.

a. Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacceinformatiche o separare le notifiche in base ai seguenti livelli di gravità:

• Alto: l'agente OfficeScan non è stato in grado di gestire una minacciainformatica grave

• Medio: l'agente OfficeScan non è stato in grado di gestire una minacciainformatica

• Basso: l'agente OfficeScan ha risolto tutte le minacce

b. Accettare o modificare i messaggi predefiniti.


Configurazione delle notifiche di spyware/grayware

Procedura


2. Dal menu a discesa Tipo, selezionare Spyware/grayware.

3. Accettare o modificare il messaggio predefinito.


7-90


Notifica agli agenti del riavvio per completare ladisinfezione dei file infetti

Procedura




4. Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica.

5. Selezionare Visualizza un messaggio di notifica se è necessario un riavviodell'dispositivo per completare la disinfezione dei file infetti.




Registri dei rischi per la sicurezzaOfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/graywaree quando ripristina spyware/grayware.


7-91


Visualizzazione dei registri di virus/minacce informaticheQuando rileva virus e minacce informatiche, l'agente OfficeScan genera i registri e liinvia al server.

Procedura





3. Fare clic su Registri > Registri virus/minacce o su Visualizza registri >Registri virus/minacce.


5. Visualizzare i registri. I registri contengono le seguenti informazioni:

• Data e ora del rilevamento virus/minaccia informatica

• Dispositivo

• Minacce alla sicurezza

• Origine dell'infezione

• File o oggetto infetto

• Tipo di scansione che ha rilevato il virus o la minaccia informatica

• Risultati scansione


7-92

Nota

Per ulteriori informazioni sui risultati della scansione, vedere Risultati dellascansione antivirus/minacce informatiche a pagina 7-92.

• Indirizzo IP

• Indirizzo MAC

• Dettagli registro (per vedere i dettagli, fare clic su Visualizza)


Il file CSV contiene le seguenti informazioni:

• Tutte le informazioni dei registri

• Il nome dell'utente collegato all'dispositivo al momento del rilevamento

Risultati della scansione antivirus/minacce informatiche

I seguenti risultati della scansione vengono visualizzati nei registri di virus/minacceinformatiche:

TABELLA 7-24. Risultati scansione

RISULTATO DESCRIZIONE

Eliminati • La prima azione è “Elimina” e il file infetto è stato eliminato.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Elimina” e il file infetto è statoeliminato.

In quarantena • La prima azione è “Metti in quarantena” e il file infetto è statomesso in quarantena.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Metti in quarantena” e il fileinfetto è stato messo in quarantena.

Disinfettati È stato disinfettato un file infetto.


7-93


Rinominati • La prima azione è “Rinomina” e il file infetto è statorinominato.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Rinomina” e il file infetto èstato rinominato.

Accesso negato • La prima azione è “Impedisci l'accesso” e l'accesso al fileinfetto è stato impedito quando l'utente ha tentato di aprire ilfile.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Impedisci l'accesso” el'accesso al file infetto è stato impedito quando l'utente hatentato di aprire il file.

• Probabile virus/minaccia informatica individuato duranteScansione in tempo reale.

• La scansione in tempo reale impedisce l'accesso ai file chesono stati infettati da virus boot anche nel caso in cui l'azionedi scansione sia impostata su “Disinfetta” (prima azione) e“Metti in quarantena” (seconda azione). Ciò è dovuto al fattoche il tentativo di disinfettare il virus potrebbe danneggiare ilMaster Boot Record (MBR) dell'dispositivo infetto. eseguire lascansione manuale per permettere a OfficeScan didisinfettare o mettere in quarantena il file.

Ignorati • La prima azione è “Ignora”. OfficeScan non ha eseguitoalcuna azione sul file infetto.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Ignora”, quindi OfficeScan nonha eseguito alcuna azione sul file infetto.

Ignorato unpotenziale rischioper la sicurezza

Questo risultato di scansione viene visualizzato quandoOfficeScan individua un "probabile virus/minaccia informatica"durante Scansione manuale, Scansione pianificata ed Eseguiscansione. Per informazioni su probabili virus/minacceinformatiche e su come inviare file sospetti a Trend Micro perl'analisi, fare riferimento all'Enciclopedia dei virus online di TrendMicro disponibile alla pagina seguente.


7-94


http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=POSSIBLE_VIRUS&VSect=Sn

Impossibiledisinfettare omettere inquarantena il file

“Disinfetta” è la prima azione. “Metti in quarantena” è la secondaazione e non è stato possibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile mettere in quarantena il file/Impossibile rinominare il file a pagina 7-94.

Impossibiledisinfettare oeliminare il file

“Disinfetta” è la prima azione. “Elimina” è la seconda azione e nonè stato possibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile eliminare il file a pagina 7-94.

Impossibiledisinfettare orinominare il file

“Disinfetta” è la prima azione. “Rinomina” è la seconda azione enon è stato possibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile mettere in quarantena il file/Impossibile rinominare il file a pagina 7-94.

Impossibilemettere inquarantena il file/Impossibilerinominare il file

Spiegazione 1.

Il file infetto potrebbe essere bloccato da un'altra applicazione,potrebbe essere in esecuzione oppure essere contenuto in unCD. Non appena l'applicazione avrà rilasciato il file o non appenaquesto non sarà più in esecuzione, OfficeScan potrà metterlo inquarantena/rinominarlo.

Soluzione

Per i file infetti contenuti in un CD, si consiglia di non utilizzare piùil CD in questione in quanto il virus potrebbe infettare altricomputer della rete.

Spiegazione 2.

Il file infetto si trova nella cartella dei file Internet temporaneidell'dispositivo agente. Poiché l'dispositivo scarica i file durantel'accesso ai siti Web, è possibile che il browser abbia bloccato ilfile infetto. Non appena il browser Web avrà rilasciato il file,OfficeScan potrà metterlo in quarantena o rinominarlo.

Soluzione: nessuna

Impossibileeliminare il file

Spiegazione 1.




7-95


Il file infetto potrebbe trovarsi all'interno di un file compresso el'impostazione Disinfetta/Elimina file infetti all'interno dei filecompressi in Agenti > Impostazioni globali agente èdisattivata.

Soluzione

Attivare l'opzione Disinfetta/Elimina file infetti all'interno deifile compressi. Quando questa opzione è attivata, OfficeScandecomprime un file compresso, disinfetta/elimina i file infetti nelfile compresso e lo comprime di nuovo.

NotaSe si attiva questa impostazione, l'utilizzo delle risorsedell'dispositivo durante la scansione potrebbe aumentare ela scansione potrebbe richiedere più tempo.

Spiegazione 2.

Il file infetto potrebbe essere bloccato da un'altra applicazione,potrebbe essere in esecuzione oppure essere contenuto in unCD. Non appena l'applicazione avrà rilasciato il file o non appenaquesto non sarà più in esecuzione, OfficeScan potrà eliminarlo.

Soluzione

Per i file infetti contenuti in un CD, si consiglia di non utilizzare piùil CD in questione in quanto il virus potrebbe infettare altricomputer della rete.

Spiegazione 3.

Il file infetto si trova nella cartella dei file Internet temporaneidell'dispositivo agente OfficeScan. Poiché l'dispositivo scarica ifile durante l'accesso ai siti Web, è possibile che il browser abbiabloccato il file infetto. Non appena il browser Web avrà rilasciato ilfile, OfficeScan potrà eliminarlo.

Soluzione: Nessuna

Impossibile inviareil file da mettere inquarantena allacartella di

Anche se OfficeScan ha messo correttamente in quarantena unfile nella cartella \Suspect dell'dispositivo agente OfficeScan, nonriesce a inviare il file alla directory di quarantena designata.


7-96


quarantenaspecificata

Soluzione

Determinare quale tipo di scansione (Scansione manuale,Scansione in tempo reale o Scansione pianificata) ha rilevato ilvirus/minaccia informatica e quindi fare clic sulla directory diquarantena specificata nella scheda Agenti > Gestione agente >Impostazioni > {Tipo di scansione} > Azione.

Se la directory di quarantena di trova nel computer serverOfficeScan o in un altro computer server OfficeScan:

1. Verificare che l'agente sia in grado di collegarsi al server.

2. Se per indicare la directory di quarantena si utilizza il formatoURL:

a. Assicurarsi che il nome dell'dispositivo specificato dopohttp:// sia corretto.

b. Controllare la dimensione del file infetto. Se questasupera la dimensione massima per i file specificata inAmministrazione > Impostazioni > Gestione dellaquarantena, modificare l'impostazione adattandola alfile. È anche possibile decidere di compiere altri azionicome eliminare il file.

c. Verificare la dimensione della directory di quarantena edeterminare se ha superato la capacità di cartellaspecificata in Amministrazione > Impostazioni >Gestione della quarantena. Modificare la capacità dellacartella o eliminare manualmente dei file nella directorydi quarantena.

3. Se si utilizza il percorso UNC, assicurarsi che la directory diquarantena sia condivisa per il gruppo “Tutti” e che tutti imembri del gruppo abbiano i permessi di lettura e scrittura.Verificare inoltre che la directory di quarantena esista e che ilpercorso UNC sia corretto.

Se la directory di quarantena si trova su un altro dispositivo dellarete (per questo scenario è consentito solo il percorso UNC):

1. Verificare che l'agente OfficeScan sia in grado di collegarsiall'dispositivo.


7-97


2. Assicurarsi che la directory di quarantena sia condivisa pertutto il gruppo “Tutti” e che tutti i membri del gruppo abbiano ipermessi di lettura e scrittura.

3. Verificare che la directory di quarantena esista.

4. Verificare che il percorso UNC sia corretto.

Se la directory di quarantena si trova in una directory diversadell'dispositivo agente OfficeScan (per questo scenario èconsentito solo il percorso assoluto), verificare che la cartelladella directory di quarantena esista.

Impossibiledisinfettare il file

Spiegazione 1.

Il file infetto potrebbe trovarsi all'interno di un file compresso el'impostazione “Disinfetta/Elimina” file infetti all'interno dei filecompressi in Agenti > Impostazioni globali agente è disattivata.

Soluzione

Attivare l'opzione Disinfetta/Elimina file infetti all'interno deifile compressi. Quando questa opzione è attivata, OfficeScandecomprime un file compresso, disinfetta/elimina i file infetti nelfile compresso e lo comprime di nuovo.

NotaSe si attiva questa impostazione, l'utilizzo delle risorsedell'dispositivo durante la scansione potrebbe aumentare ela scansione potrebbe richiedere più tempo.

Spiegazione 2.

Il file infetto si trova nella cartella dei file Internet temporaneidell'dispositivo agente OfficeScan. Poiché l'dispositivo scarica ifile durante l'accesso ai siti Web, è possibile che il browser abbiabloccato il file infetto. Non appena il browser Web avrà rilasciato ilfile, OfficeScan potrà disinfettarlo.

Soluzione: Nessuna

Spiegazione 3.


7-98


Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni,vedere File non disinfettabili a pagina E-16.

Operazionerichiesta

OfficeScan non riesce a completare l'operazione configurata nelfile infetto senza l'intervento dell'utente. Passare il puntatore delmouse sulla colonna Operazione richiesta per visualizzare leseguenti informazioni.

• “Operazione richiesta: contattare il supporto per maggioridettagli sulla rimozione di questa minaccia con lo strumento"Disinfetta boot" di Anti-Threat Tool Kit in Strumenti di utilitàdi OfficeScan”

• “Operazione richiesta: contattare l'assistenza per maggioridettagli sulla rimozione di questa minaccia con lo strumento"Disco di ripristino" di Anti-Threat Tool Kit in Strumenti diutilità di OfficeScan”

• “Operazione richiesta: contattare l'assistenza per maggioridettagli sulla rimozione di questa minaccia con lo strumento"Buster rootkit" di Anti-Threat Tool Kit in Strumenti di utilità diOfficeScan”

• “Operazione richiesta: OfficeScan rileva una minaccia in unagente infetto. Riavviare l'dispositivo per completare ladisinfezione delle minacce alla sicurezza”

• “Operazione richiesta: eseguire una scansione completa delsistema”

Visualizzazione dei registri di ripristino files in quarantena

Dopo la disinfezione delle minacce informatiche, gli agenti OfficeScan effettuano ilbackup dei dati delle minacce informatiche. Notificare a un agente online di ripristinare idati di backup, se sono considerati innocui. I registri contengono le informazioni sui datidi backup ripristinati delle minacce informatiche, sull'dispositivo interessato e sui risultatidel ripristino.

Procedura

1. Accedere a Registri > Agenti > Ripristino Files in Quarantena.


7-99

2. Selezionare le colonne Completato, Operazione non riuscita e In sospeso perverificare se OfficeScan ha ripristinato correttamente i dati della quarantena.

3. Fare clic sui collegamenti dei conteggi per visualizzare le informazioni dettagliate suciascun dispositivo interessato.

Nota

Per il ripristino di Operazione non riuscita, è possibile provare a ripristinare dinuovo il file nella schermata Dettagli ripristino files in quarantena facendo clic suRipristina tutto.


Visualizzazione dei registri di spyware/graywareQuando rileva spyware e grayware, l'agente OfficeScan genera i registri e li invia alserver.

Procedura





3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >Registri di spyware/grayware.



• Data e ora del rilevamento di spyware/grayware


7-100

• Dispositivo interessato

• Nome spyware/grayware

• Tipo di scansione che ha rilevato il programma spyware/grayware

• Dettagli su risultati della scansione spyware/grayware (se l'azione di scansioneè riuscita o meno). Per informazioni, vedere Risultati della scansione spyware/grayware a pagina 7-100.

• Indirizzo IP

• Indirizzo MAC

• Dettagli registro (per vedere i dettagli, fare clic su Visualizza)

6. Aggiungere spyware/grayware considerati innocui a Elenco Approvati spyware/grayware.


Il file CSV contiene le seguenti informazioni:

• Tutte le informazioni dei registri

• Il nome dell'utente collegato all'dispositivo al momento del rilevamento

Risultati della scansione spyware/grayware

I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware:

TABELLA 7-25. Risultati della scansione spyware/grayware di primo livello


Operazione riuscita,non sononecessarie azioni

Questo è il risultato di primo livello se l'azioni di scansione è statacompletata correttamente. Il risultato di secondo livello può essereuno dei seguenti:

• Disinfettati

• Accesso negato


7-101


Richieste ulterioriazioni

Questo è il risultato di primo livello se l'azioni di scansione non èstata completata correttamente. I risultati di secondo livelloconterranno almeno uno dei seguenti messaggi:

• Ignorati

• Disinf. spyware/grayware non sicura

• La scansione di spyware/grayware è stata interrottamanualmente. Effettuare una scansione completa

• Spyware/grayware disinfettato. È necessario riavviare ilcomputer. Riavviare il computer

• Impossibile disinfettare spyware/grayware

• Risultati scansione spyware/grayware non identificati.Contattare l'assistenza tecnica di Trend Micro

TABELLA 7-26. Risultati della scansione spyware/grayware di secondo livello

RISULTATO DESCRIZIONE SOLUZIONE

Disinfettati OfficeScan interrompe i processi o eliminaregistri, file, cookie e collegamenti.

N.D.

Accesso negato OfficeScan ha negato all'utente l'accesso(per copia e apertura) ai componentigrayware e spyware rilevati.

N.D.

Ignorati OfficeScan non ha eseguito alcunaoperazione, ma ha registrato il rilevamentodi spyware e grayware per successivevalutazioni.

aggiungerespyware/graywareconsiderati innocuiall'Elenco Approvatispyware/grayware.


7-102

RISULTATO DESCRIZIONE SOLUZIONE

Disinf. spyware/grayware non sicura

: questo messaggio viene visualizzato nelcaso in cui il motore di scansione spywaretenti di disinfettare ogni singola cartella esiano rispettati i criteri di seguito riportati.

• Gli elementi da disinfettare superano i250 MB.

• Il sistema operativo utilizza i filecontenuti nella cartella. La cartellapotrebbe essere necessaria per ilnormale funzionamento del sistema.

• La cartella è una directory principale(come C: o F:)

Contattare ilprovider delsupporto perricevere assistenza.

La scansione dispyware/grayware èstata interrottamanualmente.Effettuare unascansione completa

un utente interrompe la scansione primadel completamento.

eseguire unascansione manualee attenderne laconclusione.

Spyware/graywaredisinfettato. Ènecessario riavviareil computer.Riavviare ilcomputer

OfficeScan ha disinfettato i componentispyware/grayware, ma per completarel'attività è necessario riavviare l'dispositivo.

Riavviareimmediatamentel'dispositivo.

Impossibiledisinfettarespyware/grayware

Sono stati rilevati spyware/grayware su unCD-ROM o un'unità di rete. OfficeScandisinfetta solo spyware/grayware rilevati inqueste posizioni.

rimuoveremanualmente il fileinfetto

Risultati scansionespyware/graywarenon identificati.Contattarel'assistenza tecnicadi Trend Micro

una nuova versione del motore discansione spyware fornisce un nuovorisultato della scansione che laconfigurazione di OfficeScan non è ingrado di gestire.

contattarel'assistenza tecnicaper capire comedeterminare il nuovorisultato dellascansione.


7-103

Visualizzazione dei registri di ripristino spyware/grayware

Dopo aver eseguito la disinfezione da spyware/grayware, gli agenti OfficeScan eseguonoil backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sonoconsiderati innocui. I registri contengono le informazioni sui dati di backup di spyware/grayware ripristinati, sull'dispositivo interessato e sui risultati del ripristino.

Procedura

1. Accedere a Registri > Agenti > Ripristino spyware/grayware.

2. Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinatocorrettamente i dati di spyware e grayware.


Registri di scansione

Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui scansione,l'agente OfficeScan crea un registro della scansione che contiene informazioni sullascansione. È possibile visualizzare il registro della scansione accedendo alla consoledell'agente OfficeScan. Gli agenti non inviano il registro della scansione al server.

I registri della scansione mostrano le seguenti informazioni:

• Data e ora di inizio della scansione di OfficeScan

• Data e ora di fine della scansione di OfficeScan

• Stato della scansione

• Completato: la scansione è stata completata correttamente.

• Operazione interrotta: la scansione è stata interrotta dall'utente prima delcompletamento.

• Operazione interrotta in modo imprevisto: la scansione è stata interrottadall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizio


7-104

Scansione in tempo reale di OfficeScan potrebbe essersi interrotto in modoimprevisto oppure l'utente ha forzato il riavvio dell'agente.

• Tipo di scansione

• Numero di oggetti esaminati

• Numero di file infetti

• Numero di azioni non riuscite

• Numero di azioni riuscite

• Versione di Smart Scan Agent Pattern

• Versione del pattern dei virus

• Versione del pattern spyware

Rischi per la sicurezzaUn rischio per la sicurezza si presenta quando i rilevamenti di virus/minacceinformatiche, spyware/grayware e le sessioni di cartelle condivise superano unadeterminata soglia in un determinato intervallo di tempo. Esistono vari modi per reagiree contenere un'infezione nella rete, tra i quali:

• Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attivitàsospette

• Blocco di porte e cartelle dell'dispositivo agente principale

• lnvio di messaggi di avviso di infezione agli agenti

• Disinfezione degli dispositivi infetti

Notifiche e criteri dei rischi per la sicurezza

Configurare OfficeScan per inviare una notifica all'utente e agli amministratori diOfficeScan quando si verificano i seguenti eventi:


7-105

TABELLA 7-27. Tipi di notifiche di infezione sui rischi per la sicurezza

TIPO RIFERIMENTO

• Virus/minacceinformatiche

• Spyware/Grayware

• Sessione dicondivisione dellecartelle

Configurazione delle notifiche e dei criteri dei rischi per lasicurezza a pagina 7-106

Violazioni del firewall Configurazione delle notifiche e dei criteri di infezione daviolazione del firewall a pagina 12-31

Callback C&C Configurazione delle notifiche e dei criteri delle infezioni deicallback C&C a pagina 11-21

• Infezioni di virus/minacce informatiche

• Infezioni di spyware/grayware

• Infezioni da violazioni del firewall

• Infezioni di sessioni di condivisione delle cartelle

Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo dirilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamentinel periodo di rilevamento stabilito.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.

Nota

OfficeScan è in grado di inviare notifiche di infezione riguardanti i rischi per la sicurezzatramite e-mail, trap SNMP e i registri eventi di Windows NT. Per le infezioni delle sessionidi cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare leimpostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per idettagli, consultare Impostazioni notifica amministratore a pagina 13-31.


7-106

Configurazione delle notifiche e dei criteri dei rischi per lasicurezza

Procedura

1. Accedere a Amministrazione > Notifiche > Infezione.


a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware:

b. Specificare il numero di origini uniche dei rilevamenti.

c. Specificare il numero di rilevamenti e il periodo di rilevamento per ognirischio per la sicurezza.

Suggerimento

Trend Micro consiglia di accettare i valori predefiniti di questa schermata.

OfficeScan invia un messaggio di notifica quando il numero di rilevamenti fissatoviene superato. Ad esempio, nella sezione Virus e minacce informatiche, sevengono specificate 10 origini univoche, 100 rilevamenti e un periodo di tempo di5 ore, OfficeScan invia la notifica quando 10 diversi agenti hanno segnalato untotale di 101 rischi per la sicurezza nell'arco di 5 ore. Se tutte le istanze sono staterilevate nello stesso agente nell'arco di 5 ore, OfficeScan non invia la notifica.


a. Andare alla sezione Sessioni di condivisione delle cartelle.

b. Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete.

c. In Sessioni di condivisione cartelle registrate, fare clic sul collegamentodel numero per visualizzare i computer con cartelle condivise e i computercon accesso alle cartelle condivise.

d. Specificare il numero di sessioni di condivisione cartelle e il periodo dirilevamento.


7-107

OfficeScan invia un messaggio di notifica quando il numero di sessioni dicondivisione cartelle fissato viene superato.


a. Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni dispyware/grayware e Infezioni delle sessioni di condivisione dellecartelle.


c. Specificare i destinatari del messaggio e-mail.

d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare solo variabili token per rappresentare i dati nelcampo Oggetto e Messaggio.

TABELLA 7-28. Variabili token per le notifiche dei rischi per la sicurezza


Infezioni di virus/minacce informatiche

%CV Numero totale di virus/minacce informatiche rilevati

%CC Numero totale di computer con virus/minacce informatiche

Infezioni di spyware/grayware

%CV Numero totale di spyware/grayware rilevati

%CC Numero totale di computer con spyware/grayware

Infezioni delle sessioni di condivisione delle cartelle

%S Numero di sessioni di condivisione delle cartelle

%T Totale periodo di durata delle sessioni di condivisione dellecartelle

%M Periodo di tempo in minuti

e. Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/grayware da includere nel messaggio e-mail. È possibile includere il nomedell'agente/dominio, il nome del rischio per la sicurezza, la data e l'ora delrilevamento, il file infetto e il percorso e il risultato della scansione.


7-108

f. Accettare o modificare i messaggi di notifica predefiniti.


a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezionidi spyware/grayware.


c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Perinformazioni, vedere Tabella 7-28: Variabili token per le notifiche dei rischi per lasicurezza a pagina 7-107.


a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezionidi spyware/grayware.


c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Perinformazioni, vedere Tabella 7-28: Variabili token per le notifiche dei rischi per lasicurezza a pagina 7-107.


Configurazione della prevenzione dei rischi per lasicurezza

Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misuredi prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delleimpostazioni di prevenzione, poiché eventuali errori di configurazione possonoprovocare problemi imprevisti nella rete.

Procedura

1. Accedere a Agenti > Prevenzione delle infezioni.


7-109


3. Fare clic su Avvia Prevenzione delle infezioni.

4. Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurarele impostazioni per il criterio:

• Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-110

• Blocco delle porte vulnerabili a pagina 7-111

• Divieto di accesso in scrittura a file e cartelle a pagina 7-113

• Divieto di accesso ai file compressi eseguibili a pagina 7-115

• Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche apagina 7-114

5. Selezionare i criteri da applicare.

6. Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Ilvalore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni direte prima che il periodo di prevenzione delle infezioni scada.

AVVERTENZA!Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Perbloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo ditempo indeterminato, anziché utilizzare OfficeScan si consiglia di modificaredirettamente le impostazioni dell'dispositivo e della rete.

7. Accettare o modificare il messaggio di notifica dell'agente predefinito.

NotaPer configurare OfficeScan per l'invio di notifiche durante un'infezione, accedere aAmministrazione > Notifiche > Infezione.


Le misure di prevenzione delle infezioni selezionate vengono visualizzate in unanuova finestra.


7-110

9. Nella struttura agente Prevenzione delle infezioni, selezionare la colonnaPrevenzione delle infezioni.

Accanto ai computer a cui vengono applicate le misure di prevenzione delleinfezioni viene visualizzato un segno di spunta.

OfficeScan registra i seguenti eventi nei registri eventi di sistema:

• Eventi server (avvio della prevenzione delle infezioni e notifica agli agenti perl'attivazione della prevenzione delle infezioni)

• Evento agente OfficeScan (attivazione della prevenzione delle infezioni)

Criteri per la prevenzione delle infezioni

Quando si verificano le infezioni, implementare i seguenti criteri:

• Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-110

• Blocco delle porte vulnerabili a pagina 7-111

• Divieto di accesso in scrittura a file e cartelle a pagina 7-113

• Divieto di accesso ai file compressi eseguibili a pagina 7-115

• Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina7-114

Limitazione/Negazione dell'accesso alle cartelle condivise

Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivisedella rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartellecondivise.

Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle,ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisaregli utenti di non condividere le cartelle durante un'infezione oppure implementare dinuovo il criterio per applicarlo alle nuove cartelle condivise.


7-111

Procedura




4. Fare clic su Limita/impedisci l'accesso alle cartelle condivise.

5. Selezionare una delle opzioni seguenti:

• Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise

• Impedisci accesso completo

Nota

l'impostazione di accesso in sola lettura non si applica alle cartelle condivise giàconfigurate per impedire l'accesso completo.


Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delleinfezioni.



Blocco delle porte vulnerabili

Durante le infezioni, è necessario bloccare le porte vulnerabili che virus e minacceinformatiche potrebbero utilizzare per accedere ai computer dell'agente OfficeScan.


7-112

AVVERTENZA!Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione.Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili.Ad esempio, se viene bloccata la porta affidabile, OfficeScan non riesce a comunicare conl'agente per tutta la durata dell'infezione.

Procedura




4. Fare clic su Blocco delle porte.

5. Decidere se selezionare l'opzione Blocca porta affidabile.

6. Selezionare le porte da bloccare nella colonna Porte bloccate.

a. Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata chesi apre, selezionare le porte da bloccare e fare clic su Salva.

• Tutte le porte (ICMP incluso): blocca tutte le porte eccetto quellaaffidabile. Se si desidera bloccare anche la porta affidabile, selezionare lacasella di controllo Blocca porta affidabile nella schermata precedente.

• Porte comunemente usate: selezionare almeno un numero di porta dasalvare nelle impostazioni per il blocco delle porte di OfficeScan.

• Porte dei cavalli di Troia: blocca le porte normalmente utilizzate daiprogrammi cavalli di Troia. Per informazioni, vedere Porta dei cavalli diTroia a pagina E-14.

• Un numero o intervallo di porte: è possibile specificare la direzione deltraffico da bloccare e alcuni commenti, come il motivo per cui devonoessere bloccate le porte specificate.

• Protocollo ping (respingi ICMP): fare clic su questa opzione se sidesidera soltanto bloccare i pacchetti ICMP, come ad esempio lerichieste ping.


7-113

b. Per modificare le impostazioni per le porte bloccate, fare clic sul numero diporta.

c. Nella schermata che si apre, modificare le impostazioni e fare clic su Salva.

d. Per rimuovere una porta dall'elenco, selezionare la casella di controllo accantoal numero di porta e fare clic su Elimina.





Divieto di accesso in scrittura a file e cartelle

I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartellesui computer host. Durante un'infezione è possibile configurare OfficeScan perimpedire a virus e minacce informatiche di modificare o eliminare file e cartelle suicomputer agente OfficeScan.

AVVERTENZA!

OfficeScan non supporta il divieto dell'accesso in scrittura sulle unità di rete collegate.

Procedura




4. Fare clic su Impedisci accesso alla scrittura di file e cartelle.


7-114

5. Inserire il percorso directory. Dopo avere digitato il percorso directory daproteggere, fare clic su Aggiungi.

Nota

Digitare il percorso assoluto (non quello virtuale) della directory.

6. Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i filecon determinate estensioni. Per le estensioni dei file, per specificare un'estensionenon compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi.

7. Per proteggere file specifici, in File da proteggere, inserire il nome file completo efare clic su Aggiungi.





Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche

È possibile configurare Prevenzione delle infezioni virali, come protezione contro leminacce per la sicurezza che utilizzano i processi mutex sovrascrivendo le risorserichieste dalla minaccia per diffondere l'infezione in tutto il sistema. La prevenzione delleinfezioni virali crea esclusioni reciproche su file e processi relazionati alle minacceinformatiche note, prevenendone l'accesso a queste risorse.

Suggerimento

Trend Micro consiglia di conservare queste esclusioni fino all'implementazione di unasoluzione per le minacce informatiche. Contattare l'assistenza per ottenere i nomi mutexcorretti da proteggere durante un'infezione.


7-115

NotaIl trattamento di esclusione reciproca richiede il Servizio prevenzione modifiche nonautorizzate e supporta solo le piattaforme a 32 bit.

Procedura




4. Fare clic su Crea trattamento (mutex) di esclusione reciproca sui file/processi malware.

5. Digitare il nome mutex come protezione contro il campo del testo fornito.

Aggiungere o rimuovere i nomi mutex dall'elenco usando i pulsanti + e -.

NotaPrevenzione delle infezioni virali supporta il trattamento di esclusione reciproca perun massimo di sei minacce mutex.





Divieto di accesso ai file compressi eseguibili

Durante le infezioni, impedire l'accesso ai file compressi eseguibili può prevenire ladiffusione nella rete di possibili rischi per la sicurezza che questi file possono contenere.


7-116

È possibile scegliere di consentire l'accesso ai file affidabili creati dai programmi packereseguibili supportati.

Procedura




4. Fare clic su Impedisci l'accesso a file compressi eseguibili.

5. Selezionare dall'elenco dei programmi packer eseguibili supportati e fare clic suAggiungi, per consentire l'accesso ai relativi file eseguibili creati da tali programmipacker.

Nota

È possibile approvare solo l'uso dei file compressi creati dai programmi packernell'elenco Packer eseguibili. La Prevenzione delle infezioni virali nega l'accesso a tuttigli altri formati di file compressi eseguibili.





Disattivazione della prevenzione delle infezioniSe si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati omessi in quarantena da OfficeScan, ripristinare le normali impostazioni di retedisattivando la funzione di prevenzione delle infezioni.


7-117

Procedura



3. Fare clic su Ripristina impostazioni.

4. Per informare gli utenti che l'infezione è terminata, selezionare Invia una notificaagli utenti dopo il ripristino delle impostazioni originali.

5. Accettare o modificare il messaggio di notifica dell'agente predefinito.

6. Fare clic su Ripristina impostazioni.

NotaSe non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristinaautomaticamente trascorso il numero di ore specificato in Ripristinaautomaticamente le normali impostazioni di rete dopo __ ore nella schermataImpostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore.

OfficeScan registra i seguenti eventi nei registri eventi di sistema:

• Eventi server (avvio della prevenzione delle infezioni e notifica agli agentiOfficeScan per l'attivazione della prevenzione delle infezioni)

• Evento agente OfficeScan (attivazione della prevenzione delle infezioni)

7. Dopo aver disattivato la prevenzione dalle infezioni, effettuare la scansione deicomputer di rete per contrastare eventuali rischi per la prevenzione.

8-1

Capitolo 8

Uso di Monitoraggio delcomportamento

Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzandola funzione di Monitoraggio del comportamento.


• Monitoraggio del comportamento a pagina 8-2

• Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-8

• Privilegi di monitoraggio del comportamento a pagina 8-10

• Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina8-13

• Registri di Monitoraggio del comportamento a pagina 8-14


8-2

Monitoraggio del comportamentoIl Monitoraggio del comportamento controlla costantemente gli dispositivo alla ricercadi modifiche insolite al sistema operativo o al software installato. Il Monitoraggio delcomportamento protegge gli dispositivo con il Blocco del comportamento malware eil Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco dieccezioni configurato dall'utente e il servizio Certified Safe software.

Importante

• Il Monitoraggio del comportamento non supporta le piattaforme Windows XP oWindows 2003 a 64 bit.

• Il Monitoraggio del comportamento supporta le piattaforme Windows Vista a 64 bitcon SP1 o versioni successive.

• Per impostazione predefinita, il Monitoraggio del comportamento è disattivato in tuttele versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012.Prima di attivare il Monitoraggio del comportamento su queste piattaforme server,leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan apagina 14-7.

Blocco del comportamento malwareIl Blocco del comportamento malware offre uno strato necessario di protezioneaggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso.Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguonovarie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva icomportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questafunzione per garantire un livello più alto di protezione contro le minacce nuove,sconosciute ed emergenti.

Monitoraggio del comportamento malware fornisce le tre opzioni di scansione a livellodi minaccia seguenti:

• Minacce note: blocca i comportamenti associati alle minacce informaticheconosciute

• Minacce note e potenziali: blocca il comportamento associato alle minacceconosciute e intraprende azioni sul comportamento potenzialmente dannoso

Uso di Monitoraggio del comportamento

8-3

Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizzauna notifica sull'dispositivo agente OfficeScan. Per ulteriori informazioni sulle notifiche,vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina8-13.

Monitoraggio degli eventiMonitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchisoftware e malware non autorizzati. Controlla le aree di sistema alla ricerca dideterminati eventi, consentendo agli amministratori di regolare i programmi che attivanoquesti eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezionedel sistema che superano e che esulano da quelli garantiti dal Blocco del comportamentomalware.

La tabella seguente contiene l'elenco degli eventi di sistema monitorati.

TABELLA 8-1. Eventi di sistema controllati

EVENTI DESCRIZIONE

Duplicazione dei filedi sistema

Molti programmi dannosi creano copie di sé stessi o di altriprogrammi dannosi servendosi dei nomi utilizzati dai file disistema di Windows. Lo scopo è generalmente quello di avere laprecedenza o di sostituirsi ai file di sistema, di evitare ilrilevamento o di disincentivare gli utenti dall'eliminare i filedannosi.

Modifica del fileHosts

Il file Hosts abbina il nome di dominio agli indirizzi IP. Moltiprogrammi dannosi modificano il file Hosts e fanno in modo che ilbrowser Web venga reindirizzato verso siti Web infetti, inesistentio falsificati.

Comportamentosospetto

Il comportamento sospetto può essere rappresentato daun'operazione specifica o una serie di operazioni raramentesvolte da programmi legittimi. I programmi che rivelano uncomportamento sospetto devono essere utilizzati con cautela.

Nuovo plug-in perInternet Explorer

I programmi spyware/grayware spesso installano dei plug-in nonrichiesti per Internet Explorer, come barre degli strumenti e oggettiBHO (Browser Helper Object).


8-4

EVENTI DESCRIZIONE

Modifica delleimpostazioni diInternet Explorer

Molti virus/minacce informatiche modificano le impostazioni diInternet Explorer, comprese quelle relative a home page, siti Webaffidabili, impostazioni del server proxy ed estensioni dei menu.

Modifica dei criteridi protezione

Le modifiche ai criteri di protezione di Windows possonoconsentire alle applicazioni indesiderate di essere eseguite e dimodificare le impostazioni di sistema.

Caricamento dilibrerie diprogramma

Molti programmi dannosi configurano Windows in modo che tuttele applicazioni carichino automaticamente una libreria diprogramma (DLL). Questo causa l'esecuzione delle routinedannose nelle DLL ad ogni avvio dell'applicazione.

Modifica della shell Molti programmi dannosi modificano le impostazioni della shell diWindows per associare sé stessi a determinati tipi di file. Questaroutine consente ai programmi dannosi di venire avviatiautomaticamente quando l'utente apre i file ad essi associati inEsplora risorse. Le modifiche alle impostazioni della shell diWindows sono anche in grado di consentire ai programmi dannosidi rilevare i programmi utilizzati dall'utente e vengono avviatiinsieme alle applicazioni legittime.

Nuovo servizio I servizi di Windows sono processi con funzioni speciali e ingenere rimangono in esecuzione costante in background conaccesso amministrativo completo. I programmi dannosi spesso siinstallano come servizi, in modo da rimanere nascosti.

Modifica dei file disistema

Alcuni file di sistema di Windows determinano il comportamentodel sistema, compresi i programmi di avvio e le impostazioni delsalvaschermo. Molti programmi dannosi modificano i file disistema per poter essere avviati automaticamente all'avvio econtrollare il comportamento del sistema.

Modifica dei criteridel firewall

I criteri di Windows Firewall determinano quali applicazioni hannoaccesso alla rete, quali porte sono aperte per la comunicazione equali indirizzi IP possono comunicare con il computer dell'utente.Molti programmi dannosi modificano i criteri per aprirsi un varconella rete e in Internet.

Modifica deiprocessi di sistema

Molti programmi dannosi eseguono varie operazioni sui processiintegrati di Windows. Esempi di tali operazioni sono l'interruzioneo la modifica dei processi in esecuzione.


8-5

EVENTI DESCRIZIONE

Nuovo programmadi avvio

Le applicazioni dannose solitamente aggiungono o modificanovoci di avvio automatiche nel registro Windows che vengonoavviate automaticamente ogni volta che il computer viene acceso.

Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azioneconfigurata per l'evento.

La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventidi sistema monitorati.

TABELLA 8-2. Azioni per eventi di sistema controllati

AZIONE DESCRIZIONE

Valuta OfficeScan autorizza sempre i programmi associati a un eventoma tiene traccia dell'operazione nei registri ai fini della valutazione.

Questa è l'azione predefinita per tutti gli eventi di sistemacontrollati.

NotaQuesta opzione non è supportata per il Caricamento dilibrerie di programma sui sistemi a 64 bit.

Consenti OfficeScan autorizza sempre i programmi associati a un evento.


8-6

AZIONE DESCRIZIONE

Chiedi senecessario

OfficeScan chiede agli utenti se consentire o negare i programmiassociati a un evento e aggiungere i programmi all'elenco dieccezioni

Se l'utente non risponde entro un determinato periodo di tempo,OfficeScan autorizza automaticamente l'esecuzione delprogramma. Il periodo di tempo predefinito è 30 secondi. Permodificare il periodo di tempo, vedere Configurazione delleimpostazioni del monitoraggio del comportamento globale a pagina8-8.

NotaQuesta opzione non è supportata per il Caricamento dilibrerie di programma sui sistemi a 64 bit.

Impedisci OfficeScan blocca sempre i programmi associati a un evento etiene traccia dell'operazione nei registri.

Quando un programma viene bloccato e le notifiche sono attivate,OfficeScan visualizza una notifica sul computer OfficeScan. Perulteriori informazioni sulle notifiche, vedere Notifiche diMonitoraggio del comportamento per gli utenti degli agentiOfficeScan a pagina 8-13.

Elenco eccezioni Monitoraggio del comportamento

L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che nonvengono controllati da Monitoraggio del comportamento.

• Programmi approvati: i programmi contenuti in questo elenco possono essereeseguiti. I programmi approvati vengono comunque controllati da altre funzioni diOfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione.

• Programmi bloccati: non è possibile avviare i programmi inclusi in questo elenco.Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi.

Configurare l'elenco di eccezioni dalla console Web. È anche possibile assegnare agliutenti il privilegio di configurare il proprio elenco di eccezioni dalla console agente


8-7

OfficeScan. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina8-10.

Configurazione del Blocco del comportamento malware, delMonitoraggio degli eventi e dell'Elenco di Eccezione

Procedura



3. Fare clic su Impostazioni > Impostazioni del monitoraggio delcomportamento.

4. Selezionare Attiva il Blocco del comportamento malware per minacce note epotenziali e una delle opzioni seguenti:

• Minacce note: blocca i comportamenti associati alle minacce informaticheconosciute

• Minacce note e potenziali: blocca il comportamento associato alle minacceconosciute e intraprende azioni sul comportamento potenzialmente dannoso

5. Configurare le impostazioni del monitoraggio degli eventi.

a. Selezionare Attiva Monitoraggio degli eventi.

b. Scegliere gli eventi di sistema da controllare e selezionare un'azione perciascuno degli eventi selezionati. Per informazioni sugli eventi di sistemacontrollati e le azioni, vedere Monitoraggio degli eventi a pagina 8-3.

6. Configurare gli elenchi delle eccezioni.

a. In Digitare il percorso completo del programma, digitare l'intero percorsodel programma da approvare o da bloccare. Separare le diverse voci con unpunto e virgola (;).

b. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elencoBloccati.


8-8

c. Per eliminare dall'elenco un programma bloccato o approvato, fare clicsull'icona del cestino ( ) accanto al programma.

Nota

OfficeScan accetta un massimo di 100 programmi approvati e 100 programmibloccati.




Configurazione delle impostazioni delmonitoraggio del comportamento globale

OfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti condeterminati privilegi.

Procedura


2. Passare alla sezione Impostazioni del monitoraggio del comportamento .

3. Configurare le seguenti impostazioni, in base alle necessità:


8-9

OPZIONE DESCRIZIONE

Autorizzaautomaticamenteil programma sel'utente nonrisponde entro __secondi

Questa impostazione funziona solo se è attivato ilMonitoraggio degli eventi e l'azione per un evento di sistemacontrollato è "Chiedi se necessario". Questa azione chiedeall'utente se consentire o negare i programmi associatiall'evento. Se l'utente non risponde entro un determinatoperiodo di tempo, OfficeScan autorizza automaticamentel'esecuzione del programma. Per i dettagli, consultareMonitoraggio degli eventi a pagina 8-3.

Chiedi all'utenteprima di eseguirenuovi programmiscaricati tramiteHTTP oapplicazioni e-mail (esclusepiattaformeserver)

Il Monitoraggio del comportamento, insieme ai Servizi direputazione Web, verifica la prevalenza di file scaricati tramitele applicazioni e-mail o i canali HTTP. Dopo aver rilevato unfile "nuovo", gli amministratori possono scegliere di chiedereconferma agli utenti prima di eseguire il file. Trend Microclassifica un programma come nuovo in base al numero dirilevamenti del file o all'età storica del file determinata daSmart Protection Network.

Monitoraggio del comportamento effettua la scansione dei tipidi file seguenti per ciascun canale:

• HTTP: esegue la scansione dei file .exe.

• Applicazioni e-mail: esegue la scansione dei file .exe edei file .exe compressi nei file .zip e .rar noncrittografati.

Nota

• Gli amministratori devono attivare Servizi direputazione Web sull'agente per consentire aOfficeScan di effettuare la scansione del trafficoHTTP prima che venga visualizzata la richiesta.

• Per i sistemi Windows 7, Vista e XP, questoprompt supporta solo le porte 80, 81 e 8080.

• OfficeScan abbina i nomi dei file scaricati tramiteapplicazioni e-mail durante il processo diesecuzione. Se il nome del file è stato modificato,l'utente non riceve alcun prompt.


8-10

4. Accedere alla sezione Impostazioni servizio certificato Safe Software e attivareil Servizio certificato Safe Software, come necessario.

Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare lasicurezza di un programma rilevato da Blocco del comportamento malware,Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizioCertified Safe Software per ridurre la possibilità di falsi allarmi.

NotaAssicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (permaggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima diattivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme auna connessione Internet intermittente, possono provocare ritardi o mancate rispostedai datacenter Trend Micro. Di conseguenza, i programmi controllati nonrispondono.

Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente aidatacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizziIP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan dicollegarsi ai datacenter Trend Micro.


Privilegi di monitoraggio del comportamentoSe gli agenti dispongono dei privilegi di Monitoraggio del comportamento, l'opzioneMonitoraggio del comportamento viene visualizzata nella schermata Impostazioni nella


8-11

console dell'agente OfficeScan. Gli utenti possono, quindi, gestire il proprio elenco dieccezioni.

FIGURA 8-1. Opzione Monitoraggio del comportamento nella console dell'agenteOfficeScan


8-12

Concessione dei privilegi di monitoraggio delcomportamento

Procedura




4. Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio delcomportamento.

5. Selezionare Visualizza le impostazioni Monitoraggio del comportamentonella console agente OfficeScan.





8-13

Notifiche di Monitoraggio del comportamentoper gli utenti degli agenti OfficeScan

OfficeScan può visualizzare un messaggio di notifica sul computer agente OfficeScansubito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivarel'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio.

Attivazione dell'invio di messaggi di notifica

Procedura




4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni delmonitoraggio del comportamento .

5. Selezionare Visualizza una notifica quando un programma viene bloccato.





8-14

Modifica del contenuto del messaggio di notifica

Procedura


2. Dal menu a discesa Tipo, selezionare Violazioni dei criteri di monitoraggio delcomportamento.

3. Modificare il messaggio predefinito nella casella di testo disponibile.


Registri di Monitoraggio del comportamentoGli agenti OfficeScan registrano le istanze di accesso non autorizzato ai programmi einviano i registri al server. Un agente OfficeScan che è sempre in esecuzione raccoglie iregistri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti.


Visualizzazione dei registri di Monitoraggio delcomportamento

Procedura

1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >Gestione agente.



8-15

3. Fare clic su Registri > Registri di Monitoraggio del comportamento oppureVisualizza registri > Registri di Monitoraggio del comportamento.



• Data/Ora di rilevamento del processo non autorizzato

• Dispositivo in cui il processo non autorizzato è stato rilevato

• Dominio dell'dispositivo

• Violazione, ossia la regola di monitoraggio dell'evento violata dal processo

• Azione eseguita al rilevamento della violazione

• Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso

• Livello di rischio del programma non autorizzato

• Programma, ossia il programma non autorizzato

• Operazione, ossia l'azione eseguita dal programma non autorizzato

• Destinazione, ossia il processo al quale è stato eseguito l'accesso


Configurazione della pianificazione dell'invio dei registridi Monitoraggio del comportamento:

Procedura

1. Accedere a <Cartella di installazione del server>\PCCSRV.

2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.

3. Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto adessa.


8-16

Il valore predefinito è 3600 secondi e la stringa completa èSendBMLogPeriod=3600.

4. Specificare il valore in secondi.

Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in7200.

5. Salvare il file.


7. Fare clic su Salva senza cambiare le impostazioni.

8. Riavviare l'agente.

9-1

Capitolo 9

Utilizzo di Controllo dispositivoQuesto capitolo descrive come proteggere i computer dai rischi per la sicurezzautilizzando la funzione di Controllo dispositivo.


• Controllo dispositivo a pagina 9-2

• Autorizzazioni per dispositivi di archiviazione a pagina 9-4

• Autorizzazioni per dispositivi non di archiviazione a pagina 9-11

• Modifica delle notifiche di controllo dispositivo a pagina 9-18

• Registri di controllo dispositivo a pagina 9-18


9-2

Controllo dispositivoControllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorsedi rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e ladispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischiper la sicurezza.

È possibile configurare i criteri di Controllo dispositivo per gli agenti interni ed esterni.Gli amministratori OfficeScan in genere configurano criteri più rigidi per gli agentiesterni.

I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibileapplicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicareun singolo criterio a tutti gli agenti.

Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definitinella schermata Località computer (vedere Posizione dispositivo a pagina 14-2) perdeterminarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni voltache cambia la posizione.

Importante

• Per impostazione predefinita, il Controllo dispositivo è disattivato in tutte le versionidi Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima diattivare il Controllo dispositivo su queste piattaforme server, leggere le linee guida e lemigliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7.

Utilizzo di Controllo dispositivo

9-3

Importante

• I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendonodall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concessoin licenza separatamente che deve essere attivato prima dell'utilizzo. Per ulterioriinformazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina3-4.

TABELLA 9-1. Tipi di dispositivo

PROTEZIONE DATIATTIVATA

PROTEZIONE DATI NONATTIVATA

Dispositivi mobili

Dispositivi mobili Monitorato Non monitorato

Dispositivi di archiviazione

CD/DVD Monitorato Monitorato

Dischi floppy Monitorato Monitorato

Unità di rete Monitorato Monitorato

Dispositivi USB diarchiviazione

Monitorato Monitorato

Dispositivi non di archiviazione

Adattatori Bluetooth Monitorato Non monitorato

Porte COM e LPT Monitorato Non monitorato

Interfaccia IEEE 1394 Monitorato Non monitorato

Dispositivi perl'acquisizione diimmagini

Monitorato Non monitorato

Dispositivi a infrarossi Monitorato Non monitorato

Modem Monitorato Non monitorato

Scheda PCMCIA Monitorato Non monitorato

Tasto Stamp Monitorato Non monitorato

Schede NIC wireless: Monitorato Non monitorato

• Per un elenco dei modelli di dispositivi supportati, consultare gli elenchi di protezione datisu:




9-4

Autorizzazioni per dispositivi di archiviazioneLe autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengonoutilizzate per:

• Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy eunità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitareil livello di accesso.

• Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllodispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione,ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibileconsentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.

La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi diarchiviazione.

TABELLA 9-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione

AUTORIZZAZIONI FILE NEL DISPOSITIVO FILE IN ENTRATA

Accesso completo Operazioni consentite: copia,spostamento, apertura,salvataggio, eliminazione,esecuzione

Operazioni consentite:salvataggio, spostamento, copia

Ciò significa che un file puòessere salvato, spostato ecopiato nel dispositivo.

Modifica Operazioni consentite: copia,spostamento, apertura,salvataggio, eliminazione

Operazioni non consentite:esecuzione

Operazioni consentite:salvataggio, spostamento, copia

Lettura edesecuzione

Operazioni consentite: copia,apertura, esecuzione

Operazioni non consentite:salvataggio, spostamento,eliminazione

Operazioni non consentite:salvataggio, spostamento, copia


9-5

AUTORIZZAZIONI FILE NEL DISPOSITIVO FILE IN ENTRATA

Lettura Operazioni consentite: copia,apertura

Operazioni non consentite:salvataggio, spostamento,eliminazione, esecuzione


Elenca solocontenutodispositivo

Operazioni non consentite: tuttele operazioni

Il dispositivo e i file che contienesono visibili all'utente (adesempio, da Esplora risorse diWindows).


Blocca

(disponibile dopol'attivazione dellaProtezione dati)

Operazioni non consentite: tuttele operazioni

Il dispositivo e i file che contienenon sono visibili all'utente (adesempio, da Esplora risorse diWindows).


La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi epuò prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file,ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, vieneeseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Sel'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia,l'azione di scansione è Elimina, il file viene eliminato.

SuggerimentoIl controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per ilmonitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportati daOfficeScan, impostare l'autorizzazione dei dispositivi su Blocca per limitare l'accesso a talidispositivi.


9-6

Autorizzazioni avanzate per i dispositivi di archiviazioneLe autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate perla maggior parte dei dispositivi di archiviazione. È possibile applicare una delleautorizzazioni seguenti:

• Modifica

• Lettura ed esecuzione

• Lettura

• Elenca solo contenuto dispositivo

È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per alcuniprogrammi sui dispositivi di archiviazione e sull'dispositivo locale.

Per definire i programmi, configurare gli elenchi di programmi seguenti.


9-7

TABELLA 9-3. Elenchi di programmi

ELENCO DIPROGRAMMI

DESCRIZIONE VALORI VALIDI

Programmi conaccesso in letturae scrittura aidispositivi

Questo elenco contiene i programmi locali ei programmi dei dispositivi di archiviazioneche hanno accesso in lettura e scrittura aidispositivi.

Un esempio di programma locale èMicrosoft Word (winword.exe), di solitoinstallato in C:\\Programmi\\MicrosoftOffice\\Office. Se l'autorizzazione per idispositivi di archiviazione USB è "Elencasolo contenuto dispositivo", ma "C:\\Programmi\\Microsoft Office\\Office\\winword.exe" è incluso nell'elenco:

• L'utente avrà accesso in lettura escrittura a tutti i file del dispositivo diarchiviazione USB a cui Microsoft Wordha accesso.

• L'utente può salvare, spostare ocopiare un file Microsoft Word suldispositivo di archiviazione USB.

Nome e percorso delprogramma

Per i dettagli,consultare Specificadi nome e percorsodel programma apagina 9-9.

Programmi sudispositivi a cui èconsentitoeseguire

Questo elenco contiene i programmi deidispositivi di archiviazione che possonoessere eseguiti dagli utenti o dal sistema.

Ad esempio, per consentire agli utenti diinstallare il software da un CD, aggiungerea questo elenco il nome e il percorso delprogramma di installazione, ad esempio "E:\Installer\Setup.exe",

Nome e percorso delprogramma oprovider della firmadigitale

Per ulteriori dettagli,vedere Specifica dinome e percorso delprogramma a pagina9-9 o Specifica di unprovider della firmadigitale a pagina9-8.

In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi.Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, seattivato, richiede agli utenti di specificare un nome utente e una password validi prima


9-8

che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza unprogramma del dispositivo denominato "Password.exe", che è necessario autorizzareaffinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avereaccesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificareil nome utente o la password.

Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessarioaggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Peristruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Aggiunta diprogrammi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini a pagina 9-16.

AVVERTENZA!I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio root esovrascrivono i programmi nei singoli domini e negli agenti.

Specifica di un provider della firma digitale

Specificare un provider di firma digitale se si ritengono affidabili i programmi delprovider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile


9-9

conoscere il provider della firma digitale verificando le proprietà di un programma (adesempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).

FIGURA 9-1. Provider della firma digitale per il programma agente OfficeScan(PccNTMon.exe)

Specifica di nome e percorso del programma

Il nome e il percorso di un programma devono essere composti da un massimo di 259caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibilespecificare solo il nome del programma.

È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi deiprogrammi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo,come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a caratteremultiplo, come un nome di un programma.


9-10

Nota

I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessariospecificare il nome esatto di una cartella.

Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:

TABELLA 9-4. Uso corretto dei caratteri jolly

ESEMPIO DATI CORRISPONDENTI

?:\Password.exe Il file "Password.exe" si trova direttamente sotto unaqualsiasi unità

C:\Programmi\Microsoft\*.exe Qualsiasi file in C:\Programmi che abbiaun'estensione di file

C:\Programmi\*.* Qualsiasi file in C:\Programmi che abbiaun'estensione di file

C:\Programmi\a?c.exe Qualsiasi file .exe in C:\Programmi composto da 3caratteri che inizi con la lettera "a" e termini con lalettera "c"

C:\* Qualsiasi file che si trovi direttamente sotto l'unità C:\Programmi con o senza un'estensione di file

Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:

TABELLA 9-5. Uso scorretto dei caratteri jolly

ESEMPIO MOTIVO

??:\Buffalo\Password.exe ?? rappresenta due caratteri, mentre le lettere delleunità sono costituite da un solo carattere alfabetico.

*:\Buffalo\Password.exe * rappresenta dati con più caratteri, mentre le letteredelle unità sono costituite da un solo caratterealfabetico.

C:\*\Password.exe I caratteri jolly non possono essere usati perrappresentare nomi di cartelle. È necessariospecificare il nome esatto di una cartella.C:\?\Password.exe


9-11

Autorizzazioni per dispositivi non diarchiviazione

L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Perquesti dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.

Gestione dell'accesso ai dispositivi esterni (Protezionedati attivata)

Procedura



3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agentiesterni o sulla scheda Agenti interni per configurare le impostazioni per gli agentiinterni.

5. Selezionare Attiva controllo dispositivo.

6. Applicare le impostazioni come indicato di seguito:

• Nella scheda Agenti esterni è possibile applicare le impostazioni agli agentiinterni selezionando Applica impostazioni agli agenti interni.

• Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioniagli agenti esterni selezionando Applica impostazioni agli agenti esterni.

7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in undispositivo di archiviazione USB.

8. Configurare le impostazioni per i dispositivi di archiviazione.


9-12

a. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Perulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi diarchiviazione a pagina 9-4.

b. Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca,configurare un elenco dei dispositivi approvati. Gli utenti possono accedere aquesti dispositivi e possono controllare il livello di accesso usando leautorizzazioni. Consultare Configurazione di un elenco Approvati per i dispositiviUSB a pagina 9-13.

9. Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.




Configurazione delle autorizzazioni avanzate

Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinatodispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazionivengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa chefacendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà sidefiniscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.

Nota

Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente iprogrammi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi diarchiviazione a pagina 9-6.


9-13

Procedura

1. Fare clic su Notifiche e autorizzazioni avanzate.


2. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare ilpercorso ed il nome file del programma e fare clic su Aggiungi.

Il provider della firma digitale non viene accettato.

3. Sotto Programmi su dispositivi di archiviazione di cui è consentital'esecuzione:, digitare il percorso ed il nome file del programma oppure il providerdella firma digitale e fare clic su Aggiungi.

4. Selezionare Visualizza un messaggio di notifica sull'dispositivo quandoOfficeScan rileva un accesso non autorizzato ai dispositivi.

• L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate suldispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gliutenti non potranno salvare, spostare, eliminare o eseguire un file suldispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alleautorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4.

• È possibile modificare il messaggio di notifica. Per i dettagli, consultareModifica delle notifiche di controllo dispositivo a pagina 9-18.

5. Fare clic su Indietro.

Configurazione di un elenco Approvati per i dispositivi USBL'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come caratterejolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi chesoddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositiviUSB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elencoapprovati.

Procedura

1. Fare clic su Dispositivi approvati.


9-14

2. Immettere il fornitore del dispositivo.

3. Immettere il modello e l'ID di serie del dispositivo.

Suggerimento

Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi aglidispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.

4. Selezionare l'autorizzazione per ciascun dispositivo.

Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni per dispositivi diarchiviazione a pagina 9-4.

5. Per aggiungere altri dispositivi, fare clic sull'icona (+).

6. Fare clic su < Indietro.

Strumento elenco dispositivi

Eseguire lo Strumento elenco dispositivi localmente su ogni singolo dispositivo pereseguire query sui dispositivi esterni collegati all'dispositivo. Lo strumento analizza undispositivo alla ricerca di dispositivi esterni, quindi visualizza le informazioni suldispositivo in una finestra del browser. Tali informazioni possono quindi essereutilizzate durante la configurazione delle impostazioni dei dispositivi per la Prevenzioneperdita di dati e il Controllo dispositivo.

Esecuzione dello Strumento elenco dispositivi

Procedura

1. Nel computer server OfficeScan, accedere a \PCCSRV\Admin\Utility\ListDeviceInfo.

2. Copiare listDeviceInfo.exe nell'dispositivo di destinazione.

3. Sull'dispositivo, eseguire listDeviceInfo.exe.


9-15

4. Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. LaPrevenzione predita di dati e il Controllo dispositivo utilizzano le seguentiinformazioni:

• Fornitore (obbligatorio)

• Modello (facoltativo)

• ID di serie (facoltativo)

Gestione dell'accesso ai dispositivi esterni (Protezionedati non attivata)

Procedura



3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agentiesterni o sulla scheda Agenti interni per configurare le impostazioni per gli agentiinterni.

5. Selezionare Attiva controllo dispositivo.

6. Applicare le impostazioni come indicato di seguito:

• Nella scheda Agenti esterni è possibile applicare le impostazioni agli agentiinterni selezionando Applica impostazioni agli agenti interni.

• Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioniagli agenti esterni selezionando Applica impostazioni agli agenti esterni.

7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in undispositivo di archiviazione USB.


9-16

8. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulterioriinformazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione apagina 9-4.

9. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per ildispositivo di archiviazione è una delle seguenti: Modifica, Lettura edesecuzione, Lettura o Elenca solo contenuto dispositivo. ConsultareConfigurazione delle autorizzazioni avanzate a pagina 9-12.




Aggiunta di programmi agli elenchi di controllo dispositivocon ofcscan.ini

Nota

Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi chepossono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi diarchiviazione a pagina 9-6.

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV.

2. Aprire il file ofcscan.ini usando un editor di testo.


9-17

3. Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi diarchiviazione:

a. Individuare le righe seguenti:

[DAC_APPROVED_LIST]

Count=x

b. Sostituire "x" con il numero di programmi dell'elenco dei programmi.

c. Sotto "Count=x", aggiungere i programmi digitando quanto segue:

Item<numero>=<nome e percorso del programma o providerdella firma digitale>

Ad esempio:

[DAC_APPROVED_LIST]

Count=3

Item0=C:\Program Files\program.exe

Item1=?:\password.exe

Item2=Microsoft Corporation

4. Per aggiungere i programmi su dispositivi di archiviazione di cui è consentital'esecuzione:

a. Individuare le righe seguenti:

[DAC_EXECUTABLE_LIST]

Count=x

b. Sostituire "x" con il numero di programmi dell'elenco dei programmi.

c. Sotto "Count=x", aggiungere i programmi digitando quanto segue:

Item<numero>=<nome e percorso del programma o providerdella firma digitale>

Ad esempio:


9-18

[DAC_EXECUTABLE_LIST]

Count=3

Item0=?:\Installer\Setup.exe

Item1=E:\*.exe

Item2=Trend Micro, Inc.

5. Salvare e chiudere il file ofcscan.ini .

6. Aprire la console Web OfficeScan e accedere a Agenti > Impostazioni globaliagente.

7. Fare clic su Salva per implementare gli elenchi di programmi in tutti gli agenti.

Modifica delle notifiche di controllo dispositivoI messaggi di notifica sono visualizzati negli dispositivo quando si verificano violazionidel Controllo dispositivo. Se necessario, gli amministratori possono modificare ilmessaggio di notifica predefinito.

Procedura


2. Dal menu a discesa Tipo, selezionare Violazioni del controllo dispositivo

3. Modificare i messaggi predefiniti nella casella di testo disponibile.


Registri di controllo dispositivoGli agenti OfficeScan registrano le istanze di accesso non autorizzato ai dispositivi einviano i registri al server. Qualsiasi agente che è sempre in esecuzione raccoglie i registri


9-19

e li invia dopo 1 ore. Qualsiasi agente che è stato riavviato controlla l'ultima volta che iregistri sono stati inviati al server. Se il tempo trascorso è superiore a 1 ora, l'agente inviai registri immediatamente.


Visualizzazione dei registri di controllo dispositivo

NotaI dati dei registri vengono generati solo dai tentativi di accedere ai Dispositivi diarchiviazione. Gli agenti OfficeScan bloccano o consentono l'accesso ai Dispositivi nondi archiviazione come da configurazione ma non registrano l'operazione.

Procedura



3. Fare clic su Registri > Registri di controllo dispositivo oppure Visualizzaregistri > Registri di controllo dispositivo.



• Data/Ora di rilevamento dell'accesso non autorizzato

• Dispositivo al quale è connesso un dispositivo esterno o è mappata unarisorsa di rete

• Dominio dell'dispositivo al quale è connesso un dispositivo esterno o èmappata una risorsa di rete

• Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso


9-20

• Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui èstato eseguito l'accesso

• Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso

• Autorizzazioni impostate per la destinazione


10-1

Capitolo 10

Utilizzo di Prevenzione perdita di datiIn questo capitolo vengono descritte le modalità di utilizzo della funzione Prevenzioneperdita di dati


• Informazioni sulla Prevenzione perdita di dati a pagina 10-2

• Criteri di Prevenzione perdita di dati a pagina 10-3

• Tipi di identificatore di dati a pagina 10-5

• Modelli di Prevenzione perdita di dati a pagina 10-20

• Canali DLP a pagina 10-25

• Azioni di Prevenzione perdita di dati a pagina 10-37

• Eccezioni di Prevenzione perdita di dati a pagina 10-38

• Configurazione dei criteri Prevenzione perdita di dati a pagina 10-44

• Notifiche di Prevenzione perdita di dati a pagina 10-49

• Registri di Prevenzione perdita di dati a pagina 10-53


10-2

Informazioni sulla Prevenzione perdita di datiLe soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esternedi raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metàdella storia. Le violazioni dei dati sono diventate di ordinaria amministrazione edespongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – apersone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito aerrori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti,oppure attacchi maligni.

Le violazioni dei dati possono:

• Danneggiare la reputazione del marchio.

• Minare la fiducia del cliente nell'azienda.

• Causare spese superflue a copertura dei rimedi e delle multe per violazione dellanormativa in materia di conformità.

• Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furtodella proprietà intellettuale.

Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggila protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura disicurezza.

Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perditeaccidentali o intenzionali. Prevenzione perdita di dati consente di:

• Identificare le informazioni sensibili che devono essere protette utilizzando gliidentificatori di dati.

• Creare criteri che limitano o impediscono la trasmissione delle risorse digitaliattraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositiviesterni.

• Implementare la conformità alle norme vigenti sulla privacy

Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessarioessere in grado di rispondere alle domande seguenti:

• Quali dati è necessario proteggere dagli utenti non autorizzati?

Utilizzo di Prevenzione perdita di dati

10-3

• Dove risiedono i dati sensibili?

• Come sono trasmessi i dati sensibili?

• Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili?

• Quale azione deve essere intrapresa se si verifica una violazione della sicurezza?

Queste importanti domande, in genere, riguardano diversi reparti e impiegati cheutilizzano i dati sensibili nell'ambito dell'organizzazione.

Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibileiniziare a definire gli identificatori di dati e i criteri aziendali.

Criteri di Prevenzione perdita di datiOfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. Icriteri determinano quali file e dati richiedono una protezione dalla trasmissione nonautorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione.

NotaOfficeScan non monitora le trasmissioni di dati tra il server e gli agenti OfficeScan.

OfficeScan consente agli amministratori di configurare i criteri per gli agenti OfficeScaninterni ed esterni. Gli amministratori in genere configurano criteri più rigidi per gli agentiesterni.

Essi hanno la facoltà di far applicare criteri specifici a gruppi di agenti o a singoli agenti.

Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nellaschermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2la Guidadell'amministratore di OfficeScan) per determinare le impostazioni di posizione corretta e ilcriterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione.


10-4

Configurazione dei criteriDefinire i criteri DLP configurando le seguenti impostazioni e implementandole negliagenti selezionati:

TABELLA 10-1. Impostazioni per la definizione di un criterio DLP

IMPOSTAZIONI DESCRIZIONE

Regole Una regola DLP è composta da azioni, canali e modelli multipli.Ciascuna regola è un sottoinsieme del criterio DLP che la include.

NotaModelli e regole dei processi di Prevenzione perdita di dati inbase alla priorità. Se una regola è impostata su “Ignora”,Prevenzione perdita di dati elabora la regola successivadell'elenco. Se una regola è impostata su “Blocca” o su“Giustificazione utente”, Prevenzione perdita di dati blocca oaccetta l'operazione dell'utente e non elabora ulteriormentetale regola/modello.

Modelli I modelli DLP combinano identificatori di dati e operatori logici (E,O, Eccetto) per formare istruzioni condizionali. La regola DLP vieneapplicata solo ai file o ai dati che soddisfano una determinataistruzione condizionale.

Prevenzione perdita di dati comprende una serie di modellipredefiniti e consente agli amministratori di creare modellipersonalizzati.

Una regola DLP può contenere uno o più modelli. Prevenzioneperdita di dati utilizza la prima regola corrispondente quandoverifica i modelli. Questo significa che se un file o dei daticorrispondono agli identificatori di dati in un modello, Prevenzioneperdita di dati non esegue la verifica in altri modelli.

Canali I canali sono entità che trasmettono le informazioni sensibili.Prevenzione perdita di dati supporta i comuni canali ditrasmissione, come la posta elettronica, i dispositivi di archiviazionerimovibili e le applicazioni di messaggistica istantanea.


10-5

IMPOSTAZIONI DESCRIZIONE

Azioni Prevenzione perdita di dati esegue una o più azioni quando rilevaun tentativo di trasmissione di informazioni sensibili attraverso unodei canali.

Eccezioni Le eccezioni adottano azioni di sovrascrittura nei confronti delleregole DLP configurate. Configurare le eccezioni per gestiredestinazioni non monitorate, destinazioni monitorate e scansioni difile compressi.

identificatore didati

Prevenzione perdita di dati utilizza gli identificatori di dati peridentificare le informazioni sensibili. Gli identificatori di datiincludono espressioni, attributi di file e parole chiave che agisconocome elementi di costruzione per i modelli DLP.

Tipi di identificatore di datiLe risorse digitali sono i file e i dati che un'organizzazione deve proteggere datrasmissione non autorizzata. È possibile definire le risorse digitali utilizzando i seguentiidentificatori di dati:

• Espressioni: dati con una determinata struttura. Per i dettagli, consultareEspressioni a pagina 10-6.

• Attributi di file: proprietà dei file, come il tipo e le dimensioni dei file. Per idettagli, consultare Attributi di file a pagina 10-11.

• Elenco di parole chiave: un elenco di parole o frasi speciali. Per i dettagli,consultare Parole chiave a pagina 10-14.

NotaNon è possibile eliminare un identificatore di dati utilizzato da un modello DLP. Eliminareil modello prima di eliminare l'identificatore di dati.


10-6

Espressioni

Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle cartedi credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnn-nnnn", e questo li rende idonei per il rilevamento basato su espressioni.

È possibile usare espressioni predefinite e personalizzate. Per ulteriori dettagli, vedereEspressioni predefinite a pagina 10-6 e Espressioni personalizzate a pagina 10-7.

Espressioni predefinite

In Prevenzione perdita di dati è inclusa una serie di espressioni predefinite. Questeespressioni non possono essere modificate o eliminate.

Prevenzione perdita di dati verifica queste espressioni usando equazioni matematiche eassociazioni dei pattern. Quando Prevenzione perdita di dati individua possibili daticorrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche.

Per un elenco completo delle espressioni predefinite, consultare gli elenchi di protezione datisu http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Visualizzazione delle impostazioni per le espressioni predefinite

Nota

Le espressioni predefinite non possono essere modificate o eliminate.

Procedura

1. Accedere a Prevenzione perdita di dati > Identificatori di dati.

2. Fare clic sulla scheda espressione.

3. Fare clic sul nome dell'espressione.

4. Viene visualizzata la schermata delle impostazioni.

http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx



10-7

Espressioni personalizzate

Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa leproprie esigenze.

Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creareespressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassierrata possono avere un impatto negativo sulle prestazioni.

Durante la creazione delle espressioni:

• Fare riferimento alle espressioni predefinite per ottenere esempi di espressionivalide. Ad esempio, se si crea un'espressione con una data, fare riferimento alleespressioni con il prefisso "Data".

• Si noti che Prevenzione perdita di dati segue i formati di espressioni definiti inPCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE,visitare il seguente sito Web:

http://www.pcre.org/

• Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmio perfezionarle per migliorare i rilevamenti.

Sono disponibili vari criteri per la creazione di espressioni. Un'espressione devesoddisfare i criteri scelti prima che Prevenzione perdita di dati applichi ad essa uncriterio DLP. Per ulteriori informazioni sulle diverse opzioni dei parametri, vedere Criteriper le espressioni personalizzate a pagina 10-7.

Criteri per le espressioni personalizzate

TABELLA 10-2. Opzioni dei criteri per le espressioni personalizzate

CRITERI REGOLA ESEMPIO

Nessuna Nessuna Tutti - Nomi provenienti dall'USCensus Bureau (Ufficio delcensimento degli Stati Uniti)

• Espressione: [^\w]([A-Z][a-z]{1,12}(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]{1,12})[^\w]

http://www.pcre.org/


10-8


Caratteri specifici Un'espressione devecomprendere i caratterispecificati.

Inoltre il numero deicaratteri dell'espressionedeve essere compresoentro il numero minimo emassimo.

Stati Uniti - Numero di registrazioneABA

• Espressione: [^\d]([0123678]\d{8})[^\d]

• Caratteri: 0123456789

• Numero minimo di caratteri: 9

• Numero massimo di caratteri: 9

Suffisso Il suffisso si riferisceall'ultimo segmento diun'espressione. Un suffissodeve comprendere icaratteri specificati econtenere un certo numerodi caratteri.

Inoltre il numero deicaratteri dell'espressionedeve essere compresoentro il numero minimo emassimo.

Tutti - Indirizzo abitazione

• Espressione: \D(\d+\s[a-z.]+\s([a-z]+\s){0,2} (lane|ln|street|st|avenue|ave| road|rd|place|pl|drive|dr|circle| cr|court|ct|boulevard|blvd)\.? [0-9a-z,#\s\.]{0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?)[^\d-]

• Caratteri suffisso: 0123456789-

• Numero di caratteri: 5

• Numero minimo di caratterinell'espressione: 25

• Numero massimo di caratterinell'espressione: 80


10-9


Separatore acarattere singolo

Un'espressione deve averedue segmenti separati daun carattere. La lunghezzadel carattere deve essere 1byte.

Inoltre il numero deicaratteri a sinistra delseparatore deve esserecompreso entro il numerominimo e massimo. Ilnumero di caratteri a destradel separatore non devesuperare il numeromassimo.

Tutti - Indirizzo e-mail

• Espressione: [^\w.]([\w\.]{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}[a-z\.]{0,10})[^\w.]

• Separatore: @

• Numero minimo di caratteri asinistra: 3

• Numero massimo di caratteri asinistra: 15

• Numero massimo di caratteri adestra: 30

Creazione di un'espressione personalizzata

Procedura





4. Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100byte e il nome non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /

5. Immettere una descrizione la cui lunghezza non superi i 256 byte.

6. Immettere l'espressione e specificare se applicare la distinzione tra maiuscole eminuscole.

7. Immettere i dati visualizzati.


10-10

Ad esempio, se si crea un'espressione per i numeri di documenti di identità,immettere un numero di esempio. Questi dati vengono utilizzati solo perriferimento e non vengono visualizzati nel prodotto.

8. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per iparametri scelti (vedere Criteri per le espressioni personalizzate a pagina 10-7):

• Nessuna

• Caratteri specifici

• Suffisso

• Separatore a carattere singolo

9. Provare l'espressione su dati effettivi.

Ad esempio, se l'espressione si riferisce a un documento di identità, digitare unnumero del documento di identità nella casella di testo Dati di prova, fare clic suProva e verificare i risultati.

10. Se i risultati sono soddisfacenti, fare clic su Salva.

Nota

Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado dirilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effettonegativo sulle prestazioni.

11. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugliagenti. Fare clic su Chiudi.

12. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gliagenti.

Importazione di espressioni personalizzate

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienele espressioni. È possibile generare il file esportando le espressioni dal server a cui si staaccedendo o da un altro server.


10-11

Nota

I file di espressioni .dat generati da questa versione di Prevenzione perdita di dati nonsono compatibili con le versioni precedenti.

Procedura



3. Fare clic su Importa e individuare il file .dat che contiene le espressioni.

4. Fare clic sul pulsante Apri.

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Seun'espressione da importare esiste già, viene ignorata.

5. Fare clic su Applica a tutti gli agenti.

Attributi di file

Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributidi file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensionidei file. Ad esempio, una società di sviluppo software potrebbe voler limitare lacondivisione del programma di installazione del software della società al reparto diricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software.In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare latrasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i repartiad eccezione di quello di ricerca e sviluppo.

Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nelcontesto dell'esempio precedente, anche i programmi di installazione del software diterze parti condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzaregli attributi di file insieme ad altri identificatori di file DLP per rilevare in modo piùpreciso i file rilevanti.


10-12

Per un elenco completo dei tipi di file supportati, consultare gli elenchi di protezione dati suhttp://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Creazione di un elenco di attributi di file

Procedura


2. Fare clic sulla scheda attributo di file.



4. Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non devesuperare 100 byte e il nome non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /


6. Selezionare i tipi di file effettivi preferiti.

7. Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file edigitare l'estensione del tipo di file. Prevenzione perdita di dati verifica i file conl'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida perspecificare le estensioni dei file:

• Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.)e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta unnome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol etest.pol.

• Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un puntointerrogativo (?) per indicare un carattere singolo e un asterisco (*) perindicare due o più caratteri. Vedere gli esempi seguenti:

- *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm

- *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr




10-13

- *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp

• Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensionein quanto corrispondere a una parte del nome del file o di un'estensione noncorrelata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg eabc.donor12.pdf.

• Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessarioaggiungere uno spazio dopo il punto e virgola.

8. Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensionidel file devono corrispondere a numeri interi maggiori di zero.




Importazione di un elenco di attributi di fileUtilizzare questa opzione se è disponibile un file .dat in formato corretto che contienegli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributidi file dal server a cui si sta accedo o da un altro server.

NotaI file di attributi del file .dat generati da questa versione di Prevenzione perdita di dati nonsono compatibili con le versioni precedenti.

Procedura


2. Fare clic sulla scheda attributo di file.

3. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributidi file.


10-14


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unelenco di attributi di file da importare esiste già, viene ignorato.


Parole chiave

Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiavecorrelate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi","gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono esserepresenti in un certificato medico. Per impedire la trasmissione di file contenti certificatimedici, è possibile usare queste parole chiave in un criterio DLP e configurarePrevenzione perdita di dati in modo da bloccare i file che contengono tali parole chiave.

È possibile combinare parole di uso comune in modo da formare parole chiavesignificative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo daformare parole chiave che si trovano nei codici sorgente, come "END-IF", "END-READ" e "AT END".

È possibile usare parole chiave predefinite e personalizzate. Per ulteriori dettagli, vedereElenchi parole chiave predefinite a pagina 10-14 e Elenchi parole chiave personalizzate a pagina10-16.

Elenchi parole chiave predefinite

In Prevenzione perdita di dati è inclusa una serie di elenchi di parole chiave predefinite.Questi elenchi di parole chiave non possono essere modificati o eliminati. Ciascunelenco ha delle condizioni incorporate che determinano se il modello deve innescare unaviolazione dei criteri

Per maggiori dettagli sugli elenchi di parole chiave predefinite su Prevenzione perdita didati, consultare il documento Elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.




10-15

Funzionamento degli elenchi di parole chiave

Condizione del numero di parole chiave

Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di undeterminato numero di parole chiave in un documento prima che l'elenco attivi unaviolazione.

La condizione del numero di parole chiave contiene i seguenti valori:

• Tutti: tutte le parole chiave dell'elenco devono essere presenti nel documento.

• Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente neldocumento.

• Numero specifico: nel documento, deve essere presente almeno il numero diparole chiave specificato. Se nel documento è presente un numero di parolesuperiore a quello specificato, Prevenzione perdita di dati attiva una violazione.

Condizione di distanza

Alcuni elenchi contengono una condizione di “distanza” per determinare se è presenteuna violazione. la “distanza” indica il numero di caratteri tra il primo carattere di unaparola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voceseguente:

First Name:_John_ Last Name:_Smith_

La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) ei campi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente,Prevenzione perdita di dati attiva una violazione poiché il numero di caratteri tra "F" nelcampo First Name and e "L" nel campo Last Name è uguale diciotto (18).

Di seguito viene riportato un esempio che non costituisce una violazione:

The first name of our new employee from Switzerland is John. His last name isSmith.


10-16

In questo esempio, il numero di caratteri tra “f” nel campo “first name” e “l” nel campo“last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza enon si verifica una violazione.

Elenchi parole chiave personalizzate

Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiavepredefiniti soddisfa le proprie esigenze.

Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Tale elencodeve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi l'elenco adun criterio. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti:

• Qualsiasi parola chiave

• Tutte le parole chiave

• Tutte le parole chiave comprese tra <x> caratteri

• Il punteggio combinato per le parole chiave supera la soglia

Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzatea pagina 10-16.

Elenchi di parole chiave personalizzate

TABELLA 10-3. Criteri per un elenco di parole chiave

CRITERI REGOLA

Qualsiasiparola chiave

Un file deve contenere almeno una parola chiave dell'elenco di parolechiave.

Tutte le parolechiave

Un file deve contenere tutte le parole chiave dell'elenco di parolechiave.


10-17

CRITERI REGOLA

Tutte le parolechiavecomprese tra<x> caratteri

Un file deve contenere tutte le parole chiave dell'elenco di parolechiave. Inoltre ogni coppia di parole chiave deve essere separata da unmassimo di <x> caratteri.

Ad esempio, si supponga che le tre parole chiave siano WEB, DISK eUSB e che il numero di caratteri specificato sia 20.

Se Prevenzione perdita di dati rileva tutte le parole chiave nell'ordineDISK, WEB e USB, il numero di caratteri dalla "D" (in DISK) alla "W" (inWEB) e dalla "W" alla "U" (in USB) deve essere inferiore o pari a 20caratteri.

I dati seguenti soddisfano i criteri: DISK####WEB############USB

I dati seguenti non soddisfano i criteri:DISK*******************WEB****USB (23 caratteri tra "D" e "W")

Quando si determina il numero dei caratteri, si tenga presente che unnumero basso, quale 10, consente di ottenere tempi di scansione ridottima copre un'area relativamente piccola. Ciò riduce le probabilità dirilevamento di dati sensibili, in particolare nei file di grandi dimensioni.A un numero maggiore corrisponde un'area maggiore, ma i tempi discansione potrebbero essere maggiori.

Il punteggiocombinato perle parolechiave superala soglia

Un file deve contenere una o più parole chiave dell'elenco di parolechiave. Se viene rilevata solo una parola chiave, il punteggio deveessere maggiore della soglia. Se esistono più parole chiave, ilpunteggio combinato deve essere maggiore della soglia.

Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Unaparola o frase riservata, quale "aumento di stipendio" per il repartoRisorse umane, deve avere un punteggio relativamente alto. Parole ofrasi che non sono molto rilevanti possono avere un punteggio minore.

Quando viene configurata la soglia, occorre considerare i punteggiassegnati alle parole chiave. Ad esempio, se esistono cinque parolechiave e tre hanno una priorità alta, la soglia può essere uguale ominore del punteggio combinato delle tre parole chiave di priorità alta.Ciò significa che il rilevamento di queste tre parole chiave è sufficientea considerare il file come sensibile.


10-18

Creazione di un elenco di parole chiave

Procedura


2. Fare clic sulla scheda parola chiave.



4. Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non devesuperare 100 byte e il nome non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /


6. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per icriteri scelti:

• Qualsiasi parola chiave

• Tutte le parole chiave

• Tutte le parole chiave comprese tra <x> caratteri

• Il punteggio combinato per le parole chiave supera la soglia

7. Per aggiungere parole chiave all'elenco in modo manuale:

a. Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte especificare se si applica la distinzione tra maiuscole e minuscole.

b. Fare clic su Aggiungi.

8. Per aggiungere parole chiave con l'opzione "importa":

NotaUtilizzare questa opzione se è disponibile un file .csv in formato corretto checontiene le parole chiave. È possibile generare il file esportando le parole chiave dalserver a cui si sta accedendo o da un altro server.


10-19

a. Fare clic su Importa e individuare il file .csv che contiene le parole chiave.

b. Fare clic sul pulsante Apri.

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Seuna parola chiave da importare esiste già nell'elenco, viene ignorata.

9. Per eliminare le parole chiave, selezionarle e fare clic su Elimina.

10. Per esportare le parole chiave:

Nota

Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppureper importarle su un altro server. Saranno esportate le parole chiave presentinell'elenco. Non è possibile esportare singole parole chiave.

a. Fare clic sul pulsante Esporta.

b. Salvare il file .csv risultante nel percorso desiderato.




Importazione di un elenco di parole chiave

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienegli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parolechiave dal server a cui si sta accedendo o da un altro server.

Nota

I file dell'elenco di parole chiave .dat generati da questa versione di Prevenzione perditadi dati non sono compatibili con le versioni precedenti.


10-20

Procedura


2. Fare clic sulla scheda parola chiave.

3. Fare clic su Importa e individuare il file .dat che contiene le parole chiave.


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unelenco di parole chiave da importare esiste già, viene ignorato.


Modelli di Prevenzione perdita di datiI modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto)per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati chesoddisfano una determinata istruzione condizionale.

Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E devecontenere determinati termini legali (parole chiave) E deve contenere numeri ID(espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterioconsente al personale delle Risorse umane di trasmettere il file stampandolo in modoche la copia stampata possa essere firmata da un dipendente. La trasmissione attraversotutti gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata.

Se sono stati configurati degli identificatori di dati DLP, è possibile creare i proprimodelli. È possibile inoltre usare i modelli predefiniti. Per ulteriori dettagli, vedereModelli DLP personalizzati a pagina 10-21 e Modelli DLP predefiniti a pagina 10-21.

Nota

Non è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modellodal criterio prima di eliminarlo.


10-21

Modelli DLP predefiniti

Prevenzione perdita di dati viene fornito con i seguenti modelli predefiniti che possonoessere utilizzati per conformarsi ai diversi standard normativi. Questi modelli nonpossono essere modificati o eliminati.

• GLBA: Gramm-Leach-Billey Act

• HIPAA: Health Insurance Portability and Accountability Act

• PCI-DSS: Payment Card Industry Data Security Standard

• SB-1386: US Senate Bill 1386

• US PII: United States Personally Identifiable Information

Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengonoprotetti, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Modelli DLP personalizzati

Creare modelli personalizzati se sono stati configurati identificatori di dati. I modellicombinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzionicondizionali.

Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici,vedere Istruzioni condizionali e operatori logici a pagina 10-21.

Istruzioni condizionali e operatori logici

Prevenzione perdita di dati valuta le istruzioni condizionali da sinistra a destra. Prestareattenzione all'uso degli operatori logici durante la configurazione delle istruzionicondizionali. L'uso non corretto genera un'istruzione condizionale non corretta che puòprodurre risultati imprevisti.

Vedere alcuni esempi nella tabella seguente.




10-22

TABELLA 10-4. Esempi di istruzioni condizionali

ISTRUZIONE CONDIZIONALE INTERPRETAZIONE ED ESEMPIO

[Identificatore di dati 1] E[Identificatore di dati 2]Eccetto [Identificatore didati 3]

Un file deve soddisfare [Identificatore di dati 1] e[Identificatore di dati 2] ma non [Identificatore di dati 3].

Ad esempio:

Un file deve essere [un documento Adobe PDF] e devecontenere [un indirizzo e-mail] ma non deve contenere[tutte le parole chiave dell'elenco di parole chiave].

[Identificatore di dati 1] O[Identificatore di dati 2]

Il file deve soddisfare la [Identificatore di dati 1] o[Identificatore di dati 2].

Ad esempio:

Il file deve essere [un documento Adobe PDF] o [undocumento Microsoft Word].

Eccetto [Identificatore didati 1]

Un file non deve soddisfare [Identificatore di dati 1].

Ad esempio:

Un file non deve essere [un file multimediale].

Come indicato nell'ultimo esempio della tabella, il primo identificatore di datinell'istruzione condizionale può avere l'operatore "Eccetto" se un file non devesoddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte deicasi, tuttavia, il primo identificatore di dati non ha un operatore.

Creazione di un modello

Procedura

1. Accedere a Prevenzione perdita di dati > Modelli DLP.



3. Inserire un nome per il modello. La lunghezza del nome non deve superare 100byte e il nome non deve contenere i seguenti caratteri:


10-23

• > < * ^ | & ? \ /


5. Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi".

Durante la selezione delle definizioni:

• Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionaregli identificatori di dati.

• Utilizzare la funzionalità di ricerca per cercare una definizione specifica. Èpossibile immettere il nome completo o una parte del nome dell'identificatoredi dati.

• Ogni modello può comprende al massimo 40 identificatori di dati.

6. Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiunginuova espressione. Configurare le impostazioni dell'espressione nella schermatavisualizzata.

7. Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi suAggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco diattributi di file nella schermata visualizzata.

8. Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi suAggiungere nuova parola chiave. Configurare le impostazioni per l'elenco dellekeyword nella schermata visualizzata.

9. Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde alnumero di volte che un'espressione deve ricorrere prima che Prevenzione perdita didati la applichi a un criterio.

10. Scegliere un operatore logico per ciascuna definizione.

Nota

Prestare attenzione all'uso degli operatori logici durante la configurazione delleistruzioni condizionali. L'uso non corretto genera un'istruzione condizionale noncorretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedereIstruzioni condizionali e operatori logici a pagina 10-21.


10-24

11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fareclic sull'icona del cestino.

12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se noncorrisponde all'istruzione desiderata.



15. Nella schermata Modelli DLP, fare clic su Applica a tutti gli agenti.

Importazione di modelli

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienei modelli. È possibile generare il file esportando i modelli dal server a cui si staaccedendo o da un altro server.

Nota

Per importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di datiassociati (precedentemente denominati Definizioni). Prevenzione perdita di dati non puòimportare i modelli che non dispongono dei relativi identificatori di dati associati.

Procedura

1. Accedere a Prevenzione perdita di dati > Modelli DLP.

2. Fare clic su Importa e individuare il file .dat che contiene i modelli.


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unmodello da importare esiste già, viene ignorato.



10-25

Canali DLPGli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScanpuò monitorare i seguenti canali:

• Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocollidi rete, come HTTP e FTP.

• Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesseutilizzando le periferiche e le applicazioni di un dispositivo locale.

Canali di reteOfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete:

• Client di posta elettronica

• FTP

• HTTP e HTTPS

• Applicazioni di messaggistica istantanea

• Protocollo SMB

• Webmail

Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito dellatrasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato,OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori dellarete locale (LAN). Per ulteriori informazioni sull'ambito della trasmissione, vedereAmbito e destinazioni della trasmissione per i canali di rete a pagina 10-29.

Client di posta elettronica

OfficeScan controlla la posta elettronica trasmessa attraverso vari agenti di posta.OfficeScan controlla l'oggetto, il corpo del messaggio e gli allegati per identificareeventuali identificatori di dati. Per un elenco degli agenti di posta elettronica supportati,consultare il documento Elenchi di protezione dati su:


10-26


Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di postaelettronica. Se il messaggio contiene identificatori di dati, OfficeScan autorizza oppureblocca il messaggio e-mail.

È possibile definire i domini di posta elettronica interni monitorati e non monitorati.

• Domini di posta elettronica monitorati: quando OfficeScan rileva postaelettronica trasmessa a un dominio monitorato, verifica l'azione per il criterio. Inbase all'azione, la trasmissione viene consentita o bloccata.

NotaSe si selezionano agenti di posta elettronica come canali monitorati, affinché unmessaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Alcontrario, un messaggio e-mail inviato a un dominio di posta elettronica monitoratoviene automaticamente monitorato, anche se non corrisponde ad un criterio.

• Domini di posta elettronica non monitorati: OfficeScan consenteimmediatamente la trasmissione dei messaggi e-mail inviati ai domini nonmonitorati.

NotaLe trasmissioni di dati ai domini di posta elettronica monitorati e non monitorati incui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita.La sola differenza è che, per i domini di posta elettronica non monitorati, OfficeScannon registra la trasmissione, mentre per i domini di posta elettronica monitorati, latrasmissione viene sempre registrata.

Specificare i domini usando i seguenti formati; usare la virgola per separare più domini:

• Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina

• Domini di posta elettronica, come example.com

Per i messaggi e-mail inviati tramite il protocollo SMTP, OfficeScan verifica se il serverSMTP di destinazione è presente negli elenchi seguenti:

1. Destinazioni monitorate

2. Destinazioni non monitorate



10-27

Nota

Per ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultareDefinizione di destinazioni non monitorate e monitorate a pagina 10-38.

3. Domini di posta elettronica monitorati

4. Domini di posta elettronica non monitorati

Questo significa che se un messaggio e-mail viene inviato a un server SMTP presentenell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se ilserver SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScanverifica gli altri elenchi.

Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchiseguenti:

1. Domini di posta elettronica monitorati

2. Domini di posta elettronica non monitorati

FTP

Se OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP,controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è statocaricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca ilcaricamento.

Se si configura un criterio che blocca l'upload di file, ricordare quanto segue:

• Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare dinuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire checarichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è statochiuso il client FTP. Informare gli utenti di questa situazione quando vengonoimplementati i criteri DLP.

• Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTPpotrebbe essere eliminato.

Per un elenco dei client FTP supportati, consultare gli elenchi di protezione dati su:


10-28


HTTP e HTTPS

OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS,OfficeScan controlla i dati prima che vengano crittografati e trasmessi.

Per un elenco di applicazioni e browser Web supportati, consultare gli elenchi di protezionedati su:


Applicazioni di messaggistica istantanea

OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni dimessaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengonocontrollati.

Per un elenco di applicazioni di messaggistica istantanea supportate, consultare gli elenchidi protezione dati su:


Quando OfficeScan blocca un messaggio o un file inviato tramite AOL InstantMessenger, MSN, Windows Messenger o Windows Live Messenger, chiude anchel'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non rispondee gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessunanotifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazionequando vengono implementati i criteri DLP.

Protocollo SMB

OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server MessageBlock (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire,salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file èo contiene identificatori di dati e poi autorizza oppure blocca l'operazione.





10-29

Nota

L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, adesempio, Controllo dispositivo non consente lo spostamento di file su unità di retemappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza. Perulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni perdispositivi di archiviazione a pagina 9-4.

Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi,consultare gli elenchi di protezione dati su:


Webmail

I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. SeOfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere secontengono identificatori di dati.

Per un elenco di servizi basati sul Web supportati, consultare gli elenchi di protezione datisu:


Ambito e destinazioni della trasmissione per i canali direte

L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canalidi rete che OfficeScan deve monitorare. Per le trasmissioni che devono esseremonitorate, OfficeScan verifica la presenza di identificatori di dati prima di consentire obloccare la trasmissione. Per le trasmissioni che non devono essere monitorate,OfficeScan non verifica la presenza di identificatori di dati e consente subito latrasmissione.

Ambito trasmissione: Tutte le trasmissioni

OfficeScan esegue il monitoraggio dei dati trasmessi all'esterno del computer host.




10-30

Nota

Trend Micro consiglia di scegliere questo ambito per gli agenti esterni.

Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterneal computer host, definire quanto segue:

• Destinazioni non monitorate: OfficeScan non monitora i dati trasmessi a questedestinazioni.

Nota

Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La soladifferenza è che, per le destinazioni non monitorate, OfficeScan non registra latrasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempreregistrata.

• Destinazioni monitorate: destinazioni specifiche nell'ambito delle destinazioninon monitorate che devono essere monitorate. Le destinazioni monitorate sono:

• Facoltative, se sono state definite destinazioni non monitorate.

• Non configurabili se non sono state definite le destinazioni non monitorate.

Ad esempio:

Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda:

• da 10.201.168.1 a 10.201.168.25

Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tuttigli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, ènecessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi:

Opzione 1:

1. Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non monitorate.

2. Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale alledestinazioni monitorate. Si assuma che siano disponibili 3 indirizzi IP,10.201.168.21-10.201.168.23.


10-31

Opzione 2:

Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio legale alledestinazioni non monitorate:

• 10.201.168.1-10.201.168.20

• 10.201.168.24-10.201.168.25

Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38.

Ambito trasmissione: Solo trasmissioni esterne alla LAN(Local Area Network)

OfficeScan monitora i dati trasmessi a qualsiasi destinazione esterna alla LAN (LocalArea Network).

NotaTrend Micro consiglia di scegliere questo ambito per gli agenti interni.

Per "Rete" si intende la rete locale di un'azienda. Comprende il network attuale(indirizzo IP dell'dispositivo e netmask) e i seguenti indirizzi IP privati standard:

• Classe A: da 10.0.0.0 a 10.255.255.255

• Classe B: da 172.16.0.0 a 172.31.255.255

• Classe C: da 192.168.0.0 a 192.168.255.255

Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue:

• Destinazioni non monitorate: definire destinazioni esterne alla LAN consideratesicure e che non devono essere monitorate.


10-32

NotaLe trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La soladifferenza è che, per le destinazioni non monitorate, OfficeScan non registra latrasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempreregistrata.

• Destinazioni monitorate: definire le destinazioni della LAN da monitorare.

Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38.

Risoluzione dei conflittiSe le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e ledestinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità,in ordine decrescente:

• Destinazioni monitorate

• Destinazioni non monitorate

• Ambito trasmissione

Canali di applicazioni e sistemiOfficeScan può monitorare i seguenti canali di applicazioni e sistemi:

• Archiviazione cloud

• Supporti di registrazione dati (CD/DVD)

• Applicazioni peer-to-peer

• Crittografia PGP

• Stampante

• Dispositivi di archiviazione rimovibili

• Software di sincronizzazione (ActiveSync)


10-33

• Appunti di Windows

Archiviazione cloud

OfficeScan effettua il monitoraggio di file ai quali gli utenti accedono utilizzando leorigini di archiviazione cloud. Per un elenco delle origini di archiviazione cloudsupportate, consultare il documento Elenchi di protezione dati su:


Supporti di registrazione dati (CD/DVD)

OfficeScan controlla i dati registrati su CD o DVD. Per un elenco di software e didispositivi di registrazione dei dati supportati, consultare gli elenchi di protezione dati su:


Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi osoftware supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione èBlocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati.Se OfficeScan rileva almeno un identificatore di dati, tutti i file, compresi quelli che nonsono né contengono identificatori di dati, non verranno registrati. OfficeScan può ancheimpedire l'espulsione del CD o DVD. Se si verifica questo problema, avvertire gli utentiche devono riavviare il processo del software o il dispositivo.

OfficeScan implementa altre regole di registrazione di CD/DVD:

• Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file:

.bud .dll .gif .gpd .htm .ico .ini

.jpg .lnk .sys .ttf .url .xml

• Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) nonvengono controllati per aumentare le prestazioni.

• OfficeScan non controlla i file nelle seguenti directory:

*:\autoexec.bat *:\Windows




10-34

..\Dati applicazioni ..\Cookies

..\Impostazioni locali ..\ProgramData

..\Programmi ..\Users\*\AppData

..\WINNT

• Le immagini ISO create dalle unità e dal software non vengono controllate.

Applicazioni peer-to-peer

OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer.

Per un elenco di applicazioni peer-to-peer supportate, consultare gli elenchi di protezionedati su:


Crittografia PGP

OfficeScan controlla i dati che devono essere crittografati dal software di crittografiaPGP. OfficeScan controlla i dati prima della crittografia.

Per un elenco dei software di crittografia PGP supportati, consultare gli elenchi diprotezione dati su:


Stampante

OfficeScan controlla le operazioni della stampante avviate da varie applicazioni.

OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono statisalvati perché a questo punto le informazioni di stampa sono solo state salvate inmemoria.

Per un elenco di applicazioni di avvio delle operazioni di stampa supportate, consultaregli elenchi di protezione dati su:




10-35


Dispositivi di archiviazione rimovibiliOfficeScan controlla la trasmissione dei dati su o all'interno dei dispositivi diarchiviazione rimovibili. Attività correlate alla trasmissione dei dati comprendono:

• Creazione di un file nel dispositivo

• Copia di un file dal computer host al dispositivo

• Chiusura di un file modificato nel dispositivo

• Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo

Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppureautorizza la trasmissione.

NotaL'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, adesempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo diarchiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguitaanche se DLP la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo,vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4.

Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitanole attività di trasmissione di dati supportati, consultare gli elenchi di protezione dati su:


La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è unprocesso semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Wordpotrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il qualel'utente salva il file). Se il file contiene un identificatore di dati che non deve esseretrasmesso, OfficeScan impedisce il salvataggio del file.

Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue prima il backupdel file (se le dimensioni non superano i 75 MB) in %WINDIR%\system32\dgagent\temp prima di elaborarlo. OfficeScan elimina il file di backup se ha autorizzato latrasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile che il file




10-36

possa essere stato eliminato nel corso del processo. In questo caso, OfficeScan copia ilfile di backup nella cartella che contiene il file originale.

OfficeScan consente di definire le eccezioni. OfficeScan consente sempre la trasmissionedei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base aifornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi.

Suggerimento

Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi aglidispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.

Software di sincronizzazione (ActiveSync)

OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software disincronizzazione.

Per un elenco dei software di sincronizzazione supportati, consultare gli elenchi diprotezione dati su:


Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso laporta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i datisono identificatori di dati prima di autorizzarne o bloccarne la trasmissione.

Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque esserecreato un file con lo stesso nome contenente caratteri in formato non corretto nellacartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono statecopiate sul dispositivo prima che OfficeScan bloccasse la trasmissione.

Appunti di Windows

OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirneo bloccarne la trasmissione.

OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktopremoto. Il monitoraggio avviene sull'entità con l'agente OfficeScan. L'agente OfficeScan



10-37

su una macchina virtuale VMware, ad esempio, può impedire la trasmissione dei datidegli appunti della macchina virtuale al computer host. Allo stesso modo, un computerhost con l'agente OfficeScan non può copiare i dati degli appunti su un dispositivo a cuisi accede da desktop remoto.

Azioni di Prevenzione perdita di datiQuando Prevenzione perdita di dati rileva la trasmissione di identificatori di dati,controlla il criterio DLP per gli identificatori di dati rilevati ed esegue l'azioneconfigurata per il criterio.

Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati.

TABELLA 10-5. Azioni di Prevenzione perdita di dati

AZIONE DESCRIZIONE

Azioni

Ignora Prevenzione perdita di dati consente e registra latrasmissione.

Blocca Prevenzione perdita di dati blocca e registra latrasmissione.

Ulteriori azioni

Notifica all'utente agente Prevenzione perdita di dati visualizza un messaggio dinotifica per informare l'utente della trasmissione di dati ese tale operazione è stata bloccata o consentita.

Registra dati Indipendentemente dall'azione primaria, Prevenzioneperdita di dati registra le informazioni sensibili nella<Cartella di installazione del client>\DLPLite\Forensic. Selezionare questa azione per valutare leinformazioni sensibili da contrassegnate da Prevenzioneperdita di dati.

Le informazioni sensibili registrate possono utilizzaretroppo spazio su disco. Quindi, Trend Micro consigliavivamente di scegliere questa opzione solo perinformazioni particolarmente sensibili.


10-38

AZIONE DESCRIZIONE

Giustificazione utente

NotaQuesta opzione èdisponibile solo dopoaver selezionatol'azione Blocca.

Prevenzione perdita di dati chiede conferma all'utenteprima di eseguire l'azione “Blocca”. L'utente può sceglieredi sovrascrivere l'azione “Blocca” fornendo unaspiegazione del perché sia sicuro ignorare i dati sensibili.Le giustificazioni disponibili sono le seguenti:

• Si tratta di un processo aziendale definito.

• Il responsabile ha approvato il trasferimento deidati.

• I dati di questo file non sono riservati.

• L'utente non sapeva che il trasferimento dei datifosse vietato.

• Altro: Gli utenti forniscono una spiegazionealternativa nel campo del testo disponibile.

Eccezioni di Prevenzione perdita di datiLe eccezioni DLP si applicano all'intero criterio, incluse tutte le regole definite all'internodel criterio. Prevenzione perdita di dati applica le impostazioni delle eccezioni a tutte letrasmissioni prima della scansione delle risorse digitali. Se una trasmissione corrispondea una delle regole di eccezione, Prevenzione perdita di dati consente immediatamente latrasmissione o la scansione, in base al tipo di eccezione.

Definizione di destinazioni non monitorate e monitorate

Definire le destinazioni non monitorate e monitorate in base all'ambito di trasmissionenella scheda Canale. Per ulteriori informazioni su come definire le destinazioni nonmonitorate e monitorate per Tutte le trasmissioni, vedere Ambito trasmissione: Tutte letrasmissioni a pagina 10-29. Per ulteriori informazioni su come definire le destinazioni nonmonitorate e monitorate per Solo trasmissioni esterne alla LAN (Local AreaNetwork), vedere Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local AreaNetwork) a pagina 10-31.


10-39

Seguire queste istruzioni quando si definiscono le destinazioni monitorate e nonmonitorate:

1. Definire ciascuna destinazione secondo:

• Indirizzo IP

• Nome host

• FQDN

• Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32

Nota

Per la subnet mask, Prevenzione perdita di dati supporta solo una porta di tipo CIDR(Classless Inter-Domain Routing). Questo significa che si dovrà immetteresemplicemente un numero come 32 invece di 255.255.255.0.

2. Per utilizzare come destinazione canali specifici, includere i numeri di portapredefiniti o i numeri di porta definiti dall'azienda per tali canali. Ad esempio, laporta 21 in genere è riservata al traffico FTP, la porta 80 al traffico HTTP e laporta 443 al traffico HTTPS. Utilizzare i due punti per separare la destinazione dainumeri di porta.

3. È possibile includere anche intervalli di porte. Per includere tutte le porte, ignorarel'intervallo di porte.

Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta eintervalli di porte:

• 10.1.1.1:80

• host:5-20

• host.domain.com:20

• 10.1.1.1/32:20

4. Separare le destinazioni con delle virgole.


10-40

Regole di decompressione

I file inclusi all'interno di file compressi possono essere sottoposti a scansione perindividuare risorse digitali. Per determinare i file da sottoporre a scansione, Prevenzioneperdita di dati applica le seguenti regole a un file compresso:

• Le dimensioni del file decompresso superano: __ MB (1-512MB)

• I livelli di compressione superano: __ (1-20)

• Il numero di file da analizzare supera: __ (1-2000)

Regola 1: Dimensioni massime di un file decompresso

Un file compresso, una volta decompresso, deve soddisfare il limite specificato.

Esempio: il limite è impostato a 20 MB.

Scenario 1: se le dimensioni di archive.zip dopo la decompressioni sono di 30 MB,nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole nonvengono verificate.

Scenario 2: se le dimensioni di my_archive.zip dopo la decompressioni sono di 10MB:

• Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 eprocede con la Regola 3.

• Se my_archive.zip contiene file compressi, le dimensioni di tutti i filedecompressi devono essere entro il limite. Ad esempio, se my_archive.zipcontiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip:

my_archive.zip

= 10 MB dopo la decompressione

\AAA.rar = 25 MB dopo la decompressione

\BBB.zip = 3 MB dopo la decompressione

\EEE.zip = 1 MB dopo la decompressione


10-41

\222.zip

= 2 MB dopo la decompressione

my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in basealla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20MB. AAA.rar viene ignorato.

Regola 2: Numero massimo di livelli di compressioneI file compresi nel numero specificato di livelli vengono contrassegnati per la scansione.

Ad esempio:

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Se il limite è impostato su due livelli:

• OfficeScan ignora 333.txt perchè si trova al terzo livello.

• OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3:

• DDD.txt (nel primo livello)

• CCC.xls (nel secondo livello)

• 111.pdf (nel secondo livello)

Regola 3: Numero massimo di file da sottoporre a scansioneOfficeScan esegue la scansione dei file fino al limite specificato. OfficeScan esegue lascansione di file e cartelle prima in ordine numerico e poi alfabetico.

Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziatiper la scansione:


10-42

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non vienecontrollata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In talmodo, il numero totale di file da anlizzare diventa 5, come indicato di seguito:

my_archive.zip

\7Folder \FFF.doc

\7Folder \GGG.ppt

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file:

• FFF.doc

• GGG.ppt

• CCC.xls

• DDD.txt


10-43

NotaSe i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati.

Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i fileincorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file.

Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i fileincorporati (ad esempio, abc.exe) vengono contati come file separati.

Eventi che innescano le regole di decompressioneI seguenti eventi innescano le regole di decompressione:

TABELLA 10-6. Eventi che innescano le regole di decompressione

Un file compresso che deve esseretrasmesso corrisponde a un criterio el'azione per il file compresso è Ignora(trasmetti il file).

Ad esempio, per monitorare i file .ZIPtrasmessi dagli utenti, è stato definito unattributo di file (.ZIP) e aggiunto a unmodello, quindi il modello è stato usato inun criterio e l'azione è stata impostata suIgnora.

NotaSe l'azione è Blocca, l'intero filecompresso non viene trasmesso e,quindi, non è necessario eseguire lascansione dei file che questocontiene.

Un file compresso che deve esseretrasmesso non corrisponde a un criterio.

In questo caso, OfficeScan applicacomunque le regole di decompressione alfile compresso per determinare quali file inesso contenuti devono essere sottoposti ascansione per verificare la presenza dirisorse digitali e stabilire se l'intero filecompresso deve essere trasmesso omeno.

Entrambi gli eventi hanno gli stessi risultati. Quando OfficeScan rileva un filecompresso:


10-44

• Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissionedell'intero file compresso.

• Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole.OfficeScan consente la trasmissione dell'intero file compresso se:

• Tutti i file sottoposti a scansione non corrispondono a un criterio.

• Tutti i file sottoposti a scansione corrispondono a un criterio e l'azioneIgnora.

La trasmissione dell'intero file compresso viene bloccata se almeno uno deifile sottoposti a scansione corrisponde a un criterio e l'azione è Blocca.

Configurazione dei criteri Prevenzione perditadi dati

È possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configuratogli identificatori di dati e averli organizzati in modelli.

Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessarioconfigurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri diPrevenzione perdita di dati a pagina 10-3.

Creazione di un criterio di Prevenzione perdita di dati

Procedura



3. Fare clic su Impostazioni > Impostazioni DLP.

4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agentiesterni oppure sulla scheda Agenti interni per configurare un criterio per gli agentiinterni.


10-45

Nota

Configurare le impostazioni della posizione agente se non sono state già configurate.Gli agenti utilizzeranno tali impostazioni per determinare il corretto criterio diPrevenzione perdita di dati da applicare. Per maggiori dettagli, consultare la Posizionedispositivo a pagina 14-2.

5. Selezionare Attiva Prevenzione perdita di dati.

6. Scegliere una delle seguenti opzioni:

• Nella scheda Agenti esterni è possibile applicare tutte le impostazioni diPrevenzione perdita di dati agli agenti interni selezionando Applica tutte leimpostazioni agli agenti interni.

• Nella scheda Agenti interni è possibile applicare tutte le impostazioni diPrevenzione perdita di dati agli agenti esterni selezionando Applica tutte leimpostazioni agli agenti esterni.

7. Nella scheda Regole, fare clic su Aggiungi.

Un criterio può contenere un massimo di 40 regole.

8. Configurare le impostazioni delle regole.

Per maggiori dettagli sulla creazione delle regole DLP, vedere Creazione di regole diPrevenzione perdita di dati a pagina 10-46.

9. Fare clic sulla scheda Eccezioni e configurare eventuali impostazioni di eccezionenecessarie.

Per ulteriori informazioni sulle impostazioni di eccezione disponibili, vedereEccezioni di Prevenzione perdita di dati a pagina 10-38.




10-46


Creazione di regole di Prevenzione perdita di dati

NotaModelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se unaregola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successivadell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”,Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elaboraulteriormente tale regola/modello.

Procedura

1. Selezionare Attiva questa regola.

2. Specificare un nome per la regola.

Configurare le impostazioni dei modelli:

3. Fare clic sulla scheda Modello.

4. Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi.

Quando si selezionano i modelli:

• Selezionare più voci facendo clic sui nomi dei modelli che evidenziano ilnome.

• Usare la funzione di ricerca se si pensa a un modello specifico. È possibiledigitare il nome del modello per intero o parziale.

NotaOgni regola può comprendere un massimo di 200 modelli.

5. Se il modello che si preferisce utilizzare non si trova nell'elenco Modellidisponibili:


10-47

a. Fare clic su Aggiungi nuovo modello.

Viene visualizzata la schermata Modelli di Prevenzione perdita di dati.

Per istruzioni su come aggiungere i modelli nella schermata Modelli diPrevenzione dati, vedere Modelli di Prevenzione perdita di dati a pagina 10-20.

b. Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi.

NotaOfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questosignifica che se un file o dei dati corrispondono alla definizione di un modello,OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine deimodelli nell'elenco.

Configurare le impostazioni dei canali:

6. Fare clic sulla scheda Canale.

7. Selezionare i canali per la regola.

Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 10-25 e Canali diapplicazioni e sistemi a pagina 10-32.

8. Se sono stati selezionati dei canali di rete, selezionare l'ambito di trasmissione:

• Tutte le trasmissioni

• Solo trasmissioni esterne alla LAN (Local Area Network)

Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29 permaggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazionidipendono dall'ambito della trasmissione e su come definire le destinazionicorrettamente.

9. Se si seleziona Client di posta elettronica:

a. Fare clic su Eccezioni.

b. Specificare domini di posta elettronica interni monitorati e non monitorati.Per maggiori dettagli sui domini di posta elettronica monitorati e nonmonitorati, vedere Client di posta elettronica a pagina 10-25.


10-48

10. Se si seleziona Dispositivi di archiviazione rimovibili:

a. Fare clic su Eccezioni.

b. Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarliin base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi.

L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) comecarattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti idispositivi che soddisfano gli altri campi.

Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB delfornitore e modello specificati, indipendentemente dall'ID di serie, nell'elencoapprovati.

c. Per aggiungere altri dispositivi, fare clic sull'icona (+).

SuggerimentoUtilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi aglidispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.

Configurare le impostazioni delle azioni:

11. Fare clic sulla scheda Operazione.

12. Selezionare un'azione primaria ed eventuali azioni aggiuntive. Per ulterioriinformazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati a pagina 10-37.

13. Dopo aver configurato le impostazioni Modello, Canale e Azione, fare clic suSalva.

Importazione, esportazione e copia delle regole DLPGli amministratori possono importare le regole precedentemente definite, contenute inun file .dat adeguatamente formattato, o esportare l'elenco delle regole DLPconfigurate. Con la copia di una regola DLP, l'amministratore può modificare icontenuti di una regola precedentemente definita per risparmiare tempo.

La seguente tabella descrive in che modo opera una funzione.


10-49

TABELLA 10-7. Funzioni di importazione, esportazione e copia per le regole DLP


Importa L'importazione di un elenco di regole aggiunge regole non esistentiall'elenco di regole DLP esistenti. Prevenzione perdita di dati ignora leregole che esistono già nell'elenco di destinazione. Prevenzione perditadi dati gestisce tutte le impostazioni preconfigurate per ciascuna regola,incluso lo stato di attivato o disattivato.

Esporta L'esportazione di un elenco di regole esporta tutto l'elenco in unfile .dat che gli amministratori possono importare e implementare inaltri domini o agenti. Prevenzione perdita di dati salva tutte leimpostazioni delle regole sulla base della configurazione corrente.

Nota

• Gli amministratori devono salvare o applicare eventualiregole nuove o modificate prima di esportare l'elenco.

• Prevenzione perdita di dati non esporta nessuna eccezioneconfigurata per il criterio ma solo le impostazioni configurateper ciascuna regola.

Copia Con la copia di una regola viene creata una replica esatta delleimpostazioni di configurazione correnti per la regola. Gli amministratoridevono digitare un nuovo nome per la regola e possono effettuaremodifiche di configurazione necessarie per la nuova regola.

Notifiche di Prevenzione perdita di datiOfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informaregli amministratori di OfficeScan e gli utenti agente sulle trasmissioni di risorse digitali.

Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche diPrevenzione perdita di dati per gli amministratori a pagina 10-50.

Per ulteriori informazioni sulle notifiche inviate agli utenti agente, vedere Notifiche diPrevenzione perdita di dati per gli utenti agente a pagina 10-53.


10-50

Notifiche di Prevenzione perdita di dati per gliamministratori

Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notificaquando viene rilevata la trasmissione di risorse digitali o quando la trasmissione vienebloccata.

OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informaregli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggidi notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali.

NotaOfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi diWindows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notificaattraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina13-31.

Configurazione delle notifiche di Prevenzione perdita di datiper gli amministratori

Procedura


2. Sulla scheda Criteri:

a. Fare clic sulla sezione Trasmissioni di risorse digitali.

b. Specificare se inviare le notifiche per il rilevamento della trasmissione dellerisorse digitali o solo quando la trasmissione è bloccata.

3. Sulla scheda E-mail:





10-51

Utilizzare il Role-based Administration (RBA) per assegnare agli utentiautorizzazioni al dominio della struttura agente. Se la trasmissione avviene inun agente appartenente ad un dominio specifico, il messaggio e-mail vieneinviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. Latabella seguente illustra alcuni esempi:






UTENTE








Se qualsiasi agente OfficeScan appartenente al Dominio A rileva unatrasmissione di risorse digitali, il messaggio e-mail viene inviato [email protected], [email protected] e [email protected].

Se qualsiasi agente OfficeScan appartenente al Dominio B rileva latrasmissione, il messaggio e-mail viene inviato a [email protected] [email protected].

Nota

Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per ildominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-maildi notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gliindirizzi e-mail sono configurati da Amministrazione > Gestione account >Account utente.



10-52

e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.Usare solo variabili token per rappresentare i dati nei campi Oggetto eMessaggio.

TABELLA 10-9. Variabili token per le notifiche di Prevenzione perdita di dati


%USER% L'utente che accede all'dispositivo quando latrasmissione viene rilevata

%COMPUTER% Dispositivo in cui è stata rilevata la trasmissione

%DOMAIN% Dominio dell'dispositivo

%DATETIME% Data e ora di rilevamento della trasmissione

%CHANNEL% Il canale attraverso il quale viene rilevata la trasmissione

%TEMPLATE% Il modello di risorse digitali che ha avviato il rilevamento

%RULE% Il nome della regola che ha attivato l'incidente.

4. Sulla scheda Trap SNMP:



c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token perrappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabilitoken per le notifiche di Prevenzione perdita di dati a pagina 10-52 per ulterioridettagli.

5. Sulla scheda Registro eventi NT:



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina10-52 per ulteriori dettagli.


10-53


Notifiche di Prevenzione perdita di dati per gli utentiagente

OfficeScan è in grado di visualizzare i messaggi di notifica sui computer agenteimmediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali.

Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata oconsentita, selezionare l'opzione Notifica all'utenteagente quando si crea un criterio diPrevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedere Configurazionedei criteri Prevenzione perdita di dati a pagina 10-44.

Configurazione delle notifiche di Prevenzione perdita di datiper gli agenti

Procedura


2. Dal menu a discesa Tipo, selezionare Trasmissioni di risorse digitali

3. Accettare o modificare il messaggio predefinito.


Registri di Prevenzione perdita di datiGli agenti registrano le trasmissioni (bloccate e consentite) delle risorse digitali e invianoimmediatamente i registri al server. Se l'agente non è in grado di inviare i registri, riprovadopo 5 minuti.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.


10-54

Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina13-34.

Visualizzazione dei registri di Prevenzione perdita di dati

Procedura

1. Accedere a Agenti > Gestione agente oppure Registri > Agenti > Rischi perla sicurezza.


3. Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizzaregistri > Registri DLP.


5. Visualizzare i registri.

I registri contengono le seguenti informazioni:

TABELLA 10-10. Informazioni del registro Prevenzione perdita di dati

COLONNA DESCRIZIONE

Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registratol'incidente

Utente Il nome utente che ha effettuato l'accesso all'dispositivo

Dispositivo Il nome dell'dispositivo in cui Prevenzione perdita di dati harilevato la trasmissione

Dominio Il dominio dell'dispositivo

IP L'indirizzo IP dell'dispositivo


10-55

COLONNA DESCRIZIONE

Nome regola I nomi delle regole che hanno generato l'incidente.

NotaI criteri creati in una versione precedente di OfficeScanvisualizzano come nome predefinitoLEGACY_DLP_Policy.

Canale Il canale attraverso il quale si è verificata la trasmissione

Processo Il processo che ha facilitato la trasmissione di una risorsadigitale (il processo dipende dal canale)

Per i dettagli, consultare Processi per canale a pagina10-55.

Origine L'origine del file contenente la risorsa digitale o il canale (senon è presente alcuna risorsa disponibile)

Destinazione La destinazione designata del file contenente la risorsadigitale o il canale (se non è disponibile alcuna risorsa )

Azione L'azione eseguita sulla trasmissione

Dettagli Un collegamento che include ulteriori informazioni sullatrasmissione

Per i dettagli, consultare Dettagli del registro per Prevenzionedella perdita di dati a pagina 10-58.


Processi per canale

La tabella seguente contiene un elenco dei processi che vengono visualizzati nellacolonna Processo dei registri di Prevenzione perdita di dati.


10-56

TABELLA 10-11. Processi per canale

CANALE PROCESSO

Software disincronizzazione(ActiveSync)

Il percorso completo e il nome del processo del software disincronizzazione.

Esempio:

C:\Windows\system32\WUDFHost.exe

Supporto diregistrazione dati(CD/DVD)

Percorso completo e nome di processo del supporto diregistrazione dati

Esempio:

C:\Windows\Explorer.exe

Appunti diWindows

Non pertinente

Client di postaelettronica - LotusNotes

Percorso completo e nome di processo di Lotus Notes

Esempio:

C:\Program Files\IBM\Lotus\Notes\nlnotes.exe

Client di postaelettronica -Microsoft Outlook

Percorso completo e nome di processo di Microsoft Outlook

Esempio:

C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE

Client di postaelettronica - Tutti iclient che usano ilprotocollo SMTP

Percorso completo e nome di processo del client di postaelettronica

Esempio:

C:\Programmi\Mozilla Thunderbird\thunderbird.exe

Dispositivi diarchiviazionerimovibili

Nome di processo dell'applicazione che ha trasmesso i dati aldispositivo di archiviazione oppure all'interno dello stesso

Esempio:

explorer.exe


10-57

CANALE PROCESSO

FTP Percorso completo e nome di processo del client FTP

Esempio:

D:\Programmi\FileZilla FTP Client\filezilla.exe

HTTP "Applicazione HTTP"

HTTPS Percorso completo e nome di processo del browser odell'applicazione

Esempio:

C:\Programmi\Internet Explorer\iexplore.exe

Applicazione IM Percorso completo e nome di processo dell'applicazione dimessaggistica istantanea

Esempio:

C:\Program Files\Skype\Phone\Skype.exe

Applicazione dimessaggisticaistantanea - MSN

• Percorso completo e nome di processo di MSN

Esempio:

C:\Programmi\Windows Live\Messenger\ msnmsgr.exe

• "Applicazione HTTP" se i dati sono trasmessi da una finestradi chat

Applicazione peer-to-peer

Percorso completo e nome di processo dell'applicazione peer-to-peer

Esempio:

D:\Program Files\BitTorrent\bittorrent.exe

Crittografia PGP Percorso completo e nome di processo del software di crittografiaPGP

Esempio:

C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe


10-58

CANALE PROCESSO

Stampante Percorso completo e nome di processo dell'applicazione che haavviato un'operazione della stampante

Esempio:

C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE

Protocollo SMB Percorso completo e nome di processo dell'applicazione da cui èstato effettuato l'accesso ai file condivisi (copia o creazione di unnuovo file)

Esempio:

C:\Windows\Explorer.exe

Webmail (modalitàHTTP)

"Applicazione HTTP"

Webmail (modalitàHTTPS)

Percorso completo e nome di processo del browser odell'applicazione

Esempio:

C:\Programmi\Mozilla Firefox\firefox.exe

Dettagli del registro per Prevenzione della perdita di dati

La schermata dei dettagli Registri di Prevenzione perdita di dati visualizza datiaggiuntivi sulla trasmissione della risorsa digitale. I dati di una trasmissione variano inbase al canale e al processo attraverso il quale OfficeScan ha rilevato l'incidente.

Nella seguente tabella sono riporta i dati che vengono visualizzati.

TABELLA 10-12. Dettagli del registro per Prevenzione della perdita di dati


Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registratol'incidente

ID violazione L'ID univoco dell'incidente

Utente Il nome utente che ha effettuato l'accesso all'dispositivo


10-59


Dispositivo Il nome dell'dispositivo in cui Prevenzione perdita di dati harilevato la trasmissione

Dominio Il dominio dell'dispositivo

IP L'indirizzo IP dell'dispositivo

Canale Il canale attraverso il quale si è verificata la trasmissione

Processo Il processo che ha facilitato la trasmissione di una risorsa digitale(il processo dipende dal canale)

Per i dettagli, consultare Processi per canale a pagina 10-55.

Origine L'origine del file contenente la risorsa digitale o il canale (se non èpresente alcuna risorsa disponibile)

Mittente e-mail L'indirizzo e-mail dal quale la trasmissione proviene

Oggetto e-mail La riga dell'oggetto del messaggio e-mail contenente la risorsadigitale

Destinatario e-mail Gli indirizzi e-mail di destinazione del messaggio e-mail

URL L'URL di un sito Web o di una pagina Web

Utente FTP Il nome utente usato per accedere al server FTP

Classe file Il tipo di file nel quale Prevenzione perdita di dati ha rilevato larisorsa digitale

Regola/Modello Un elenco di nomi di regole e modelli esatti che hanno attivato ilrilevamento

NotaCiascuna regola contiene modelli multipli che hannogenerato l'incidente. I nomi dei modelli multipli sonoseparati dalle virgole.

Azione L'azione eseguita sulla trasmissione


10-60


Motivogiustificazioneutente

Il motivo fornito dall'utente per il trasferimento continuo di datisensibili

Attivazione del registro di debug per il modulo Protezionedati

Procedura

1. Richiedere il file logger.cfg all'assistenza tecnica.

2. Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: Stringa

• Nome: debugcfg

• Valore: C:\Log\logger.cfg

3. Creare una cartella denominata “Log” nella directory C:\

4. Copiare logger.cfg nella cartella “Log”.

5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivodella console Web per avviare la raccolta dei registri.

NotaPer disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nellachiave di registro e riavviare l'dispositivo.

11-1

Capitolo 11

Protezione dei computer dalleminacce Web

In questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan perproteggere la rete e i computer dalle minacce Web.


• Minacce Web a pagina 11-2

• Servizi di avvisi contatti Command & Control a pagina 11-2

• Reputazione Web a pagina 11-4

• Criteri di reputazione Web a pagina 11-5

• Notifiche di minacce Web per utenti agente a pagina 11-16

• Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-18

• Infezioni dei callback C&C a pagina 11-21

• Registri delle minacce Web a pagina 11-23


11-2

Minacce WebLe minacce Web comprendono un'ampia gamma di minacce che hanno origine suInternet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano unacombinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori diminacce Web modificano, ad esempio, in modo continuo la versione o la variante di unaminaccia utilizzata. Poiché la minaccia Web si trova in una posizione fissa di un sito Webanziché sull'dispositivo infetto, l'autore della minaccia modifica continuamente il suocodice affinché non venga rilevata.

Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spywaresono noti come criminali informatici. Le minacce Web consentono a questi individui diperseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo dilucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità.L'dispositivo infettato può essere utilizzato per un attacco di phishing o per altre attivitàvolte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima diinsicurezza generale nei confronti delle transazioni via Internet e la conseguente perditadi fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo èimpossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro.Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchiDenial-of-Service distribuiti o abuso di annunci "pay-per-click".

Servizi di avvisi contatti Command & ControlI servizi di avvisi contatti Trend Micro Command & Control (C&C) fornisconofunzionalità migliorate di avviso e rilevamento per ridurre i danni causati da minaccecostanti e avanzate e attacchi mirati. I servizi di avvisi contatti C&C sono integrati con iServizi di reputazione Web che determinano l'azione da compiere sugli indirizzi dicallback rilevati in base al livello di sicurezza di Reputazione Web.

L'elenco IP C&C migliora ulteriormente i rilevamenti di callback C&C utilizzando ilMotore di ispezione contenuti della rete per identificare i contatti C&C tramite qualsiasicanale di rete.

Per i dettagli di configurazione del livello di sicurezza dei servizi di reputazione Web,consultare Configurazione dei Criteri di reputazione Web a pagina 11-5.

Protezione dei computer dalle minacce Web

11-3

TABELLA 11-1. Funzioni dei servizi di avvisi contatti C&C


Elenco GlobalIntelligence

Trend Micro Smart Protection Network compila l'elenco GlobalIntelligence da origini di tutto il mondo e verifica e valuta il livello dirischio di ciascun indirizzo di callback C&C. I servizi di reputazioneWeb utilizzano l'elenco Global Intelligence insieme ai punteggi direputazione per i siti Web dannosi al fine di fornire una maggioresicurezza dalle minacce avanzate. Il livello di sicurezza dellareputazione Web determina l'azione eseguita sui siti Web dannosi osui server C&C in base ai livelli di rischio assegnati.

Integrazione diDeep DiscoveryAdvisor edell'elencoVirtual Analyzer

Gli Smart Protection Server possono essere integrati con DeepDiscovery Advisor per ottenere l'elenco di server Virtual AnalyzerC&C. Virtual Analyzer di Deep Discovery Advisor valuta i potenzialirischi in un ambiente protetto e, utilizzando euristica avanzata emetodi di verifica dei comportamenti, assegna un livello di rischio alleminacce analizzate. Virtual Analyzer popola l'elenco Virtual Analyzercon le minacce che tentano di connettersi a un possibile server C&C.L'elenco Virtual Analyzer è altamente specifico per ciascuna azienda eoffre una difesa più personalizzata dagli attacchi mirati.

Gli Smart Protection Server recuperano l'elenco da Deep DiscoveryAdvisor e sono in grado di valutare tutte le possibili minacce C&C siaattraverso l'elenco Global Intelligence sia attraverso l'elenco VirtualAnalyzer locale.

Per maggiori dettagli sulla connessione dello Smart Protection Serverintegrato a Deep Discovery Advisor, consultare Configurazione delleimpostazioni di Integrated Smart Protection Server a pagina 4-23.

Servizio diconnessionesospetta

Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globalie definiti dall'utente e monitora il comportamento delle connessioni chegli dispositivo stabiliscono con i potenziali server C&C.

Per i dettagli, consultare Servizio di connessione sospetta a pagina11-12.

Notificheamministratore

Gli amministratori possono scegliere di ricevere notifiche dettagliate epersonalizzabili una volta rilevato un callback C&C.

Per i dettagli, consultare Configurazione delle notifiche di callbackC&C per gli amministratori a pagina 11-18.


11-4


Notifichedispositivo

Gli amministratori possono scegliere di inviare notifiche dettagliate epersonalizzabili agli utenti finali una volta rilevato un callback C&C inun dispositivo.

Per i dettagli, consultare Attivazione del messaggio di notifica diminacce Web a pagina 11-16.

Notifiche diinfezione

Gli amministratori possono personalizzare le notifiche di infezionespecifiche degli eventi di callback C&C e specificare se l'infezioneavviene in un solo dispositivo o nell'intera rete.

Per i dettagli, consultare Infezioni dei callback C&C a pagina 11-21.

Registri deicallback C&C

I registri forniscono informazioni dettagliate relative a tutti gli eventi dicallback C&C.

Per i dettagli, consultare Visualizzazione dei registri dei callback C&Ca pagina 11-25.

Reputazione WebLa tecnologia di reputazione Web tiene traccia della credibilità dei domini Webassegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, icambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisidel comportamento delle minacce informatiche. I siti sono continuamente sottoposti ascansione e l'accesso ai siti infetti viene bloccato.

Gli agenti OfficeScan inviano query alle origini Smart Protection per determinare lareputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sitoWeb è correlata al criterio di reputazione Web specifico applicato sull'dispositivo. Aseconda del criterio utilizzato, l'agente OfficeScan blocca o consente l'accesso a un sitoWeb.

Nota

Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini SmartProtection a pagina 4-25.


11-5

Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri opericolosi. Quando un agente OfficeScan rileva un accesso a tali siti Web, consente oblocca automaticamente l'accesso e non invia altre query alle origini Smart Protection.

Criteri di reputazione WebI criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a unsito Web.

È possibile configurare i criteri per gli agenti esterni e interni. Gli amministratoriOfficeScan in genere configurano criteri più rigidi per gli agenti esterni.

I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibileapplicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicareun singolo criterio a tutti gli agenti.

Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definitinella schermata Posizione dispositivo (vedere Posizione dispositivo a pagina 14-2) perdeterminarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni voltache cambia la posizione.

Configurazione dei Criteri di reputazione Web

Informazioni preliminari

Se è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed ènecessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali perl'autenticazione del server proxy.

Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno per gliagenti OfficeScan a pagina 14-51.

Procedura


2. Selezionare le destinazioni nella struttura agente.


11-6

• Per configurare un criterio per gli agenti con Windows XP, Vista 7, 8 o 8.1,selezionare l'icona del dominio root ( ) oppure specificare domini o agentispecifici.

NotaQuando si seleziona un dominio root o domini specifici, l'impostazione saràapplicata soltanto agli agenti con Windows XP, Vista, 7, 8 o 8.1. L'impostazionenon sarà applicata agli agenti che eseguono Windows Server 2003, WindowsServer 2008 o Windows Server 2012 anche se fanno parte dei domini.

• Per configurare un criterio per gli agenti con Windows Server 2003, WindowsServer 2008 o Windows Server 2012, selezionare un agente specifico.

3. Fare clic su Impostazioni > Impostazioni di reputazione Web.

4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agentiesterni oppure sulla scheda Agenti interni per configurare un criterio per gli agentiinterni.

SuggerimentoConfigurare le impostazioni della posizione agente se non sono state già configurate.Gli agenti useranno queste impostazioni per determinare i rispettivi percorsi eapplicare il criterio di reputazione Web corretto. Per i dettagli, consultare Posizionedispositivo a pagina 14-2.

5. Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi. Isistemi operativi elencati nella schermata variano in base alle destinazioniselezionate nel passaggio 1.

SuggerimentoTrend Micro consiglia di disattivare la reputazione Web per gli agenti interni nel casoin cui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazioneWeb, come InterScan Web Security Virtual Appliance.

Quando un criterio di reputazione Web è attivato:

• Gli agenti esterni inviano query di reputazione Web a Smart ProtectionNetwork.


11-7

• Gli agenti interni inviano query di reputazione Web a:

• Gli Smart Protection Server se l'opzione Invia query a SmartProtection Server è attivata. Per ulteriori informazioni su questaopzione, vedere il passaggio 7.

• Gli Smart Protection Network se l'opzione Invia query a SmartProtection Server è attivata.

6. Selezionare Attiva valutazione.

NotaIn modalità di valutazione, gli agenti consentono l'accesso a tutti i siti Web, maregistrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazionefosse disattivata. La modalità di valutazione fornita da Trend Micro consente divalutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, adesempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati.

7. Selezionare Verifica URL HTTPS.

Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web.Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro,accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siticompromessi, anche quelli con certificati validi, possono ospitare minacceinformatiche e sottrarre informazioni personali. Inoltre, i certificati sonorelativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione diserver Web dannosi che utilizzano HTTPS.

Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessio dannosi che usano l'HTTPS. OfficeScan è in grado di monitorare il trafficoHTTPS sui seguenti browser:


11-8

TABELLA 11-2. Browser supportati per il traffico HTTPS

BROWSER VERSIONE

Microsoft Internet Explorer • 6 con SP2 o successivo

• 7.x

• 8.x

• 9.x

• 10.x

• 11.x

Mozilla Firefox 3.5 o versioni successive

Chrome N.D.

Importante

• La scansione HTTPS supporta solo le piattaforme Windows 8, Windows 8.1 oWindows 2012 in modalità desktop.

• Dopo aver attivato la scansione HTTPS per la prima volta sugli agentiOfficeScan con Internet Explorer 9, 10 o 11, gli utenti devono attivare ilcomponente aggiuntivo TmIEPlugInBHO Class nella finestra di popup delbrowser prima che la scansione HTTPS sia operativa.

Per informazioni sulla configurazione delle impostazioni di Internet Explorerper la reputazione Web, consultare il seguente articolo della Knowledge Base:

• http://esupport.trendmicro.com/solution/en-us/1060643.aspx

8. Selezionare Esegui scansione solo delle porte HTTP comuni per limitare lascansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Perimpostazione predefinita, OfficeScan esegue la scansione di tutto il traffico in tuttele porte.

9. Selezionare Invia query a Smart Protection Server se si desidera che gli agentiinterni inviino query di reputazione Web agli Smart Protection Server.

• Se si attiva questa opzione:

• Gli agenti fanno riferimento all'elenco delle origini Smart Protection perdeterminare a quale Smart Protection Server connettersi. Per ulteriori



11-9

informazioni sull'elenco delle origini Smart Protection, consultare Elencodelle origini Smart Protection a pagina 4-25.

• Accertarsi che gli Smart Protection Server siano disponibili. Se nessunoSmart Protection Server è disponibile, gli agenti non inviano query aSmart Protection Network. Le sole origini rimanenti di dati direputazione Web per gli agenti sono gli elenchi di URL approvati ebloccati (configurati nel passaggio 10).

• Se si desidera che gli agenti si connettano agli Smart Protection Servertramite un server proxy, specificare le impostazioni del proxy nellascheda Amministrazione > Impostazioni > Proxy > Proxy interno.

• Aggiornare gli Smart Protection Server regolarmente in modo damantenere aggiornata la protezione.

• Gli agenti non bloccano i siti Web non testati. Gli Smart ProtectionServer non memorizzano i dati di reputazione Web per questi siti Web.

• Se si disattiva questa opzione:

• Gli agenti inviano query di reputazione Web a Smart ProtectionNetwork. I computer agente devono essere dotati di una connessioneInternet per poter inviare query correttamente.

• Se la connessione a Smart Protection Network richiede l'autenticazionedel server proxy, specificare le credenziali di autenticazione nella schedaAmministrazione > Impostazioni > Proxy > scheda Proxy esterno> Aggiornamenti server OfficeScan.

• Gli agenti bloccheranno i siti Web non testati se si seleziona Blocca lepagine che non sono state testate da Trend Micro nel passaggio 9.

10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto,Medio o Basso


11-10

NotaI livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a unURL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan bloccasolo gli URL considerati come minaccia Web. Impostando il livello di sicurezza piùelevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità difalsi allarmi.

11. Se è stata disattivata l'opzione Invia query a Smart Protection Server nelpassaggio 7, è possibile selezionare Blocca le pagine che non sono state testateda Trend Micro.

NotaAnche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza,gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove opoco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma siimpedisce anche l'accesso alle pagine sicure.

12. Selezionare Blocca le pagine che contengono script dannosi per identificarevulnerabilità dei browser Web e script dannosi e impedire che l'uso di tali minaccecomprometta il browser Web.

OfficeScan utilizza sia il pattern Prevenzione minaccia browser sia il pattern ScriptAnalyzer, per identificare e bloccare le pagine Web prima di esporre il sistema.

TABELLA 11-3. Browser supportati per Prevenzione minaccia browser

BROWSER VERSIONE

Microsoft Internet Explorer • 7.x

• 8.x

• 9.x

• 10.x

• 11.x


11-11

Importante

La funzione Prevenzione minaccia browser richiede che venga attivato il Servizio diprotezione avanzata (accedere a Agenti > Gestione agenti, fare clic su clickImpostazioni > Impostazioni aggiuntive del servizio).

13. Configurare gli elenchi approvati e bloccati.

Nota

L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati.Quando un URL corrisponde a una voce nell'elenco degli URL approvati, gli agenticonsentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degliURL bloccati.

a. Selezionare Attiva elenco approvati/bloccati.

b. Immettere un URL.

È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL.

Ad esempio:

• Se si immette www.trendmicro.com/*, tutte le pagine del sito WebTrend Micro saranno approvate.

• Se si immette *.trendmicro.com/*, tutte le pagine di un qualsiasisottodominio di trendmicro.com saranno approvate.

È possibile immettere URL che contengono indirizzi IP. Se un URL contieneun indirizzo IPv6, racchiudere l'indirizzo tra parentesi.

c. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elencoBloccati.

d. Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

e. Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.


11-12

ImportanteReputazione Web non esegue alcuna scansione sugli indirizzi presenti negli elenchiApprovati e Bloccati.

14. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito inValuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di querydella reputazione Web di Trend Micro.

15. Selezionare se consentire che l'agente OfficeScan invii i registri di reputazione Webal server. Se si desidera analizzare gli URL che vengono bloccati da OfficeScan edeseguire le azioni appropriate per gli URL che si considerano sicuri per l'accesso,consentire agli agenti di inviare i registri.




Servizio di connessione sospettaIl Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definitidall'utente e monitora il comportamento delle connessioni che gli dispositivostabiliscono con i potenziali server C&C.

• Gli elenchi di indirizzi IP bloccati e approvati definiti dall'utente consentono unulteriore controllo sulla possibilità per gli dispositivo di accedere a indirizzi IPspecifici. Configurare questi elenchi quando si desidera consentire l'accesso a unindirizzo bloccato dall'elenco IP C&C globale oppure bloccare l'accesso a unindirizzo che può rappresentare un rischio per la sicurezza.


11-13

Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globalidefiniti dall'utente a pagina 11-13.

• L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete(Network Content Inspection Engine, NCIE), rileva le connessioni di rete con iserver C&C confermati da Trend Micro. Il motore NCIE rileva il contatto delserver C&C attraverso qualsiasi canale di rete. Il Servizio di connessione sospettaregistra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globaleper una valutazione.

Per informazioni sull'attivazione dell'elenco di indirizzi IP C&C globale, vedereConfigurazione delle impostazioni di connessione sospetta a pagina 11-14.

• Dopo aver rilevato la minaccia informatica sugli dispositivo tramite il pattern regoladi pertinenza corrispondente sui pacchetti di rete, il Servizio di connessionesospetta può effettuare ulteriori ricerche sul comportamento della connessione, perdeterminare se si è verificato un callback C&C. Dopo aver individuato un callbackC&C, il Servizio di connessione sospetta può cercare di bloccare e disinfettarel'origine della connessione utilizzando la tecnologia GeneriClean.

Per maggiori dettagli sulla configurazione del Servizio di connessione sospetta,vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14.

Per ulteriori informazioni su GeneriClean, vedere GeneriClean a pagina E-4.

Attivare il Servizio di connessione sospetta nella schermata Impostazioni aggiuntivedel servizio per proteggere gli agenti dai callback del server C&C. Per i dettagli,consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 14-8.

Configurazione impostazioni degli elenchi di indirizzii IPglobali definiti dall'utente

Gli amministratori possono configurare OfficeScan per consentire, bloccare o registraretutte le connessioni tra agenti e indirizzi IP C&C definiti dall'utente.

Nota

Gli elenchi degli indirizzi IP definiti dall'utente supportano solo gli indirizzi IPv4.


11-14

Procedura


2. Accedere alla sezione Impostazioni connessione sospetta.

3. Fare clic su Modifica elenco IP definito dall'utente.

4. Nella scheda Elenco approvati o in quella Elenco bloccati, aggiungere gliindirizzi IP che si desidera monitorare.

SuggerimentoÈ possibile configurare OfficeScan solo per registrare le connessioni effettuate versogli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per registrare solo leconnessioni effettuate verso indirizzi dell'elenco di indirizzi IP bloccati definitodall'utente, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14.

a. Fare clic su Aggiungi.

b. Nella nuova schermata che viene visualizzata, digitare l'indirizzo IP,l'intervallo dell'indirizzo IP o l'indirizzo IPv4 e la subnet mask perl'OfficeScan da monitorare.


5. Per rimuovere gli indirizzi IP dall'elenco, selezionare la casella di controllo accantoall'indirizzo e fare clic su Elimina.

6. Dopo aver configurato gli elenchi, fare clic su Chiudi per tornare alla schermataImpostazioni globali agente.

Configurazione delle impostazioni di connessionesospetta

OfficeScan è in grado di registrare tutte le connessioni effettuate tra agenti e indirizzinell'elenco IP C&C globale. La schermata impostazioni di connessione sospettaconsente effettivamente la registrazione ma permette ancora di accedere agli indirizzi IPconfigurati nell'elenco di indirizzi IP bloccati definito dall'utente


11-15

OfficeScan è inoltre in grado di monitorare le connessioni che possono essere risultatodi un botnet o di un'altra minaccia informatica. Dopo aver rilevato una minacciainformatica, OfficeScan può tentare di eliminare l'infezione.

Procedura



3. Fare clic su Impostazioni > Impostazioni di connessione sospetta.

Viene visualizzata la schermata Impostazioni di connessione sospetta.

4. Attivare l'impostazione Registra connessioni di rete effettuate agli indirizzinell'elenco IP C&C globali per monitorare le connessioni effettuate sui serverC&C confermati di Trend Micro. Per ulteriori informazioni sull'elenco IP C&Cglobale, consultare Servizio di connessione sospetta a pagina 11-12.

• Per consentire agli agenti di connettere gli indirizzi nell'elenco di indirizzi IPbloccati definito dall'utente, attivare l'impostazione Registra e consentil'accesso agli indirizzi dell'elenco IP bloccati definito dall'utente.

NotaÈ necessario attivare il registro della connessione di rete prima che OfficeScanconsenta l'accesso agli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente.

5. Attivare l'impostazione Registra connessioni mediante l’impronta di rete dellaminaccia per eseguire la corrispondenza di pattern sulle intestazioni dei pacchetti.OfficeScan registra tutte le connessioni effettuate dai pacchetti con le intestazioniche corrispondono alle minacce informatiche con l'uso del pattern regola dipertinenza.

• Per consentire a OfficeScan di disinfettare le connessioni effettuate sui serverC&C, attivare l'impostazione Disinfetta connessioni sospette quandoviene rilevato un callback C&C. OfficeScan usa GeneriClean perdisinfettare le minacce informatiche e interrompere la connessione al serverC&C.


11-16

Nota

È necessario attivare Registra connessioni mediante l’impronta di rete dellaminaccia prima che OfficeScan tenti di disinfettare le connessioni effettuate suiserver C&C rilevate dalla corrispondenza della struttura dei pacchetti.




Notifiche di minacce Web per utenti agenteOfficeScan può visualizzare un messaggio di notifica sull'dispositivo agente OfficeScansubito dopo aver bloccato un URL che viola un criterio di reputazione Web. Ènecessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto ditale messaggio.

Attivazione del messaggio di notifica di minacce Web

Procedura





11-17

4. Fare clic sulla scheda Altre impostazioni.

5. Nella sezione Impostazioni di reputazione Web, selezionare Visualizza unanotifica quando un sito Web viene bloccato.

6. Nella sezione Impostazioni callback C&C, selezionare Visualizza una notificaquando un callback C&C viene rilevato.




Modifica delle notifiche di minacce Web

Procedura


2. Dall'elenco a discesa Tipo, selezionare il tipo di notifica di minaccia Web damodificare:

• Violazioni della reputazione Web

• Callback C&C

3. Modificare il messaggio predefinito nella casella di testo disponibile.



11-18

Configurazione delle notifiche di callback C&Cper gli amministratori

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan dei rilevamenti dei callback C&C. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.

Procedura


2. Sulla scheda Criteri:

a. Andare alla sezione Callback C&C.

b. Specificare se inviare le notifiche quando OfficeScan rileva un callback C&C(l'azione può essere bloccata o registrata) o solo quando il livello di rischiodell'indirizzo di callback è Alto.

3. Sulla scheda E-mail:




Utilizzare il Role-based Administration (RBA) per assegnare agli utentiautorizzazioni al dominio della struttura agente. Se la trasmissione avviene inun agente appartenente ad un dominio specifico, il messaggio e-mail vieneinviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. Latabella seguente illustra alcuni esempi:


11-19






UTENTE








Se un agente OfficeScan appartenente al Dominio A rileva un callback C&C,il messaggio e-mail viene inviato a [email protected], [email protected] [email protected].

Se qualsiasi agente OfficeScan appartenente al Dominio B rileva il callbackC&C, il messaggio e-mail viene inviato a [email protected] e [email protected].

NotaQuando si attiva questa opzione, tutti gli utenti con autorizzazioni per ildominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-maildi notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gliindirizzi e-mail sono configurati da Amministrazione > Gestione account >Account utente.


e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.Utilizzare le variabili token per rappresentare i dati nei campi Oggetto eMessaggio.


11-20

TABELLA 11-5. Variabili token per notifiche dei callback C&C


%CLIENTCOMPUTER%

Dispositivo di destinazione che ha inviato il callback

%IP% Indirizzo IP dell'dispositivo di destinazione

%DOMAIN% Dominio del computer

%DATETIME% Data e ora di rilevamento della trasmissione

%CALLBACKADDRESS%

Indirizzo di callback del server C&C

%CNCRISKLEVEL%

Livello di rischio del server C&C

%CNCLISTSOURCE%

Indica l'elenco di origine C&C

%ACTION% Operazione eseguita

4. Sulla scheda Trap SNMP:



c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token perrappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabilitoken per notifiche dei callback C&C a pagina 11-20 per ulteriori dettagli.

5. Sulla scheda Registro eventi NT:



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 11-5: Variabili token per notifiche dei callback C&C a pagina 11-20 perulteriori dettagli.


11-21


Notifiche di avvisi contatti C&C per gli utentidegli agenti

OfficeScan può visualizzare un messaggio di notifica sui computer agente OfficeScansubito dopo il blocco dell'URL del server C&C. È necessario attivare il messaggio dinotifica e, se lo si desidera, modificare il contenuto del messaggio

Infezioni dei callback C&C

Definire un'infezione dei callback C&C per numero, origine e livello di rischio deicallback.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica in base alle diverse esigenze.

Nota

OfficeScan è in grado di inviare notifiche di infezione dei callback C&C tramite postaelettronica. Configurare le impostazioni della posta elettronica in modo da consentire aOfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notificaamministratore a pagina 13-31.

Configurazione delle notifiche e dei criteri delle infezioni deicallback C&C

Procedura


2. Nella scheda Criteri, configurare le opzioni riportate di seguito:


11-22

OPZIONE DESCRIZIONE

Stesso hostcompromesso

Selezionare per definire un'infezione basata suirilevamenti di callback per dispositivo

Livello di rischio C&C Specificare se generare un'infezione in tutti i callbackC&C o solo sulle origini ad alto rischio

Azione Selezionare tra Qualsiasi azione, Registrata oBloccata

Rilevamenti Indicare il numero di rilevamenti richiesto che definisceun'infezione

Periodo di tempo Indicare il numero di ore entro il quale deve avvenire ilnumero di rilevamenti

SuggerimentoTrend Micro consiglia di accettare i valori predefiniti di questa schermata.





d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare variabili token per rappresentare i dati nel campoOggetto e Messaggio.

TABELLA 11-6. Variabili token per notifiche delle infezioni dei callback C&C


%C Numero di registri dei callback C&C

%T Periodo di tempo di accumulo dei registri dei callback C&C

e. Selezionare le informazioni aggiuntive disponibili sui callback C&C daincludere nel messaggio e-mail.



11-23



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 11-6: Variabili token per notifiche delle infezioni dei callback C&C a pagina11-22 per ulteriori dettagli.




c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 11-6: Variabili token per notifiche delle infezioni dei callback C&C a pagina11-22 per ulteriori dettagli.


Registri delle minacce WebConfigurare gli agenti esterni e interni in modo che inviino i registri di reputazione Webal server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioniappropriate per gli URL considerati sicuri, consentire tale operazione.



11-24

Visualizzazione dei registri di reputazione Web

Procedura



3. Fare clic su Visualizza registri > Registri reputazione Web o su Registri >Registri reputazione Web.



ELEMENTO DESCRIZIONE

Data/Ora Ora del rilevamento

Dispositivo L'dispositivo su cui si è verificato il rilevamento

Dominio Il dominio dell'dispositivo oggetto del rilevamento

URL L'URL bloccato dai servizi di reputazione Web

Livello di rischio Il livello di rischio dell'URL

Descrizione Una descrizione della minaccia per la sicurezza

Processo Il processo tramite il quale è stato tentato il contatto(path\application_name)

6. Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungiall'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati.

7. Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il fileo salvarlo in una posizione specifica.


11-25

Visualizzazione dei registri dei callback C&C

Procedura



3. Fare clic su Visualizza registri > Registri dei callback C&C o Registri >Registri dei callback C&C.





Utente L'utente ha effettuato l'accesso all'ora del rilevamento

Host compromesso L'dispositivo origine del callback

Indirizzo IP L'indirizzo IP dell'host compromesso


Indirizzo di callback L'indirizzo a cui l'dispositivo ha inviato il callback

Origine elenco C&C L'origine dell'elenco C&C che ha identificato il serverC&C

Livello di rischio C&C Il livello di rischio del server C&C

Protocollo Il protocollo Internet usato per la trasmissione

Processo Il processo che ha avviato la trasmissione (path\application_name)

Azione L'azione eseguita sul callback


11-26

6. Se reputazione Web ha bloccato un URL che non si desidera sia bloccato, fare clicsul pulsante Aggiungi a elenco reputazione Web approvati per aggiungerel'indirizzo all'elenco reputazione Web approvati.

Nota

OfficeScan può aggiungere solo gli URL all'elenco reputazione Web approvati. Per irilevamenti effettuati dall'elenco di indirizzi IP C&C globale o dall'elenco IP C&CVirtual Analyzer, aggiungere manualmente tali indirizzi IP all'elenco di IP approvatiC&C definito dall'utente.

Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globalidefiniti dall'utente a pagina 11-13.


Visualizzazione dei registri delle connessioni sospette

Procedura



3. Fare clic su Visualizza registri > Registri delle connessioni sospette oppureRegistri > Registri delle connessioni sospette.





Dispositivo L'dispositivo su cui si è verificato il rilevamento


11-27



Processo Il processo che ha avviato la trasmissione (path\application_name)

IP locale e porta L'indirizzo IP e il numero di porta dell'dispositivo diorigine

IP remoto e porta L'indirizzo IP e il numero di porta dell'dispositivo didestinazione

Risultato Il risultato dell'azione effettuata

Rilevato da L'origine dell'elenco C&C che ha identificato il serverC&C

Direzione del traffico La direzione della trasmissione


12-1

Capitolo 12

Utilizzo del firewall di OfficeScanIn questo capitolo vengono descritte le configurazioni e le funzioni del firewallOfficeScan.


• Informazioni sul Firewall di OfficeScan a pagina 12-2

• Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6

• Criteri e profili del firewall a pagina 12-8

• Privilegi firewall a pagina 12-23

• Impostazioni firewall globali a pagina 12-25

• Notifiche di violazione del firewall per utenti agente OfficeScan a pagina 12-28

• Registri del firewall a pagina 12-29

• Infezioni da violazione del firewall a pagina 12-31

• Test del firewall OfficeScan a pagina 12-32


12-2

Informazioni sul Firewall di OfficeScanIl firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di"stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. Con laconsole di gestione centrale, è possibile creare regole per filtrare le connessioni perapplicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole agruppi diversi di utenti.

NotaÈ possibile attivare, configurare e utilizzare il firewall di OfficeScan su dispositivo WindowsXP sui quali è stato attivato il firewall di Windows. Per fare questo, tuttavia, è necessariogestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenererisultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare ladocumentazione Microsoft.

Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito:

• Filtraggio del traffico a pagina 12-2

• Filtro di applicazioni a pagina 12-3

• Elenco software sicuro certificato a pagina 12-3

• Scansione dei virus di rete a pagina 12-4

• Profili e criteri personalizzabili a pagina 12-4

• Stateful Inspection a pagina 12-4

• Sistema di prevenzione intrusioni a pagina 12-4

• Monitoraggio delle infezioni di violazione del firewall a pagina 12-6

• Privilegi del firewall dell'agente OfficeScan a pagina 12-6

Filtraggio del trafficoIl firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità dibloccare alcuni tipi di traffico in base ai seguenti criteri:

Utilizzo del firewall di OfficeScan

12-3

• Direzione (in entrata/in uscita)

• Protocollo (TCP/UDP/ICMP/ICMPv6)

• Porte di destinazione

• Dispositivo di origine e destinazione

Filtro di applicazioni

Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni,consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono daicriteri impostati dall'amministratore.

Nota

OfficeScan non supporta eccezioni di applicazioni specifiche sulle piattaforme Windows 8,Windows 8.1 e Windows Server 2012. OfficeScan consente o impedisce il traffico di tuttele applicazioni sui computer con tali piattaforme.

Elenco software sicuro certificato

L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possonoevitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato suMedio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete.

Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce unelenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro.

Nota

Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivarel'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizioprevenzione modifiche non autorizzate e il Servizio Certified Safe Software.


12-4

Scansione dei virus di reteIl firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per idettagli, consultare Virus e minacce informatiche a pagina 7-2.

Profili e criteri personalizzabiliIl firewall di OfficeScan consente di configurare i criteri affinché blocchino oconsentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili,che poi potranno essere implementati negli agenti OfficeScan specificati. Questocostituisce un metodo molto personalizzabile per l'organizzazione e la configurazionedelle impostazioni di firewall per gli agenti.

Stateful InspectionIl firewall di OfficeScan è di tipo Stateful Inspection: ovvero, monitora tutte leconnessioni dell'agente OfficeScan e archivia tutti gli stati di connessione. È in grado diidentificare condizioni specifiche in ogni connessione, prevedere quali azioni seguirannoe individuare le interruzioni in una connessione normale. L'uso efficace del firewall,quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delleconnessioni e il filtro dei pacchetti che passano attraverso il firewall.

Sistema di prevenzione intrusioniIl firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS).Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete chepossono indicare un attacco all'agente OfficeScan. Il firewall di OfficeScan consente diprevenire le seguenti intrusioni note:

INTRUSIONE DESCRIZIONE

Frammento troppogrande

Attacco DoS (Denial of Service) in cui un hacker dirige unpacchetto TCP/UDP di dimensioni eccessive sull'dispositivo didestinazione. Un'operazione di questo tipo può comportarel'overflow del buffer sull'dispositivo, causandone il blocco o ilriavvio.


12-5


Ping of Death Attacco DoS (Denial of Service) in cui un hacker dirige unpacchetto ICMP/ICMPv6 di dimensioni eccessive sull'dispositivodi destinazione. Un'operazione di questo tipo può comportarel'overflow del buffer sull'dispositivo, causandone il blocco o ilriavvio.

Conflitto ARP Tipo di attacco in cui un hacker invia una richiesta ARP (AddressResolution Protocol) a un dispositivo utilizzando lo stessoindirizzo IP come origine e come destinazione. Il computeroggetto dell'attacco, quindi, invia continuamente una rispostaARP (il suo indirizzo MAC) a se stesso, con conseguente bloccodel sistema.

Flooding SYN Attacco DoS (Denial of Service) in cui un programma invia a undispositivo dei pacchetti di sincronizzazione (SYN) TCP multipli,causando un invio continuo di risposte di riconoscimento (SYN/ACK) da parte dell'dispositivo. Questi invii possono provocarel'esaurimento della memoria dell'dispositivo con conseguenteblocco del sistema.

Frammentisovrapposti

Questo attacco DoS (Denial of Service) simile al teardrop, invia aun dispositivo dei frammenti TCP sovrapposti. Questo causa lasovrascrittura delle informazioni di intestazione del primoframmento TCP che potrebbe così oltrepassare un firewall. Ilfirewall quindi potrebbe consentire l'accesso ai successiviframmenti contenenti il codice dannoso, permettendo loro diraggiungere l'dispositivo di destinazione.

Teardrop questo attacco DoS (Denial of Service) simile all'attacco aframmenti sovrapposti, utilizza dei frammenti IP. Un valore dioffset errato all'interno del secondo o di altri frammenti IP puòcausare il blocco del sistema operativo dell'dispositivo riceventenel momento in cui tenta di riassemblare i frammenti.

Attaccoframmentominuscolo

tipo di attacco in cui un frammento TCP di dimensioni minimeforza le informazioni di intestazione del primo pacchetto TCPall'interno del frammento successivo. I router che filtrano il trafficoignorano pertanto il frammento successivo, che potrebbe invececontenere dati maligni.


12-6


IGMP frammentato Attacco DoS (Denial of Service) che invia pacchetti IGMPframmentati a un dispositivo di destinazione che non riesce aelaborarli correttamente, con conseguente rallentamento o bloccodell'dispositivo.

Attacco LAND Tipo di attacco che invia a un dispositivo dei pacchetti disincronizzazione (SYN) IP contenenti lo stesso indirizzo di originee di destinazione; l'dispositivo invia pertanto la risposta diriconoscimento (SYN/ACK) a se stesso, con conseguenterallentamento o blocco dell'dispositivo.

Monitoraggio delle infezioni di violazione del firewall

Quando le violazioni del firewall superano determinate soglie che potrebbero far pensarea un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato aspecifici destinatari.

Privilegi del firewall dell'agente OfficeScan

È possibile concedere agli utenti agente OfficeScan le autorizzazioni necessarie pervisualizzare le impostazioni del firewall sulla console dell'agente OfficeScan, nonchéquelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per ilmessaggio di notifica della violazione del firewall.

Attivazione o disattivazione del Frewall diOfficeScan

Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare odisattivare il firewall OfficeScan.

Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulleprestazioni, in particolare sulle piattaforme del server (Windows Server 2003, WindowsServer 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall.


12-7

Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo perproteggere gli agenti da intrusioni, leggere prima le linee guida e le istruzioni in Servizidell'agente OfficeScan a pagina 14-7.

È possibile attivare o disattivare il firewall su tutti gli dispositivo agente OfficeScan osolo su alcuni.

Attivazione o disattivazione del firewall di OfficeScansugli dispositivo selezionati

Per attivare o disattivare il firewall, usare uno dei metodi seguenti.

METODO PROCEDURA

Creare un nuovocriterio e applicarloagli agentiOfficeScan

1. Creare un nuovo criterio per attivare o disattivare il firewall.Per istruzioni sulla creazione di un nuovo criterio, vedereAggiunta o modifica di un criterio firewall a pagina 12-11.

2. Applicare il criterio agli agenti OfficeScan.

Attivare o disattivareil servizio e il driverdel firewall

1. Attivare o disattivare il driver del firewall.

a. Aprire le Proprietà delle Connessioni di reteWindows.

b. Selezionare o deselezionare la casella di controlloDriver comune Firewall Trend Micro nella scheda direte.

2. Attivare o disattivare il servizio del firewall.

a. Aprire il prompt dei comandi e digitare services.msc.

b. Avviare o interrompere OfficeScan NT Firewall daMicrosoft Management Console (MMC).

Attivare o disattivareil servizio delfirewall dallaconsole Web.

Per la procedura dettagliata, vedere Servizi dell'agenteOfficeScan a pagina 14-7.


12-8

Attivazione o disattivazione del firewall di OfficeScan sututti gli dispositivo

Procedura

1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto.

2. Andare alla sezione Servizi aggiuntivi.

3. Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per dispositivo, fareclic su Attiva o Disattiva.

Criteri e profili del firewallIl firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodidi protezione degli dispositivo collegati in rete.

Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente puòcreare, configurare o eliminare i criteri e i profili di domini specifici.

SuggerimentoInstallazioni di firewall diversi sullo stesso dispositivo possono produrre risultati inaspettati.Prima di implementare e attivare il firewall di OfficeScan è opportuno disinstallare altrifirewall basati su software presenti sugli agenti OfficeScan.

Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguentioperazioni:

1. Creare un criterio. Il criterio consente di selezionare un livello di sicurezza cheblocca o consente il traffico sugli dispositivo collegati in rete e attiva le funzioni delfirewall.

2. Aggiungere delle eccezioni al criterio. Le eccezioni consentono agli agentiOfficeScan di ignorare quanto stabilito da un criterio. Grazie alle eccezioni, èpossibile specificare gli agenti e consentire o bloccare determinati tipi di traffico


12-9

indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. Èpossibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di agentitramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modoche gli agenti possano accedere al server Web.

3. Creare e assegnare dei profili agli agenti OfficeScan. Un profilo di firewallcomprende una serie di attributi agente ed è associato a un criterio. Quando unagente corrisponde agli attributi specificati nel profilo, il criterio a esso associatoviene attivato.

Criteri firewallI criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete nonspecificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewallvengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall.

OfficeScan comprende una serie di criteri predefiniti che è possibile modificare oeliminare.

Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente puòcreare, configurare o eliminare i criteri di domini specifici.

Nella tabella seguente è riportato un elenco dei criteri predefiniti del firewall.

TABELLA 12-1. Criteri del firewall predefiniti

NOME CRITERIOLIVELLO

DISICUREZZA

IMPOSTAZIONI

AGENTEECCEZIONI USO CONSIGLIATO

Tutti i tipi diaccesso

Basso Attivafirewall

Nessuna Da utilizzare perconsentire agli agentiun accesso illimitatoalla rete

Porte dicomunicazioneper Trend MicroControl Manager


Permette tutto iltraffico TCP/UDP inentrata e in uscitatramite le porte 80 e10319

Da utilizzare per gliagenti che sui quali èinstallato un MCPAgent


12-10

NOME CRITERIOLIVELLO

DISICUREZZA

IMPOSTAZIONI

AGENTEECCEZIONI USO CONSIGLIATO

ConsoleScanMail perMicrosoftExchange


Permette tutto iltraffico TCP inentrata e in uscitatramite la porta16372

Da utilizzare quandogli agenti devonoaccedere alla consoleScanMail

ConsoleInterScanMessagingSecurity Suite(IMSS)


Permette tutto iltraffico TCP inentrata e in uscitatramite la porta 80

Da utilizzare quandogli agenti devonoaccedere alla consoleIMSS

Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, crearenuovi criteri.

Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri delfirewall nella console Web.

Configurazione dell'elenco dei criteri del firewall

Procedura

1. Accedere a Agenti > Firewall > Criteri.

2. Per aggiungere un nuovo criterio, fare clic su Aggiungi.

Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterioesistente, selezionare il criterio esistente e fare clic su Copia. Per modificare uncriterio esistente, fare clic sul nome del criterio.

Viene visualizzata la schermata per la configurazione del criterio. Per ulterioriinformazioni, consultare Aggiunta o modifica di un criterio firewall a pagina 12-11.

3. Per eliminare un criterio esistente, selezionare la casella di controllo accanto alcriterio e fare clic su Elimina.

4. Per modificare il modello di eccezione del firewall, fare clic su Modifica modellodi eccezione.


12-11

Per ulteriori informazioni, consultare Modifica del modello di eccezione del firewall a pagina12-14.

Viene visualizzato l'editor del modello di eccezione.

Aggiunta o modifica di un criterio firewall

Per ciascun criterio, configurare le impostazioni riportate di seguito:

• Livello di sicurezza: impostazione generale che blocca o consente tutto il trafficoin entrata e/o in uscita nell'dispositivo agente OfficeScan.

• Caratteristiche del firewall: specificare se attivare o disattivare il firewall diOfficeScan, il Sistema rilevamento anti-intrusione (IDS) e il messaggio di notifica diviolazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema diprevenzione intrusioni a pagina 12-4.

• Elenco software sicuro certificato: specificare se consentire alle applicazionisicure certificate di connettersi alla rete. Consultare Elenco software sicuro certificato apagina 12-3 per ulteriori informazioni su Elenco software sicuro certificato.

• Elenco eccezioni al criterio: elenco di eccezioni configurabili che consentono dibloccare o consentire vari tipi di traffico di rete.

Aggiunta di un criterio del firewall

Procedura


2. Per aggiungere un nuovo criterio, fare clic su Aggiungi.

Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente,selezionare il criterio esistente e fare clic su Copia.

3. Inserire un nome per il criterio.

4. Selezionare un livello di sicurezza.


12-12

Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametridelle eccezioni ai criteri del firewall.

5. Selezionare le funzioni del firewall da utilizzare per il criterio.

• Quando il firewall blocca un pacchetto in uscita, viene visualizzato unmessaggio di notifica di violazione del firewall. Per modificare il messaggio,vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 12-29.

• L'attivazione di tutte le funzioni del firewall consente agli utenti agenteOfficeScan di attivare/disattivare le funzioni e modificare le impostazioni delfirewall nella console dell'agente OfficeScan.

AVVERTENZA!

Non è possibile utilizzare la console Web OfficeScan per sovrascrivere leimpostazioni della console dell'agente OfficeScan configurate dall'utente.

• Se non si attivano queste funzioni, le impostazioni del firewall configuratedalla console Web OfficeScan vengono visualizzate in Elenco schede di retenella console dell'agente OfficeScan.

• Le informazioni che si trovano in Impostazioni nella scheda Firewall dellaconsole dell'agente OfficeScan corrispondono sempre alle impostazioniconfigurate nella console del'agente OfficeScan, non a quelle della consoleWeb del server.

6. Attiva l'elenco software sicuro certificato globale o locale.

Nota

Prima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzionemodifiche non autorizzate e il Servizio Certified Safe Software.

7. In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteriqui incluse si basano sul modello di eccezione del firewall. Per informazioni, vedereModifica del modello di eccezione del firewall a pagina 12-14.

• Per modificare un'eccezione ai criteri esistente fare clic sul nomedell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata.


12-13

NotaL'eccezione modificata si applica solo al criterio da creare. Se si desidera renderepermanente la modifica all'eccezione, è necessario apportare la stessa modificaall'eccezione nel modello di eccezione del firewall.

• Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare leimpostazioni nella pagina che si apre.

NotaAnche l'eccezione ai criteri si applica solo al criterio da creare. Per applicarequesta eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elencodelle eccezioni criteri nel modello di eccezione del firewall.


Modifica di di un criterio del firewall esistente

Procedura


2. Fare clic su un criterio.

3. Modificare gli elementi riportati di seguito:

• Nome criterio

• Livello di sicurezza

• Funzioni firewall da utilizzare per il criterio

• Stato dell'elenco Servizio Certified Safe Software

• Eccezioni ai criteri del firewall da includere nei criteri

• Modificare un'eccezione esistente (fare clic sul nome dell'eccezione emodificare le impostazioni nella pagina che si apre)

• Fare clic su Aggiungi per creare una nuova eccezione ai criteri.Specificare le impostazioni nella pagina che si apre.


12-14

4. Fare clic su Salva per applicare le modifiche ai criteri esistenti.

Modifica del modello di eccezione del firewall

Il modello di eccezioni del firewall contiene eccezioni ai criteri che possono essereconfigurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri diporta degli dispositivo agente OfficeScan e agli indirizzi IP. Una volta creataun'eccezione ai criteri, modificare i criteri a cui si applica l'eccezione.

Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione:

• Restrittiva

Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentonotutto il traffico di rete. Un esempio di utilizzo di eccezione dei criteri restrittiva è ilblocco delle porte degli agenti OfficeScan vulnerabili all'attacco, ad esempio leporte utilizzate in genere dai cavalli di Troia.

• Permissiva

Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccanotutto il traffico di rete. Ad esempio, è possibile consentire agli agenti OfficeScan diaccedere solo al server OfficeScan e a un server Web. In questo caso, è necessarioconsentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con ilserver OfficeScan) e dalla porta che l'agente OfficeScan utilizza per lacomunicazione HTTP.

Porta di ascolto dell'agente OfficeScan: Agenti > Gestione agente > Stato. Ilnumero di porta è reperibile in Informazioni di base.

Porta di ascolto del server: Amministrazione > Impostazioni > Connessioneagente. Il numero di porta è reperibile in Impostazioni connessione agente.

OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che èpossibile modificare o eliminare.


12-15

TABELLA 12-2. Eccezioni predefinite ai criteri del firewall

NOMEECCEZIONE

AZIONE PROTOCOLLO PORTA DIREZIONE

DNS Consenti TCP/UDP 53 In entrata e in uscita

NetBIOS Consenti TCP/UDP 137, 138,139, 445

In entrata e in uscita

HTTPS Consenti TCP 443 In entrata e in uscita

HTTP Consenti TCP 80 In entrata e in uscita

Telnet Consenti TCP 23 In entrata e in uscita

SMTP Consenti TCP 25 In entrata e in uscita

FTP Consenti TCP 21 In entrata e in uscita

POP3 Consenti TCP 110 In entrata e in uscita

LDAP Consenti TCP/UDP 389 In entrata e in uscita

Nota

Le eccezioni predefinite vengono applicate a tutti gli agenti. Per applicare un'eccezionepredefinita soltanto a determinati agenti, modificare l'eccezione e specificare gli indirizzi IPdegli agenti.

L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versioneprecedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni,aggiungerla manualmente.

Aggiunta di un'eccezione dei criteri del firewall

Procedura


2. Fare clic su Modifica modello di eccezione.



12-16

4. Digitare un nome per l'eccezione ai criteri.

5. Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazionioppure specificare il percorso o le chiavi del registro di sistema delle applicazioni.

NotaVerificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione nonsupporta i caratteri jolly.

6. Selezionare l'azione che OfficeScan deve eseguire sul traffico di rete (bloccare oconsentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione deltraffico (traffico di rete in entrata o in uscita sull'dispositivo agente OfficeScan).

7. Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6.

8. Specificare le porte dell'dispositivo agente OfficeScan sulle quali effettuare l'azione.

9. Selezionare gli indirizzi IP degli dispositivo agente OfficeScan da includerenell'eccezione. Ad esempio, se si sceglie di bloccare tutto il traffico di rete (inentrata e in uscita) e si immette l'indirizzo IP di un singolo dispositivo della rete,qualsiasi agente OfficeScan con questa eccezione tra i criteri non potrà inviare oricevere dati da quell'indirizzo IP.

• Tutti gli indirizzi IP: include tutti gli indirizzi IP

• Indirizzo IP singolo: immettere un nome host o un indirizzo IPv4 o IPv6.

• Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 oIPv6.

• Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzoIPv6.

• Maschera subnet: immettere un indirizzo IPv4 e la relativa subnet mask.



12-17

Modifica di un'eccezione dei criteri del firewall

Procedura



3. Fare clic su un criterio di eccezione.


• Nome eccezione ai criteri

• Tipo, nome o percorso dell'applicazione

• Operazione che OfficeScan deve effettuare su traffico di rete e direzione deltraffico

• Tipo di protocollo di rete

• Numeri di porta relativi all'eccezione

• Indirizzi IP dell'dispositivo agente OfficeScan


Salvataggio delle impostazioni dell'elenco eccezioni al criterio

Procedura



3. Fare clic su una delle opzioni di salvataggio riportate di seguito:

• Salva modifiche al modello: salva il modello eccezioni con le eccezioni e leimpostazioni correnti. Questa opzione applica il modello solo ai criteri creatiin futuro, non a quelli esistenti.


12-18

• Salva e applica ai criteri esistenti: salva il modello eccezioni con leeccezioni e le impostazioni correnti. Questa opzione applica il modello acriteri esistenti e futuri.

Profili firewallI profili firewall sono flessibili in quanto consentono di scegliere quali attributi un agenteo un gruppo di agenti deve avere affinché il criterio venga applicato. Creare ruoli utenteche permettano di creare, configurare o eliminare i profili di specifici domini.

Gli utenti con account di amministratore predefinito o con le autorizzazioni per lagestione completa possono attivare l'opzione Sovrascrivi il livello di sicurezzadell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo agenteOfficeScan con le impostazioni del server.

I profili comprendono i seguenti elementi:

• Criterio associato: ogni profilo utilizza un singolo criterio.

• Attributi dell'agente: il criterio associato viene applicato agli agenti OfficeScanche dispongono di almeno uno degli attributi riportati di seguito:

• Indirizzo IP: un indirizzo IP specifico dell'agente OfficeScan, un indirizzo IPcompreso in un determinato intervallo di indirizzi IP o indirizzo IPappartenente a una subnet specifica

• Dominio: dominio specifico di OfficeScan al quale l'agente OfficeScanappartiene

• Dispositivo: l'agente OfficeScan con un nome di dispositivo specifico

• Piattaforma: piattaforma specifica utilizzata da qualsiasi agente OfficeScan

• Nome accesso: dispositivo agente OfficeScan a cui utenti specifici hannoeffettuato l'accesso

• Descrizione NIC: un dispositivo agente OfficeScan con una descrizioneNIC corrispondente

• Stato connessione agente: indica lo stato online o offline dell'agenteOfficeScan


12-19

NotaL'agente OfficeScan è online se è in grado di connettersi al server OfficeScan oa un server di riferimento, mentre è offline se non è in grado di connettersi adalcun server.

OfficeScan include un profilo predefinito denominato "Profilo di tutti gli agenti" cheutilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questoprofilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewallpredefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo statoattuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella consoleWeb. Gestire l'elenco dei profili e implementare tutti i profili sugli agenti OfficeScan. Gliagenti OfficeScan archiviano tutti i profili del firewall nell'dispositivo agente.

Configurazione dell'elenco profili del firewall

Procedura

1. Accedere a Agenti > Firewall > Profili.

2. Gli utenti che utilizzano l'account di amministratore predefinito o gli utenti con leautorizzazioni per la gestione completa, facoltativamente possono attivare l'opzioneSovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni persostituire le impostazioni del profilo agente OfficeScan con le impostazioni delserver.

3. Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profiloesistente, selezionare il nome del profilo.

Viene visualizzata la schermata per la configurazione del profilo. Per ulterioriinformazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 12-21.

4. Per eliminare un criterio esistente, selezionare la casella di controllo accanto alcriterio e fare clic su Elimina.

5. Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controlloaccanto al profilo da spostare e fare clic su Sposta su o Sposta giù.

OfficeScan applica i profili firewall agli agenti OfficeScan nell'ordine in cui i profilicompaiono nell'elenco dei profili. Ad esempio, se un agente corrisponde al primo


12-20

profilo, OfficeScan applica all'agente le operazioni configurate per quel profilo. Perquell'agente OfficeScan ignora gli altri profili configurati.

SuggerimentoPiù esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare ilcriterio creato per un unico agente in cima all'elenco, seguito da quelli relativi a unintervallo di agenti, a un dominio di rete e a tutti gli agenti.

6. Per gestire i server di riferimento, fare clic su Modifica elenco server diriferimento. Quando si applicano i profili firewall, i server di riferimento sonodispositivo che fungono da sostituti per il server OfficeScan. Qualsiasi dispositivodella rete può fungere da server di riferimento (per ulteriori informazioni,consultare Server di riferimento a pagina 13-29). Quando si attivano i server diriferimento, OfficeScan parte dai seguenti presupposti:

• Gli agenti OfficeScan collegati a server di riferimento sono online, anche senon possono comunicare con il server OfficeScan.

• I profili firewall applicati agli agenti OfficeScan online si applicano anche agliagenti OfficeScan collegati a server di riferimento.

NotaSolo gli utenti con account di amministratore predefinito o quelli con autorizzazionidi gestione completa possono visualizzare e configurare l'elenco dei server diriferimento.

7. Per salvare le impostazioni correnti e assegnare i profili agli agenti OfficeScan:

a. Decidere se attivare l'opzione Sovrascrivi il livello di sicurezzadell'agente/l'elenco delle eccezioni. Questa opzione sovrascrive tutte leimpostazioni del firewall configurate dall'utente.

b. Fare clic su Assegna profilo agli utenti. OfficeScan assegna tutti i profilidell'elenco dei profili a tutti gli agenti OfficeScan.

8. Per verificare di aver assegnato i profili agli agenti OfficeScan:

a. Accedere a Agenti > Gestione agente. Nell'elenco a discesa disponibile nellavisualizzazione della struttura agente, selezionare Visualizzazione firewall.


12-21

b. Verificare che sia presente un segno di spunta verde nella colonna Firewalldella struttura agente. Se i criteri associati al profilo consentono di utilizzare ilsistema IDS (Intrusion Detection System), è presente un segno di spuntaverde anche nella colonna IDS.

c. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criterisono visualizzati nella colonna Criteri del firewall della struttura agente.

Aggiunta e modifica di un profilo firewallGli dispositivo agente OfficeScan possono richiedere livelli diversi di protezione. Iprofili del Firewall consentono di specificare gli dispositivo agente ai quali si applica uncriterio associato. In linea di massima, per ogni criterio in uso è necessario un profilo.

Aggiunta di un profilo di firewall

Procedura



3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare ilprofilo sugli agenti OfficeScan.

4. Inserire un nome per identificare il profilo e una descrizione opzionale.

5. Specificare un criterio per questo profilo.

6. Specificare gli dispositivo agente a cui OfficeScan deve applicare il criterio.Selezionare gli dispositivo in base ai seguenti parametri:

• Indirizzo IP

• Dominio: fare clic sul pulsante per aprire e selezionare i domini dalla strutturaagente.

NotaSolo gli utenti con autorizzazioni complete per i domini possono selezionarli.


12-22

• Nome Dispositivo: fare clic sul pulsante per aprire e selezionare gli dispositivoagente OfficeScan dalla struttura agente.

• Piattaforma

• Nome accesso

• Descrizione NIC: immettere una descrizione totale o parziale, senza caratterijolly.

SuggerimentoTrend Micro consiglia di immettere il prodottore della scheda NIC perché ledescrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, sesi digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se sidigita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo ledescrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno aquesto criterio.

• Stato connessione agente


Modifica di un profilo di firewall

Procedura


2. Fare clic su un profilo.

3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare ilprofilo sugli agenti OfficeScan. Modificare gli elementi riportati di seguito:

• Nome profilo e descrizione

• Criterio assegnato al profilo

• Dispositivo agente OfficeScan, in base ai seguenti criteri:

• Indirizzo IP


12-23

• Dominio: fare clic sul pulsante per aprire la struttura agente e selezionarei domini.

• Nome Dispositivo: fare clic sul pulsante per aprire la struttura agente eselezionare gli dispositivo agente.

• Piattaforma

• Nome accesso

• Descrizione NIC: immettere una descrizione totale o parziale, senzacaratteri jolly.

SuggerimentoTrend Micro consiglia di immettere il prodottore della scheda NIC perchéle descrizioni NIC in genere iniziano con il nome del produttore. Adesempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questocriterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R)Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100"corrisponderanno a questo criterio.



Privilegi firewallConsentono agli utenti di configurare le proprie impostazioni del firewall. Leimpostazioni configurate dagli utenti hanno la precedenza sulle impostazioniimplementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistemarilevamento anti-intrusione (IDS, Intrusion Detection System) e nel server OfficeScanesso viene attivato, IDS rimane disattivato nell'dispositivo agente OfficeScan.

Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall:

• Visualizza le impostazioni del firewall nella console agente OfficeScan

L'opzione Firewall visualizza tutte le impostazioni del firewall nell'agenteOfficeScan.


12-24

• Consenti agli utenti di attivare/disattivare il firewall, il sistema dirilevamento anti-intrusione e il messaggio di notifica di violazione delfirewall

Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di"stateful inspection", alla scansione antivirus della rete ad elevate prestazioni eall'eliminazione. Se si concede agli utenti il privilegio di attivare o disattivare ilfirewall e le relative funzioni, è necessario avvertirli di non disattivare il firewall perun periodo di tempo prolungato per evitare di esporre l'dispositivo a intrusioni eattacchi di hacker.

Se non si concedono agli utenti tali privilegi, le impostazioni del firewall configuratedalla console Web del server OfficeScan vengono visualizzate in Elenco schede direte nella console dell'agente OfficeScan.

• Consenti agli agenti di inviare i registri di firewall al server OfficeScan

Selezionare questa opzione per analizzare il traffico bloccato e consentito dalfirewall OfficeScan. Per ulteriori informazioni sui registri del firewall, consultareRegistri del firewall a pagina 12-29.

Se si seleziona questa opzione, configurare la pianificazione dell'invio del registro inAgenti > Impostazioni globali agente. Andare alla sezione Impostazionifirewall. La pianificazione si applica solamente agli agenti dotati di privilegio diinvio del registro. Per le istruzioni, vedere Impostazioni firewall globali a pagina 12-25.

Concessione dei privilegi firewall

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi firewall.



12-25

• Visualizza la scheda Firewall nella console agente OfficeScan a pagina 12-23

• Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall a pagina 12-24

• Consenti agli agenti OfficeScan di inviare i registri del firewall al server OfficeScan a pagina12-24




Impostazioni firewall globaliLe impostazioni globali del firewall possono essere applicate agli agenti OfficeScan indiversi modi.

• Una determinata impostazione del firewall può essere applicata a tutti gli agentigestiti dal server.

• Un'impostazione può essere applicata solo agli agenti OfficeScan con determinatiprivilegi firewall. Ad esempio, la pianificazione di invio del registro del firewall siapplica solo agli agenti OfficeScan che hanno il privilegio di inviare registri alserver.

Attivare le impostazioni globali seguenti, in base alle necessità.

• Invia i registri del firewall al server

È possibile assegnare a determinati agenti OfficeScan il privilegio di inviare registrifirewall al server OfficeScan. Configurare la pianificazione per l'invio del registro.


12-26

Solo gli agenti con privilegi per inviare registri firewall potranno usare questapianificazione.

Per informazioni sui privilegi del firewall disponibili per gli agenti selezionati,vedere Privilegi firewall a pagina 12-23.

• Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema

Attivare l'agente OfficeScan per aggiornare il Driver comune Firewall solo dopo ilriavvio dell'dispositivo agente OfficeScan. Attivare questa opzione per impedireche si verifichino interruzioni (ad esempio la disconnessione temporanea dalla rete)per gli dispositivo agente durante gli aggiornamenti di Driver comune Firewalldurante l'aggiornamento dell'agente.

Nota

Questa funzione supporta solo gli agenti aggiornati da OfficeScan 8.0 SP1 e versionisuccessive.

• Invia le informazioni del registro firewall al server OfficeScan ogni ora perrilevare possibili violazioni del firewall

Quando viene attivata questa opzione gli agenti OfficeScan inviano i conteggi delregistro del firewall al server OfficeScan a intervalli di un'ora. Per ulterioriinformazioni sui registri del firewall, consultare Registri del firewall a pagina 12-29.

OfficeScan utilizza i conteggi del registro e i criteri delle infezioni da violazione delfirewall per determinare la possibilità di un'infezione da violazione del firewall.OfficeScan invia un messaggio e-mail di notifica agli amministratori OfficeScan sesi verifica un'infezione.

• Accedere alla sezione Impostazioni servizio certificato Safe Software e attivareil Servizio certificato Safe Software, come necessario.

Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare lasicurezza di un programma rilevato da Blocco del comportamento malware,Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizioCertified Safe Software per ridurre la possibilità di falsi allarmi.


12-27

Nota

Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (permaggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) primadi attivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insiemea una connessione Internet intermittente, possono provocare ritardi o mancaterisposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati nonrispondono.

Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente aidatacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizziIP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan dicollegarsi ai datacenter Trend Micro.

Configurazione delle impostazioni firewall globali

Procedura


2. Andare alla sezione seguente e configurare le impostazioni:

TABELLA 12-3. Impostazioni firewall globali

SEZIONE IMPOSTAZIONI

Impostazioni delfirewall

• Invia i registri del firewall al server a pagina 12-25

• Aggiorna il driver del firewall OfficeScan solo dopoaver riavviato il sistema a pagina 12-26

Conteggio registrofirewall

Invia le informazioni del registro firewall al serverOfficeScan ogni ora per rilevare possibili violazioni delfirewall a pagina 12-26

Impostazioni diCertified SafeSoftware

Attiva il servizio Certified Safe Software per il monitoraggiodel comportamento, il firewall e le scansioni antivirus apagina 12-26



12-28

Notifiche di violazione del firewall per utentiagente OfficeScan

OfficeScan può visualizzare un messaggio di notifica sugli agenti subito dopo che ilfirewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall.Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica.

Nota

È anche possibile attivare la notifica quando si configura un particolare criterio del firewall.Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina12-11.

Concessione agli utenti del privilegio di attivare/disattivare il messaggio di notifica

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi firewall.

5. Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema dirilevamento anti-intrusione e il messaggio di notifica di violazione delfirewall.


• Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti ea qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini


12-29

futuri sono i domini non ancora creati al momento della configurazione delleimpostazioni.


Modifica del contenuto del messaggio di notifica delfirewall

Procedura


2. Dal menu a discesa Tipo, selezionare Violazioni del firewall

3. Modificare i messaggi predefiniti nella casella di testo disponibile.


Registri del firewallI registri del firewall disponibili nel server vengono inviati dagli agenti OfficeScan chedispongono dei privilegi per tale invio. Per monitorare e analizzare il traffico neglidispositivo che il firewall di OfficeScan blocca, è possibile concedere questo privilegioad alcuni agenti specifici.

Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 12-23.



12-30

Visualizzazione dei registri firewall

Procedura



3. Fare clic su Registri > Registri del firewall o su Visualizza registri > Registridel firewall.

4. Per avere a disposizione i registri più recenti, fare clic su Invia una notifica agliagenti. Prima di procedere al passaggio successivo, attendere il tempo necessarioper consentire agli agenti di inviare i registri del firewall.



• Data e ora del rilevamento della violazione del firewall

• Dispositivo in cui si è verificata la violazione del firewall

• Dominio dell'dispositivo in cui si è verificata la violazione del firewall

• Indirizzo IP host remoto

• Indirizzo IP host locale

• Protocollo

• Numero di porta

• Direzione: indica se la violazione dei criteri del firewall è stata effettuata daltraffico in entrata (ricezione) o in uscita (invio)

• Processo: il programma eseguibile o il servizio in esecuzione sull'dispositivoche ha causato la violazione del firewall

• Descrizione: specifica il rischio alla protezione reale (quali virus di rete oattacchi IDS) o la violazione dei criteri del firewall


12-31


Infezioni da violazione del firewallDefinire i parametri di un'infezione da violazione del firewall in base al numero diviolazioni del firewall e al periodo di rilevamento.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica in base alle diverse esigenze.

Nota

OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica.Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan diinviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina13-31.

Configurazione delle notifiche e dei criteri di infezione daviolazione del firewall

Procedura



a. Andare alla sezione Violazioni del firewall.

b. Selezionare Controlla le violazioni del firewall negli agenti OfficeScan.

c. Specificare il numero dei registri di IDS, dei registri di firewall e dei registri deivirus di rete.

d. Specificare un periodo di rilevamento.


12-32

Suggerimento

Trend Micro consiglia di accettare i valori predefiniti di questa schermata.

OfficeScan invia un messaggio di notifica quando il numero di registri vienesuperato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall,100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia lanotifica quando il server riceve 301 registri in 3 ore.


a. Andare alla sezione Infezioni da violazioni del firewall.



d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare solo variabili token per rappresentare i dati nelcampo Oggetto e Messaggio.

TABELLA 12-4. Variabili token per notifiche di infezione da violazione delfirewall


%A Tipo di registro superato

%C Numero di registri di violazione del firewall

%T Totale periodo di durata dei registri di violazione del firewall


Test del firewall OfficeScanPer avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire untest su un agente OfficeScan o un gruppo di agenti OfficeScan.


12-33

AVVERTENZA!Eseguire il test delle impostazioni del programma agente OfficeScan solo in un ambientecontrollato. Non eseguire test su dispositivo collegati alla rete o a Internet. Questaoperazione potrebbe esporre gli dispositivo agente OfficeScan a virus, attacchi di hacker ealtri rischi.

Procedura

1. Creare e salvare un criterio per il test. Configurare le impostazioni affinché venganobloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire laconnessione dell'agente OfficeScan a Internet, effettuare le operazioni riportate diseguito:

a. Impostare il livello di sicurezza su Basso (per consentire tutto il traffico inentrata e in uscita).

b. Selezionare Invia una notifica agli utenti quando si verifica unaviolazione del firewall.

c. Creare un'eccezione che blocchi il traffico HTTP (o HTTPS).

2. Creare e salvare un profilo per il test, selezionando gli agenti su cui si desideranocontrollare le funzioni del firewall. Associare i criteri del test al profilo del test.

3. Fare clic su Assegna profilo agli utenti.

4. Verificare l'implementazione.

a. Fare clic su Agenti > Gestione agente.

b. Selezionare il dominio a cui appartiene l'agente.

c. Selezionare Visualizzazione firewall dalla visualizzazione della strutturaagente.

d. Verificare che sia presente un segno di spunta verde nella colonna Firewalldella struttura agente. Se è stato attivato il sistema IDS (Intrusion DetectionSystem) per l'agente, verificare che sia presente un segno di spunta verdeanche nella colonna IDS.

e. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criterisono visualizzati nella colonna Criteri del firewall della struttura agente.


12-34

5. Eseguire il test del firewall nell'dispositivo agente tentando di inviare o ricevere iltipo di traffico configurato nei criteri.

6. Per eseguire il test di un criterio configurato per evitare che l'agente acceda aInternet, aprire un browser Web sull'dispositivo agente. Se OfficeScan è statoconfigurato per visualizzare un messaggio di notifica per le violazioni del firewall, ilmessaggio viene visualizzato sull'dispositivo agente quando si verifica unaviolazione del traffico in uscita.

Parte IIIGestione degli agenti e del

server OfficeScan

13-1

Capitolo 13

Gestione del server OfficeScanIn questo capitolo vengono descritte le configurazioni e la gestione del serverOfficeScan.


• Role-based Administration (RBA) a pagina 13-2

• Server di riferimento a pagina 13-29

• Impostazioni notifica amministratore a pagina 13-31

• Registri eventi di sistema a pagina 13-33

• Gestione dei registri a pagina 13-34

• OfficeScan Database Backup a pagina 13-41

• Strumento di migrazione SQL Server a pagina 13-42

• Impostazioni connessione agente/server Web OfficeScan a pagina 13-47

• Password della console Web a pagina 13-48

• Server Tuner a pagina 13-55

• Smart Feedback a pagina 13-58


13-2

Role-based Administration (RBA)Utilizzare la Role-based Administration per garantire e controllare l'accesso alla consoleWeb OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propriaorganizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegidi console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioninecessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accessoalla struttura agente assegnando loro uno o più domini da gestire. Inoltre, è possibileconcedere ai non amministratori l'accesso alla console Web in modalità "sola lettura".

A ciascun utente (amministratore o non amministratore) viene assegnato un ruolospecifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono allaconsole Web utilizzando gli account utente personalizzati o gli account Active Directory.

Role-based Administration comprende le operazioni riportate di seguito:

1. Definire i ruoli utente. Per ulteriori dettagli, consultare Ruoli utente a pagina 13-2.

2. Configurare gli account utente e assegnare un ruolo particolare a ciascun accountutente. Per maggiori dettagli, consultare Account utente a pagina 13-12.

Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema.Vengono registrate le attività riportate di seguito:

• Accesso alla console Web

• Modifica della password

• Disconnessione dalla console

• Timeout di sessione (l'utente viene disconnesso automaticamente)

Ruoli utente

Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruoloviene assegnata un'autorizzazione per ciascuna voce di menu.

Assegnare le autorizzazioni per i seguenti elementi:

• Autorizzazioni per le voci di menu a pagina 13-3

Gestione del server OfficeScan

13-3

• Tipi di voci di menu a pagina 13-3

• Voci di menu per server e agenti a pagina 13-4

• Voci menu per domini gestiti a pagina 13-6

Autorizzazioni per le voci di menu

Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu.L'autorizzazione per una voce di menu può essere:

• Configura: consente l'accesso completo a una voce di menu. Gli utenti sono ingrado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzarei dati di una voce di menu.

• Visualizza: consente agli utenti di visualizzare soltanto le impostazioni, leoperazioni e i dati di una voce di menu.

• Nessun accesso: la voce di menu viene nascosta.

Tipi di voci di menu

Sono disponibili due tipi di voci di menu configurabili per i ruoli utenti OfficeScan.

TABELLA 13-1. Tipi di voci di menu

TIPO AMBITO

Voci menu perserver/agenti

• Dati, operazioni e impostazioni del server

• Dati, operazioni e impostazioni globali dell'agente

Per un elenco completo delle voci di menu disponibili, vedere Vocidi menu per server e agenti a pagina 13-4.

Voci menu perdomini gestiti

Dati, operazioni e impostazioni granulari dell'agente disponibili aldi fuori della struttura agente

Per un elenco completo delle voci di menu disponibili, vedere Vocimenu per domini gestiti a pagina 13-6.


13-4

Voci di menu per server e agenti

Nella seguente tabella sono riportate le voci di menu per server/agenti.

Nota

Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plug-in. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco nonviene visualizzata alcuna voce di menu per Prevenzione perdita di dati. Un programmaplug-in aggiuntivo viene visualizzato nella voce di menu Plug-in.

Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menuPlug-in.

TABELLA 13-2. Voci menu Agenti

VOCE DI MENU DI PRIMO LIVELLO VOCE DI MENU

Agenti • Gestione agente

• Raggruppamento agenti

• Impostazioni globali agente

• Posizione dispositivo

• Verifica connessione

• Prevenzione delle infezioni virali

TABELLA 13-3. Voci menu Registri

VOCE DI MENU DI PRIMO LIVELLO VOCE DI MENU

Registri • Agenti

• Rischi per la sicurezza

• Aggiornamento dei componenti

• Aggiornamenti server

• Eventi di sistema

• Manutenzione registri


13-5

TABELLA 13-4. Voci menu Aggiornamenti

VOCE DI MENU DIPRIMO LIVELLO

VOCE DI MENU VOCE DI MENU SECONDARIO

Aggiornamenti Server • Aggiornamento pianificato

• Aggiornamento manuale


Agenti • Aggiornamento automatico


Rollback N.D.

TABELLA 13-5. Voci menu Amministrazione



Amministrazione

Gestione account • Account utente

• Ruoli utente

NotaSolo gli utenti cheutilizzano l'account diamministratore integratopossono accedere adAccount utente e Ruoliutente.

Smart Protection • Origini Smart Protection

• Server integrato

• Smart Feedback

Active Directory • Active Directory Integration

• Sincronizzazione pianificata

Notifiche • Impostazioni generali

• Infezione


13-6



• Agente

Impostazioni • Impostazioni proxy

• Impostazioni connessioneagente

• Agenti inattivi

• Gestore della quarantena

• Licenza del prodotto

• Impostazioni ControlManager

• Impostazioni della consoleWeb

• Database Backup

Strumenti • Strumenti amministrativi

• Strumenti agente

Voci menu per domini gestiti

Nella seguente tabella sono riportate le voci di menu per i domini gestiti.

TABELLA 13-6. Voce di menu Dashboard

VOCE DI MENU PRINCIPALE VOCE DI MENU

Dashboard

NotaTutti gli utenti possono accedere a questapagina, indipendentementedall'autorizzazione.

N.D.


13-7

TABELLA 13-7. Voci menu Valutazione



Valutazione Conformità sicurezza • Segnalazione manuale

• Segnalazione pianificata

Dispositivo non gestiti N.D.

TABELLA 13-8. Voci menu Agenti



Agenti Firewall • Criteri

• Profili

Installazione agente • Basato su browser

• Remota

TABELLA 13-9. Voci menu Registri



Registri Agenti • Verifica connessione

• Ripristino Files inQuarantena

• Ripristino spyware/grayware

TABELLA 13-10. Voci menu Aggiornamenti



Aggiornamenti Riepilogo N.D.

Agenti Aggiornamento manuale


13-8

TABELLA 13-11. Voci menu Amministrazione



Amministrazione

Notifiche Amministratore

Ruoli utente integrati

OfficeScan comprende una serie di ruoli utente integrati che non possono esseremodificati o eliminati. I ruoli integrati sono riportati di seguito:

TABELLA 13-12. Ruoli utente integrati

NOME RUOLO DESCRIZIONE

Amministratore È possibile concedere questo ruolo agli utenti o amministratori diOfficeScan che hanno una buona conoscenza di OfficeScan.

Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tuttele voci di menu.

NotaSolo gli utenti con il ruolo “Amministratore (integrato)”hanno accesso alla voce di menu Plug-in.

Utente ospite È possibile concedere questo ruolo agli utenti che desideranovisualizzare la console Web per riferimento.

• Gli utenti con questo ruolo non hanno accesso alle voci dimenu seguenti:

• Plug-in

• Amministrazione > Gestione account > Ruoli utente

• Amministrazione > Gestione account > Accountutente

• Gli utenti con accesso di visualizzazione a tutte le altre voci dimenu.


13-9

NOME RUOLO DESCRIZIONE

Utente espertoTrend

(ruolo soloaggiornamento)

Questo ruolo è disponibile solamente se si eseguel'aggiornamento della versione da OfficeScan 10.

Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" inOfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione"Configura" per tutti i domini della struttura agente, ma non hannoaccesso alle nuove funzioni di questa versione.

Ruoli personalizzatiSe i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruolipersonalizzati.

Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzanol'account principale (root) creato durante l'installazione di OfficeScan possono creareruoli utente personalizzati ed assegnare tali ruoli agli account utente.

Aggiunta di una regola personalizzata

Procedura

1. Accedere a Amministrazione > Gestione account > Ruoli utente.

2. Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruoloesistente, selezionare il ruolo esistente e fare clic su Copia.


3. Immettere il nome del ruolo e, se lo si desidera, una descrizione.

4. Fare clic su Voci menu per server/agenti e specificare l'autorizzazione perciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,vedere Voci di menu per server e agenti a pagina 13-4.

5. Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione perciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,vedere Voci menu per domini gestiti a pagina 13-6.


13-10


Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente.

Modifica di una regola personalizzata

Procedura


2. Fare clic sul nome del ruolo.


3. Modificare una delle voci riportate di seguito:

• Descrizione

• Autorizzazioni ruolo

• Voci menu per server/agenti

• Voci menu per domini gestiti


Eliminazione di una regola personalizzata

Procedura


2. Selezionare la casella di controllo accanto al ruolo.

3. Fare clic su Elimina.


13-11

NotaNon è possibile eliminare un ruolo se è assegnato ad almeno un account utente.

Importazione o esportazione di regole personalizzate

Procedura


2. Per esportare i ruoli personalizzati in un file .dat:

a. Selezionare i ruoli e fare clic su Esporta.

b. Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare ilfile .dat per importare i ruoli personalizzati in quel server.

NotaÈ possibile esportare i ruoli solo tra server con la stessa versione.

3. Per esportare i ruoli personalizzati in un file .csv:

a. Selezionare i ruoli e fare clic su Esporta impostazioni ruolo.

b. Salvare il file .csv. Utilizzare questo file per verificare le informazioni e leautorizzazioni per i ruoli selezionati.

4. Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e sidesidera importarli nel server OfficeScan attuale, fare clic su Importa e individuareil file .dat contenente i ruoli personalizzati.

• Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa unruolo con lo stesso nome.

• È possibile importare i ruoli solo tra server con la stessa versione.

• Ruolo importato da un altro server OfficeScan:

• Conserva le autorizzazioni per le voci di menu per server/agenti e le vocidi menu per i domini gestiti.


13-12

• Applica le autorizzazioni predefinite per le voci di menu di gestione degliagenti. Sull'altro server, registrare le autorizzazioni del ruolo per le voci dimenu di gestione dell'agente, quindi riapplicarle al ruolo che è statoimportato.

Account utente

Configurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruoloutente determina le voci di menu della console Web che un utente può visualizzare oconfigurare.

Durante l'installazione del server OfficeScan, il programma di installazione crea unaccount integrato denominato "root" (account principale). Gli utenti che accedonoutilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non èconsentito eliminare l'account principale (root) ma è possibile modificare i dettaglidell'account quali la password e il nome completo oppure la descrizione dell'account.Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenzatecnica per reimpostarla.

Aggiungere account personalizzati o account Active Directory. Tutti gli account utentevengono visualizzati nell'elenco Account utente della console Web.

Assegnare le autorizzazioni agli account utenti per visualizzare o configurare per gliagenti dati, operazioni e impostazioni dettagliate che sono disponibili nella strutturaagente. Per un elenco completo delle voci di menu della struttura agente disponibili,vedere Voci menu Gestione agente a pagina 13-12.

Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On".Il Single Sign-On consente agli utenti di accedere alla console Web OfficeScan dallaconsole di Trend Micro Control Manager. Per maggiori dettagli, vedere la procedurariportata di seguito.

Voci menu Gestione agente

La seguente tabella elenca le voci di menu di Gestione agente:


13-13

NotaLe voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plug-in. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco nonviene visualizzata alcuna voce di menu per Prevenzione perdita di dati.

TABELLA 13-13. Voci menu Gestione agente

VOCE DI MENUPRINCIPALE

MENU SECONDARI

Stato N.D.

Operazioni • Esegui scansione

• Disinstallazione dell'agente

• Ripristino Files in Quarantena

• Ripristino spyware/grayware


13-14


MENU SECONDARI

Impostazioni • Impostazioni di scansione

• Metodi di scansione

• Impostazioni scansione manuale

• Impostazioni scansione in tempo reale

• Impostazioni scansione pianificata

• Impostazioni funzione Esegui scansione


• Impostazioni connessione sospetta

• Impostazione del monitoraggio del comportamento


• Impostazioni DLP

• Impostazioni Update Agent



• Elenco Approvati spyware/grayware

• Esporta impostazioni

• Importa impostazioni


13-15


MENU SECONDARI

Registri • Registri di virus/minacce informatiche

• Registri di spyware/grayware

• Registri del firewall

• Registri di reputazione Web

• Registri delle connessioni sospette

• Registri di Monitoraggio del comportamento

• Registri di controllo dispositivo

• Registri di Prevenzione perdita di dati

• Elimina registri

Gestione strutturaagente

• Aggiungi dominio

• Rinomina dominio

• Sposta agente

• Rimuovi dominio/agente

Esporta Nessuna

Aggiunta di un account personalizzato

Procedura

1. Accedere a Amministrazione > Gestione account > Account utente.


Viene visualizzata la schermata Fase 1 Informazioni utente.

3. Selezionare Attiva questo account.

4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.

Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati apagina 13-9.


13-16

5. Digitare il nome utente, la descrizione, la password e la password di conferma.

6. Digitare un indirizzo e-mail per l'account.

NotaOfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano ildestinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorsedigitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per lasicurezza per gli amministratori a pagina 7-82.


Viene visualizzata la schermata Fase 2 Controllo dominio agente.

8. Definire l'ambito della struttura agente selezionando il dominio root oppure uno opiù domini nella struttura agente.

A questo punto sono stati definiti solo i domini. Il livello di accesso ai dominiselezionati viene definito nella Fase 10.


Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.

10. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazioneper ciascuna voce di menu disponibile. Per un elenco delle voci di menudisponibili, vedere Voci menu Gestione agente a pagina 13-12.

L'ambito della struttura agente configurato nella fase 8 determina il livello diautorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione.L'ambito della struttura agente può essere il dominio root (tutti gli agenti) oppure idomini specifici della struttura agente.

TABELLA 13-14. Voci di menu gestione agente e ambito della struttura agente

CRITERIAMBITO DELLA STRUTTURA AGENTE

DOMINIO ROOT DOMINI SPECIFICI

Autorizzazioneper le voci dimenu

Configura, Visualizza o Nessunaccesso

Configura, Visualizza o Nessunaccesso


13-17

CRITERIAMBITO DELLA STRUTTURA AGENTE

DOMINIO ROOT DOMINI SPECIFICI

Destinazione Dominio root (tutti gli agenti) odomini specifici

È, ad esempio, possibileconcedere ad un ruolol'autorizzazione "Configura" perla voce di menu "Operazioni"della struttura agente. Se ladestinazione è il dominio root,l'utente può avviare leoperazioni su tutti gli agenti. Sele destinazioni sono i domini Ae B, le operazioni possonoessere avviate soltanto sugliagenti dei domini A e B.

Solo domini selezionati

È, ad esempio, possibileconcedere a un ruolol'autorizzazione "Configura" perla voce di menu "Impostazioni"della struttura agente. Ciòsignifica che l'utente puòimplementare le impostazioni,ma solo verso gli agenti neidomini selezionati.

La struttura agente verrà visualizzata solo se l'autorizzazione allavoce di menu Gestione agente in "Voci menu per server/agenti" è"Visualizza".

• Se viene selezionata la casella di controllo in Configura, la casella di controlloin Visualizza viene configurata automaticamente.

• Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessunaccesso".

• Se si configurano autorizzazioni per un dominio specifico, è possibile copiarele autorizzazioni su altri domini facendo clic su Copiare le impostazioni deldominio selezionato negli altri domini.

11. Fare clic su Fine.

12. Inviare i dettagli dell'account all'utente.

Definizione delle autorizzazioni per i domini

Quando si definiscono le autorizzazioni per i domini, OfficeScan applicaautomaticamente le autorizzazioni di un dominio principale a tutti i sottodomini che


13-18

gestisce. Un sottodominio non può avere meno autorizzazioni del suo dominioprincipale. Ad esempio, se l'amministratore di sistema ha l'autorizzazione pervisualizzare e configurare tutti gli agenti gestiti da OfficeScan (il dominio “ServerOfficeScan”), le autorizzazioni per i sottodomini devono consentire all'amministratore disistema di accedere a queste funzioni di configurazione. Se si rimuove un'autorizzazioneda un sottodominio, l'amministratore di sistema non avrà le autorizzazioni complete perla configurazione di tutti gli agenti.

Per la procedura seguente, la struttura del dominio è come segue:

Ad esempio, per concedere all'account utente “Chris” le autorizzazioni per visualizzare econfigurare voci di menu specifiche per il sottodominio “Dipendenti” ma soltantol'autorizzazione per visualizzare i registri nel dominio principale “Manager”, eseguire laprocedura seguente.

TABELLA 13-15. Autorizzazioni per l'account utente “Chris”

DOMINIO AUTORIZZAZIONI DESIDERATE

Server OfficeScan Nessuna autorizzazione particolare

Manager Visualizza registri

Dipendenti Visualizza e configura operazioni

Visualizza e configura registri

Visualizza impostazioni:

Vendite Nessuna autorizzazione particolare


13-19

Procedura

1. Accedere alla schermata Account utente: Passaggio 3 Definire l'ambito dellastruttura agente.

2. Fare clic sul dominio “Server OfficeScan”.

3. Deselezionare tutte le caselle di controllo Visualizza e Configura.

Nota

Il dominio “Server OfficeScan” può essere configurato solo se sono selezionati tutti irelativi sottodomini nella schermata Account utente: Passaggio 2 Controllodominio agente

4. Fare clic sul dominio “Vendite”.

5. Deselezionare tutte le caselle di controllo Visualizza e Configura.

Nota

Il dominio “Vendite” viene visualizzato solo se viene selezionato nella schermataAccount utente: Passaggio 2 Controllo dominio agente

6. Fare clic sul dominio “Manager”.

7. Selezionare “Visualizza registri” e deselezionare tutte le altre caselle di controlloVisualizza e Configura.

8. Fare clic sul dominio “Dipendenti”.

9. Selezionare una delle seguenti voci di menu per Chris:

• Operazioni: visualizza e configura

• Registri: visualizza e configura

• Impostazioni: Visualizza

Chris ora può visualizzare e configurare le voci di menu selezionate per il dominio“Dipendenti” e può soltanto visualizzare i Registri per il dominio “Manager”.


13-20

Se Chris ha le autorizzazioni per visualizzare e configurare il dominio “Manager”,OfficeScan concede automaticamente le stesse autorizzazioni anche al sottodominio“Dipendenti”. Questo accade perché il dominio “Manager” gestisce tutti i suoisottodomini.

Modifica di un account personalizzato

Procedura


2. Fare sull'account dell'utente.

3. Attivare o disattivare l'account utilizzando la relativa casella di controllo.


• Ruolo

• Descrizione

• Password

• Indirizzo e-mail


6. Definire l'ambito della struttura agente.


8. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazioneper ciascuna voce di menu disponibile.

Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina13-12.


10. Inviare i dettagli del nuovo account all'utente.


13-21

Aggiunta di gruppi o account Active Directory

Procedura



Viene visualizzata la schermata Fase 1 Informazioni utente.

3. Selezionare Attiva questo account.

4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.

Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati apagina 13-9.

5. Selezionare Utente o gruppo Active Directory.

6. Cercare un account (nome utente o gruppo) specificando il nome utente e ildominio di appartenenza.

Nota

Per cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly,specificare il nome di account completo. OfficeScan non restituisce alcun risultato sei nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti didomini".

7. Quando OfficeScan trova un account valido, il nome dell'account vienevisualizzato in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostarel'account in Utenti e gruppi selezionati.

Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a ungruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almenodue gruppi e i ruoli dei due gruppi sono diversi:

• Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configuraun'impostazione particolare e le autorizzazioni entrano in conflitto rispetto atale impostazione, viene applicata l'autorizzazione di livello più alto.


13-22

• Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Adesempio l'utente Mario Rossi accede con i ruoli seguenti: Amministratore,Utente esperto".


Viene visualizzata la schermata Fase 2 Controllo dominio agente.

9. Definire l'ambito della struttura agente.


Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.

11. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazioneper ciascuna voce di menu disponibile.

Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina13-12.


13. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome didominio e password.

Trend Micro Control ManagerTrend Micro Control Manager™ è una console di gestione centralizzata che consente digestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di filee di desktop aziendale. La console di gestione basata su Web di Control Managercostituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete.

Control Manager consente agli amministratori di sistema di monitorare ed emettererapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus.Gli amministratori di sistema possono scaricare e implementare i componenti attraversola rete e così essere sicuri di disporre di una protezione coerente e aggiornata. ControlManager consente aggiornamenti manuali e pianificati e inoltre la possibilità diconfigurare e amministrare i prodotti individualmente o a gruppi per una maggioreflessibilità.


13-23

Integrazione di Control Manager in questa versione diOfficeScan

Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione diOfficeScan per la gestione dei server OfficeScan da Control Manager.

• Creare, gestire e implementare criteri Antivirus, di Prevenzione perdita di dati eControllo dispositivo per OfficeScan e assegnare i privilegi direttamente agli agentiOfficeScan dalla console di Control Manager.

La tabella seguente elenca le configurazioni dei criteri in Control Manager 6.0.

TABELLA 13-16. Tipi di gestione dei criteri OfficeScan in Control Manager

TIPO DI CRITERIO CARATTERISTICHE

Impostazioni dell'agente e antivirusOfficeScan


• Impostazione del monitoraggio delcomportamento




• Impostazioni scansione in temporeale


• Metodi di scansione

• Impostazioni funzione Eseguiscansione



• Impostazioni Update Agent



13-24

TIPO DI CRITERIO CARATTERISTICHE

Protezione dati Impostazioni dei criteri Prevenzioneperdita di dati

NotaGestione delle autorizzazioni diControllo dispositivo per laProtezione dati nei criteri degliagenti OfficeScan.

• Replicare le impostazioni riportate di seguito da un server OfficeScan a un altroutilizzando la console di Control Manager:

• Tipi di identificatore di dati a pagina 10-5

• Modelli di Prevenzione perdita di dati a pagina 10-20

Nota

Se queste impostazioni vengono replicate sui server OfficeScan in cui non è stata attivata lalicenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione dellalicenza.

Versioni di Control Manager supportate

Questa versione di OfficeScan supporta le seguenti versioni di Control Manager.

TABELLA 13-17. Versioni di Control Manager supportate

SERVER OFFICESCANVERSIONE DI CONTROL MANAGER

6.0 SP1 6.0 5.5 SP1

Dual-stack Sì Sì Sì

IPv4 puro Sì Sì Sì

IPv6 puro Sì Sì No


13-25

Nota

Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1.

Per dettagli sugli indirizzi IP che il server OfficeScan e gli agenti OfficeScan segnalano aControl Manager, vedere Schermate che visualizzano gli indirizzi IP a pagina A-7.

Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Managerper consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fixpiù recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Microall'indirizzo seguente:


Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurarele impostazioni per OfficeScan nella console di gestione di Control Manager. Perinformazioni sulla gestione dei server OfficeScan, consultare la documentazione di ControlManager.

Registrazione di OfficeScan al servizio Control Manager

Procedura

1. Accedere a Amministrazione > Impostazioni > Control Manager.

2. Specificare il nome di entità visualizzato, che corrisponde al nome del serverOfficeScan visualizzato in Control Manager.

Per impostazione predefinita il nome di entità visualizzato comprende il nome hostdel computer server e il nome di questo prodotto (ad esempio, Server01_OSCE).

Nota

In Control Manager i server OfficeScan e gli altri prodotti gestiti tramite ControlManager vengono definiti "entità".

3. Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numerodi porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi inmodo più sicuro con HTTPS.



13-26

• Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager ol'indirizzo IP (IPv4 o IPv6, se disponibile).

• Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Managero l'indirizzo IPv4.

• Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Managero l'indirizzo IPv6.

NotaSolo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6.

4. Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nomeutente e password.

5. Se si utilizza un server proxy per collegarsi al server Control Manager, specificare leseguenti impostazioni proxy:

• Protocollo proxy

• FQDN del server o porta e indirizzo IPv4/IPv6

• ID utente e password per l'autenticazione del server proxy

6. Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali obidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta.

7. Per verificare che OfficeScan si colleghi al server Control Manager in base alleimpostazioni specificate, fare clic su Test di connessione.

Se il tentativo di connessione è riuscito, fare clic su Registra.

8. Se la versione del server Control Manager è 6.0 SP1 o successiva, viene visualizzatoun messaggio che chiede all'utente di usare il server Control Manager come originiaggiornamenti per OfficeScan integrated Smart Protection Server. Fare clic su OKper usare il server Control Manager come origine aggiornamenti di IntegratedSmart Protection Server o Annulla per continuare a usare l'origine aggiornamenticorrente (per impostazione predefinita, il server ActiveUpdate).

9. Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clicsu Impostazioni di aggiornamento dopo aver modificato le impostazioni pernotificare le modifiche al server Control Manager.


13-27

10. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clicsu Annulla registrazione.

Verifica dello stato di OfficeScan nella console digestione Control Manager

Procedura

1. Aprire la console di gestione Control Manager.

Per aprire la console di Control Manager in qualsiasi dispositivo della rete, aprire unbrowser Web e immettere:

https://<nome server Control Manager>/Webapp/login.aspx

dove <nome server Control Manager> è l'indirizzo IP o il nome host delserver Control Manager

2. Nel menu principale fare clic su Directory > Prodotti.

3. Controllare che venga visualizzata l'icona del server OfficeScan.

Strumento di esportazione dei criteriLo Strumento di esportazione dei criteri del server OfficeScan di Trend Micro consenteagli amministratori di esportare le impostazioni dei criteri OfficeScan supportati daControl Manager 6.0 o versioni successive. Gli amministratori inoltre si servono dellostrumento di importazione di Control Manager per importare i criteri. Lo strumento diesportazione dei criteri supporta OfficeScan 10.6 Service Pack 1 e versioni successive.

• Impostazioni scansione in tempo reale • Impostazione del monitoraggio delcomportamento

• Impostazioni scansione pianificata • Impostazioni di controllo dispositivo

• Impostazioni scansione manuale • Impostazioni di Prevenzione perdita didati


13-28



• Impostazioni Update Agent • Impostazioni aggiuntive del servizio

• Impostazioni di reputazione Web • Elenco approvati spyware/grayware


• Metodo di scansione

Utilizzo dello strumento di esportazione dei criteri

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\PolicyExportTool.

2. Fare doppio clic su PolicyExportTool.exe per avviare lo Strumento diesportazione dei criteri.

Viene aperta una schermata CLI (Command Line Interface, interfaccia della linea dicomando) e lo Strumento di esportazione dei criteri avvia l'esportazione delleimpostazioni. Lo strumento crea due cartelle (PolicyClient e PolicyDLP)nella cartella PolicyExportTool che contiene le impostazioni esportate.

3. Copiare le due cartelle nella cartella di installazione di Control Manager.

4. Eseguire lo Strumento di importazione dei criteri nel server Control Manager.

Per ulteriori informazioni riguardanti lo Strumento di importazione dei criteri,vedere il Readme dello Strumento di importazione dei criteri.

Nota

Lo Strumento di esportazione dei criteri non esporta gli identificatori di dati o imodelli DLP personalizzati. Gli amministratori che necessitano di esportare gliidentificatori di dati personalizzati e dei modelli DLP possono eseguire l'esportazionemanuale dalla console OfficeScan, quindi importare manualmente il file utilizzando laconsole Control Manager.


13-29

Server di riferimentoUno dei modi con cui l'agente OfficeScan determina quale criterio o profilo utilizzareconsiste nella verifica dello stato della connessione con il server OfficeScan. Se unagente OfficeScan interno (o un agente nella rete aziendale) non riesce a connettersi conil server, lo stato dell'agente diventa offline. L'agente quindi applica un criterio o unprofilo destinato agli agenti esterni. I server di riferimento risolvono questo problema.

Un agente OfficeScan che perde la connessione con il server OfficeScan proverà acollegarsi ai server di riferimento. Se l'agente riesce a stabilire una connessione con unserver di riferimento, applica il profilo o il criterio per gli agenti interni.

Criteri e profili gestiti dai server di riferimento includono:

• Profili firewall

• Criteri di reputazione Web

• Criteri di protezione dati

• Criteri di controllo dispositivo

È necessario ricordare quanto segue:

• Assegnare come server di riferimento computer con funzionalità server, come unserver Web, un server SQL o un server FTP. È possibile specificare un massimo di32 server di riferimento.

• Gli agenti OfficeScan si collegano al primo server dell'elenco dei server diriferimento. Se il collegamento non riesce, l'agente prova a collegarsi al serversuccessivo dell'elenco.

• Gli agenti OfficeScan utilizzano i server di riferimento per determinare leimpostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio delcomportamento, Controllo dispositivo, profili di firewall, criterio di reputazioneWeb). I server di riferimento non gestiscono gli agenti né implementanoaggiornamenti e impostazioni agenti. Il server OfficeScan esegue queste operazioni.

• Un agente OfficeScan non è in grado di inviare registri ai server di riferimento outilizzare i server come origini aggiornamenti


13-30

Gestione dell'elenco server di riferimento

Procedura

1. Accedere a Agenti > Firewall > Profili o Agenti > Posizione dispositivo.

2. In base alla schermata visualizzata, attenersi alle seguenti istruzioni.

• Sulla schermata Profili firewall per agenti, fare clic su Modifica elencoserver di riferimento.

• Sulla schermata Posizione dispositivo, fare clic su Elenco server diriferimento.

3. Selezionare Attiva l'elenco server di riferimento.

4. Per aggiungere un dispositivo all'elenco, fare clic su Aggiungi.

a. Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully QualifiedDomain Name) dell'dispositivo, ad esempio:

• computer.nomerete

• 12.10.10.10

• ilmiocomputer.dominio.com

b. Inserire la porta attraverso la quale gli agenti comunicano con l'dispositivo.Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul serverdi riferimento.

Nota

Per specificare un altro numero di porta per lo stesso server di riferimento,ripetere i passaggi 2a e 2b. L'agente OfficeScan utilizza il primo numero di portadell'elenco e, se la connessione non riesce, passa al numero di porta successivo.


5. Per modificare le impostazioni di un dispositivo dell'elenco, fare clic sul nomedell'dispositivo. Modificare il nome o la porta dell'dispositivo e fare clic su Salva.


13-31

6. Per rimuovere un dispositivo dall'elenco, selezionare la casella di controllo accantoal nome dell'dispositivo e fare clic su Elimina.

7. Per consentire agli dispositivo di agire come server di riferimento, fare clic suAssegna agli agenti.

Impostazioni notifica amministratoreConfigurare le impostazioni di notifica per l'amministratore per consentire a OfficeScandi inviare notifiche mediante messaggio e-mail e trap SNMP. OfficeScan è anche ingrado di inviare notifiche tramite il registro eventi di Windows NT, ma per questo canaledi notifica non sono configurate impostazioni.

OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quandorileva:

TABELLA 13-18. Rilevamenti che determinano l'invio di notifiche all'amministratore

RILEVAMENTI

CANALI DI NOTIFICA

E-MAIL TRAP SNMP REGISTRI EVENTI DIWINDOWS NT

Virus e minacceinformatiche

Sì Sì Sì

Spyware e grayware Sì Sì Sì


Sì Sì Sì

Callback C&C Sì Sì Sì

Infezioni da spyware eminacce informatiche

Sì Sì Sì

Infezioni da spyware egrayware

Sì Sì Sì

Infezioni da violazione delfirewall

Sì No No


13-32

RILEVAMENTI

CANALI DI NOTIFICA

E-MAIL TRAP SNMP REGISTRI EVENTI DIWINDOWS NT

Infezioni delle sessioni dicondivisione delle cartelle

Sì No No

Configurazione delle impostazioni di notifica generali

Procedura

1. Accedere a Amministrazione > Notifiche > Impostazioni generali.

2. Configurare le impostazioni di notifica e-mail

a. Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campo ServerSMTP.

b. Specificare un numero di porta compreso tra 1 e 65535.

c. Specificare un nome o un indirizzo e-mail.

Se si desidera attivare l'ESMTP nel passaggio successivo, specificare unindirizzo e-mail valido.

d. Facoltativamente, attivare ESMTP.

e. Specificare il nome utente e la password per l'indirizzo e-mail specificato nelcampo Da.

f. Scegliere un metodo per autenticare l'agente sul server:

• Accesso: la funzione di accesso è una vecchia versione di Mail UserAgent. Il server e l'agente usano entrambi BASE64 per l'autenticazionedel nome utente e della password.

• Testo semplice: il testo semplice è il più facile, ma anche il meno sicuroperché il nome utente e la password vengono inviati come una stringa ecodificati come BASE64 prima di essere inviati tramite Internet.


13-33

• CRAM-MD5: CRAM-MD5 utilizza una combinazione di unmeccanismo di autenticazione con risposta e di un algoritmo MessageDigest 5 crittografato per scambiare e autenticare le informazioni.

3. Configurare le impostazioni di notifica mediante trap SNMP.

a. Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campoIndirizzo IP del server.

b. Specificare un nome community difficile da indovinare.


Registri eventi di sistemaOfficeScan trascrive nei registri gli eventi correlati al programma server, come adesempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i serviziOfficeScan funzionino correttamente.


Visualizzazione dei registri degli eventi di sistema

Procedura

1. Accedere a Registri > Eventi di sistema.

2. Nella sezione Evento, controllare i registri che richiedono un'azione. OfficeScanregistra i seguenti eventi:


13-34

TABELLA 13-19. Registri eventi di sistema

TIPO DI REGISTRO EVENTI

Servizio principaleOfficeScan e serverdatabase

• Servizio principale avviato

• Servizio principale interrotto correttamente

• Servizio principale interrotto correttamente

Prevenzione delleinfezioni virali

• Prevenzione delle infezioni attivata

• Prevenzione delle infezioni disattivata

• Numero di sessioni di cartelle condivise negli ultimi<numero di minuti>

Database backup • Backup del database riuscito

• Backup del database non riuscito

Accesso alla consoleWeb basato sui ruoli

• Accesso alla console Web

• Modifica della password

• Disconnessione dalla console

• Timeout di sessione (utente automaticamentedisconnesso)

Autenticazione delserver

• L'agente OfficeScan ha ricevuto comandi non valididal server

• Certificato di autenticazione non valido o scaduto


Gestione dei registriOfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per lasicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare icriteri di protezione della propria organizzazione e di identificare gli agenti OfficeScanesposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre di


13-35

controllare la connessione agente-server e di verificare che gli aggiornamenti deicomponenti siano stati completati.

OfficeScan inoltre utilizza un meccanismo centralizzato di verifica dell'orario pergarantire la coerenza temporale tra gli agenti e il server OfficeScan. Tale verifica previenele incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale chepossono generare confusione nell'analisi dei registri.

NotaOfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degliaggiornamenti del server e degli eventi di sistema.

Il server OfficeScan riceve i seguenti registri dagli agenti OfficeScan:

• Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91

• Visualizzazione dei registri di spyware/grayware a pagina 7-99

• Visualizzazione dei registri delle connessioni sospette a pagina 11-26

• Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-103

• Visualizzazione dei registri firewall a pagina 12-30

• Visualizzazione dei registri di reputazione Web a pagina 11-24

• Visualizzazione dei registri dei callback C&C a pagina 11-25

• Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-14

• Visualizzazione dei registri di controllo dispositivo a pagina 9-19

• Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-54

• Visualizzazione dei registri dei aggiornamento dell'agente OfficeScan a pagina 6-55

• Visualizzazione dei registri di verifica connessione a pagina 14-45

Il server OfficeScan genera i seguenti registri:

• Registri di aggiornamento del server OfficeScan a pagina 6-29

• Registri eventi di sistema a pagina 13-33


13-36

I seguenti registri sono inoltre disponibili sul server OfficeScan e sugli agentiOfficeScan:

• Registri eventi di Windows a pagina 16-23

• Registri del server OfficeScan a pagina 16-3

• Registri dell'agente OfficeScan a pagina 16-15

Manutenzione registriPer evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarlidalla console Web.

Eliminazione dei registri in base alla pianificazione

Procedura

1. Accedere a Registri > Manutenzione registri.

2. Selezionare Attiva eliminazione pianificata dei registri.

3. Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, adeccezione dei registri di debug, possono essere eliminati in base ad unapianificazione. Per i registri di debug, disattivare la registrazione di debug perinterrompere la raccolta dei registri.

NotaPer i registri di virus e minacce informatiche, è possibile eliminare i registri generati daalcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware egrayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulterioriinformazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.

4. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelliprecedenti a un certo numero di giorni.

5. Specificare la frequenza e l'ora di eliminazione dei registri.


13-37


Eliminazione manuale dei registri

Procedura

1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestioneagente.


3. Eseguire una delle operazioni riportate di seguito.

• Se si accede alla schermata Registri dei rischi per la sicurezza, fare clic suElimina registri .

• Se si accede alla schermata Gestione agente, fare clic Registri > Eliminaregistri.

4. Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo iseguenti registri:

• Registri di virus/minacce informatiche



• Registri di reputazione Web

• Registri delle connessioni sospette

• Registri dei callback C&C

• Registri di Monitoraggio del comportamento

• Registri di controllo dispositivo

• Registri di Prevenzione perdita di dati


13-38

Nota

Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati daalcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware egrayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulterioriinformazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.

5. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelliprecedenti a un certo numero di giorni.

6. Fare clic su Elimina.

LicenzeTramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenzaOfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte delservizio antivirus, che comprende anche l'assistenza per la prevenzione delle infezioni.

Nota

Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto VirtualDesktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate egestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza diProtezione dati a pagina 3-4 e Licenza del supporto Virtual Desktop a pagina 14-78.

Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazioneonline Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScandi connettersi al server per la registrazione, è necessario un server proxy dual-stack in gradodi convertire gli indirizzi IP, come ad esempio DeleGate.

Visualizzazione delle informazioni sulla Licenza delprodotto

Procedura



13-39

2. Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore dellaschermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:

TABELLA 13-20. Promemoria per le licenze

TIPO DI LICENZA PROMEMORIA

Versionecompleta

• Durante il periodo di proroga per il prodotto. La durata delperiodo di proroga varia a seconda dell'area geografica.Verificare il periodo di proroga con il rappresentante TrendMicro.

• Alla scadenza della licenza e al termine del periodo diproroga. In questo periodo non sarà possibile ottenerel'assistenza tecnica o effettuare l'aggiornamento deicomponenti. I motori di scansione continueranno aeffettuare l'analisi dei computer, ma con componenti nonaggiornati. Tali componenti obsoleti potrebbero nonproteggere in maniera completa dai più recenti rischi perla sicurezza.

Versione di prova Alla scadenza della licenza. In questo periodo OfficeScandisattiva l'aggiornamento dei componenti, la scansione e tuttele funzionalità dell'agente OfficeScan.

3. Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenzacontiene le seguenti informazioni:

• Servizi: comprende tutti i servizi di licenza OfficeScan

• Stato: indica se lo stato è "Attivato", "Non attivato", "Scaduto" o "In periododi proroga". Se un servizio prevede diverse licenze e almeno una di queste èancora attiva, lo stato di tale servizio sarà "Attivato".

• Versione: Indica se la versione è "Completa" o se si tratta di una "Versione diprova". Se si dispone sia della versione completa sia della versione di prova, laversione indicata sarà "Completa".

• Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzatal'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007e 30/06/2008, verrà visualizzata la data 30/06/2008.


13-40

Nota

Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà"N.D.".

4. OfficeScan consente di attivare diverse licenze per un servizio di licenza. Pervisualizzare tutte le licenze relative a un servizio (sia quelle attive che quellescadute), fare clic sul nome del servizio stesso.

Attivazione o rinnovo della licenza

Procedura


2. Fare clic sul nome del servizio di licenza.

3. Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic suNuovo codice di attivazione.

4. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic suSalva.

Nota

Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sullachiave di registrazione e sul codice di attivazione, contattare un rappresentante TrendMicro.

5. Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiornainformazioni per aggiornare la schermata con i nuovi dettagli della licenza e ilnuovo stato del servizio. Questa schermata contiene anche un collegamento al sitoWeb di Trend Micro dove è possibile visualizzare informazioni dettagliate sullapropria licenza.


13-41

OfficeScan Database BackupIl database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese leimpostazioni e i privilegi di scansione. Qualora il database del server dovesse subire undanno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manualedel database in qualsiasi momento oppure configurare una pianificazione per il backup.

Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alladeframmentazione del database e ripara eventuali danni al file dell'indice.

Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Perulteriori informazioni, consultare Registri eventi di sistema a pagina 13-33.

Suggerimento

Trend Micro consiglia di configurare una pianificazione per il backup automatico. Siconsiglia di effettuare il backup del database durante ore non di punta quando il traffico delserver è ridotto.

AVVERTENZA!

Non eseguire il backup con altri strumenti o software. Configurare il backup del databasesolo dalla console Web OfficeScan.

Backup del database di OfficeScan

Procedura

1. Accedere a Amministrazione > Impostazioni > Database Backup.

2. Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste,selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completodella directory, ad esempio C:\OfficeScan\DatabaseBackup.

Per impostazione predefinita, OfficeScan salva la copia di backup nella seguentedirectory: <Cartella di installazione del server>\DBBackup


13-42

Nota

OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartellaindica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS.OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente lecartelle precedenti.

3. Se il percorso di backup è su un computer remoto (con un percorso UNC), inserireun nome account adeguato e la password corrispondente. Accertarsi che l'accountdisponga dei privilegi di scrittura sul computer.

4. Per configurare una pianificazione per il backup:

a. Selezionare Attiva pianificazione di Database Backup.

b. Specificare la frequenza e l'orario del backup.

c. Per eseguire il backup del database e salvare le modifiche apportate, fare clicsu Esegui backup. Per salvare soltanto senza eseguire il backup del database,fare clic su Salva.

Ripristino dei file di backup database

Procedura

1. Interrompere il servizio principale OfficeScan.

2. Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV\HTTPDB con i file di backup.

3. Riavviare il servizio principale OfficeScan.

Strumento di migrazione SQL ServerGli amministratori possono eseguire la migrazione del database OfficeScan esistentedallo stile CodeBase nativo al database di SQL Server utilizzando lo strumento di


13-43

migrazione di SQL Server. Lo Strumento di migrazione di SQL Server supporta leseguenti migrazioni di database:

• Database OfficeScan CodeBase al nuovo database SQL Server Express

• Database OfficeScan CodeBase al database SQL Server preesistente

• Database OfficeScan SQL (precedentemente migrato) che è stato spostato inun'altra posizione

Utilizzo dello strumento di migrazione SQL ServerLo Strumento di migrazione SQL Server esegue la migrazione del database CodeBaseesistente al database SQL utilizzando SQL Server 2008 R2 SP2 Express.

Suggerimento

Dopo la migrazione del database OfficeScan, è possibile spostare in un altro SQL Server ildatabase SQL di cui è stata appena effettuata la migrazione. Eseguire di nuovo loStrumento di migrazione SQL Server e selezionare Passare a un database OfficeScanSQL esistente per usare l'altro SQL Server.

Importante

Prima di eseguire lo Strumento di migrazione SQL Server su Windows Server 2008 oversioni successive con le credenziali di autenticazione Windows dell'utente del dominio:

• Controllo dell'accesso degli utenti deve essere attivato

• Non è possibile eseguire il Servizio principale OfficeScan utilizzando l'account utentedel dominio utilizzato per accedere a SQL Server

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SQL.

2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.

La console di Strumento di migrazione del server SLQ viene aperta.


13-44

3. Scegliere il tipo di migrazione:

OPZIONE DESCRIZIONE

Installare un nuovo SQLServer 2008 R2 SP2Express ed eseguire lamigrazione del databaseOfficeScan

Installa automaticamente SQL Server 2008 R2 SP2Express ed esegue la migrazione del databaseOfficeScan esistente su un nuovo database SQL

NotaOfficeScan assegna automaticamente la porta 1433 aSQL Server.

Eseguire la migrazionedel database OfficeScansu un SQL Serveresistente

Esegue la migrazione del database OfficeScanesistente su un nuovo database SQL, su un SQLServer esistente

Passare a un databaseOfficeScan SQLesistente

Modifica le impostazioni di configurazione OfficeScanper selezionare un database SQL OfficeScan esistentesu un SQL Server esistente

4. Specificare il nome server nel modo seguente:

• Per le nuove installazioni SQL: <nome host o indirizzo IP di SQL Server>\<nome istanza>

• Per le migrazioni di SQL Server: <nome host o indirizzo IP di SQLServer>,<numero_porta>\<nome istanza>

• Quando si passa a un database OfficeScan SQL esistente: <nome host oindirizzo IP di SQL Server>,<numero_porta>\<nome istanza>

Importante

OfficeScan crea automaticamente un'istanza per il database OfficeScan quando SQLServer si installa. Quando viene effettuata la migrazione verso un database o un SQLServer esistente, digitare il nome istanza preesistente per l'istanza di OfficeScan suSQL Server.

5. Fornire le credenziali di autenticazione per il database SQL Server.


13-45

ImportanteQuando si usa l'Account Windows per accedere al server:

• Per un account di amministratore di dominio predefinito:

• Formato nome utente: nome_dominio\amministratore

• I requisiti per l'account sono i seguenti:

• Gruppi: “gruppo di amministratori”

• Ruoli utente: “Accedi come servizio” e “Accedi come processobatch”

• Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner”

• Per un account utente di dominio:

• Formato nome utente: nome_dominio\nome_utente

• I requisiti per l'account sono i seguenti:

• Gruppi: “gruppo di amministratori” e “amministratori di dominio”

• Ruoli utente: “Accedi come servizio” e “Accedi come processobatch”

• Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner”

6. Per le installazioni SQL Server nuove, digitare una nuova password e confermare.

NotaLe password devono soddisfare i requisiti minimi di complessità elencati di seguito:

a. Lunghezza minima: 6 caratteri

b. Devono contenere almeno 3 dei seguenti elementi:

• Lettere maiuscole: A - Z

• Lettere minuscole: a - z

• Numeri: 0 - 9

• Caratteri speciali: !@#$^*?_~-();.+:

7. Specificare il Nome database OfficeScan su SQL Server.


13-46

Quando viene effettuata la migrazione del database CodeBase OfficeScan verso unnuovo database SQL, OfficeScan crea automaticamente il nuovo database, con ilnome.

8. Eseguire, facoltativamente, le operazioni riportate di seguito:

• Fare clic su Test di connessione per verificare le credenziali diautenticazione per l'SQL Server o il database esistente.

• Fare clic su Avviso non disponibile database SQL… per configurare leimpostazioni di notifica del database SQL. Per i dettagli, consultareConfigurazione di Avviso non disponibile database SQL a pagina 13-46.

9. Per applicare le modifiche della configurazione, fare clic su Avvia.

Configurazione di Avviso non disponibile database SQLOfficeScan invia automaticamente questo avviso ogni volta che il database SQL diventanon disponibile.

AVVERTENZA!OfficeScan interrompe automaticamente tutti i servizi quando il database diventa nondisponibile. OfficeScan non riesce a registrare informazioni relative ad agenti o eventi, aeseguire aggiornamenti o a configurare gli agenti quando il database non è disponibile.

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SQL.

2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.

La console di Strumento di migrazione del server SLQ viene aperta.

3. Fare clic su Avviso non disponibile database SQL….

La schermata di Avviso non disponibile per SQL Server viene aperta.

4. Digitare gli indirizzi e-mail dei destinatari dell'avviso.


13-47

Separare le diverse voci con un punto e virgola (;).

5. Modificare Oggetto e Messaggio in base alle esigenze.

OfficeScan offre le seguenti variabili token:

TABELLA 13-21. Token di Avviso non disponibile database SQL

VARIABILE

DESCRIZIONE

%x Il nome dell'istanza SQL Server OfficeScan

%s Il nome del server OfficeScan infetto

6. Fare clic su OK.

Impostazioni connessione agente/server WebOfficeScan

Nel corso dell'installazione del server OfficeScan, il programma di installazione impostaautomaticamente un server Web (server IIS o Apache Web) che consente ai computerdella rete di collegarsi al server OfficeScan. Configurare il server Web a cui sicollegheranno gli agenti dispositivo collegati in rete.

Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla consoledi gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modificamanualmente l'indirizzo IP del server per i computer in rete o se si assegna al server unindirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative alserver.

AVVERTENZA!

La modifica delle impostazioni di connessione può determinare la perdita permanente dellaconnessione tra il server e gli agenti e rende necessaria una nuova implementazione degliagenti OfficeScan.


13-48

Configurazione delle impostazioni di connessione

Procedura

1. Accedere a Amministrazione > Impostazioni > Connessione agente.

2. Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta delserver Web.

NotaIl numero di porta è quello della porta affidabile che il server OfficeScan utilizza percomunicare con gli agenti OfficeScan.


Password della console WebLa schermata per la gestione della password della console Web (o la password perl'account principale (root) creato durante l'installazione del server OfficeScan) èdisponibile solo se il computer server non dispone delle risorse necessarie per utilizzarel'RBA (Role-based Administration). Ad esempio se sul computer server è installatoWindows Server 2003 e Authorization Manager Runtime non è installato, la schermatanon è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata ela password può essere gestita modificando l'account principale (root) nella schermataAccount utente.

Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica perottenere istruzioni su come accedere alla console Web.

Autenticazione delle comunicazioni avviate dalserver

OfficeScan usa la crittografia di chiave pubblica per autenticare le comunicazioni che ilserver OfficeScan avvia sugli agenti. Grazie alla crittografia di chiave pubblica, il server


13-49

detiene una chiave privata e implementa quella pubblica su tutti gli agenti. Gli agentiusano la chiave pubblica per verificare che le comunicazioni in entrata siano avviate dalserver e siano valide. Gli agenti rispondono se la verifica è corretta.

NotaOfficeScan non autentica le comunicazioni che gli agenti avviano nel server.

Le chiavi pubbliche e private sono associate a un certificato Trend Micro. Durantel'installazione del server OfficeScan, il programma di installazione ripristina il certificatonell'archivio dei certificati dell'host. Utilizzare lo strumento Authentication CertificateManager per gestire le chiavi e i certificati Trend Micro.

Quando si decide di usare una singola chiave di autenticazione per tutti i serverOfficeScan, tenere presente quanto segue:

• L'implementazione di un singolo certificato è una prassi comune per tutti i livelli disicurezza standard. Questo approccio compensa il livello di sicurezza diun'organizzazione e riduce il sovraccarico associato alla gestione di più chiavi.

• L'implementazione di più certificati sui server OfficeScan fornisce il livello disicurezza massimo. Questo approccio aumenta la gestione necessaria quando lechiavi dei certificati scadono e devono essere ridistribuite sui server.

ImportantePrima di reinstallare il server OfficeScan, assicurarsi che venga effettuato il backup per ilcertificato esistente. Una volta completata la nuova installazione, importare la copia delcertificato per consentire che l'autenticazione delle comunicazioni tra il server OfficeScan egli agenti OfficeScan non subisca interruzioni. Se viene creato un nuovo certificato durantel'installazione del server, gli agenti OfficeScan non riescono ad autenticare le comunicazionidel server perché utilizzano ancora il vecchio certificato, che non esiste più.

Per informazioni sull'esecuzione del backup, del ripristino, dell'esportazione edell'importazione dei certificati, vedere Uso di Authentication Certificate Manager a pagina13-50.


13-50

Configurazione dell'autenticazione delle comunicazioniavviate dal server

Procedura

1. Sul server OfficeScan, accedere a <Cartella_installazione_server\PCCSRV e aprire ofcscan.ini con un editor di testo.

2. Aggiungere o modificare la stringa di testo SGNF nella sezione [GlobalSettings].

Per attivare l'autenticazione: SGNF=1

Per disattivare l'autenticazione: SGNF=0

Nota

OfficeScan attivare l'autenticazione per impostazione predefinita. Aggiungere lachiave SGNF al file ofcscan.ini solo se si desidera disattivare questa funzione.

3. Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clicsu Salva per implementare le impostazioni su tutti gli agenti.

Uso di Authentication Certificate Manager

Il server OfficeScan gestisce i certificati scaduti per gli agenti con chiavi pubblichescadute. Ad esempio, gli agenti che non hanno effettuato la connessione al server per unperiodo di tempo prolungato, hanno chiavi pubbliche scadute. Quando gli agentieseguono di nuovo la connessione, associano la chiave pubblica scaduta al certificatoscaduto, consentendo il riconoscimento delle comunicazioni avviate dal server. Il serverquindi implementa la chiave pubblica più recente sugli agenti.

Quando vengono configurati i certificati, ricordare quanto segue:

• Per il percorso del certificato, vengono accettati percorsi UNC e unità collegate.

• Scegliere una password complessa e registrarla per riferimenti futuri.


13-51

ImportanteQuando si usa lo strumento Authentication Certificate Manager, sono necessari i seguentirequisiti:

• L'utente deve avere i privilegi di amministratore

• Lo strumento è in grado di gestire solo i certificati che si trovano sull'dispositivo locale

Procedura

1. Nel server OfficeScan, aprire il prompt dei comandi e modificare la directory in<Cartella di installazione del server>\PCCSRV\Admin\Utility\CertificateManager.

2. Eseguire uno dei seguenti comandi:

COMANDO ESEMPIO DESCRIZIONE

CertificateManager.exe -c[Password_Backup]

CertificateManager.exe -cstrongpassword

Genera un nuovo certificato Trend Microe sostituisce il certificato esistente

Effettuare questa operazione se ilcertificato esistente è scaduto o se èpassato a parti non autorizzate.

CertificateManager.exe -b[Password][Percorsocertificato]

NotaIl certificatoè in formatoZIP.

CertificateManager.exe -bstrongpasswordD:\Test\TrendMicro.zip

Esegue il backup di tutti i certificatiTrend Micro emessi dal serverOfficeScan corrente

Effettuare il backup per ripristinare ilcertificato su un server OfficeScan.

NotaEffettuando il backup dei certificatidel server OfficeScan consente diusarli se è necessario reinstallareil server OfficeScan.


13-52


CertificateManager.exe -r[Password][Percorsocertificato]

NotaIl certificatoè in formatoZIP.

CertificateManager.exe -rstrongpasswordD:\Test\TrendMicro.zip

Ripristina tutti i certificati Trend Micro sulserver

Effettuare tale operazione perripristinare il certificato su un serverOfficeScan reinstallato.

CertificateManager.exe -e[Percorsocertificato]

CertificateManager.exe -e<Cartella_installazione_agente>\OfcNTCer.dat

Esporta la chiave pubblica associataall'agente OfficeScan attualmenteutilizzato

Effettuare tale operazione se la chiavepubblica utilizzata dagli agenti vienedanneggiata. Copiare il file .dat nellacartella principale dell'agente,sovrascrivendo il file esistente.

ImportanteIl percorso del file del certificatonell'agente OfficeScan deveessere:

<Cartella_installazione_agente>\OfcNTCer.dat


13-53


CertificateManager.exe -i[Password][Percorsocertificato]

NotaIl nomepredefinitodel file delcertificato è:

OfcNTCer.pfx

CertificateManager.exe -istrongpasswordD:\Test\OfcNTCer.pfx

Importa un certificato Trend Micronell'archivio dei certificati

CertificateManager.exe -l[Percorso CSV]

CertificateManager.exe -l D:\Test\MismatchedAgentList.csv

Elenca gli agenti (in formato CSV) chestanno usando un certificato noncorrispondente

Impostazioni della console WebUtilizzare la schermata Impostazioni della console Web per effettuare le operazioniriportate di seguito:

• Configurare il server OfficeScan per l'aggiornamento periodico della dashboardRiepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30secondi. Il numero di secondi deve essere compreso tra 10 e 300.

• Specificare le impostazioni di timeout della console Web. Per impostazionepredefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e60.


13-54

Configurazione delle impostazioni della console Web

Procedura

1. Accedere a Amministrazione > Impostazioni > Console Web.

2. Selezionare Attiva aggiornamento automatico e selezionare l'intervallo diaggiornamento.

3. Selezionare Attiva disconnessione automatica dalla console Web e selezionarel'intervallo di timeout.


Gestore della quarantenaQuando l'agente OfficeScan rileva un rischio per la sicurezza e l'azione di scansione è lamessa in quarantena, il file infetto viene crittografato, spostato nella cartella diquarantena locale in <Cartella di installazione dell'agente>\SUSPECT.

Dopo aver spostato il file nella directory di quarantena locale, l'agente OfficeScan loinvia alla directory di quarantena designata. Specificare la directory in Agenti >Gestione agente > Impostazioni > Impostazioni {Tipo di scansione} > Azione. Ifile nella directory di quarantena vengono crittografati per evitare che infettino altri file.Per ulteriori informazioni, consultare Directory di quarantena a pagina 7-41.

Se la directory di quarantena designata si trova nel computer server OfficeScan,modificare le impostazioni della directory di quarantena dalla console Web. Il servermemorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV\Virus.

NotaSe per qualche motivo (come ad esempio un problema di connessione), l'agente OfficeScannon è in grado di inviare il file crittografato al server OfficeScan, il file crittografato rimanenella cartella di quarantena dell'agente OfficeScan. L'agente OfficeScan tenta un nuovoinvio del file al successivo collegamento al server OfficeScan.


13-55

Configurazione delle impostazioni della directory diquarantena

Procedura

1. Accedere a Amministrazione > Impostazioni > Gestore della quarantena.

2. Accettare o modificare la capacità predefinita della cartella di quarantena e ledimensioni massime di un file infetto che OfficeScan è in grado di mettere inquarantena.

In questa schermata vengono visualizzati i valori predefiniti.

3. Fare clic su Salva impostazioni di quarantena.

4. Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Eliminatutti i file in quarantena.

Server TunerServer Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando deiparametri per le seguenti problematiche prestazionali relative al server:

• Download

Quando il numero di agenti OfficeScan (compresi gli Update Agent) cherichiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sulserver, il server sposta la richiesta di aggiornamento degli agenti in una coda edelabora le richieste quando le risorse diventano disponibili. Dopo il correttoaggiornamento dei componenti dal server OfficeScan, l'agente notifica al server ilcompletamento dell'aggiornamento. Impostare il numero massimo di minuti per iquali il server OfficeScan deve attendere la notifica di aggiornamento dall'agente.Impostare anche il numero massimo di tentativi che il server deve effettuare perrichiedere all'agente di eseguire un aggiornamento e di applicare le nuoveimpostazioni di configurazione. Il server effettua nuovi tentativi soltanto se nonriceve notifiche dall'agente.

• Buffer


13-56

Quando il server OfficeScan riceve più richieste dall'agente OfficeScan come, adesempio, la richiesta di eseguire un aggiornamento, il server elabora il numeromassimo di richieste possibili, spostando le richieste restanti in un buffer. Il serverelabora quindi le richieste salvate nel buffer una per volta, man mano che sirendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi, adesempio, le richieste di aggiornamento degli agenti, e per i report dei registri degliagenti.

• Traffico di rete

La quantità di traffico della rete varia nel corso della giornata. Per controllare ilflusso del traffico di rete verso il server OfficeScan e verso altre originiaggiornamenti, specificare il numero di agenti OfficeScan che possono essereaggiornati contemporaneamente in un determinato orario.

Server Tuner richiede il seguente file: SvrTune.exe

Esecuzione di Server Tuner

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SvrTune.

2. Fare doppio clic su SvrTune.exe per avviare Server Tuner.

Si apre la console di Server Tuner.

3. Nella sezione Download modificare le seguenti impostazioni:

• Timeout per client: Digitare il numero di minuti per i quali il serverOfficeScan deve attendere una risposta di aggiornamento dagli agenti. Sel'agente non risponde entro questo intervallo, il server OfficeScan nonconsidera l'agente come dotato di componenti aggiornati. Quando si verifica iltimeout su un agente notificato, si rende disponibile lo spazio per un altroagente in attesa di notifica.

• Timeout per Update Agent: digitare il numero di minuti per i quali il serverOfficeScan deve attendere una risposta di aggiornamento da un Update


13-57

Agent. Quando si verifica il timeout su un agente notificato, si rendedisponibile lo spazio per un altro agente in attesa di notifica.

• Numero tentativi: Digitare il numero massimo di tentativi che il serverOfficeScan deve effettuare per richiedere a un agente di eseguire unaggiornamento o di applicare nuove impostazioni di configurazione.

• Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScandeve attendere tra un tentativo di notifica e quello successivo.

4. Nella sezione Buffer, modificare le seguenti impostazioni:

• Buffer eventi: Digitare il numero massimo di segnalazioni di eventi di agentiinviati al server (ad esempio l'aggiornamento dei componenti) che OfficeScandeve conservare nel buffer. Mentre la richiesta dell'agente resta in attesa nelbuffer, la connessione con l'agente viene interrotta. OfficeScan stabilisce unaconnessione con un agente quando elabora la segnalazione dell'agente e lorimuove dal buffer.

• Buffer registro: Digitare il numero massimo di segnalazioni informative suiregistri degli agenti inviati al server che OfficeScan deve conservare nel buffer.Mentre la richiesta dell'agente resta in attesa nel buffer, la connessione conl'agente viene interrotta. OfficeScan stabilisce una connessione con un agentequando elabora la segnalazione dell'agente e lo rimuove dal buffer.

Nota

Se il numero degli agenti che inviano segnalazioni al server è elevato, aumentarele dimensioni del buffer. Tuttavia, maggiori dimensioni del buffer comportanoun maggiore utilizzo di memoria sul server.

5. Nella sezione Traffico di rete, modificare le seguenti impostazioni:

• Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentanole ore del giorno in cui il traffico di rete è considerato normale.

• Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentanole ore del giorno in cui il traffico di rete è considerato minimo.

• Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano leore del giorno in cui il traffico di rete è considerato massimo.


13-58

• Numero massimo connessioni client: digitare il numero massimo di clientche possono simultaneamente aggiornare i componenti da "altra origineaggiornamenti" e dal server OfficeScan. Digitare il numero massimo di clientper ciascuno dei periodi di tempo. Quando viene raggiunto il numeromassimo di connessioni, gli OfficeScan possono aggiornare i componentisoltanto dopo la chiusura di una connessione in corso dell'agente (a causa delcompletamento dell'aggiornamento o del fatto che la risposta dell'agente haraggiunto il valore di timeout specificato nel campo Timeout per client oTimeout per Update Agent).

6. Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principaleOfficeScan.

NotaViene riavviato soltanto il servizio, non il computer.

7. Selezionare una delle opzioni di riavvio seguenti:

• fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio.Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio.

• Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare ilservizio. Per fare in modo che le impostazioni abbiano effetto, riavviare ilservizio principale OfficeScan o riavviare il computer su cui è installato ilserver OfficeScan.

Smart FeedbackTrend Micro Smart Feedback condivide le informazioni su minacce anonime con SmartProtection Network, consentendo a Trend Micro di identificare e trattare rapidamente lenuove minacce. È possibile disattivare Smart Feedback in qualsiasi momento tramitequesta console.


13-59

Partecipazione al programma Smart Feedback

Procedura

1. Accedere a Amministrazione > Smart Protection > Smart Feedback.

2. Fare clic su Attiva Trend Micro Smart Feedback.

3. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare unvalore nel campo Settore.

4. Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file degliagenti OfficeScan, selezionare la casella di controllo Attiva feedback per i file diprogramma sospetti.

NotaI file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati soloper eseguire le analisi delle minacce.

5. Per configurare i criteri per l'invio del feedback, selezionare il numero dirilevamenti effettuati nel periodo di tempo specificato che generano il feedback.

6. Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan perinviare feedback e ridurre le interruzioni della rete.


14-1

Capitolo 14

Gestione dell'agente OfficeScanIn questo capitolo vengono descritte le configurazioni e la gestione dell'agenteOfficeScan.


• Posizione dispositivo a pagina 14-2

• Gestione del programma agente OfficeScan a pagina 14-6

• Connessione agente-server a pagina 14-26

• Impostazioni proxy agente OfficeScan a pagina 14-50

• Visualizzazione delle informazioni dettagliate sull'agente OfficeScan a pagina 14-55

• Importazione ed esportazione delle impostazioni degli agenti a pagina 14-55

• Conformità sicurezza a pagina 14-57

• Supporto Trend Micro Virtual Desktop a pagina 14-75

• Impostazioni globali agente a pagina 14-89

• Configurazione dei privilegi dell'agente e altre impostazioni a pagina 14-90


14-2

Posizione dispositivoOfficeScan fornisce una funzione di Location Awareness in grado di determinare se laposizione dell'agente OfficeScan è interna o esterna. Location Awareness viene utilizzatanelle seguenti funzioni e servizi di OfficeScan:

TABELLA 14-1. Funzioni e servizi che usano Location Awareness

FUNZIONE/SERVIZIO DESCRIZIONE

Servizi direputazione Web

La posizione dell'agente OfficeScan determina il criterio direputazione Web che sarà applicato dall'agente OfficeScan. Gliamministratori in genere applicano criteri più rigidi per gli agentiesterni.

Per ulteriori informazioni sui criteri di reputazione Web, vedereCriteri di reputazione Web a pagina 11-5.

Servizi direputazione file

Per gli agenti che usano Smart Scan, la posizione dell'agenteOfficeScan stabilisce l'origine Smart Protection a cui gli agentiinviano query di scansione.

Gli agenti OfficeScan esterni inviano query di scansione a SmartProtection Network mentre gli agenti interni inviano le query alleorigini definite nell'elenco delle origini Smart Protection.

Per ulteriori informazioni sulle origini Smart Protection, vedereOrigini Smart Protection a pagina 4-6.

Prevenzioneperdita di dati

La posizione dell'agente OfficeScan determina il criterio diPrevenzione perdita di dati applicato dall'agente. Gli amministratoriin genere applicano criteri più rigidi per gli agenti esterni.

Per ulteriori informazioni sui criteri Prevenzione perdita di dati,vedere Criteri di Prevenzione perdita di dati a pagina 10-3.

Controllodispositivo

La posizione dell'agente OfficeScan determina il criterio di Controllodispositivo applicato dall'agente. Gli amministratori in genereapplicano criteri più rigidi per gli agenti esterni.

Per ulteriori informazioni sui criteri di Controllo dispositivo, vedereControllo dispositivo a pagina 9-2.

Gestione dell'agente OfficeScan

14-3

Criteri di località

Specificare se il percorso si basa sull'indirizzo IP del gateway dell'dispositivo agenteOfficeScan o sullo stato della connessione dell'agente OfficeScan con il serverOfficeScan o un server di riferimento.

• Stato connessione agente: Se l'agente OfficeScan può collegarsi al serverOfficeScan o a uno dei server di riferimento della intranet, la posizionedell'dispositivo è interna. Inoltre se un dispositivo al di fuori della rete aziendale èin grado di stabilire una connessione al server OfficeScan o al server di riferimento,anche quella posizione è interna. Se non si applica nessuna di queste condizioni, laposizione dell'dispositivo è esterna.

• Indirizzo MAC e IP gateway: se l'indirizzo IP del gateway dell'dispositivo agenteOfficeScan corrisponde a uno degli indirizzi IP del gateway specificati nellaschermata Posizione dispositivo, la posizione del computer è interna. Altrimentila posizione dell'dispositivo è esterna.

Configurazione delle impostazioni della località

Procedura

1. Accedere a Agenti > Posizione dispositivo.

2. Indicare se il percorso si basa su Stato della connessione agente o Indirizzo IPe MAC del gateway.

3. Se si sceglie Stato della connessione agente, occorre decidere se utilizzare unserver di riferimento.

Per informazioni, vedere Server di riferimento a pagina 13-29.

a. Se non viene specificato un server di riferimento, l'agente OfficeScan verificalo stato della connessione con il server OfficeScan se si verificano gli eventiseguenti:

• L'agente OfficeScan passa dalla modalità roaming a quella normale(online/offline) e viceversa.


14-4

• L'agente OfficeScan passa da un metodo di scansione a un altro. Perinformazioni, vedere Tipi di metodi di scansione a pagina 7-8.

• L'agente OfficeScan rileva una variazione di indirizzo IP nell'dispositivo.

• L'agente OfficeScan viene riavviato.

• Il server avvia una verifica della connessione. Per informazioni, vedereIcone dell'agente OfficeScan a pagina 14-26.

• I parametri della località di reputazione Web vengono modificati durantel'applicazione delle impostazioni globali

• I criteri di difesa dalle infezioni non vengono più applicati e vengonoripristinate le impostazioni precedenti all'infezione.

b. Se si specifica un server di riferimento, l'agente OfficeScan verifica lo statodella connessione prima con il server OfficeScan, poi con il server diriferimento se la connessione al server OfficeScan non riesce. L'agenteOfficeScan verifica lo stato della connessione ogni ora e quando si verificanogli eventi sopra citati.

4. Se si seleziona l'indirizzo IP e MAC del gateway:

a. Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo.

b. Inserire l'indirizzo MAC.

c. Fare clic su Aggiungi.

Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizziMAC appartenenti all'indirizzo IP specificato.

d. Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway chesi desidera aggiungere.

e. Utilizzare lo strumento Utilità di importazione impostazioni gateway perimportare un elenco delle impostazioni del gateway.

Per informazioni, vedere Utilità di importazione impostazioni gateway a pagina14-5.


14-5


Utilità di importazione impostazioni gatewayOfficeScan verifica la posizione dell'dispositivo per determinare il criterio di reputazioneWeb da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità concui OfficeScan identifica la posizione è la verifica dell'indirizzo IP e MAC del gatewaydell'dispositivo.

Configurare le impostazioni del gateway nella schermata Posizione dispositivo oppureutilizzare l'Utilità di importazione impostazioni gateway per importare un elenco delleimpostazioni gateway nella schermata Posizione dispositivo.

Uso dell'utilità di importazione impostazioni gateway

Procedura

1. Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway.In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo).

Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096.

Ad esempio:

10.1.111.222,00:17:31:06:e6:e7

2001:0db7:85a3:0000:0000:8a2e:0370:7334

10.1.111.224,00:17:31:06:e6:e7

2. Nel computer server accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\GatewaySettingsImporter e fare doppio clic suGSImporter.exe.

NotaNon è possibile eseguire lo strumento Utilità di importazione impostazioni gatewaydai servizi terminal.


14-6

3. Nella schermata Utilità di importazione impostazioni gateway, trovare il filecreato al passaggio 1 e fare clic su Importa.

4. Fare clic su OK.

Le impostazioni del gateway vengono visualizzate nella schermata Posizionedispositivo e il server OfficeScan implementa le impostazioni negli agentiOfficeScan.

5. Per eliminare tutte le voci, fare clic su Cancella tutto.

Per rimuovere solo una voce specifica, rimuoverla nella schermata Posizionedispositivo.

6. Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare ilnome e il tipo di file.

Gestione del programma agente OfficeScanI seguenti argomenti illustrano modi per gestire e proteggere il programma agenteOfficeScan:

• Servizi dell'agente OfficeScan a pagina 14-7

• Riavvio dei servizi dell'agente OfficeScan a pagina 14-12

• Protezione automatica dell'agente OfficeScan a pagina 14-13

• Sicurezza agente OfficeScan a pagina 14-17

• Restrizione di accesso console agente OfficeScan a pagina 14-18

• Rimozione e sblocco dell'agente OfficeScan a pagina 14-19

• Privilegio di roaming dell'agente OfficeScan a pagina 14-20

• Agent Mover a pagina 14-23

• Agenti OfficeScan inattivi a pagina 14-25


14-7

Servizi dell'agente OfficeScanL'agente OfficeScan gestisce i servizi riportati nella tabella seguente. È possibilevisualizzare lo stato di questi servizi da Microsoft Management Console.

TABELLA 14-2. Servizi dell'agente OfficeScan

SERVIZIO FUNZIONI CONTROLLATE

Servizio prevenzionemodifiche non autorizzatedi Trend Micro(TMBMSRV.exe)



• Servizio Certified Safe Software

OfficeScan NT Firewall(TmPfw.exe)

Firewall di OfficeScan

Servizio Protezione datiOfficeScan (dsagent.exe)

• Prevenzione perdita di dati


OfficeScan NT Listener(tmlisten.exe)

Comunicazione tra l'agente OfficeScan e il serverOfficeScan

OfficeScan NT ProxyService (TmProxy.exe)

• Reputazione Web

• Scansione e-mail POP3

Scansione in tempo realeOfficeScanNT(ntrtscan.exe)

• Scansione in tempo reale

• Scansione pianificata

• Scansione manuale/Esegui scansione

Framework soluzione clientcomune OfficeScan(TmCCSF.exe)

Servizio di protezione avanzata

• Prevenzione minaccia browser

• Scansione memoria

I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllopossono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguonoapplicazioni a elevato utilizzo delle risorse del sistema:


• OfficeScan NT Firewall (TmPfw.exe)


14-8

• Servizio Protezione dati OfficeScan (dsagent.exe)

Per questo motivo, per impostazione predefinita questi servizi sono disattivati sullepiattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server2012). Se si desidera attivare questi servizi:

• Tenere costantemente sotto controllo le prestazioni del sistema e prendere gliopportuni provvedimenti se si nota un calo delle prestazioni.

• Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni aelevato utilizzo delle risorse del sistema dai criteri di monitoraggio delcomportamento. È possibile utilizzare uno strumento di ottimizzazione delleprestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema.Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 14-10.

Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delleprestazioni.

Attivazione o disattivazione dei servizi dell'agente dallaconsole Web

Procedura


2. Per gli agenti OfficeScan con sistemi operativi Windows XP, Vista, 7, 8 o 8.1:

a. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

NotaQuando si seleziona un dominio root o domini specifici, l'impostazione saràapplicata soltanto agli agenti con Windows XP, Vista, 7, 8 o 8.1. L'impostazionenon sarà applicata agli agenti che eseguono piattaforme Windows Server anchese fanno parte dei domini.

b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:


14-9

• Servizio prevenzione modifiche non autorizzate

• Servizio firewall

• Servizio di connessione sospetta

• Servizio Protezione dati

• Servizio di protezione avanzata

d. Fare clic su Salva per applicare le impostazioni ai domini. Se è stataselezionata l'icona del dominio principale, scegliere una delle opzioni riportatedi seguito:

• Applica a tutti gli agenti: applica le impostazioni a tutti gli agentiWindows XP/Vista/7/8/8.1 esistenti e a qualsiasi nuovo agenteaggiunto a un dominio esistente o futuro. I domini futuri sono i domininon ancora creati al momento della configurazione delle impostazioni.

• Applica soltanto ai domini futuri: applica le impostazioni solo agliagenti Windows XP/Vista/7/8/8.1 aggiunti ai domini futuri. Questaopzione non applica le impostazioni ai nuovi agenti aggiunti a undominio esistente.

3. Per gli agenti OfficeScan con Windows Server 2003, Windows Server 2008 oWindows Server 2012:

a. Selezionare un singolo dominio nella struttura agente.

b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:

• Servizio prevenzione modifiche non autorizzate

• Servizio firewall

• Servizio di connessione sospetta

• Servizio Protezione dati

• Servizio di protezione avanzata


14-10

d. Fare clic su Salva.

Uso di Trend Micro Performance Tuning Tool

Procedura

1. Scaricare Trend Micro Performance Tuning Tool da:


2. Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe.

3. Posizionare TMPerfTool.exe nella <Cartella di installazione dell'agente> o nellastessa cartella di TMBMCLI.dll.

4. Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionareEsegui come amministratore.

5. Leggere e accettare il contratto per l'utente finale e fare clic su OK.

6. Fare clic su Analizza.



14-11

FIGURA 14-1. Processo a elevato utilizzo delle risorse del sistema evidenziato

Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. Iprocessi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso.

7. Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sulpulsante Aggiungi a elenco eccezioni (consenti) ( ).

8. Controllare se le prestazioni del sistema o dell'applicazione migliorano.

9. Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsanteRimuovi da elenco eccezioni ( ).

10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito:

a. Prendere nota del nome dell'applicazione.

b. Fare clic su Interrompi.

c. Fare clic sul pulsante Genera segnalazione ( ) e salvare il file .xml.


14-12

d. Esaminare le applicazioni identificate come in conflitto e aggiungerleall'elenco eccezioni del monitoraggio del comportamento.

Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina8-6.

Riavvio dei servizi dell'agente OfficeScanOfficeScan riavvia i servizi degli agenti OfficeScan che improvvisamente nonrispondono senza essere stati interrotti da un processo di sistema normale. Per ulterioriinformazioni sui servizi degli agenti, vedere Servizi dell'agente OfficeScan a pagina 14-7.

Configurare le impostazioni necessarie per consentire il riavvio dei servizi degli agentiOfficeScan.

Configurazione delle impostazioni del servizio di riavvio

Procedura


2. Passare alla sezione Riavvia Servizio OfficeScan.

3. Selezionare Riavvia automaticamente il servizio agente OfficeScan se vieneinterrotto in modo imprevisto.

4. Configurare gli elementi riportati di seguito.

• Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti)che deve trascorrere prima che OfficeScan riavvii un servizio.

• Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte:specificare il numero massimo di tentativi di riavviare il servizio. Se unservizio rimane interrotto dopo il numero massimo di tentativi di riavvio,riavviarlo manualmente.

• Azzera il conteggio dei riavvii non riusciti dopo __ ore: se un serviziorimane interrotto dopo il numero massimo di tentativi di riavvio, OfficeScanattende alcune ore prima di azzerare il conteggio dei riavvii non riusciti. Se un


14-13

servizio rimane interrotto dopo il numero di ore specificato, OfficeScanriavvia il servizio.

Protezione automatica dell'agente OfficeScanLa protezione automatica dell'agente OfficeScan consente all'agente OfficeScan diproteggere i processi e le altre risorse necessarie per il corretto funzionamento. Laprotezione automatica dell'agente contribuisce a impedire i tentativi di programmi o diutenti di disattivare la protezione contro le minacce informatiche.

La protezione automatica dell'agente OfficeScan fornisce le seguenti opzioni:

• Proteggi i servizi dell'agente OfficeScan a pagina 14-14

• Proteggi i file nella cartella d'installazione dell'agente OfficeScan a pagina 14-15

• Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16

• Proteggi i processi dell'agente OfficeScan a pagina 14-16

Configurazione delle impostazioni di protezione automaticadell'agente OfficeScan

Procedura




4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Protezioneautomatica dell'agente OfficeScan.

5. Attivare le seguenti opzioni:

• Proteggi i servizi dell'agente OfficeScan a pagina 14-14

• Proteggi i file nella cartella d'installazione dell'agente OfficeScan a pagina 14-15


14-14

• Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16

• Proteggi i processi dell'agente OfficeScan a pagina 14-16




Proteggi i servizi dell'agente OfficeScan

OfficeScan blocca tutti i tentativi di interrompere i servizi dell'agente OfficeScanriportati di seguito:

• OfficeScan NT Listener (TmListen.exe)

• Scansione in tempo reale OfficeScanNT (NTRtScan.exe)

• OfficeScan NT Proxy Service (TmProxy.exe)

• OfficeScan NT Firewall (TmPfw.exe)

• Servizio Protezione dati OfficeScan (dsagent.exe)


NotaSe questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti diterzi sugli dispositivo. Se si verifica questo problema, è possibile disattivaretemporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi.

• Framework soluzione client comune Trend Micro (TmCCSF.exe)


14-15

Proteggi i file nella cartella d'installazione dell'agenteOfficeScan

Per impedire ad altri programmi e anche all'utente di modificare o eliminare i filedell'agente OfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazionedell'agente> principale:

• Tutti i file con firma digitale con estensione .exe, .dll e .sys

• Alcuni file senza firma digitale, compresi i seguenti:

• bspatch.exe

• bzip2.exe

• INETWH32.dll

• libcurl.dll

• libeay32.dll

• libMsgUtilExt.mt.dll

• msvcm80.dll

• MSVCP60.DLL

• msvcp80.dll

• msvcr80.dll

• OfceSCV.dll

• OFCESCVPack.exe

• patchbld.dll

• patchw32.dll

• patchw64.dll

• PiReg.exe

• ssleay32.dll


14-16

• Tmeng.dll

• TMNotify.dll

• zlibwapi.dll

Proteggi le chiavi di registro dell'agente OfficeScan

OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nellechiavi e sottochiavi di registro riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AMSP

Proteggi i processi dell'agente OfficeScan

OfficeScan blocca tutti i tentativi di terminare i processi riportati di seguito:

• TmListen.exe: Riceve comandi e notifiche dal server OfficeScan e facilita lacomunicazione dall'agente OfficeScan al server

• NTRtScan.exe: esegue la scansione in tempo reale, pianificata e manuale sugliagenti OfficeScan

• TmProxy.exe: esegue la scansione del traffico di rete prima di passarloall'applicazione di destinazione

• TmPfw.exe: fornisce funzioni di firewall a livello di pacchetti, scansione di virus direte e rilevamento intrusioni

• TMBMSRV.exe: regola l'accesso ai dispositivi di memorizzazione esterni eimpedisce le modiche non autorizzate alle chiavi di registro e ai processi

• DSAgent.exe: effettua il monitoraggio della trasmissione dei dati sensibili econtrolla l'accesso ai dispositivi


14-17

• PccNTMon.exe: Questo processo è responsabile dell'avvio della consoledell'agente OfficeScan

• TmCCSF.exe: esegue Prevenzione minaccia browser e la scansione della memoria

Sicurezza agente OfficeScan

Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utentialla directory di installazione dell'agente OfficeScan e alle impostazioni di registro.

Controllo dell'accesso alla directory di installazionedell'agente OfficeScan e alle chiavi di registro

Procedura




4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Impostazioni disicurezza agente.

5. Selezionare una delle autorizzazioni di accesso riportate di seguito:

• Alto: la directory di installazione dell'agente OfficeScan eredita i diritti dellacartella Programmi e le voci di registro dell'agente OfficeScan ereditano leautorizzazioni della chiave HKLM\Software. Per la maggior parte delleconfigurazioni Active Directory, questo limita automaticamente gli utenti"normali" (senza privilegi di amministratore) all'accesso in sola lettura.

• Normale: questa autorizzazione concede a tutti gli utenti (gruppo utenti"Tutti") tutti i diritti alla directory del programma agente OfficeScan e allevoci di registro dell'agente OfficeScan.


14-18




Restrizione di accesso console agente OfficeScan

Questa impostazione disattiva l'accesso alla console dell'agente OfficeScan dalla barradelle applicazioni o dal menu Start di Windows. Gli utenti possono accedere alla consoledell'agente OfficeScan soltanto facendo clic su PccNTMon.exe dalla <Cartella diinstallazione dell'agente>. Dopo aver configurato questa impostazione, caricare di nuovol'agente OfficeScan per applicarla.

Questa impostazione non disattiva l'agente OfficeScan. L'agente OfficeScan è attivo inbackground e continua a fornire protezione contro i rischi per la sicurezza.

Restrizione dell'accesso alla console dell'agente OfficeScan

Procedura




4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Restrizione diaccesso agente OfficeScan.


14-19

5. Selezionare Impedisce agli utenti di accedere alla console agente OfficeScandalla barra delle applicazioni o dal menu Start di Windows.




Rimozione e sblocco dell'agente OfficeScanIl privilegio di rimozione e sblocco dell'agente OfficeScan consente agli utenti diinterrompere l'agente OfficeScan o di accedere alle funzioni avanzate della console Webcon o senza password.

Concessione del privilegio di rimozione e sbloccodell'agente

Procedura




4. Nella scheda Privilegi, accedere alla sezione Rimuovi e sblocca.

5. Per consentire la rimozione dell'agente OfficeScan senza una password, selezionarePassword non richiesta.


14-20

• Se è necessaria una password, selezionare Richiedi una password, digitare lapassword e confermarla.




Privilegio di roaming dell'agente OfficeScanAssegnare a determinati utenti il privilegio di roaming dell'agente OfficeScan se eventiagente-server interferiscono con le attività degli utenti. Ad esempio, un utente che faspesso presentazioni può attivare la modalità roaming prima di iniziare unapresentazione per impedire al server OfficeScan di implementare le impostazionidell'agente OfficeScan e di avviare le scansioni sull'agente OfficeScan.

Se gli agenti sono in modalità roaming:

• Gli agenti OfficeScan non inviano registri al server OfficeScan, neppure se èpresente una connessione funzionante tra il server e gli agenti.

• Il server OfficeScan non avvia operazioni né implementa le impostazionidell'agente OfficeScan sugli agenti, neppure se è presente una connessionefunzionante tra il server e gli agenti.

• Gli agenti OfficeScan aggiornano i componenti se sono in grado collegarsi a unadelle loro origini di aggiornamento. Le origini sono il server OfficeScan, gli UpdateAgents oppure un origine di aggiornamento personalizzata.

Gli eventi seguenti attivano un aggiornamento sugli agenti in roaming:

• L'utente esegue un aggiornamento manuale.


14-21

• Viene eseguito l'aggiornamento automatico dell'agente. È possibile disattivarel'aggiornamento automatico dell'agente sugli agenti in roaming. Per ulterioridettagli, vedere Disattivazione dell'aggiornamento automatico dell'agente negli agenti inroaming a pagina 14-22.

• Viene eseguito l'aggiornamento pianificato. Solo gli agenti con i privilegirichiesti possono eseguire aggiornamenti pianificati. È possibile revocarequesto privilegio in qualsiasi momento. Per ulteriori dettagli, vedere Revoca deiprivilegi per l'aggiornamento pianificato negli agenti OfficeScan in roaming a pagina14-22.

Assegnazione dei privilegi di roaming dell'agente

Procedura




4. Nella scheda Privilegi, accedere alla sezione Roaming.

5. Selezionare Attiva modalità roaming.





14-22

Disattivazione dell'aggiornamento automatico dell'agentenegli agenti in roaming

Procedura

1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.

2. Passare alla sezione Aggiornamento provocato da un evento.

3. Disattivare Includi agenti in roaming e offline.

Nota

Questa opzione viene disattivata automaticamente se si disattiva Avvial'aggiornamento dei componenti degli agenti subito dopo che il serverOfficeScan ha scaricato un nuovo componente.

Revoca dei privilegi per l'aggiornamento pianificato negliagenti OfficeScan in roaming

Procedura


2. Nella struttura agente, fare clic sull'icona del dominio root ( ) oppure selezionaredomini o agenti specifici.


4. Nella scheda Privilegi, passare alla sezione Privilegi aggiornamentocomponenti .

5. Deselezionare l'opzione Attiva/Disattiva aggiornamenti pianificati.



14-23

Agent MoverSe nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento AgentMover per trasferire gli agenti OfficeScan da un server OfficeScan a un altro. Questostrumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo serverOfficeScan alla rete, si desidera trasferire gli agenti OfficeScan esistenti al nuovo server.

NotaI due server devono avere la stessa versione di lingua. Se si usa Agent Mover per spostareun agente OfficeScan con una versione precedente in un server della versione corrente, laversione dell'agente OfficeScan sarà aggiornata automaticamente.

Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questostrumento.

Esecuzione di Agent Mover

Procedura

1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\IpXfer.

2. Copiare IpXfer.exe nell'dispositivo agente OfficeScan. Se l'dispositivo agenteOfficeScan esegue una piattaforma di tipo x64, copiare invece IpXfer_x64.exe.

3. Nell'dispositivo agente OfficeScan, aprire un prompt dei comandi e accedere allacartella nella quale è stato copiato il file eseguibile.

4. Eseguire Agent Mover utilizzando la sintassi riportata di seguito.

<nome file eseguibile> -s <nome server> -p <porta diascolto del server> -c <porta di ascolto dell'agente> -d<dominio o gerarchia dominio>


14-24

TABELLA 14-3. Parametri di Agent Mover

PARAMETRO SPIEGAZIONE

<nome fileeseguibile>

IpXfer.exe oppure IpXfer_x64.exe

-s <nome server> Il nome del server OfficeScan di destinazione (il server incui verrà trasferito l'agente OfficeScan)

-p <porta diascolto del server>

La porta di ascolto (o porta affidabile) del serverOfficeScan di destinazione. Per visualizzare la porta diascolto della console Web OfficeScan, fare clic suAmministrazione > Impostazioni > Connessioneagente nel menu principale.

-c <porta diascoltodell'agente>

Il numero della porta usata dall'dispositivo agenteOfficeScan per comunicare con il server

-d <dominio ogerarchia dominio>

Il dominio o sottodominio della struttura agente in cuiviene raggruppato l'agente. La gerarchia di domini deveindicare il sottodominio.

-e <nome file eposizione delcertificato>

Importa un nuovo certificato di autenticazione per l'agenteOfficeScan durante il processo di spostamento. Se nonviene usato questo parametro, l'agente OfficeScanrecupera automaticamente il certificato di autenticazionecorrente dal suo server di gestione nuovo.

NotaLa posizione predefinita del certificato nel serverOfficeScan è:

<Cartella di installazione del server>\PCCSRV\Pccnt\Common\OfcNTCer.dat.

Quando viene usato un certificato da un'originediversa da OfficeScan, assicurarsi che certificatosia in formato DER (Distinguished EncodingRules).

Esempi:


14-25

ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro

ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo dilavoro\Gruppo01

5. Per confermare che ora l'agente OfficeScan invia le notifiche all'altro server,effettuare le seguenti operazioni:

a. Nell'dispositivo agente OfficeScan, fare clic con il pulsante destro del mousesull'icona del programma agente OfficeScan nella barra delle applicazioni.

b. Selezionare Versioni componenti.

c. Verificare il server OfficeScan a cui fa riferimento l'agente OfficeScan nelcampo Nome server/porta.

Nota

Se l'agente OfficeScan non viene visualizzato nella struttura agente del nuovoserver OfficeScan che lo gestisce, riavviare il servizio principale del server(ofservice.exe).

Agenti OfficeScan inattiviSe per rimuovere un agente OfficeScan dagli dispositivo si utilizza il programma didisinstallazione dell'agente OfficeScan, il programma invia automaticamente una notificaal server. Quando il server riceve la notifica, l'icona dell'agente OfficeScan viene rimossadalla struttura agente per indicare che l'agente non esiste più.

Se tuttavia l'agente OfficeScan viene rimosso con altri metodi, ad esempio riformattandoil disco rigido dell'dispositivo oppure eliminando manualmente i file dell'agenteOfficeScan, OfficeScan non rileva la rimozione dell'agente OfficeScan, che viene quindivisualizzato come inattivo. Se un utente rimuove o disattiva l'agente OfficeScan per unperiodo di tempo prolungato, anche il server visualizza l'agente OfficeScan comeinattivo.

Per fare in modo che la struttura agente visualizzi soltanto gli agenti attivi, configurareOfficeScan in modo tale che rimuova automaticamente gli agenti inattivi dalla strutturaagente.


14-26

Rimozione automatica degli agenti inattivi

Procedura

1. Accedere a Amministrazione > Impostazioni > Agenti inattivi.

2. Selezionare Attiva rimozione automatica degli agenti inattivi.

3. Selezionare il numero di giorni che devono trascorrere prima che OfficeScanconsideri inattivo un agente OfficeScan.


Connessione agente-serverL'agente OfficeScan deve mantenere una connessione continua al server principale inmodo da poter aggiornare i componenti, ricevere le notifiche e applicaretempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano comecontrollare lo stato della connessione dell'agente OfficeScan e risolvere i problemi diconnessione:

• Indirizzi IP dell'agente a pagina 5-10

• Icone dell'agente OfficeScan a pagina 14-26

• Verifica della connessione agente-server a pagina 14-43

• Registri di verifica connessione a pagina 14-44

• Agenti non raggiungibili a pagina 14-45

Icone dell'agente OfficeScanL'icona dell'agente OfficeScan sulla barra delle applicazioni offre suggerimenti visivi cheindicano lo stato corrente dell'agente OfficeScan e chiedono agli utenti di eseguiredeterminate azioni. In qualsiasi momento, l'icona mostra una combinazione dei seguentisuggerimenti visivi.


14-27

TABELLA 14-4. Stato dell'agente OfficeScan indicato dall'icona dell'agente OfficeScan

STATOAGENTE

DESCRIZIONE SUGGERIMENTO VISIVO

Connessionedell'agenteal serverOfficeScan

Gli agenti online sonoconnessi al serverOfficeScan. Il server puòavviare attività eimplementare impostazionisu questi agenti

L'icona contiene un simbolo che somiglia aun battito cardiaco (Heartbeat).

Il colore di sfondo è una tonalità di blu orosso, a seconda dello stato del servizioscansione in tempo reale.

Gli agenti offline vengonodisconnessi dal serverOfficeScan. Il server non èin grado di gestire questiagenti.

L'icona contiene un simbolo che somigliaalla perdita di un battito cardiaco(Hearbeat).


Un agente può essere offline anche se èconnesso alla rete. Per ulteriori informazionisu questo problema, vedere Soluzioni aiproblemi riportati nelle icone dell'agenteOfficeScan a pagina 14-40.

Gli agenti in roamingpossono essere in grado dicomunicare con il serverOfficeScan oppure no.

L'icona contiene i simboli del desktop e delsegnale.


Per ulteriori informazioni sugli agenti inroaming, vedere Privilegio di roamingdell'agente OfficeScan a pagina 14-20.


14-28

STATOAGENTE


Disponibilitàdi originiSmartProtection

Le origini Smart Protectioncomprendono gli SmartProtection Server e TrendMicro Smart ProtectionNetwork.

Gli agenti con scansioneconvenzionale si colleganoalle origini Smart Protectionper le query di reputazioneWeb.

Gli agenti Smart Scan sicollegano alle origini SmartProtection per le query discansione e reputazioneWeb.

L'icona comprende un segno di spunta se èdisponibile un'origine Smart Protection.

L'icona comprende una barra diavanzamento se non sono disponibili originiSmart Protection e l'agente sta tentando distabilire la connessione alle origini.

Per ulteriori informazioni su questoproblema, vedere Soluzioni ai problemiriportati nelle icone dell'agente OfficeScan apagina 14-40.

Per gli agenti con scansione convenzionale,non viene visualizzato alcun segno dispunta o una barra di avanzamento se lareputazione Web è stata disattivatanell'agente.


14-29

STATOAGENTE


Statoservizioscansionein temporeale

OfficeScan utilizza ilservizio di scansione intempo reale non solo per lascansione in tempo reale,ma anche per la scansionemanuale e pianificata.

Il servizio deve esserefunzionante per evitare diesporre l'agente a rischi perla sicurezza.

Se il servizio scansione in tempo reale èfunzionante, tutta l'icona è ombreggiata dicolore blu. Due tonalità di blu vengonousate per indicare il metodo di scansionedell'agente.

• Per la scansione convenzionale:

• Per Smart Scan:

Se il servizio scansione in tempo reale èstato disattivato o non è funzionante, l'interaicona è ombreggiata di colore rosso.

Due tonalità di rosso vengono usate perindicare il metodo di scansione dell'agente.

• Per la scansione convenzionale:

• Per Smart Scan:



14-30

STATOAGENTE


Statoscansionein temporeale

La scansione in temporeale offre la protezioneproattiva effettuando lascansione dei file peridentificare rischi per lasicurezza mentre vengonocreati, modificati orecuperati.

Non ci sono suggerimenti visivi se èabilitata la scansione in tempo reale.

Se la scansione in tempo reale èdisabilitata, l'intera icona è circondata da uncerchio rosso e contiene una lineadiagonale rossa.


Statoaggiornamento pattern

Gli agenti devonoaggiornare il patternregolarmente perproteggere l'agente dalleminacce più recenti.

Non ci sono suggerimenti visivi se il patternè aggiornato o leggermente non aggiornato.

L'icona comprende un punto esclamativo seil pattern è obsoleto. Significa che il patternnon è stato aggiornato recentemente.

Per ulteriori informazioni sulle modalità diaggiornamento degli agenti, vedereAggiornamenti agente OfficeScan a pagina6-30.

Icone Smart Scan

Quando gli agenti OfficeScan usano la scansione smart scan, viene visualizzata una delleseguenti icone.


14-31

TABELLA 14-5. Icone Smart Scan

ICONACONNESSIONE AL SERVEROFFICESCAN

DISPONIBILITÀ DI ORIGINISMART PROTECTION

SERVIZIOSCANSIONE INTEMPO REALE

SCANSIONE INTEMPO REALE

Online Disponibili Funzionante Attivato

Online Disponibili Funzionante Disattivato

Online Disponibili Disattivato o nonfunzionante

Disattivato o nonfunzionante

Online Non disponibile, nuovaconnessione alle originiin corso

Funzionante Attivato


Funzionante Disattivato




Offline Disponibili Funzionante Attivato

Offline Disponibili Funzionante Disattivato

Offline Disponibili Disattivato o nonfunzionante


Offline Non disponibile, nuovaconnessione alle originiin corso





14-32


DISPONIBILITÀ DI ORIGINISMART PROTECTION






Roaming Disponibili Funzionante Attivato

Roaming Disponibili Funzionante Disattivato

Roaming Disponibili Disattivato o nonfunzionante


Roaming Non disponibile, nuovaconnessione alle originiin corso







Icone scansione convenzionale

Quando gli agenti OfficeScan usano la scansione convenzionale, viene visualizzata unadelle seguenti icone.


14-33

TABELLA 14-6. Icone scansione convenzionale


SERVIZI DIREPUTAZIONE WEB

FORNITI DALLEORIGINI SMARTPROTECTION



PATTERN DEIVIRUS

Online Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Online Non disponibile,nuovaconnessione alleorigini in corso

Funzionante Attivato Aggiornato oleggermentenonaggiornato

Online Disponibili Funzionante Attivato Obsoleto


Funzionante Attivato Obsoleto

Online Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato


Funzionante Disattivato Aggiornato oleggermentenonaggiornato

Online Disponibili Funzionante Disattivato Obsoleto


Funzionante Disattivato Obsoleto


14-34






PATTERN DEIVIRUS

Online Disponibili Disattivato ononfunzionante

Disattivato ononfunzionante

Aggiornato oleggermentenonaggiornato





Online Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto

Offline Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Offline Non disponibile,nuovaconnessione alleorigini in corso


Offline Disponibili Funzionante Attivato Obsoleto




14-35






PATTERN DEIVIRUS

Offline Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato



Offline Disponibili Funzionante Disattivato Obsoleto



Offline Disponibili Disattivato ononfunzionante







Offline Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto


14-36






PATTERN DEIVIRUS

Roaming Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Roaming Non disponibile,nuovaconnessione alleorigini in corso


Roaming Disponibili Funzionante Attivato Obsoleto



Roaming Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato



Roaming Disponibili Funzionante Disattivato Obsoleto




14-37






PATTERN DEIVIRUS

Roaming Disponibili Disattivato ononfunzionante







Roaming Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto

Online Non applicabile(funzione direputazione Webdisattivatasull'agente)







14-38






PATTERN DEIVIRUS










Obsoleto

Offline Non applicabile(funzione direputazione Webdisattivatasull'agente)







14-39






PATTERN DEIVIRUS










Obsoleto

Roaming Non applicabile(funzione direputazione Webdisattivatasull'agente)







14-40






PATTERN DEIVIRUS










Obsoleto

Soluzioni ai problemi riportati nelle icone dell'agenteOfficeScan

Se l'icona dell'agente OfficeScan indica una delle seguenti condizioni, eseguire le azioninecessarie:

CONDIZIONE DESCRIZIONE

Il file di pattern nonè stato aggiornatorecentemente

Gli utenti dell'agente OfficeScan devono aggiornare i componenti.Dalla console Web, configurare le impostazioni di aggiornamentodei componenti in Aggiornamenti > Agenti > Aggiornamentoautomatico oppure concedere agli utenti i privilegi perl'aggiornamento in Agenti > Gestione agente > Impostazioni >Privilegi e altre impostazioni > Privilegi > Privilegiaggiornamento componenti.


14-41


Servizio scansionein tempo reale èstato disattivato onon è funzionante

Se Servizio scansione in tempo reale (Scansione in tempo realeOfficeScan NT) è stato disattivato o non è funzionante, gli utentidevono avviare il servizio manualmente da MicrosoftManagement Console.

Scansione in temporeale disattivata

Attivare la scansione in tempo reale dalla console Web (Agenti >Gestione client > Impostazioni > Impostazioni di scansione >Impostazioni scansione in tempo reale).

La scansione intempo reale è statadisattivata e l'agenteOfficeScan è inmodalità roaming

Gli utenti devono disattivare la modalità roaming. Dopo averdisattivato la modalità roaming, attivare la scansione in temporeale dalla console Web.

Un agenteOfficeScan èconnesso alla retema risulta offline.

Verificare la connessione tramite la console Web (Registri >Agenti > Verifica connessione) e controllare i registri di verificadella connessione (Registri > Agenti > Verifica connessione)

Se dopo la verifica, l'agente OfficeScan è ancora offline:

1. Se lo stato della connessione è offline sia nel server chenell'agente OfficeScan, verificare la connessione di rete.

2. Se lo stato della connessione dell'agente OfficeScan è offlinema online sul server, il nome di dominio del server potrebbeessere stato modificato e l'agente OfficeScan continua acollegarsi al server usando il nome di dominio (se è statoselezionato nome di dominio durante l'installazione delserver). Registrare il nome di dominio del server OfficeScannel server DNS o WINS o aggiungere il nome di dominio e leinformazioni IP nei file "hosts" della cartella <cartellaWindows>\system32\drivers\etc dell'dispositivo agente.

3. Se lo stato della connessione dell'agente OfficeScan è onlinema offline sul server, verificare le impostazioni del firewallOfficeScan. Il firewall potrebbe bloccare la comunicazione dalserver all'agente, ma consentire quella dall'agente al server.

4. Se lo stato della connessione dell'agente OfficeScan è onlinema offline sul server, è possibile che l'indirizzo IP dell'agenteOfficeScan sia stato modificato, ma che il suo stato non siaaggiornato sul server (ad esempio, al caricamento


14-42


dell'agente). Provare a implementare di nuovo l'agenteOfficeScan.

Origini SmartProtection nondisponibili

Se un agente perde la connessione alle origini Smart Protection,effettuare queste operazioni:

1. Nella console Web, accedere alla schermata Posizionedispositivo (Agenti > Posizione dispositivo) e controllarese sono state configurate correttamente le seguentiimpostazioni della posizione dell'dispositivo:

• Server di riferimento e numeri di porta

• Indirizzi IP gateway

2. Nella console Web, accedere alla schermata Origine SmartProtection (Amministrazione > Smart Protection > OriginiSmart Protection), quindi effettuare le seguenti operazioni:

a. Verificare se le impostazioni dello Smart ProtectionServer nell'elenco standard o personalizzato delle originisono corrette.

b. Verificare se la connessione ai server riesce.

c. Fare clic su Invia una notifica tutti gli agenti dopo averconfigurato l'elenco delle origini.

3. Verificare che i seguenti file di configurazione presenti inSmart Protection Server e nell'agente OfficeScan sianosincronizzati.

• sscfg.ini

• ssnotify.ini

4. Aprire l'editor del Registro di sistema e verificare che l'agentesia connesso alla rete aziendale.

Chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\iCRC Scan\Scan Server

• Se LocationProfile=1, l'agente OfficeScan è connessoalla rete e dovrebbe essere in grado di collegarsi aSmart Protection Server.


14-43


• Se LocationProfile=2, l'agente OfficeScan non èconnesso alla rete e dovrebbe connettersi a SmartProtection Network. Da Internet Explorer, verificare sel'dispositivo agente OfficeScan è in grado di accederealle pagine Web su Internet.

5. Verificare le impostazioni del proxy interno ed esternoutilizzate per connettersi a Smart Protection Network e agliSmart Protection Server. Per i dettagli, consultare Proxyinterno per gli agenti OfficeScan a pagina 14-50 e Proxyesterno per gli agenti OfficeScan a pagina 14-51.

6. Per gli agenti con Scansione convenzionale, verificare cheOfficeScan NT Proxy Service (TmProxy.exe) sia inesecuzione. Se questo servizio viene interrotto, gli agenti nonsono in grado di connettersi alle origini Smart Protection perla reputazione Web.

Verifica della connessione agente-serverLo stato della connessione dell'agente con il server OfficeScan viene visualizzato nellastruttura agente della console Web OfficeScan.

FIGURA 14-2. Nella struttura agente viene visualizzato lo stato della connessionedell'agente con il server OfficeScan

Alcune condizioni potrebbero impedire alla struttura agente di visualizzarecorrettamente lo stato della connessione dell'agente. Se, ad esempio, il cavo della rete


14-44

dell'dispositivo agente viene involontariamente scollegato, l'agente non sarà in grado dinotificare al server di essere offline. Il client verrà pertanto visualizzato ancora comeonline nella struttura agente.

Verificare la connessione agente-server manualmente o eseguire la verifica pianificatamediante OfficeScan. Non è possibile verificare lo stato di connessione di domini oagenti specifici. OfficeScan verifica lo stato di connessione di tutti gli agenti registrati.

Verifica delle connessioni tra server e agente

Procedura

1. Accedere a Registri > Agenti > Verifica connessione.

2. Per verificare la connessione agente-server manualmente, accedere alla schedaVerifica manuale e fare clic su Verifica ora.

3. Per verificare la connessione tra agente-server automaticamente, accedere allascheda Verifica pianificata.

a. Selezionare Attiva la verifica pianificata.

b. Selezionare la frequenza e l'ora di inizio della verifica.

c. Fare clic su Salva per salvare la pianificazione della verifica.

4. Controllare la struttura agente per verificare lo stato o visualizzare i registri diverifica della connessione.

Registri di verifica connessioneOfficeScan mantiene dei registri di verifica della connessione per consentire dideterminare se il server OfficeScan è in grado di comunicare con tutti gli agentiregistrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica dellaconnessione agente-server dalla console Web.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.


14-45

Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina13-34.

Visualizzazione dei registri di verifica connessione

Procedura

1. Accedere a Registri > Agenti > Verifica connessione.

2. I risultati della verifica della connessione sono contenuti all'interno della colonnaStato.


Agenti non raggiungibili

Gli agenti OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti direte dietro un gateway NAT, sono quasi sempre offline perché il server non riesce astabilire una connessione diretta con gli agenti. Di conseguenza, il server non è in gradodi inviare notifiche agli agenti per:

• Scaricare la versione più recente dei componenti.

• Applicare le impostazioni degli agenti configurate dalla console Web. Ad esempio,quando si modifica la frequenza della Scansione pianificata dalla console Web, ilserver invia immediatamente una notifica agli agenti per applicare la nuovaimpostazione.

Gli agenti non raggiungibili quindi non sono in grado di eseguire queste attivitàtempestivamente. Eseguono queste attività solo quando si connettono al server, ovveroquando:

• Eseguono la registrazione sul server dopo l'installazione.

• Eseguono il riavvio o il ricaricamento. Questo evento non si verificafrequentemente e in genere richiede l'intervento dell'utente.


14-46

• L'aggiornamento manuale o pianificato viene attivato nell'agente. Anche questoevento non si verifica frequentemente.

Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettivitàdegli agenti e li considera online. Tuttavia, poiché il server non è ancora è in grado distabilire una connessione con gli agenti, il server cambia immediatamente lo stato suoffline.

OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere iproblemi riguardanti gli agenti non raggiungibili. Con queste funzioni, il serverinterrompe la notifica agli agenti degli aggiornamenti dei componenti e delle modifichedelle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesadell'invio di heartbeat o dell'avvio di polling da parte degli agenti. Quando rileva uno diquesti eventi, il server considera gli agenti come online.

Nota

Eventi iniziati dagli agenti e non correlati a heartbeat e polling del server, comel'aggiornamento manuale degli agenti e l'invio del registro, non determinanol'aggiornamento dello stato degli agenti non raggiungibili da parte del server.

Heartbeat

Gli agenti OfficeScan inviano messaggi heartbeat per notificare al server che laconnessione dell'agente è funzionante. Quando riceve un messaggio heartbeat, il serverconsidera gli agenti come online. Nella struttura agente, lo stato dell'agente può essereuno dei seguenti:

• Online: per agenti online normali

• Non raggiungibile/Online: per agenti online nella rete non raggiungibile

Nota

Gli agenti OfficeScan non aggiornano i componenti né applicano nuove impostazioniquando inviano messaggi di heartbeat. Gli agenti normali eseguono queste operazionidurante gli aggiornamenti di routine (vedere Aggiornamenti agente OfficeScan a pagina 6-30). Gliagenti nella rete non raggiungibile eseguono queste operazioni durante il polling del server.


14-47

La funzione di heartbeat consente di risolvere il problema degli agenti OfficeScan nellereti non raggiungibili che risultano sempre offline, anche quando in realtà sono in gradodi connettersi al server.

Un'impostazione nella console Web controlla la frequenza di invio dei messaggi diheartbeat da parte degli agenti. Se non riceve heartbeat, il server non consideraimmediatamente l'agente come offline. Un'altra impostazione controlla il periodo ditempo senza heartbeat che deve trascorrere prima di cambiare lo stato dell'agente su:

• Offline: per agenti OfficeScan offline normali

• Non raggiungibile/Offline: per agenti OfficeScan offline nella rete nonraggiungibile

Nella scelta delle impostazioni di heartbeat più idonee, è consigliabile trovare il giustocompromesso tra l'esigenza di visualizzare le informazioni di stato aggiornate e leesigenze di gestione delle risorse di sistema. L'impostazione predefinita è adeguata per lamaggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazionedell'heartbeat, tenere conto di quanto segue:

TABELLA 14-7. Impostazioni consigliate per Heartbeat

FREQUENZA HEARTBEAT RACCOMANDAZIONE

Intervalli di heartbeatlunghi (maggiori di 60minuti)

Più lungo è l'intervallo tra gli heartbeat, maggiore è il numerodi eventi che possono verificarsi prima che il server aggiornilo stato dell'agente nella console Web.

Intervalli di Heartbeatbrevi (minori di 60minuti)

Intervalli di tempo brevi consentono di mantenere lo statodell'agente più aggiornato, ma richiedono un maggioreutilizzo dell'ampiezza di banda.

Polling del server

La funzione di polling del server consente di risolvere il problema degli agentiOfficeScan non raggiungibili che non ricevono tempestivamente le notifiche relative agliaggiornamenti dei componenti e alle modifiche alle impostazioni degli agenti. Questafunzione è indipendente dalla funzione di heartbeat.

Con la funzione di polling del server:


14-48

• Gli agenti OfficeScan avviano automaticamente la connessione con il serverOfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling,considera l'agente come "Non raggiungibile/Online".

• Gli agenti OfficeScan si connettono a una o più delle rispettive originiaggiornamenti per scaricare eventuali componenti aggiornati e applicare nuoveimpostazioni per gli agenti. Se l'origine aggiornamenti principale è il serverOfficeScan o un Update Agent, gli agenti ottengono sia i componenti sia le nuoveimpostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un UpdateAgent, gli agenti possono scaricare solo i componenti aggiornati e devonoconnettersi al server OfficeScan o all'Update Agent per ottenere le nuoveimpostazioni.

Configurazione di heartbeat e funzioni di polling del server

Procedura


2. Passare alla sezione Rete non raggiungibile.

3. Configurare le impostazioni del polling del server.

Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina14-47.

a. Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibiledigitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza.

Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure unprefisso IPv6 e la lunghezza se il server è un IPv6 puro.

Quando l'indirizzo IP di un agente corrisponde a un indirizzo IPdell'intervallo, l'agente applica le impostazioni relative al polling del server eall'heartbeat e considera l'agente come appartenente alla rete nonraggiungibile.


14-49

Nota

Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a unserver OfficeScan dual stack.

Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a unserver OfficeScan dual stack.

Gli agenti dual-stack possono connettersi al server OfficeScan dual-stack, IPv4puro o IPv6 puro.

b. In Gli agenti eseguono il polling del server per le impostazioni e icomponenti aggiornati ogni __ minuti, specificare la frequenza del pollingdel server. Digitare un valore compreso tra 1 e 129600 minuti.

Suggerimento

Trend Micro consiglia di impostare una frequenza di polling del server almenotre volte superiore alla frequenza di invio di heartbeat.

4. Configurare le impostazioni Heartbeat.

Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 14-46.

a. Selezionare Consenti agli agenti di inviare heartbeat al server.

b. Selezionare Tutti gli agenti o Solo gli agenti della rete non raggiungibile.

c. In gli agenti inviano heartbeat ogni __ minuti, specificare la frequenza conla quale gli agenti inviano heartbeat. Digitare un valore compreso tra 1 e129600 minuti.

d. In L'agente è offline se non c'è heartbeat dopo __ minuti, specificarel'intervallo di tempo che deve trascorrere senza un heartbeat prima che ilserver OfficeScan consideri un agente come offline. Digitare un valorecompreso tra 1 e 129600 minuti.



14-50

Impostazioni proxy agente OfficeScanConfigurare gli agenti OfficeScan per utilizzare le impostazioni proxy durante laconnessione a server interni ed esterni.

Proxy interno per gli agenti OfficeScanGli agenti OfficeScan possono utilizzare le impostazioni del proxy interno perconnettersi ai server seguito presenti in rete:

• Server OfficeScan

Il computer server ospita il server OfficeScan e Integrated Smart Protection Server.Gli agenti OfficeScan si connettono al server OfficeScan per aggiornare icomponenti, ottenere le impostazioni di configurazione e inviare i registri. Gliagenti OfficeScan si connettono a Integrated Smart Protection Server per inviarequery sulla scansione.

• Smart Protection Server

Gli Smart Protection Server comprendono gli Smart Protection Server standalone eIntegrated Smart Protection Server di altri server OfficeScan. Gli agenti OfficeScansi collegano ai server per inviare query di scansione e di reputazione Web.

Configurazione delle impostazioni del proxy interno

Procedura


2. Fare clic sulla scheda Proxy interno.

3. Accedere alla sezione Connessione dell'agente al server OfficeScan.

a. Selezionare Utilizzare le seguenti impostazioni proxy quando gli agentisono connessi al server OfficeScan.



14-51

NotaSpecificare un server proxy dual stack identificato tramite il nome host se siutilizzano agenti IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti,impostazioni globali. Se si specifica un indirizzo IPv4, gli agenti IPv6 nonpossono collegarsi al server proxy. Lo stesso vale per gli agenti IPv4.

c. Se il server proxy richiede l'autenticazione, digitare il nome utente e lapassword e confermare la password.

4. Accedere alla sezione Connessione dell'agente con i Smart Protection Serverstandalone.

a. Selezionare Utilizzare le seguenti impostazioni del proxy quando gliagenti sono collegati ai Smart Protection Server standalone.


c. Se il server proxy richiede l'autenticazione, digitare il nome utente e lapassword e confermare la password.


Proxy esterno per gli agenti OfficeScanIl server OfficeScan e l'agente OfficeScan possono utilizzare le impostazioni del proxyesterno durante la connessione ai server ospitati da Trend Micro. In questo argomentovengono illustrate le impostazioni del proxy esterno per gli agenti. Per informazioni sulleimpostazioni del proxy esterno per il server, vedere Proxy per gli aggiornamenti del serverOfficeScan a pagina 6-21.

Per connettersi a Trend Micro Smart Protection Network, gli agenti OfficeScanutilizzano le impostazioni proxy configurate in Internet Explorer o Chrome. Se èrichiesta l'autenticazione del server proxy, gli agenti utilizzano le credenziali diautenticazione del server proxy (ID utente e password).


14-52

Configurazione delle credenziali di autenticazione del serverproxy

Procedura


2. Fare clic sulla scheda Proxy esterno.

3. Accedere alla sezione Connessione dell'agente OfficeScan con i server TrendMicro.

4. Inserire ID utente e password per l'autenticazione del server proxy. I protocolli diautenticazione proxy riportati di seguito sono supportati:

• Autenticazione con accesso di base

• Autenticazione con accesso digest

• Autenticazione integrata di Windows


Privilegi di configurazione del proxy per gli agentiÈ possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy.Gli agenti OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo neiseguenti casi:

• Quando Gli agenti OfficeScan effettuano l'operazione "Aggiorna ora".

• Quando gli utenti disattivano le impostazioni automatiche del proxy oppure gliagenti OfficeScan non sono in grado di rilevarle. Vedere Impostazioni proxyautomatiche per l'agente OfficeScan a pagina 14-53 per ulteriori informazioni.


14-53

AVVERTENZA!

Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi diaggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprieimpostazioni proxy.

Concessione dei privilegi di configurazione del proxy

Procedura




4. Nella scheda Privilegi, accedere alla sezione Privilegi impostazioni proxy.

5. Selezionare Consente di configurare le impostazioni proxy.




Impostazioni proxy automatiche per l'agente OfficeScanLa configurazione manuale delle impostazioni proxy può rivelarsi un'operazionecomplessa per molti utenti finali. Utilizzare impostazioni proxy automatiche per


14-54

garantire l'applicazione di impostazioni proxy corrette senza bisogno dell'interventodell'utente.

Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principaliquando gli agenti OfficeScan aggiornano i componenti attraverso l'aggiornamentoautomatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico osu Aggiorna ora, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.

Se gli agenti OfficeScan non riescono a collegarsi utilizzando le impostazioni proxyautomatiche, gli utenti degli agenti con i privilegi di configurazione delle impostazioniproxy possono utilizzare le impostazioni proxy configurate dall'utente. Altrimenti, laconnessione attraverso le impostazioni proxy automatiche non riuscirà.

Nota

Autenticazione proxy non supportata.

Configurazione delle impostazioni automatiche del proxy

Procedura


2. Passare alla sezione Configurazione proxy.

3. Selezionare Rileva automaticamente le impostazioni per consentire aOfficeScan di rilevare automaticamente le impostazioni proxy configuratedall'amministratore tramite DHCP o DNS.

4. Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration)impostato dall'amministratore di rete per rilevare il server proxy appropriato:

a. Selezionare Usa lo script di configurazione automatica.

b. Digitare l'indirizzo dello script PAC.



14-55

Visualizzazione delle informazioni dettagliatesull'agente OfficeScan

La schermata Visualizza stato mostra importanti informazioni sugli agenti OfficeScan,come privilegi, informazioni sul software dell'agente ed eventi di sistema.

Procedura



3. Fare clic su Stato.

4. Visualizzare le informazioni di stato espandendo il nome dell'dispositivo agente. Sesono stati selezionati più agenti, fare clic su Espandi tutti per visualizzare leinformazioni di stato di tutti gli agenti selezionati.

5. (Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischiper la sicurezza.

Importazione ed esportazione delleimpostazioni degli agenti

OfficeScan consente di esportare le impostazioni della struttura agente che un agenteOfficeScan o dominio specifico applica a un file. Il file può quindi essere importato perapplicare le impostazioni ad altri agenti o domini o a un altro server OfficeScan dellastessa versione.

Verranno esportate tutte le impostazioni della struttura agente, ad eccezione delleimpostazioni di Update Agent.


14-56

Esportazione delle impostazioni dell'agente

Procedura



3. Fare clic su Impostazioni > Esporta impostazioni.

4. Fare clic su uno dei collegamenti per visualizzare le impostazioni dell'agenteOfficeScan o del dominio selezionato.

5. Fare clic su Esporta per salvare le impostazioni.

Le impostazioni vengono salvate in un file .dat.

6. Fare clic su Salva e specificare la posizione in cui salvare il file .dat.


Importazione delle impostazioni dell'agente

Procedura



3. Fare clic su Impostazioni > Importa impostazioni.

4. Fare clic su Sfoglia per individuare il file .dat nell'dispositivo, quindi fare clic suImporta.

Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogodelle impostazioni.


14-57

5. Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni discansione o dei privilegi da importare.

6. Importare le impostazioni.

• Se è stata selezionata l'icona del dominio principale, selezionare Applica atutti i domini, quindi fare clic su Applica alla destinazione.

• Se sono stati selezionati i domini, selezionare Applica a tutti i computer cheappartengono ai domini selezionati, quindi fare clic su Applica alladestinazione.

• Se sono stati selezionati più agenti, fare clic su Applica alla destinazione.

Conformità sicurezzaUtilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione emantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempirichiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibrotra sicurezza e funzionalità.

La conformità di sicurezza può essere forzata sui due tipi di dispositivo riportati diseguito:

• Gestiti: dispositivo con agenti OfficeScan gestiti dal server OfficeScan. Per idettagli, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-58.

• Non gestiti: comprende i seguenti elementi:

• Agenti OfficeScan non gestiti dal server OfficeScan

• Dispositivo senza agenti OfficeScan installati

• Dispositivo non raggiungibili dal server OfficeScan

• Dispositivo il cui stato di sicurezza non può essere verificato

Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina14-70.


14-58

Conformità sicurezza per gli agenti gestitiConformità sicurezza genera una Segnalazione conformità che facilita la valutazionedello stato di sicurezza degli agenti OfficeScan gestiti dal server OfficeScan. Conformitàsicurezza genera la segnalazione su richiesta o secondo un programma.

Nella scheda Valutazione manuale vengono visualizzate le informazioni riportate diseguito:

• Servizi: usare questa scheda per verificare che i servizi degli agenti sianofunzionanti. Per i dettagli, consultare Servizi a pagina 14-59.

• Componenti: usare questa scheda per verificare che i componenti degli agentisiano aggiornati. Per i dettagli, consultare Componenti a pagina 14-60.

• Compatibilità scansione: usare questa scheda per verificare che i client eseguanoregolarmente le scansioni. Per i dettagli, consultare Compatibilità scansione a pagina14-62.

• Impostazioni: usare questa scheda per verificare che le impostazioni dell'agentesiano coerenti con quelle del server. Per i dettagli, consultare Impostazioni a pagina14-64.

NotaLa scheda Componenti può visualizzare gli agenti OfficeScan in cui è installata la versionecorrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo gli agentiOfficeScan con la versione 10.5, 10.6 o gli agenti OfficeScan.

Note su Segnalazione conformità

• Conformità sicurezza verifica lo stato di connessione degli agenti OfficeScan primadi generare una Segnalazione conformità. Nella segnalazione, include gli agentionline e offline ma non gli agenti in roaming.

• Per account utente basati sui ruoli:

• Ciascun account utente della console Web dispone di un insiemecompletamente indipendente di impostazioni Segnalazione conformità.Eventuali modifiche alle impostazioni Segnalazione conformità di un accountutente non hanno effetto sulle impostazioni degli altri account utente.


14-59

• L'ambito della segnalazione dipende dalle autorizzazioni di dominiodell'agente per l'account utente. Se, ad esempio, si assegnano a un accountutente autorizzazioni per gestire i domini A e B, le segnalazioni dell'accountutente mostrano solo i dati degli agenti che appartengono ai domini A e B.

Per ulteriori informazioni sugli account utente, vedere Role-based Administration(RBA) a pagina 13-2.

Servizi

Conformità sicurezza controlla se i seguenti servizi dell'agente OfficeScan sonofunzionanti:

• Antivirus

• Anti-spyware

• Firewall

• Reputazione Web

• Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizioprevenzione modifiche non autorizzate di Trend Micro)

• Protezione dati

• Connessione sospetta


14-60

Un agente non conforme viene contato almeno due volte nella Segnalazione conformità.

FIGURA 14-3. Segnalazione conformità - scheda Servizi

• Nella categoria Dispositivo con servizi non conformi

• Nella categoria per la quale l'agente OfficeScan non è conforme. Se, ad esempio, ilservizio Antivirus dell'agente OfficeScan non è funzionante, l'agente viene contatonella categoria Antivirus. Se più servizi non sono funzionanti, l'agente vienecontato in ciascuna categoria per la quale non è conforme.

Riavviare i servizi non funzionanti dalla console Web o dall'agente OfficeScan. Se iservizi sono funzionanti dopo il riavvio, l'agente non viene più visualizzato come nonconforme nella valutazione successiva.

Componenti

Conformità sicurezza consente di determinare le incoerenze delle versioni deicomponenti tra il server OfficeScan e gli agenti OfficeScan. In genere le incoerenze siverificano quando gli agenti non riescono a connettersi al server per aggiornare icomponenti. Se l'agente ottiene un aggiornamento da un'altra origine (ad esempio, dal


14-61

server ActiveUpdate di Trend Micro), è possibile che la versione di un componentedell'agente sia più recente rispetto alla versione del server.

Conformità sicurezza controlla i seguenti componenti:

• Smart Scan Agent Pattern

• Pattern dei virus

• Pattern IntelliTrap


• Motore di scansione virus

• Pattern spyware

• Pattern di monitoraggio attivo spyware

• Motore di scansione spyware

• Modello disinfezione virus

• Motore di disinfezione virus

• Pattern comune firewall

• Driver comune Firewall

• Driver monitoraggio delcomportamento

• Servizio principale monitoraggio delcomportamento

• Pattern di configurazione monitoraggiodel comportamento

• Digital Signature Pattern

• Pattern implementazione dei criteri

• Pattern rilevamento monitoraggio delcomportamento

• Elenco IP C&C

• Pattern regola di pertinenza

• Driver Early Boot Clean

• Pattern avvio scansione memoria

• Pattern ispezione memoria

• Pattern prevenzione minaccia browser

• Pattern Script Analyzer

• Versione del programma


14-62


FIGURA 14-4. Segnalazione conformità - scheda Componenti

• Nella categoria Computer con versioni di componenti diverse

• Nella categoria per la quale l'agente non è conforme. Se, ad esempio, la versione diSmart Scan Agent Pattern dell'agente è diversa da quella del server, l'agente vienecontato nella categoria Smart Scan Agent Pattern. Se la versione di più di uncomponente non è coerente, l'agente viene contato in ciascuna categoria per laquale non è conforme.

Per risolvere le differenze nelle versioni dei componenti, aggiornare i componentiobsoleti degli agenti o del server.

Compatibilità scansione

Conformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificatavengono eseguite regolarmente e se vengono completate in tempi ragionevoli.


14-63

NotaConformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansionepianificata è attivata sugli agenti.

Conformità sicurezza usa i seguenti parametri di compatibilità scansione:

• Non è stata eseguita l'opzione Esegui scansione o Scansione pianificatanegli ultimi (x) giorni: l'agente OfficeScan non è conforme se non ha eseguitoEsegui scansione o Scansione pianificata nell'arco del numero di giorni specificato.

• Durata di Esegui scansione o Scansione pianificata superata (x) ore: l'agenteOfficeScan non è conforme se l'ultima operazione Esegui scansione o Scansionepianificata è durata oltre il numero di ore specificato.


FIGURA 14-5. Segnalazione conformità - scheda Compatibilità scansione

• Nella categoria Dispositivo con scansioni non aggiornate

• Nella categoria per la quale l'agente non è conforme. Se, ad esempio, se l'ultimaScansione pianificata è durata più del numero di ore specificato, l'agente viene


14-64

contato nella categoria Durata di Esegui scansione o Scansione pianificatasuperata <x> ore. Se l'agente soddisfa più di un parametro di compatibilitàscansione, viene contato in ciascuna categoria per la quale non è conforme.

Eseguire le funzioni Esegui scansione o Scansione pianificata su agenti che non hannoeffettuato operazioni di scansione o che non sono stati in grado di completare lascansione.

Impostazioni

Conformità sicurezza consente di determinare se gli agenti e i relativi domini principalinella struttura agente hanno le stesse impostazioni. Le impostazioni potrebbero esserediverse se si trasferisce un agente a un altro dominio che applica un insieme diimpostazioni diverso oppure se un utente dell'agente con privilegi particolari configuramanualmente le impostazioni nella console dell'agente OfficeScan.

OfficeScan verifica le impostazioni riportate di seguito:



• Impostazioni scansione in tempo reale





• Reputazione Web




• Impostazioni di Prevenzione perdita didati

• Connessione sospetta


14-65


FIGURA 14-6. Segnalazione conformità - scheda Impostazioni

• Nella categoria Dispositivo con impostazioni di configurazione non conformi

• Nella categoria per la quale l'agente non è conforme. Se, ad esempio, leimpostazioni del metodo di scansione nell'agente e nel relativo dominio root nonsono coerenti, l'agente viene contato nella categoria Metodo di scansione. Se piùdi un gruppo di impostazioni non è coerente, l'agente viene contato in ciascunacategoria per la quale non è conforme.

Per risolvere le differenze di impostazione, applicare all'agente le impostazioni deldominio.

Segnalazioni conformità su richiesta

Conformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazionifacilitano la valutazione dello stato di sicurezza degli agenti OfficeScan gestiti dal serverOfficeScan.


14-66

Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gliagenti gestiti a pagina 14-58.

Generazione di una segnalazione di conformità su richiesta

Procedura

1. Accedere a Valutazione > Conformità sicurezza > Segnalazione conformità.

2. Accedere alla sezione Ambito della struttura agente.

3. Selezionare il dominio principale oppure un dominio e fare clic su Valuta.

4. Visualizzare la Segnalazione conformità per i servizi degli agenti.

Per ulteriori informazioni sui servizi degli agenti, vedere Servizi a pagina 14-59.

a. Fare clic sulla scheda Servizi.

b. In Dispositivo con servizi non conformi, selezionare il numero di agenticon servizi non conformi.

c. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessatinella struttura agente.

d. Selezionare gli agenti nei risultati della query.

e. Fare clic su Riavvia agente OfficeScan per riavviare il servizio.

NotaSe, dopo un'altra valutazione, l'agente risulta ancora non conforme, riavviaremanualmente il servizio sull'dispositivo agente.

f. Per salvare l'elenco degli agenti in un file, fare clic su Esporta.

5. Visualizzare la Segnalazione conformità per i componenti degli agenti.

Per ulteriori informazioni sui componenti degli agenti, vedere Componenti a pagina14-60.

a. Fare clic sulla scheda Componenti.


14-67

b. In Dispositivo con versioni componenti non conformi, selezionare ilnumero di agenti con versioni di componenti diverse da quelle sul server.


NotaSe in almeno un agente è presente un componente più aggiornato rispetto alserver OfficeScan, aggiornare il server OfficeScan manualmente.


e. Fare clic su Aggiorna ora per forzare il download dei componenti negliagenti.

Nota

• Per fare in modo che gli agenti possano aggiornare il programma agente,disattivare l'opzione Gli agenti OfficeScan possono aggiornare icomponenti, ma non possono aggiornare il programma agente néimplementare gli hot fix in Agenti > Gestione agente > Impostazioni> Privilegi e altre impostazioni.

• Per aggiornare Driver comune Firewall, riavviare l'dispositivo anziché fareclic su Aggiorna ora.


6. Visualizzare la Segnalazione conformità per le scansioni.

Per ulteriori informazioni sulle scansioni, vedere Compatibilità scansione a pagina14-62.

a. Fare clic sulla scheda Compatibilità scansione.

b. In Dispositivo con scansioni non aggiornate, configurare i seguentielementi:

• Numero di giorni durante i quali l'agente non ha eseguito l'opzioneEsegui scansione o Scansione pianificata.

• Numero di ore di Esegui scansione o Scansione pianificata in esecuzione


14-68

Nota

Se il numero dei giorni o delle ore viene superato, l'agente vieneconsiderato non conforme.

c. Fare clic su Valuta accanto alla sezione Ambito della struttura agente.

d. In Dispositivo con funzioni di scansione non aggiornate, selezionare ilnumero di agenti che soddisfano i parametri di scansione.

e. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessatinella struttura agente.

f. Selezionare gli agenti nei risultati della query.

g. Fare clic su Esegui scansione per avviare la scansione immediata sugliagenti.

Nota

Per evitare di ripetere la scansione, l'opzione Esegui scansione sarà disattivatase l'operazione ha impiegato più tempo rispetto al numero di ore specificate.

h. Per salvare l'elenco degli agenti in un file, fare clic su Esporta.

7. Visualizzare la Segnalazione conformità per le impostazioni.

Per ulteriori informazioni sulle impostazioni, vedere Impostazioni a pagina 14-64.

a. Fare clic sulla scheda Impostazioni.

b. In Computer con impostazioni di configurazione non conformi,selezionare il numero di agenti con impostazioni non conformi alleimpostazioni del dominio della struttura agente.



e. Fare clic su Applica impostazioni dominio.


14-69


Segnalazioni conformità pianificateConformità sicurezza può generare segnalazioni di conformità in base a un programma.Le segnalazioni facilitano la valutazione dello stato di sicurezza degli agenti OfficeScangestiti dal server OfficeScan.

Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gliagenti gestiti a pagina 14-58.

Configurazione delle impostazioni per le segnalazioni diconformità pianificate

Procedura

1. Accedere a Valutazione > Conformità sicurezza > Segnalazioni pianificate.

2. Selezionare Abilita segnalazioni pianificate.

3. Specificare un titolo per questa segnalazione.

4. Selezionare tutte o una delle voci elencate di seguito:

• Servizi a pagina 14-59

• Componenti a pagina 14-60

• Compatibilità scansione a pagina 14-62

• Impostazioni a pagina 14-64

5. Specificare gli indirizzi e-mail destinatari delle notifiche sulle Segnalazioniconformità pianificate.

NotaConfigurare le impostazioni delle notifiche e-mail per assicurare il corretto invio dellenotifiche. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31.


14-70

6. Specificare la pianificazione.


Conformità sicurezza per dispositivo non gestiti

Conformità sicurezza può eseguire query sugli dispositivo non gestiti nella rete alla qualeappartiene il server OfficeScan. Utilizzare Active Directory e gli indirizzi IP per eseguirequery sugli dispositivo.

La sicurezza degli dispositivo non gestiti può avere uno degli stati riportati di seguito:

TABELLA 14-8. Stato sicurezza degli dispositivo non gestiti

STATO DESCRIZIONE

Gestito da un altroserver OfficeScan

Gli agenti OfficeScan installati nei computer sono gestiti da unaltro server OfficeScan. Gli agenti OfficeScan sono online edeseguono questa versione di OfficeScan oppure una versioneprecedente.

Nessun agenteOfficeScan installato

L'agente OfficeScan non è installato sull'dispositivo.

Non raggiungibile Il server OfficeScan non è in grado di connettersi all'dispositivoper determinare lo stato di sicurezza.

Valutazione di ActiveDirectory non risolta

L'dispositivo appartiene a un dominio Active Directory, ma ilserver OfficeScan non è in grado di determinarne lo stato disicurezza.

NotaIl database del server OfficeScan contiene un elencodegli agenti gestiti dal server. Il server invia query adActive Directory per richiedere i GUID dei computer e poili confronta con i GUID memorizzati nel database. Se unGUID non è nel database, l'dispositivo viene assegnatoalla categoria Valutazione di Active Directory non risolta.

Per eseguire una valutazione di sicurezza, effettuare le operazioni riportate di seguito:


14-71

1. Definire l'ambito della query. Per i dettagli, consultare Definizione di ambito ActiveDirectory/indirizzo IP e query. a pagina 14-71.

2. Selezionare i computer non protetti dal risultato della query. Per i dettagli,consultare Visualizzazione dei risultati della query a pagina 14-73.

3. Installare l'agente OfficeScan. Per i dettagli, consultare Installazione con Conformitàsicurezza a pagina 5-63.

4. Configurare le query pianificate. Per i dettagli, consultare Configurazione dellavalutazione di query pianificate a pagina 14-75.

Definizione di ambito Active Directory/indirizzo IP e query.

Quando si esegue una query per la prima volta, definire l'Ambito Active Directory/indirizzo IP che comprende gli oggetti Active Directory e gli indirizzi IP a cui il serverOfficeScan deve inviare le query su richiesta o periodicamente. Dopo aver definitol'ambito, avviare l'elaborazione delle query.

Nota

Per definire un ambito Active Directory, è necessario che OfficeScan sia prima integratocon Active Directory. Per ulteriori informazioni sull'integrazione, vedere Active DirectoryIntegration a pagina 2-35.

Procedura


2. Nella sezione Ambito Active Directory/indirizzo IP, fare clic su Definisci.Viene visualizzata una nuova schermata.

3. Per definire un ambito Active Directory:

a. Accedere alla sezione Ambito Active Directory.

b. Selezionare Utilizza valutazione su richiesta per eseguire query in temporeale al fine di ottenere risultati più precisi. Se si disattiva questa opzione,OfficeScan esegue le query sul database anziché su ogni singolo agente


14-72

OfficeScan. L'esecuzione delle query solo sul database può risultare più rapidama è meno precisa.

c. Selezionare gli oggetti sui quali eseguire la query. Se è la prima volta che vieneinviata una query, selezionare un oggetto con meno di 1.000 account eprendere nota del tempo impiegato per completare la query. Utilizzare questidati per il confronto delle prestazioni.

4. Per definire un ambito dell'indirizzo IP:

a. Passare alla sezione Ambito indirizzo IP.

b. Selezionare Attiva ambito indirizzo IP.

c. Specificare un intervallo di indirizzi IP. Fare clic sul pulsante con il segno piùo meno per aggiungere o eliminare gli intervalli di indirizzi IP.

• Per un server OfficeScan IPv4 puro, digitare un intervallo di indirizzi IPv4.

• Per un server OfficeScan IPv6 puro, digitare un prefisso IPv6 e la lunghezza.

• Per un server OfficeScan dual stack, digitare un intervallo di indirizzi IPv4 e/oil prefisso IPv6 e la lunghezza.

L'intervallo di indirizzi IPv6 ha un limite di 16 bit, simile al limite per gliintervalli di indirizzi IPv4. La lunghezza del prefisso deve essere compresapertanto tra 112 e 128.

TABELLA 14-9. Lunghezza dei prefissi e numero di indirizzi IPv6

LUNGHEZZA NUMERO DI INDIRIZZI IPV6

128 2

124 16

120 256

116 4,096

112 65,536

5. In Impostazione avanzata, specificare le porte utilizzate dai server OfficeScan percomunicare con gli agenti. Il programma genera i numeri di porta in modo casualedurante l'installazione del server OfficeScan.


14-73

Per visualizzare la porta di comunicazione utilizzata dal server OfficeScan, accederea Agenti > Gestione agente e selezionare un dominio. La porta viene visualizzataaccanto alla colonna degli indirizzi IP. Trend Micro consiglia di tenere traccia deinumeri di porta per riferimento futuro.

a. Fare clic su Specifica porte.

b. Digitare il numero di porta e fare clic su Aggiungi. Ripetere questo passaggioper aggiungere tutti i numeri di porta necessari.


6. Per verificare la connettività di un dispositivo usando un numero di portaparticolare, selezionare Segnala che un dispositivo non è raggiungibile dopo laverifica della relativa porta <x>. Quando non è possibile stabilire unaconnessione, OfficeScan considera subito l'dispositivo irraggiungibile. Il numero diporta predefinito è 135.

Attivare questa impostazione velocizza la query. Quando non è possibile stabilireuna connessione agli dispositivo, il server OfficeScan non deve più eseguire le altreoperazioni di verifica della connessione prima di considerare gli dispositivoirraggiungibili.

7. Per salvare l'ambito e avviare la query, fare clic su Salva e rivaluta. Per salvare solole impostazioni, fare clic su Salva soltanto. Il risultato della query vienevisualizzato nella schermata Gestione server esterni.

NotaLa query potrebbe richiedere molto tempo, soprattutto se l'ambito della query èampio. Non eseguire un'altra query fino a quando il risultato non viene visualizzatonella schermata Gestione server esterni. In caso contrario la sessione di query attualeviene interrotta e l'elaborazione della query inizia di nuovo.

Visualizzazione dei risultati della queryIl risultato della query viene visualizzato nella sezione Stato della sicurezza. Undispositivo non gestito avrà uno degli stati seguenti:

• Gestito da un altro server OfficeScan


14-74

• Nessun agente OfficeScan installato

• Non raggiungibile

• Valutazione di Active Directory non risolta

Procedura

1. Nella sezione Stato protezione, fare clic su un collegamento numerato pervisualizzare tutti i computer interessati.

2. Utilizzare le funzioni di ricerca e ricerca avanzata per eseguire la ricerca evisualizzare solo i computer che corrispondono ai criteri selezionati.

Se si utilizza la funzione di ricerca avanzata, specificare le opzioni riportate diseguito:

• Intervallo di indirizzi IPv4

• Prefisso IPv6 e lunghezza (il prefisso deve essere compreso tra 112 e 128)

• Nome Dispositivo

• Nome server OfficeScan

• Struttura Active Directory

• Stato della sicurezza

OfficeScan non restituisce un risultato se il nome è incompleto. Se non si è sicuridel nome completo, utilizzare un carattere jolly (*).

3. Per salvare l'elenco dei computer in un file, fare clic su Esporta.

4. Per gli agenti OfficeScan gestiti da un altro server OfficeScan, utilizzare lostrumento Agent Mover per fare in modo che gli agenti OfficeScan siano gestiti dalserver OfficeScan attuale. Per ulteriori informazioni su questo strumento, vedereAgent Mover a pagina 14-23.


14-75

Configurazione della valutazione di query pianificateConfigurare il server OfficeScan in modo da eseguire periodicamente query su ActiveDirectory e sugli indirizzi IP e garantire in tal modo che le linee guida di sicurezza sianoimplementate.

Procedura


2. Fare clic su Impostazioni nella parte superiore della struttura agente.

3. Attivare la query pianificata.

4. Specificare la pianificazione.


Supporto Trend Micro Virtual DesktopIl supporto Trend Micro Virtual Desktop consente di ottimizzare la protezione deldesktop virtuale. Questa funzione consente di controllare le operazioni sugli agentiOfficeScan che risiedono sullo stesso server virtuale.

L'esecuzione di vari desktop sullo stesso server e di scansioni su richiesta o diaggiornamenti di componenti utilizza una quantità notevole di risorse di sistema. Questafunzione è utile per impedire agli agenti di eseguire scansioni e aggiornare i componenticontemporaneamente.

Se, ad esempio, un server VMware vCenter dispone di tre desktop virtuali che eseguonoagenti OfficeScan, OfficeScan può avviare Esegui scansione e implementare gliaggiornamenti sui tre agenti contemporaneamente. Il supporto Virtual Desktop è ingrado di rilevare che gli agenti sono sullo stesso server fisico. Il supporto VirtualDesktop consente di eseguire un'operazione sul primo agente e di attendere che siaterminata prima di eseguire la stessa operazione sugli altri due agenti.

Il supporto Virtual Desktop può essere utilizzato sulle seguenti piattaforme:

• VMware vCenter™ (VMware View™)


14-76

• Citrix™ XenServer™ (Citrix XenDesktop™)

• Microsoft Hyper-V™ Server

Per gli amministratori che usano altre applicazioni di virtualizzazione, il serverOfficeScan può anche fungere da hypervisor emulato per gestire gli agenti virtuali.

Per ulteriori informazioni su queste piattaforme, fare riferimento ai siti Web di VMwareView, Citrix XenDesktop o Microsoft Hyper-V.

Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScanper ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base ogolden.

Installazione del supporto Virtual DesktopIl supporto Virtual Desktop è una funzione OfficeScan nativa ma concessa in licenzaseparatamente. Dopo l'installazione del server OfficeScan, questa funzione è disponibilema non è funzionante. L'installazione della funzione prevede il download di un file dalserver ActiveUpdate (o da un'origine di aggiornamento personalizzata, se configurata).Una volta incorporato il file nel server OfficeScan, è possibile attivare il supporto VirtualDesktop per attivare la funzionalità completa. L'installazione e l'attivazione vengonoeseguite da Plug-in Manager.

NotaIl supporto Virtual Desktop non è supportato completamente negli ambienti IPv6 puri. Peri dettagli, consultare Limitazioni del server IPv6 puro a pagina A-3.

Installazione del supporto Virtual Desktop

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend MicroVirtual Desktop e fare clic su Download.

La dimensione del pacchetto viene visualizzata accanto al pulsante Download.

http://www.vmware.com/products/view/overview.html

http://www.vmware.com/products/view/overview.html

http://www.citrix.com/virtualization/desktop/xendesktop.html

http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx


14-77

Plug-in Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

Nota

Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamentedopo 24 ore. Per effettuare manualmente il download del pacchetto di Plug-inManager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft ManagementConsole.

3. Monitorare l'avanzamento del download. Nel corso del download è possibileeffettuare altre operazioni.

Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto,controllare i registri di aggiornamento server sulla console del prodotto OfficeScan.Nella barra laterale, fare clic su Registri > Aggiornamento del server.

Dopo che Plug-in Manager ha scaricato il file, il supporto Virtual Desktop vienevisualizzato in una nuova schermata.

Nota

Se il supporto Virtual Desktop non viene visualizzato, vedere le cause e le soluzioni inRisoluzione dei problemi di Plug-in Manager a pagina 15-12.

4. Per installare il supporto Virtual Desktop immediatamente, fare clic su Installaora. Per eseguire l'installazione in un secondo momento:

a. Fare clic su Installa in un secondo momento.

b. Aprire la schermata Plug-in Manager.

c. Andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic suInstalla.

5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.

L'installazione viene avviata.

6. Monitorare lo stato di avanzamento dell'installazione. Al termine dell'installazione,viene visualizzata la versione del supporto Virtual Desktop.


14-78

Licenza del supporto Virtual DesktopVisualizzare, attivare e rinnovare la licenza del supporto Virtual Desktop da Plug-inManager.

Richiedere il codice di attivazione a Trend Micro e utilizzarlo per attivare la funzionalitàcompleta del supporto Virtual Desktop.

Attivazione o rinnovo del supporto Virtual Desktop

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend MicroVirtual Desktop e fare clic su Gestione programma.

3. Fare clic su Visualizza Informazioni sulla licenza.

4. Nella schermata Dettagli della licenza del prodotto, fare clic su Nuovo codicedi attivazione.

5. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic suSalva.

6. Quando riappare la schermata Dettagli della licenza del prodotto, fare clic suAggiorna informazioni per aggiornare la schermata con i nuovi dettagli dellalicenza e il nuovo stato della funzione. Questa schermata contiene anche uncollegamento al sito Web di Trend Micro dove è possibile visualizzare informazionidettagliate sulla propria licenza.

Visualizzazione delle informazioni sulla licenza del supportoVirtual Desktop

Procedura

1. Aprire la console Web OfficeScan e fare clic su Plug-in > Gestione programma[Trend Micro Virtual Desktop Support] nel menu principale.


14-79

2. Fare clic su Visualizza Informazioni sulla licenza.

3. Visualizzare le informazioni sulla licenza nella schermata.

La sezione Dettagli licenza per supporto Virtual Desktop contiene le seguentiinformazioni:

• Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

• Versione: Indica se la versione è "Completa" o se si tratta di una "Versione diprova". Se si dispone sia della versione completa sia della versione di prova, laversione indicata sarà "Completa".

• Data di scadenza: se il supporto Virtual Desktop prevede più licenze, verràvisualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono31/12/2010 e 30/06/2010, verrà visualizzata la data 31/12/2010.

• Postazioni: visualizza il numero degli agenti OfficeScan che possonoutilizzare il supporto Virtual Desktop

• Codice di attivazione: visualizza il codice di attivazione

Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:

Se si dispone di una licenza per la versione completa:

• Durante il periodo di proroga del prodotto. La durata del periodo di prorogavaria a seconda dell'area geografica. Verificare il periodo di proroga con ilrappresentante Trend Micro.

• Alla scadenza della licenza e al termine del periodo di proroga. In questoperiodo non sarà possibile ottenere l'assistenza tecnica.

Se si dispone di una licenza per la versione di prova

• Alla scadenza della licenza. In questo periodo non sarà possibile ottenerel'assistenza tecnica.

4. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza sul sito Web di Trend Micro.


14-80


Connessioni al server virtualePer ottimizzare la scansione su richiesta o gli aggiornamenti dei componenti, aggiungereVMware vCenter 4 (VMware View 4), Citrix XenServer 5.5 (Citrix XenDesktop 4) oMicrosoft Hyper-V Server. I server OfficeScan comunicano con i server virtualispecificati per determinare gli agenti OfficeScan che sono sullo stesso server fisico.

Per i server VDI, il server OfficeScan fornisce un'emulazione di hypervisor virtuale pergestire gli agenti virtuali su altre piattaforme. L'hypervisor di OfficeScan elabora lerichieste dell'agente virtuale nell'ordine in cui il server riceve le richieste. Il serverOfficeScan elabora una richiesta alla volta e mette tutte le richieste in una coda.

Aggiunta delle connessioni server

Procedura


2. Selezionare VMware vCenter Server, Citrix XenServer, Microsoft Hyper-V oAltre applicazioni di virtualizzazione.

NotaQuando si seleziona Altre applicazioni di virtualizzazione, non sono necessariealtre informazioni. Il server OfficeScan risponde alle richieste dell'agente virtualenell'ordine in cui il server riceve le richieste.

3. Attivare la connessione al server.

4. Inserire le seguenti informazioni:

• Per i server VMware vCenter e Citrix XenServer:

• Indirizzo IP


14-81

• Porta

• Protocollo di connessione (HTTP or HTTPS)

• Nome utente

• Password

• Per i server Microsoft Hyper-V:

• Nome host o indirizzo IP

• Dominio\nome utente

Nota

L'account di accesso deve essere un account di dominio del gruppoAmministratori.

• Password

5. Facoltativamente, attivare la connessione del proxy per VMware vCenter o CitrixXenServer.

a. Specificare il nome o l'indirizzo IP e la porta del server proxy.

b. Se il server proxy richiede l'autenticazione, specificare il nome utente e lapassword.

6. Fare clic su Test di connessione per verificare che il server OfficeScan sia ingrado di connettersi al server.

Nota

Per informazioni sulla risoluzione dei problemi per la connessioni Microsoft Hyper-V, consultare Risoluzione dei problemi delle connessioni di Microsoft Hyper-V a pagina 14-84.



14-82

Aggiunta di connessioni server aggiuntive

Procedura


2. Fare clic su Aggiungi nuova connessione vCenter, Aggiungi nuovaconnessione XenServer o Aggiungi nuova connessione Hyper-V.

3. Ripetere la procedura per fornire le informazioni del server corrette.


Eliminazione dell'impostazione della connessione

Procedura

1. Aprire la console Web OfficeScan e accedere a Plug-in > Gestione programma[Trend Micro Virtual Desktop Support] nel menu principale.

2. Fare clic su Elimina connessione.

3. Fare clic su Ok per confermare l'eliminazione dell'impostazione.


Modifica della capacità di scansione VDI

Gli amministratori possono aumentare il numero di dispositivo VDI che eseguono unascansione simultanea modificando il file vdi.ini. Trend Micro consiglia di monitorarerigorosamente l'effetto della modifica della capacità VDI per assicurare che le risorse delsistema siano in grado di gestire qualsiasi aumento delle scansioni.


14-83

Procedura

1. Sul computer del server OfficeScan, accedere a <Cartella di installazione delserver>PCCSRV\Private\vdi.ini.

2. Cercare le impostazioni [TaskController].

Le impostazioni TaskController predefinite sono riportate di seguito:

• Per i client OfficeScan 10.5:

[TaskController]

Controller_00_MaxConcurrentGuests=1


Dove:

• Controller_00_MaxConcurrentGuests=1 è pari al numeromassimo di client che possono effettuare scansioni simultanee.

• Controller_01_MaxConcurrentGuests=3 è pari al numeromassimo di client che possono effettuare aggiornamenti simultanei.

• Per i client OfficeScan 10.6 e gli agenti OfficeScan 11.0:

[TaskController]



Dove:

• Controller_02_MaxConcurrentGuests=1 è pari al numeromassimo di client che possono effettuare scansioni simultanee.

• Controller_03_MaxConcurrentGuests=3 è pari al numeromassimo di client che possono effettuare aggiornamenti simultanei.

3. Aumentare o diminuire il conteggio in ciascun controller in base alle esigenze.

Il valore minimo per tutte le impostazioni è 1.


14-84

Il valore massimo per tutte le impostazioni è 65536.

4. Salvare e chiudere il file vdi.ini.


6. Monitorare le risorse di CPU, memoria e utilizzo del disco degli dispositivo VDI.Modificare le impostazioni del controller per aumentare o diminuire ulteriormenteil numero di scansioni simultanee per adattarle al meglio all'ambiente VDI,ripetendo i passaggi dall'1 al 5.

Risoluzione dei problemi delle connessioni di MicrosoftHyper-V

La connessione Microsoft Hyper-V usa Strumentazione gestione Windows (WMI) eDCOM per le comunicazioni agente-server. I criteri del firewall possono bloccare questecomunicazioni, impedendo la connessione al server Hyper-V.

La porta di ascolto predefinita del server Hyper-V è la porta 135 e, per altrecomunicazioni, viene scelta una porta configurata casualmente. Se il firewall blocca iltraffico WMI o una di queste due porte, la comunicazione con il server non riesce. Gliamministratori possono modificare i criteri del firewall per consentire la comunicazionecon il server Hyper-V.

Verificare che tutte le impostazioni per la connessione, inclusi indirizzo IP, dominio\nome utente e password siano corrette prima di effettuare le modifiche seguenti nelfirewall.

Comunicazione di WMI tramite il Windows Firewall

Procedura

1. Sul server Hyper-V, aprire la schermata Programmi consentiti di WindowsFirewall .

Sui sistemi Windows 2008 R2, andare a Panello di controllo > Sistema esicurezza > Windows Firewall > Consenti programma con WindowsFirewall.


14-85

2. Selezionare Strumenti di gestione Windows (WMI).

FIGURA 14-7. Schermata Consenti ai programmi di comunicare con WindowsFirewall


4. Verificare di nuovo la connessione di Hyper-V.

Apertura della comunicazione delle porte tramite WindowsFirewall o un firewall di terze parti

Procedura

1. Sul server the Hyper-V, assicurarsi che il firewall consenta la comunicazionetramite la porta 135 e provare di nuovo la connessione di Hyper-V.


14-86

Per informazioni sull'apertura delle porte, consultare la documentazione delfirewall.

2. Se non è possibile stabilire la connessione al server Hyper-V, configurare WMI perusare una porta fissa.

Per informazioni sull'Impostazione di una porta fissa per WMI, consultare:

http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447(v=vs.85).aspx

3. Apre le porte 135 e la nuova porta (24158) per le comunicazioni attraverso ilfirewall.

4. Verificare di nuovo la connessione di Hyper-V.

Strumento di generazione del modello di prescansioneVDI

Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScanper ottimizzare le scansioni su richiesta o rimuovere i GUID dalle immagini di base ogolden. Questo strumento esegue la scansione dell'immagine di base o golden e lacertifica. Durante la scansione dei duplicati di questa immagine, OfficeScan controllasolo le parti che sono cambiate. In tal modo il tempo di scansione viene ridotto.

Suggerimento

Trend Micro consiglia di generare il modello di prescansione dopo aver applicato unaggiornamento di Windows o dopo aver installato una nuova applicazione.

Creazione di un modello di prescansione

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TCacheGen.




14-87

2. Scegliere una versione dello Strumento di generazione del modello di prescansioneVDI. Sono disponibili le versioni riportate di seguito:

TABELLA 14-10. Versioni dello Strumento di generazione del modello diprescansione VDI

NOME FILE ISTRUZIONI

TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 32 bit.

TCacheGen_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 64 bit.

TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 32 bit.

TCacheGenCli_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 64 bit.

3. Copiare nell'dispositivo la versione scelta per lo strumento nel passaggioprecedente.

4. Eseguire lo strumento.

• Per eseguire lo strumento direttamente:

a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe.

b. Selezionare Genera modello di prescansione e fare clic su Avanti.

• Per eseguire lo strumento dell'interfaccia della riga di comando:

a. Aprire il prompt dei comandi e accedere alla directory <Cartella diinstallazione dell'agente>.

b. Digitare i seguenti comandi:

TCacheGenCli Generate_Template

O

TcacheGenCli_x64 Generate_Template


14-88

Nota

Lo strumento esegue la scansione dell'immagine per rilevare minacce alla sicurezza prima digenerare il modello di prescansione e rimuovere il GUID.

Dopo aver generato il modello di prescansione, lo strumento rimuove l'agente OfficeScan.Non ricaricare l'agente OfficeScan. Se l'agente OfficeScan viene ricaricato, sarà necessariocreare di nuovo un modello di prescansione.

Rimozione di GUID dai modelli

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TCacheGen.

2. Scegliere una versione dello Strumento di generazione del modello di prescansioneVDI. Sono disponibili le versioni riportate di seguito:

TABELLA 14-11. Versioni dello Strumento di generazione del modello diprescansione VDI

NOME FILE ISTRUZIONI

TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 32 bit.

TCacheGen_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 64 bit.

TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 32 bit.

TCacheGenCli_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 64 bit.

3. Copiare nell'dispositivo la versione scelta per lo strumento nel passaggioprecedente.

4. Eseguire lo strumento.

• Per eseguire lo strumento direttamente:


14-89

a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe.

b. Selezionare Rimuovi modello da GUID e fare clic su Avanti.

• Per eseguire lo strumento dell'interfaccia della riga di comando:

a. Aprire il prompt dei comandi e accedere alla directory <Cartella diinstallazione dell'agente>.

b. Digitare i seguenti comandi:

TCacheGenCli Remove GUID

O

TcacheGenCli_x64 Remove GUID

Impostazioni globali agenteOfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti condeterminati privilegi.

Procedura



TABELLA 14-12. Impostazioni globali agente

IMPOSTAZIONE RIFERIMENTO

Impostazioni di scansione Impostazioni globali di scansione a pagina 7-70

Impostazioni scansionepianificata

Impostazioni globali di scansione a pagina 7-70

Impostazioni di banda delregistro virus/minacceinformatiche

Impostazioni globali di scansione a pagina 7-70


14-90


Impostazioni del firewall Impostazioni firewall globali a pagina 12-25

Impostazione delmonitoraggio delcomportamento

Monitoraggio del comportamento a pagina 8-2

Impostazioni serviziocertificato Safe Software

Attivazione del servizio certificato Safe Softwareper il monitoraggio del comportamento, il firewall ele scansioni antivirus a pagina 7-81

Impostazioni connessionesospetta

Configurazione impostazioni degli elenchi diindirizzii IP globali definiti dall'utente a pagina 11-13

Aggiornamenti Server ActiveUpdate come origine aggiornamentidell'agente OfficeScan a pagina 6-40

Spazio su disco riservato Configurazione dello spazio su disco riservato pergli aggiornamenti degli agenti OfficeScan a pagina6-52

Rete non raggiungibile Agenti non raggiungibili a pagina 14-45

Impostazioni avvisi Configurazione delle notifiche di aggiornamentodell'agente OfficeScan a pagina 6-54

Riavvia Servizio OfficeScan Riavvio dei servizi dell'agente OfficeScan a pagina14-12

Configurazione proxy Impostazioni proxy automatiche per l'agenteOfficeScan a pagina 14-53

Indirizzo IP preferito Indirizzi IP dell'agente a pagina 5-10


Configurazione dei privilegi dell'agente e altreimpostazioni

Concedere agli utenti i privilegi necessari per modificare determinate impostazioni edeffettuare operazioni di livello elevato sulla console dell'agente OfficeScan.


14-91

Nota

Le impostazioni antivirus vengono visualizzate solo dopo l'attivazione della funzioneantivirus OfficeScan.

Suggerimento

Per implementare impostazioni e criteri uniformi nell'organizzazione, concedere privilegilimitati agli utenti.

Procedura




4. Nella scheda Privilegi, configurare i seguenti privilegi per gli utenti:

TABELLA 14-13. Privilegi agente

PRIVILEGI AGENTE RIFERIMENTO

Privilegio di roaming Privilegio di roaming dell'agente OfficeScan apagina 14-20

Privilegi scansione Privilegi tipo di scansione a pagina 7-55

Privilegi scansione pianificata Privilegi scansione pianificata e altreimpostazioni a pagina 7-58

Privilegi firewall Privilegi firewall a pagina 12-23

Privilegi di monitoraggio delcomportamento

Privilegi di monitoraggio del comportamento apagina 8-10

Privilegi scansione e-mail Privilegi scansione e-mail e altre impostazionia pagina 7-64

Privilegi impostazioni proxy Privilegi di configurazione del proxy per gliagenti a pagina 14-52


14-92

PRIVILEGI AGENTE RIFERIMENTO

Privilegi aggiornamentocomponenti

Configurazione dei privilegi di aggiornamentoe altre impostazioni a pagina 6-49

Rimozione e sblocco Concessione del privilegio di rimozione esblocco dell'agente a pagina 14-19

Disinstallazione Assegnazione dei privilegi di disinstallazionedell'agente OfficeScan a pagina 5-74

5. Fare clic sulla scheda Altre impostazioni e configurare le impostazioni riportate diseguito:

TABELLA 14-14. Altre impostazioni agente


Aggiorna impostazioni Configurazione dei privilegi di aggiornamentoe altre impostazioni a pagina 6-49

Impostazioni di reputazione Web Notifiche di minacce Web per utenti agente apagina 11-16

Impostazione del monitoraggio delcomportamento

Privilegi di monitoraggio del comportamento apagina 8-10

Impostazioni avvisi contatti C&C Notifiche di avvisi contatti C&C per gli utentidegli agenti a pagina 11-21

Impostazioni avvisi di ripristino filesin quarantena

Visualizza un messaggio di notificanell'dispositivo dopo il ripristino di un file diquarantena

Protezione automatica dell'agenteOfficeScan

Protezione automatica dell'agente OfficeScana pagina 14-13

Impostazioni scansione pianificata Concessione privilegi scansione pianificata evisualizzazione notifica dei privilegi a pagina7-59

Impostazioni cache per lescansioni

Impostazioni cache per le scansioni a pagina7-66


14-93


Impostazioni di sicurezza agenteOfficeScan

Sicurezza agente OfficeScan a pagina 14-17

Impostazioni POP3 Mail Scan Concessione dei privilegi scansione e-mail eattivazione di POP3 Mail Scan a pagina 7-65

Restrizione di accesso agenteOfficeScan

Restrizione di accesso console agenteOfficeScan a pagina 14-18

Riavvia notifica Notifiche dei rischi per la sicurezza per gliutenti dell'agente OfficeScan a pagina 7-87




Parte IVProtezione aggiuntiva

15-1

Capitolo 15

Uso di Plug-in ManagerQuesto capitolo descrive come impostare Plug-in Manager e offre una panoramica dellesoluzioni plug-in disponibili con Plug-in Manager.


• Informazioni su Plug-in Manager a pagina 15-2

• Installazione di Plug-in Manager a pagina 15-3

• Gestione delle funzioni native di OfficeScan a pagina 15-4

• Gestione dei programmi plug-in a pagina 15-4

• Disinstallazione di Plug-in Manager a pagina 15-12

• Risoluzione dei problemi di Plug-in Manager a pagina 15-12


15-2

Informazioni su Plug-in ManagerOfficeScan include una struttura denominata Plug-in Manager che integra nuovesoluzioni nell'ambiente OfficeScan esistente. Per semplificare la gestione di questesoluzioni, Plug-in Manager fornisce dati immediati per le soluzioni sotto forma diwidget.

NotaAttualmente, nessuna delle soluzioni plug-in supporta Pv6. Il server è in grado di scaricaretali soluzioni, ma non di implementarle sugli agenti OfficeScan IPv6 puri o sugli host IPv6puri.

Plug-in Manager fornisce due tipi di soluzioni:

• Funzioni dei prodotti native

Alcune funzioni OfficeScan native vengono fornite con licenze separate e attivatetramite Plug-in Manager. In questa versione, due funzioni rientrano in talecategoria: Supporto Trend Micro Virtual Desktop e Protezione datiOfficeScan.

• Programmi plug-in

I programmi plug-in non fanno parte del programma OfficeScan. I programmiplug-in hanno licenze e console di gestione separate. Accedere alle console digestione dalla console Web OfficeScan. Esempi di programmi plug-in sono:Firewall di difesa dalle intrusioni, Trend Micro Security (per Mac) e TrendMicro Mobile Security.

Il presente documento fornisce una panoramica generale sull'installazione e la gestionedei programmi plug-in e illustra i dati dei programmi plug-in disponibili nei widget. Perinformazioni dettagliate sulla configurazione e la gestione di un programma plug-inspecifico, consultare la relativa documentazione.

Uso di Plug-in Manager

15-3

Agenti dei programmi plug-in su dispositivoAlcuni programmi plug-in (come Intrusion Defense Firewall) dispongono di agenti chevengono installati sui sistemi operativi Windows. Il Plug-in Manager dell'agenteOfficeScan in esecuzione con il nome di processo CNTAoSMgr.exe gestisce tali agenti.

OfficeScan installa CNTAoSMgr.exe con l'agente OfficeScan. L'unico requisito disistema aggiuntivo per CNTAoSMgr.exe è Microsoft XML Parser (MSXML) 3.0 oversione successiva.

NotaGli atri programmi plug-in hanno agenti che non si installano nei sistemi operativiWindows e non sono gestiti dal Plug-in Manager dell'agente OfficeScan. L'agente TrendMicro Security (per Mac) e Mobile Device Agent per Trend Micro Mobile Security sonoesempi di questi agenti.

WidgetUsare i widget per visualizzare dati immediati per le soluzioni plug-in implementate.Questi widget sono disponibili sulla dashboard Riepilogo del server OfficeScan. Unospeciale widget, denominato OfficeScan e Plug-ins Mashup, combina i dati degliagenti OfficeScan e delle soluzioni plug-in e li visualizza in una struttura agente.

In questa Guida per l'amministratore viene fornita una panoramica sui widget e sullesoluzioni che li supportano.

Installazione di Plug-in ManagerNelle versioni precedenti di Plug-in Manager, era possibile scaricare il pacchetto diinstallazione di Plug-in Manager dal server ActiveUpdate di Trend Micro e installarlosullo stesso dispositivo del server OfficeScan. In questa versione, il pacchetto è inclusonel pacchetto di installazione del server OfficeScan.

Una volta completata l'installazione di OfficeScan, i nuovi utenti di OfficeScan avrannoinstallati il server OfficeScan e Plug-in Manager. Gli utenti che eseguonol'aggiornamento a questa versione di OfficeScan e hanno installato Plug-in Manager in


15-4

precedenza devono interrompere il servizio Plug-in Manager prima di eseguire ilpacchetto di installazione.

Operazioni post-installazioneDopo avere installato Plug-in Manager, eseguire i passaggi descritti di seguito:

Procedura


2. Gestire le soluzioni plug-in.

3. Accedere alla dashboard di Riepilogo sulla console Web OfficeScan per gestire iwidget per le soluzioni plug-in.

Gestione delle funzioni native di OfficeScanLe funzioni OfficeScan native vengono installate con OfficeScan e attivate dagliamministratori dal Plug-in Manager. La gestione di alcune funzioni, come il SupportoTrend Micro Virtual Desktop, sono gestite dal Plug-in Manager, mentre altre, comeProtezione dati OfficeScan, sono gestite dalla console Web OfficeScan.

Gestione dei programmi plug-inInstallare e attivare programmi plug-in in modo indipendente da OfficeScan. Ogni plug-in fornisce la propria console per la gestione del prodotto. Le console di gestione sonoaccessibili dalla console Web OfficeScan.

Installazione di un programma plug-inI programmi plug-in vengono visualizzati nella console di Plug-in Manager. Utilizzarela console per scaricare, installare e gestire i programmi. Plug-In Manager scarica il


15-5

pacchetto di installazione per il programma plug-in dal server ActiveUpdate di TrendMicro o da un'origine aggiornamenti personalizzata, se ne è stata impostata una in modocorretto. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria unaconnessione Internet.

Quando Plug-in Manager scarica il pacchetto di installazione o avvia l'installazione,disattiva temporaneamente le altre funzioni del programma plug-in, quali download,installazioni e aggiornamenti.

Plug-in Manager non supporta l'installazione o la gestione di un programma plug-intramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager.

Installazione dei programmi plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Download.

La dimensione del pacchetto del programma plug-in viene visualizzata a lato delpulsante Download. Plug-in Manager archivia il pacchetto scaricato in<Cartella di installazione del server>\PCCSRV\Download\Product.

Nel corso del download è possibile monitorare l'avanzamento o effettuare altreoperazioni.

Nota

Se OfficeScan riscontra problemi nel download o nell'installazione del pacchetto,controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nellabarra laterale, fare clic su Registri > Aggiornamento del server.

3. Fare clic su Installa ora o Installa in un secondo momento.

• Dopo aver fatto clic su Installa ora, l'installazione ha inizio e vienevisualizzata una schermata di avanzamento.


15-6

• Dopo aver fatto clic su Installa in un secondo momento, viene visualizzatala schermata Plug-in Manager.

Installare il programma plug-in facendo clic sul pulsante Installa presentenella relativa sezione della schermata Plug-in Manager.

Viene visualizzata la schermata Contratto di licenza per l'utente finale TrendMicro.

NotaNon tutti questi programmi plug-in visualizzano tale schermata. Se la schermata nonviene visualizzata, l'installazione del programma plug-in viene avviata.

4. Fare clic su Accetto per installare il programma plug-in.

Nel corso dell'installazione è possibile monitorare l'avanzamento o effettuare altreoperazioni.

NotaSe OfficeScan riscontra problemi nel download o nell'installazione del pacchetto,controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nellabarra laterale, fare clic su Registri > Aggiornamento del server.

Al termine dell'installazione, sulla schermata Plug-in Manager viene visualizzata laversione corrente del programma plug-in.

Attivazione della licenza del programma plug-in

Procedura



Viene visualizzata la schermata Nuovo codice di attivazione della licenza delprodotto.


15-7

3. Digitare o copiare e incollare il codice di attivazione nei campi del testo.


Viene visualizzata la console plug-in.

Informazioni sulla visualizzazione e il rinnovo della licenza

Procedura



3. Accedere alla console plug-in e selezionare il collegamento ipertestuale Visualizzainformazioni sulla licenza.

Non tutti i programmi plug-in visualizzano il collegamento ipertestuale Visualizzainformazioni sulla licenza nello stesso percorso. Per ulteriori informazioni, fareriferimento alla documentazione utente sui programmi plug-in.

4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.

OPZIONE DESCRIZIONE

Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

Versione Indica se la versione è "Completa" o se si tratta di una "Versionedi prova"

NotaL'attivazione viene visualizzata come "Completa" sia per laversione completa e sia per la versione di prova.

Postazioni Indica quanti dispositivo il programma plug-in è in grado digestire

La licenzascade il

Se il programma plug-in prevede diverse licenze, verràvisualizzata l'ultima data di scadenza.


15-8

OPZIONE DESCRIZIONE

Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11,verrà visualizzata la data 31.12.11.

Codice diattivazione

visualizza il Codice di attivazione

Promemoria A seconda della versione della licenza corrente, il plug-invisualizza i promemoria sulla data di scadenza della licenzadurante il periodo di proroga (solo nelle versioni complete)oppure quando scade la licenza.

Nota

La durata del periodo di proroga varia a seconda dell'area geografica. Verificare ilperiodo di proroga di in programma plug-in con un rappresentante Trend Micro.

Quando la licenza di un programma plug-in scade, questo continua a funzionare magli aggiornamenti e l'assistenza non sono più disponibili.

5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza corrente sul sito Web di Trend Micro.


7. Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codicedi attivazione della licenza del prodotto.

Per i dettagli, consultare Attivazione della licenza del programma plug-in a pagina 3-4.

Gestione di un programma plug-inConfigurare le impostazioni ed eseguire le operazioni relative al programma dallaconsole di gestione del programma plug-in, accessibile dalla console Web OfficeScan. Leoperazioni comprendono l'attivazione del programma e potenzialmentel'implementazione degli agenti del programma plug-in sugli dispositivo. Per informazionidettagliate sulla configurazione e la gestione di un programma plug-in specifico,consultare la relativa documentazione.


15-9

Gestione dei programmi plug-in

Procedura



FIGURA 15-1. Pulsante Gestione programma

Quando viene gestito per la prima volta, il programma plug-in potrebbe richiederel'attivazione. Per i dettagli, consultare Attivazione della licenza del programma plug-in apagina 3-4.

Aggiornamenti delle versioni di un programma plug-in

Una nuova versione di un programma plug-in installato viene visualizzato nella consoledi Plug-in Manager. Scaricare il pacchetto ed effettuare l'aggiornamento del programmaplug-in nella console. Plug-in Manager scarica il pacchetto dal server ActiveUpdate diTrend Micro o da una origine aggiornamenti personalizzata, se ne è stata impostata unain modo adeguato. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria unaconnessione Internet.

Quando Plug-in Manager scarica il pacchetto di installazione o avvia un aggiornamento,disattiva temporaneamente le altre funzioni del programma plug-in, quali download,installazioni e aggiornamenti.

Plug-in Manager non supporta l'aggiornamento della versione di un programma plug-intramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager.


15-10

Aggiornamento dei programmi plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Download.

La dimensione del pacchetto di aggiornamento viene visualizzata a lato del pulsanteDownload.

Nel corso del download è possibile monitorare l'avanzamento o effettuare altreoperazioni.

Nota

Se OfficeScan riscontra problemi nel download o nell'installazione del pacchetto,controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nellabarra laterale, fare clic su Registri > Aggiornamento del server.

3. Una volta completato il download del pacchetto, viene visualizzata una nuovaschermata:

4. Fare clic su Aggiorna ora o Aggiorna in un secondo momento.

• Dopo aver fatto clic su Aggiorna subito, l'aggiornamento ha inizio e vienevisualizzata la relativa schermata di avanzamento.

• Dopo aver fatto clic su Aggiorna in un secondo momento, vienevisualizzata la schermata Plug-in Manager.

Aggiornare il programma plug-in facendo clic sul pulsante Aggiorna presentenella sezione del programma plug-in della schermata Plug-in Manager.

Al termine dell'aggiornamento, potrebbe essere necessario riavviare il servizio Plug-inManager; la schermata Plug-in Manager potrebbe, pertanto, essere momentaneamentenon disponibile. Quando la schermata torna a essere disponibile, viene visualizzata laversione corrente del programma plug-in.


15-11

Disinstallazione di un programma plug-in

Disinstallare un programma plug-in nei modi seguenti:

• Disinstallare un programma plug-in dalla console di Plug-in Manager.

• Disinstallare il server OfficeScan, che determina la disinstallazione automatica diPlug-in Manager e di tutti i programmi plug-in installati. Per istruzioni sulladisinstallazione del server OfficeScan, consultare la Guida all'installazione eall'aggiornamento di OfficeScan.

Per i programmi plug-in con agenti sull'dispositivo:

• Per verificare se la disinstallazione di un programma plug-in determina ladisinstallazione dell'agente plug-in, consultare la documentazione del programmaplug-in.

• Per gli agenti plug-in installati sullo stesso dispositivo dell'agente OfficeScan, ladisinstallazione dell'agente OfficeScan disinstalla gli agenti plug-in e Plug-inManager per dell'agente OfficeScan (CNTAoSMgr.exe).

Disinstallazione dei progarmmi plug-in dalla console Plug-InManager

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Disinstalla.

3. Nel corso della disinstallazione è possibile monitorare l'avanzamento o effettuarealtre operazioni.

4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager.

Il programma plug-in è di nuovo disponibile per l'installazione.


15-12

Disinstallazione di Plug-in ManagerDisinstallare il server OfficeScan per disinstallare automaticamente Plug-in Manager chetutti i programmi plug-in installati. Per istruzioni sulla disinstallazione del serverOfficeScan, consultare la Guida all'installazione e all'aggiornamento di OfficeScan.

Risoluzione dei problemi di Plug-in ManagerControllare i registri di debug del server OfficeScan e dell'agente OfficeScan per leinformazioni di debug su Plug-In Manager e sui programmi plug-in.

Il programma plug-in non viene visualizzato nella consoledi Plug-in Manager

Qualsiasi programma plug-in disponibile per il download e l'installazione potrebbe nonessere visualizzato sulla console di Plug-in Manager per i seguenti motivi:

Procedura

1. Plug-in Manager sta ancora eseguendo il download del programma plug-in, chepotrebbe richiedere un po' di tempo se il pacchetto del programma è di dimensionielevate. Controllare la schermata ogni tanto per verificare se il programma vienevisualizzato.

Nota

Se Plug-in Manager non è in grado di scaricare un programma plug-in, tenteràautomaticamente di scaricarlo di nuovo dopo 24 ore. Per avviare manualmente ildownload del programma plug-in da Plug-in Manager, riavviare il servizio OfficeScanPlug-in Manager.

2. Il server non riesce a collegarsi a Internet. Se il server si collega a Internet tramiteun server proxy, assicurarsi che la connessione Internet possa essere stabilitautilizzando le impostazioni proxy.


15-13

3. L'origine degli aggiornamenti di OfficeScan non è il server ActiveUpdate. Nellaconsole Web OfficeScan, accedere a Aggiornamenti > Server > Origineaggiornamenti e verificare l'origine aggiornamenti. Se l'origine degli aggiornamentinon è il server ActiveUpdate, sono disponibili le opzioni seguenti:

• Selezionare il server ActiveUpdate come origine degli aggiornamenti.

• Se si seleziona Altra fonte di aggiornamenti, selezionare la prima vocenell'elenco Altra fonte di aggiornamenti come origine aggiornamenti everificare che la connessione al server ActiveUpdate avvenga correttamente.Plug-in Manager supporta solo la prima voce dell'elenco.

• Se si seleziona Percorso Intranet contenente una copia del file corrente,controllare che l'dispositivo nella rete Intranet possa connettersi anche alserver ActiveUpdate.

Problemi riguardanti la visualizzazione e l'installazione diPlug-in Agent sugli dispositivo

È possibile che l'installazione dell'agente del programma plug-in sull'dispositivo può nonriuscire oppure che l'agente non sia visualizzato sulla console dell'agente OfficeScan per iseguenti motivi:

Procedura

1. Plug-in Manager (CNTAosMgr.exe) sull'dispositivo non viene eseguito.Nell'dispositivo agente OfficeScan, aprire Gestione attività di Windows ed eseguireil processo CNTAosMgr.exe.

2. Il pacchetto di installazione dell'agente plug-in non è stato scaricato nella cartelladell'dispositivo agente OfficeScan in <Cartella di installazionedell'agente>\AU_Data\AU_Temp\{xxx}AU_Down\Product. Controllare ilfile Tmudump.txt nel percorso \AU_Data\AU_Log\ verificare eventuali errori didownload.


15-14

Nota

Se un agente è installato correttamente, le relative informazioni sono disponibili in<Cartella di installazione dell'agente>\AOSSvcInfo.xml

3. L'installazione dell'agente non è riuscita o richiede ulteriori azioni. È possibileverificare lo stato dell'installazione dalla console di gestione del programma plug-ined eseguire ulteriori azioni come, ad esempio, riavviare l'dispositivo agenteOfficeScan dopo l'installazione o installare le patch necessarie del sistema operativoprima dell'installazione.

La versione del server Web di Apache non è supportata

Plug-in Manager gestisce alcune richieste Web utilizzando un'interfaccia Internet ServerApplication Programming Interface (ISAPI). ISAPI non è compatibile con le seguentiversioni del server Apache Web: da 2.0.56 a 2.0.59 e da 2.2.3 a 2.2.4.

Se la versione del server Apache Web non è compatibile, è possibile sostituirla con laversione 2.2.25, ovvero la versione utilizzata da OfficeScan e Plug-in Manager. Questaversione è compatibile anche con ISAPI.

Procedura

1. Aggiornare la versione del server OfficeScan alla versione corrente.

2. Effettuare un back-up dei seguenti file della cartella Apache2 nella <Cartella diinstallazione del server>:

• httpd.conf

• httpd.conf.tmbackup

• httpd.default.conf

3. Disinstallare la versione del server Web Apache non compatibile utilizzando laschermata Installazione applicazioni.

4. Installare il server Web Apache 2.2.25.


15-15

a. Avviare apache.msi dalla <Cartella di installazione delserver>\Admin\Utility\Apache.

b. Nella schermata Informazioni server, immettere le informazioni richieste.

c. Nella schermata Cartella di destinazione, cambiare la cartella di destinazionefacendo clic su Modifica e selezionando la Cartella diinstallazione del server>.

d. Completare l'installazione.

5. Copiare nuovamente i file di backup nella cartella Apache2.

6. Riavviare il servizio server Apache Web.

Non è possibile avviare un agente sugli dispositivo se leimpostazioni dello script di configurazione automatica diInternet Explorer reindirizzano a un server proxy.

Plug-in Manager per l'agente OfficeScan (CNTAosMgr.exe) non è in grado di avviaregli agenti sugli dispositivo perché il comando di avvio dell'agente reindirizza a un serverproxy. Questo problema si verifica solamente se le impostazioni proxy reindirizzano iltraffico HTTP dell'utente all'indirizzo 127.0.0.1.

Per risolvere il problema, utilizzare dei criteri relativi al server proxy ben definiti. Adesempio non reindirizzare il traffico HTTP all'indirizzo 127.0.0.1.

Se si ha la necessità di utilizzare la configurazione proxy in modo che controlli lerichieste HTTP 127.0.0.1, effettuare le seguenti azioni:

Procedura

1. Configurare il firewall di OfficeScan nella console Web OfficeScan.

Nota

Eseguire questo passaggio se si abilita il firewall OfficeScan sugli agenti OfficeScan.


15-16

a. Nella console Web, accedere a Agenti > Firewall > Criteri e fare clic suModifica modello di eccezione.

b. Sulla schermata Modifica modello di eccezione fare clic su Aggiungi.

c. Usare le seguenti informazioni:

• Nome: inserire un nome

• Operazione: Consenti il traffico di rete

• Direzione: In entrata

• Protocollo: TCP

• Porta/e: un numero compreso tra 5000 e 49151

d. Indirizzo IP: Selezionare Indirizzo IP singolo e specificare l'indirizzo IP delserver proxy (consigliato) o selezionare Tutti gli indirizzi IP.

e. Fare clic su Salva.

f. Sulla schermata Modifica modello di eccezione fare clic su Salva e Applica aicriteri esistenti.

g. Accedere a Agenti > Firewall > Profili e fare clic su Assegna profilo agliagenti.

Se non è presente alcun profilo firewall, crearne uno facendo clic su Aggiungi.Usare le seguenti impostazioni:

• Nome: inserire un nome

• Descrizione: inserire una descrizione

• Criterio: Tutti i tipi di accesso

Dopo aver salvato il nuovo profilo, fare clic su Assegna profilo agli agenti.

2. Modificare il file ofcscan.ini.

a. Aprire il file ofcscan.ini nella <Cartella di installazione delserver> utilizzando un editor di testo.


15-17

b. Cercare [Global Setting] e aggiungere FWPortNum=21212 nella rigasuccessiva. Sostituire il valore "21212" con il numero di porta specificato nelpassaggio c sopra.

Ad esempio:

[Global Setting]

FWPortNum=5000

c. Salvare il file.

3. Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clicsu Salva.

Si è verificato un errore nel sistema, nel modulo diaggiornamento o nel programma Plug-in Manager e ilmessaggio di errore contiene un determinato codice dierrore

Plug-in Manager può visualizzare uno qualsiasi dei seguenti codici di errore in unmessaggio di errore. Se non è possibile risolvere il problema dopo aver consultato lesoluzioni proposte nella tabella seguente, contattare l'assistenza tecnica.

TABELLA 15-1. Codici di errore di Plug-in Manager

CODICEERRORE

MESSAGGIO, CAUSA E SOLUZIONE

001 Si è verificato un errore nel programma Plug-in Manager.

Il modulo di aggiornamento di Plug-in Manager non risponde quando siverifica l'avanzamento di un aggiornamento. È possibile che il modulo o ilgestore dei comandi non sia stato inizializzato.

Riavviare il servizio OfficeScan Plug-in Manager ed eseguire nuovamentel'operazione.


15-18

CODICEERRORE


002 Si è verificato un errore di sistema.

Il modulo di aggiornamento di Plug-in Manager non è in grado di aprire lachiave di registro SOFTWARE\TrendMicro\OfficeScan\service\AoS inquanto potrebbe essere stata eliminata.

Attenersi alla procedura riportata di seguito:

1. Aprire l'Editor del Registro e accedere a HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a1.0.1000.

2. Riavviare il servizio Plug-in Manager di OfficeScan.

3. Scaricare/disinstallare il programma plug-in.


15-19

CODICEERRORE


028 Si è verificato un errore di aggiornamento.

Cause possibili:

• Il modulo di aggiornamento di Plug-in Manager non è stato in grado discaricare un programma plug-in. Verificare che la connessione di retefunzioni correttamente e riprovare.

• Il modulo di aggiornamento di Plug-in Manager non è in grado diinstallare il programma plug-in perché l'agente patch AU ha restituito unerrore. L’agente patch AU è il programma che lancia l’installazione dinuovi programmi plug-in. Per determinare la causa esatta dell'errore,controllare il registro di debug del modulo ActiveUpdate "TmuDump.txt" in\PCCSRV\Web\Service\AU_Data\AU_Log.


1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a1.0.1000.

2. Eliminare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_ADDON_xxxx relativa alprogramma plug-in.


4. Scaricare e installare un programma plug-in.

170 Si è verificato un errore di sistema.

Il modulo di aggiornamento di Plug-in Manager non è in grado di elaborarel’operazione richiesta perché al momento sta gestendo un’altra operazione.

Eseguire l'operazione in un secondo momento.


Il programma Plug-in Manager non è in grado di gestire un'operazione inesecuzione nella console Web.

Aggiornare la console Web o aggiornare la versione di Plug-in Manager, se èdisponibile un aggiornamento per il programma.


15-20

CODICEERRORE



Il programma Plug-in Manager ha rilevato un errore di comunicazione tra iprocessi (IPC) nel tentativo di comunicare con i servizi backend di Plug-inManager.

Riavviare il servizio OfficeScan Plug-in Manager ed eseguire nuovamentel'operazione.

Altricodici dierrore:

Si è verificato un errore di sistema.

Quando si scarica un nuovo programma plug-in, Plug-in Manager verifical'elenco dei programmi plug-in nel server ActiveUpdate. Plug-in Manager nonè stato in grado di ottenere l'elenco.


1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valoresu 1.0.1000.


3. Scaricare e installare un programma plug-in.

16-1

Capitolo 16

Risorse per la risoluzione deiproblemi

Questo capitolo contiene un elenco di risorse utilizzabili per risolvere eventuali problemiriscontrati sull'agente OfficeScan e sul server OfficeScan.


• Sistema di supporto intelligente a pagina 16-2

• Case Diagnostic Tool a pagina 16-2


• Registri dell'agente OfficeScan a pagina 16-15


16-2

Sistema di supporto intelligenteIl Sistema di supporto intelligente è una pagina nella quale è possibile inviare facilmentefile da analizzare a Trend Micro. Questo sistema determina il GUID del serverOfficeScan e invia tale informazione con il file inviato. Il GUID consente a Trend Microdi inviare feedback riguardo ai file inviati per la valutazione.

Case Diagnostic ToolQuando si verifica un problema, Trend Micro Case Diagnostic Tool (CDT) raccoglie leinformazioni di debugging necessarie dal prodotto del cliente. Attiva e disattivaautomaticamente lo stato di debug del prodotto e raccoglie i file necessari a secondadella categoria del problema. Queste informazioni vengono utilizzate da Trend Microper risolvere i problemi legati al prodotto.

Eseguire lo strumento su tutte le piattaforme supportate da OfficeScan. Per ottenerequesto strumento e la relativa documentazione, contattare il centro di assistenza piùvicino.

Trend Micro Performance Tuning ToolTrend Micro fornisce uno strumento standalone di ottimizzazione delle prestazioni perindividuare le applicazioni che potrebbero provocare problemi alle prestazioni. TrendMicro Performance Tuning Tool, disponibile nella Knowledge Base di Trend Micro,deve essere eseguito in un'immagine di workstation standard e/o in altre workstation inun processo pilota volto a prevenire problemi di prestazioni nell'implementazioneattuale di Monitoraggio del comportamento e Controllo dispositivo.

Per maggiori dettagli, visitare http://esupport.trendmicro.com/solution/en-us/1056425.aspx.



Risorse per la risoluzione dei problemi

16-3

Registri del server OfficeScanOltre ai registri disponibili nella console Web, per risolvere i problemi del prodotto, èpossibile utilizzare altri registri (come i registri di debug).

AVVERTENZA!I registri di debug possono influenzare le prestazioni del server e occupare una significativaquantità di spazio su disco. Attivare i registri di debug solo quando è necessario edisattivarli immediatamente quando i dati di debug non sono più necessari. Per liberarespazio su disco, rimuovere il file di registro.

Registri di debug del server tramite LogServer.exeUtilizzare LogServer.exe per raccogliere i registri di debug per quanto segue:

• Registri di base del server OfficeScan

• Trend Micro Vulnerability Scanner

• Registri di Active Directory Integration

• Registri raggruppamento dell'agente

• Registri di conformità della sicurezza

• Role-based Administration (RBA)

• Smart scan

Attivazione del registro di debug

Procedura

1. Accedere alla console Web.

2. Sul banner della console Web, fare clic sulla prima "O" di "OfficeScan".

3. Specificare le impostazioni del registro di debug.


16-4


5. Controllare il file di registro (ofcdebug.log) nella cartella predefinita: <Cartella diinstallazione del server>\PCCSRV\Log.

Disattivazione del registro di debug

Procedura

1. Accedere alla console Web.

2. Sul banner della console Web, fare clic sulla prima "O" di "OfficeScan".

3. Deselezionare Attiva registro di debug.


Attivazione del registro di debug per l'installazione el'aggiornamento del server

Attivare i registri di debug prima di effettuare le seguenti operazioni:

• Disinstallare e reinstallare il server.

• Aggiornare OfficeScan a una nuova versione.

• installazione remota o aggiornamento remoto (i registri di debug vengono attivatisull'dispositivo sul quale è stato avviato il programma di configurazione e nonsull'dispositivo remoto).

Procedura

1. Copiare la cartella LogServer situata in <Cartella di installazione del server>\PCCSRV\Private in C:\.

2. Creare un file denominarlo ofcdebug.ini con il seguente contenuto:

[debug]


16-5

debuglevel=9

debuglog=c:\LogServer\ofcdebug.log

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

3. Salvare il file ofcdebug.ini in C:\LogServer.

4. Effettuare l'operazione per la quale si desidera il debug (cioè l'installazione o lareinstallazione del server, l'aggiornamento a una nuova versione, l'installazioneremota o l'aggiornamento remoto).

5. Controllare ofcdebug.log in C:\LogServer.

Registri di installazione

• Registri di installazione/aggiornamento locale

Nome del file: OFCMAS.LOG

Percorso: %windir%

• Registri di installazione/aggiornamento remoto

• Sull'dispositivo sul quale è stato avviato il programma di installazione:

Nome del file: ofcmasr.log

Percorso: %windir%

• Sull'dispositivo di destinazione:

Nome del file: OFCMAS.LOG

Percorso: %windir%


16-6

Registri di Active Directory

• Nome del file: ofcdebug.log

• Nome del file: ofcserver.ini

Percorso: <Cartella di installazione del server>\PCCSRV\Private\

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

• dbADPredefinedScope.cdx

• dbADPredefinedScope.dbf

• dbCredential.cdx

• dbCredential.dbf

Percorso: <Cartella di installazione del server>\PCCSRV\HTTPDB\

Registri di Role-based Administration

Per ottenere le informazioni su Role-Based Administration, effettuare una delleoperazioni riportate di seguito:

• Eseguire Trend Micro Case Diagnostics Tool. Per informazioni, vedere CaseDiagnostic Tool a pagina 16-2.

• Raccogliere i registri riportati di seguito:

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Private\AuthorStore.



16-7

Registri di raggruppamento dell'agente OfficeScan• Nome del file: ofcdebug.log



• Nome del file: SortingRule.xml

Percorso: <Cartella d'installazione del server>\PCCSRV\Private\SortingRuleStore\

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

Percorso: <Cartella di installazione del server>\HTTPDB\

Registri di aggiornamento dei componentiNome del file: TmuDump.txt

Percorso: <Cartella di installazione del server>\PCCSRV\Web\Service\AU_Data\AU_Log

Come ottenere informazioni dettagliate sull'aggiornamentodel server

Procedura

1. Creare un file nominato aucfg.ini con il seguente contenuto:

[Debug]

level=-1

[Downloader]


16-8

ProxyCache=0

2. Salvare il file in <Cartella di installazione del server>\PCCSRV\Web\Service.


Interruzione della raccolta delle informazioni dettagliatesull'aggiornamento del server

Procedura

1. Eliminare il file aucfg.ini.


Registri del server ApacheNomi dei file:

• install.log

• error.log

• access.log

Percorso: <Cartella di installazione del server>\PCCSRV\Apache2

Registri di Agent Packager

Attivazione del registro per la creazione di Agent Packager

Procedura

1. Modificare ClnExtor.ini in <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager nel modo seguente:


16-9

[Common]

DebugMode=1

2. Controllare ClnPack.log in C:\.

Disattivazione del registro per la creazione di AgentPackager

Procedura

1. Aprire ClnExtor.ini.

2. Modificare il valore "DebugMode" da 1 a 0.

Registri di segnalazioni della conformità sicurezzaPer ottenere informazioni dettagliate sulla conformità di sicurezza, raccogliere leinformazioni seguenti:

• Nome del file: RBAUserProfile.ini

Percorso: <Cartella di installazione del server>\PCCSRV\Private\AuthorStore\

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Log\Segnalazione della conformità sicurezza.


Registri di gestione server esterni• Nome del file: ofcdebug.log




16-10

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Log\Segnalazione Gestione server esterni\.

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

• dbClientInfo.cdx

• dbclientInfo.dbf


Registri di eccezioni di Controllo dispositivoPer ottenere informazioni dettagliate sulle eccezioni di Controllo dispositivo, raccoglierele informazioni seguenti:

• Nome del file: ofcscan.ini

Percorso: <Cartella di installazione del server>\

• Nome del file: dbClientExtra.dbf


• Elenco di eccezioni di Controllo dispositivo della console Web OfficeScan.

Registri di reputazione WebNome del file: diagnostic.log

Percorso: <Cartella di installazione del server>\PCCSRV\LWCS\.


16-11

Registri dello Strumento di migrazione di server normaliServerProtect

Per attivare il registro di debug per lo strumento di migrazione del server normaleServerProtect:

Procedura

1. Creare un file nominato ofcdebug.ini con il seguente contenuto:

[Debug]

DebugLog=C:\ofcdebug.log

DebugLevel=9

2. Salvare il file in C:\.

3. Controllare ofcdebug.log in C:\.

Nota

Per disattivare il registro di debug, eliminare il file ofcdebug.ini.

Registri VSEncryptOfficeScan crea automaticamente il registro di debug (VSEncrypt.log) nella cartellatemporanea dell'account dell'utente. Ad esempio, C:\Documents and Settings\<Nome utente>\Impostazioni locali\Temp.

Registri di MCP Agent di Control ManagerEseguire il debug dei file in <Cartella di installazione del server>\PCCSRV\CMAgent.

• Agent.ini

• Product.ini


16-12

• Schermata della pagina di impostazioni Control Manager

• ProductUI.zip

Attivazione del registro di debug per l'MCP Agent

Procedura

1. Modificare product.ini in <Cartella di installazione del server>\PCCSRV\CmAgentnel modo seguente:

[Debug]

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Riavviare il servizio OfficeScan Control Manager Agent da Microsoft ManagementConsole.

3. Controllare CMAgent_debug.log in C:\.

Disattivazione del registro di debug per l'MCP Agent

Procedura

1. Aprire il file product.ini ed eliminare le seguenti righe:

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000


16-13

debuglog = C:\CMAgent_debug.log

2. Riavviare il servizio Control Manager di OfficeScan.

Registri del Motore di scansione virus

Per attivare il registro di debug per il motore di scansione virus:

Procedura

1. Aprire l'editor del Registro di sistema (regedit.exe).

2. Accedere a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMFilter\Parameters.

3. Impostare il valore di "DebugLogFlags" su "00003eff".

4. Rieffettuare i passaggi che hanno condotto al problema di scansione riscontrato.

5. Controllare TMFilter.log in %windir%.

Nota

Disattivare il registro di debug reimpostando il valore di "DebugLogFlags" su"00000000".

Registri di virus/minacce informatiche

Nome del file:

• dbVirusLog.dbf

• dbVirusLog.cdx



16-14

Registri di spyware/grayware

Nome del file:

• dbSpywareLog.dbf

• dbSpywareLog.cdx


Registri infezioni

TIPO DI REGISTRO FILE

Registri delle infezioni daviolazione del firewall attuali

Nome del file: Cfw_Outbreak_Current.log

Percorso: <Cartella di installazione del server>\PCCSRV\Log\.

Registri delle ultimeinfezioni da violazione delfirewall

Nome del file: Cfw_Outbreak_Last.log


Registri delle infezioni davirus/minacce informaticheattuali

Nome del file: Outbreak_Current.log


Registri delle ultimeinfezioni da virus/minacceinformatiche

Nome del file: Outbreak_Last.log


Registri delle infezionidovute a spyware/graywareattuali

Nome del file: Spyware_Outbreak_Current.log


Registri delle ultimeinfezioni dovute a spyware/grayware

Nome del file: Spyware_Outbreak_Last.log



16-15

Registri del supporto Virtual Desktop• Nome del file: vdi_list.ini

Percorso: <Cartella di installazione del server>\PCCSRV\TEMP\.

• Nome del file: vdi.ini

Percorso: <Cartella d'installazione del server>\PCCSRV\Private\

• Nome del file: ofcdebug.txt

Percorso: <Cartella di installazione del server>\PCCSRV\

Per generare ofcdebug.txt, attivare il registro di debug. Per istruzioni su comeattivare il registro di debug, vedere Attivazione del registro di debug a pagina 16-3.

Registri dell'agente OfficeScanUtilizzare i registri dell'agente OfficeScan (ad esempio, i registri di debug) per risolvere iproblemi relativi all'agente OfficeScan.

AVVERTENZA!I registri di debug possono influenzare le prestazioni dell'agente e occupare una significativaquantità di spazio su disco. Attivare i registri di debug solo quando è necessario edisattivarli immediatamente quando i dati di debug non sono più necessari. Quando ladimensione del file di registro diventa notevole, è opportuno eliminare tale file.

Registri di debug dell'agente OfficeScan conLogServer.exe

Per disattivare la registrazione del debug per l'agente OfficeScan:

Procedura

1. Creare un file con il seguente contenuto e denominarlo ofcdebug.ini:


16-16

[Debug]

Debuglog=C:\ofcdebug.log

debuglevel=9

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

2. Inviare il file ofcdebug.ini agli utenti e specificare che deve essere salvato in C:\.

NotaLogServer.exe viene eseguito automaticamente a ogni avvio dell'dispositivoagente OfficeScan. L'utente NON deve chiudere la finestra di comandoLogServer.exe che si apre all'avvio dell'dispositivo; in caso contrario OfficeScaninterromperà la registrazione del debug. Se l'utente ha chiuso la finestra di comando,può riavviare la registrazione del debug avviando LogServer.exe in <Cartella diinstallazione dell'agente>.

3. Per ogni dispositivo agente OfficeScan, controllare il file ofcdebug.log in C:\.

NotaPer disattivare il registro di debug per l'agente OfficeScan, è sufficiente eliminare il fileofcdebug.ini.

Registri installazioni da zeroNome del file: OFCNT.LOG

Percorsi:

• %windir% per tutti i metodi di installazione utilizzati eccetto che per il pacchettoMSI


16-17

• %temp% per il metodo di installazione con il pacchetto MSI

Registri aggiornamenti e hot fix

Nome del file: upgrade_yyyymmddhhmmss.log

Percorso: <Cartella di installazione dell'agente>\Temp

Registri Damage Cleanup Services

Attivazione del registro di debug per Damage CleanupServices

Procedura

1. Aprire TSC.ini in <Cartella di installazione dell'agente>.

2. Modificare la seguenti linea nel modo seguente:

DebugInfoLevel=3

3. Controllare TSCDebug.log in <Cartella di installazionedell'agente>\debug.

Disattivazione del registro di debug per Damage CleanupServices

Aprire TSC.ini e modificare il valore "DebugInfoLevel" da 3 a 0.

Registro di disinfezione

Nome file: yyyymmdd.log

Percorso: <Cartella di installazione dell'agente>\report\


16-18

Registri della scansione e-mail

Nome del file: SmolDbg.txt

Percorso: <Cartella di installazione dell'agente>

Registri di connessione dell'agente OfficeScan

Nome del file: Conn_AAAAMMGG.log

Percorso: <Cartella di installazione dell'agente>\ConnLog

Registri di aggiornamento dell'agente OfficeScan

Nome del file: Tmudump.txt

Percorso: <Cartella di installazione dell'agente>\AU_Data\AU_Log

Come ottenere informazioni dettagliate sull'aggiornamentodell'agente OfficeScan

Procedura

1. Creare un file nominato aucfg.ini con il seguente contenuto:

[Debug]

level=-1

[Downloader]

ProxyCache=0

2. Salvare il file in <Cartella di installazione dell'agente>.

3. Ricaricare l'agente OfficeScan.


16-19

NotaPer interrompere la raccolta delle informazioni di aggiornamento dell'aggiornamentodettagliate, eliminare il file aucfg.ini ricaricando l'agente OfficeScan.

Registri prevenzione delle infezioniNome del file: OPPLogs.log

Percorso: <Cartella di installazione dell'agente>\OppLog

Registro di ripristino della prevenzione delle infezioniNomi dei file:

• TmOPP.ini

• TmOPPRestore.ini

Percorso: <Cartella di installazione dell'agente>\

Log del firewall OfficeScan

Attivazione del registro di debug per il Driver comuneFirewall sui computer con Windows Vista/Server 2008/7/Server 2012/8/8.1

Procedura

1. Modificare i seguenti valori del registro:


16-20

CHIAVE DI REGISTRO VALORI

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmwfp\Parameters

Tipo: valore DWORD(REG_DWORD)

Nome: DebugCtrl

Valore: 0x00001111

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmlwf\Parameters

Tipo: valore DWORD(REG_DWORD)

Nome: DebugCtrl

Valore: 0x00001111

2. Riavviare l'dispositivo.

3. Controllare i file wfp_log.txt e lwf_log.txt in C:\.

Attivazione del registro di debug per il Driver comuneFirewall sui computer con Windows XP e Windows Server2003

Procedura

1. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmcfw\Parameters:

• Tipo: valore DWORD (REG_DWORD)

• Nome: DebugCtrl

• Valore: 0x00001111


3. Controllare cfw_log.txt in C:\.


16-21

Disattivazione del registro di debug per il Driver comunefirewall (tutti i sistemi operativi)

Procedura

1. Eliminare il valore "DebugCtrl" nella chiave di registro.


Attivazione del registro di debug per il servizio firewal NTOfficeScan

Procedura

1. Modificare TmPfw.ini in <Cartella di installazione dell'agente> come segue:

[ServiceSession]

Enable=1

2. Ricaricare l'agente.

3. Controllare ddmmyyyy_NSC_TmPfw.log in C:\temp.

Disattivazione del registro di debug per il servizio firewal NTOfficeScan

Procedura

1. Aprire TmPfw.ini e modificare il valore "Attiva" da 1 a 0.



16-22

Registri della reputazione Web e della scansione e-mailPOP3

Per attivare il registro di debug per la funzionalità diReputazione Web e scansione e-mail POP3

Procedura

1. Modificare TmProxy.ini in <Cartella di installazione dell'agente> come segue:

[ServiceSession]

Enable=1

LogFolder=C:\temp


3. Controllare ddmmyyyy_NSC_TmProxy.log in C:\temp.

Per disattivare il registro di debug per la funzionalità diReputazione Web e scansione e-mail POP3

Procedura

1. Aprire TmProxy.ini e modificare il valore "Enable" da 1 a 0.


Registri di elenchi di eccezioni di Controllo dispositivo

Nome del file: DAC_ELIST

Percorso: <Cartella di installazione dell'agente>\


16-23

Registri di debug di Protezione datiPer attivare i registri di debug di Protezione dati

Procedura

1. Richiedere il file logger.cfg all'assistenza tecnica.

2. Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: Stringa

• Nome: debugcfg

• Valore: C:\Log\logger.cfg

3. Creare una cartella denominata “Log” nella directory C:\

4. Copiare logger.cfg nella cartella Log.

5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivodella console Web per avviare la raccolta dei registri.

NotaPer disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nellachiave di registro e riavviare l'dispositivo.

Registri eventi di WindowsVisualizzatore eventi di Windows registra gli eventi delle applicazioni riusciti, ad esempiol'accesso o la modifica delle impostazioni dell'account.

Procedura

1. Effettuare una delle seguenti operazioni.

• Fare clic su Avvia > Pannello di controllol > Prestazioni e manutenzione> Strumenti amministrativi > Gestione computer.


16-24

• Aprire la MMC contenente lo snap-in Visualizzatore eventi.

2. Fare clic su Visualizzatore eventi.

Registri di Transport Driver Interface (TDI)Per attivare i registri di Transport Driver Interface (TDI)

Procedura

1. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\tmtdi\Parameters:

PARAMETRO VALORI

Chiave 1 Tipo: valore DWORD (REG_DWORD)

Nome: Debug

Valore: 1111 (Esadecimale)

Chiave 2 Tipo: Valore stringa (REG_SZ)

Nome: LogFile

Valore: C:\tmtdi.log


3. Controllare tmtdi.log in C:\.

NotaPer disattivare il registro di debug per TDI, eliminare Debug e LogFile nella chiave diregistro e riavviare l'dispositivo.

17-1

Capitolo 17

Assistenza tecnicaQuesto capitoli descrive come reperire online le soluzioni, utilizzare il portaledell'assistenza e come contattare Trend Micro.


• Risorse per la risoluzione dei problemi a pagina 17-2

• Come contattare Trend Micro a pagina 17-4

• Invio di contenuti sospetti a Trend Micro a pagina 17-5

• Other Resources a pagina 17-6


17-2

Risorse per la risoluzione dei problemiPrima di contattare l'assistenza tecnica, consultare le seguenti risorse online di TrendMicro.

Trend CommunityPer ricevere assistenza, condividere esperienze, fare domande e discutere dei problemilegati alla sicurezza con altri utenti, appassionati ed esperti della sicurezza, andare su:

http://community.trendmicro.com/

Utilizzo del portale di assistenzaIl portale di assistenza Trend Micro è una risorsa online disponibile 24 ore su 24, per 7giorni alla settimana, contenente le informazioni più aggiornate sui problemi comuni emeno comuni.

Procedura

1. Visitare http://esupport.trendmicro.com.

2. Selezionare un prodotto o un servizio dall'elenco a discesa appropriato e specificarequalsiasi altra informazione collegata.

Viene visualizzata la pagina dei prodotti dell'Assistenza tecnica.

3. Usare la casella Cerca assistenza per cercare le soluzioni disponibili.

4. Se non è presente alcuna soluzione, fare clic su Invia una pratica di assistenzadal riquadro di navigazione a sinistra e aggiungi le relative informazioni oppureinvia la pratica di assistenza qui:

http://esupport.trendmicro.com/srf/SRFMain.aspx

Un esperto dell'assistenza Trend Micro prenderà in esame la pratica e invierà unarisposta nell'arco di 24 ore.

http://community.trendmicro.com/


http://esupport.trendmicro.com/srf/SRFMain.aspx

Assistenza tecnica

17-3

Comunità di informazioni per la sucurezza

Gli esperti Trend Micro per la sicurezza informatica sono un gruppo d'élite specializzatonel rilevamento e nell'analisi delle minacce informatiche, nella sicurezza dellavirtualizzazione e del cloud e nella crittografia di dati.

Per informazioni, consultare http://www.trendmicro.com/us/security-intelligence/index.html:

• Blog di Trend Micro, Twitter, Facebook, YouTube e altri social media

• Rapporti sulle minacce, documenti di ricerca e articoli in evidenza

• Soluzioni, podcast e newletter grazie a informazioni riservate sulla sicurezza globale

• Widget, applicazioni e strumenti gratuiti

Enciclopedia delle minacce

Molte minacce informatiche oggi sono composte da una "miscela di minacce": due o piùtecnologie combinate per evitare i protocolli di sicurezza del computer Trend Microostacola queste minacce complesse con prodotti pensati per creare una strategia di difesapersonalizzata. L'Enciclopedia delle minacce fornisce un elenco esauriente di nomi esintomi delle varie miscele di minacce, incluse minacce informatiche conosciute, spam,URL dannosi, nonché vulnerabilità conosciute.

Per ulteriori informazioni, vedere http://about-threats.trendmicro.com/it/threatencyclopedia#malware:

• Minacce informatiche e codici mobili dannosi attualmente attivi o in circolazione

• Pagine informative sulle minacce correlate, per una descrizione degli attacchi Webcompleta.

• Avvisi sulle minacce Internet riguardanti gli attacchi mirati e le minacce per lasicurezza

• Informazioni sull'andamento online e sugli attacchi Web

• Rapporti settimanali sulle minacce informatiche

http://www.trendmicro.com/us/security-intelligence/index.html

http://www.trendmicro.com/us/security-intelligence/index.html

http://about-threats.trendmicro.com/it/threatencyclopedia#malware

http://about-threats.trendmicro.com/it/threatencyclopedia#malware


17-4

Come contattare Trend MicroIn Italia è possibile contattare gli addetti di Trend Micro via telefono, fax o e-mail:

Indirizzo TREND MICRO INCORPORATED

TREND MICRO Italy S.r.l. Edison Park Center Viale Edison 110 -Edificio C 20099 Sesto San Giovanni (MI) Italia

Telefono +39 02 925931

Fax +39 02 92593401

Sito Web http://www.trendmicro.com

Indirizzo e-mail [email protected]

• Uffici di assistenza nel mondo:

http://www.trendmicro.it/informazioni/contatti/index.html

• Documentazione dei prodotti Trend Micro

http://docs.trendmicro.com/it-it/home.aspx

Semplificazione della chiamata all'assistenza tecnicaPer migliorare la risoluzione dei problemi, tenere a disposizione le seguenti informazioni:

• Passaggi che hanno causato il problema

• Informazioni sulla rete o sulle apparecchiature

• Marca e modello del computer ed eventuale hardware aggiuntivo collegatoall'dispositivo

• Quantità di memoria e spazio libero su disco

• Sistema operativo e versione del service pack

• Versione del client dispositivo

• Numero di serie o codice di attivazione

http://www.trendmicro.com

mailto:[email protected]

http://www.trendmicro.it/informazioni/contatti/index.html

http://docs.trendmicro.com/it-it/home.aspx

Assistenza tecnica

17-5

• Descrizione dettagliata dell'ambiente di installazione

• Testo esatto di eventuali messaggi di errore ricevuti

Invio di contenuti sospetti a Trend MicroSono disponibili numerose opzioni per inviare contenuti sospetti a Trend Micro perulteriore analisi.

Servizi di reputazione fileRaccogliere le informazioni di sistema e inviare il contenuto del file dannoso a TrendMicro:


Annotare il numero di pratica per riferimenti futuri.

Servizi di reputazione e-mailInviare una query per la reputazione di un indirizzo IP specific e indicare un agente ditrasferimento del messaggio da includere nell'elenco approvali globale:

https://ers.trendmicro.com/

Consultare il seguente articolo della Knowledge Base per esempi dei messaggi da inviarea Trend Micro:


Servizi di reputazione WebInviare una query sulla classificazione della sicurezza e sul tipo di contenuto di un URLsospettato di phishing o di altri cosiddetti "vettori di infezioni" (fonte intenzionale diminacce Internet quali spyware e minacce informatiche).

http://global.sitesafety.trendmicro.com/


https://ers.trendmicro.com/


http://global.sitesafety.trendmicro.com/


17-6

se la classificazione assegnata è corretta, reinviare una nuova richiesta di classificazione aTrend Micro.

Other ResourcesOltre alle soluzioni e all'assistenza, online sono disponibili molte altre risorse perrimanere aggiornati, conoscere le innovazioni ed essere informati sulle ultime novità cheriguardano la sicurezza.

TrendEdgeUlteriori informazioni su tecniche, strumenti e migliori pratiche innovative e nonsupportate per i prodotti e i servizi Trend Micro. Il database TrendEdge contienenumerosi documenti che riguardano una vasta gamma di argomenti per i partner e idipendenti Trend Micro nonché per altre parti interessate.

Consultare le informazioni più recenti di TrendEdge su:

http://trendedge.trendmicro.com/

Centro di downloadPeriodicamente, Trend Micro rilascia una patch per il problema noto riportato oppureun aggiornamento applicabile ad un servizio o a un prodotto specifico. Per consultare lepatch disponibili, accedere a:


Se una patch non è stata applicata (ogni patch ha una data) aprire il file Readme edeterminare se si tratta di una patch rilevante per l'ambiente di riferimento. Il fileReadme contiene inoltre le istruzioni per l'installazione.

TrendLabsTrendLabs℠ è una rete globale di centri di ricerca, sviluppo e azione impegnata 24 ore su24, 7 giorni alla settimana nel monitoraggio, nella prevenzione degli attacchi e nella

http://trendedge.trendmicro.com/


Assistenza tecnica

17-7

diffusione ininterrotta di soluzioni tempestive a contrasto delle minacce. Strutturaportante dell'infrastruttura dei servizi di Trend Micro, il personale di TrendLabs ècostituito da un team composto da diverse centinaia di ingegneri e personale qualificatoper l'assistenza, che offre un'ampia gamma di servizi relativi ai prodotti e all'assistenzatecnica.

TrendLabs monitora il panorama mondiale delle minacce per offrire misure di sicurezzaefficaci pensate per rilevare, prevenire ed eliminare gli attacchi. Il culmine giornaliero diquesti sforzi viene condiviso con i clienti attraverso frequenti aggiornamenti dei file dipattern antivirus e miglioramenti al motore di scansione.

Ulteriori informazioni su TrendLabs consultabili su:

http://cloudsecurity.trendmicro.com/us/technology-innovation/experts/index.html#trendlabs



AppendiciAppendici

A-1

Appendice A

Supporto IPv6 in OfficeScanLa lettura di questa appendice è necessaria per gli utenti che intendono implementareOfficeScan in un ambiente che supporta l'indirizzamento IPv6. Questa appendicecontiene informazioni sull'entità del supporto IPv6 in OfficeScan.

Trend Micro presume che il lettore conosca bene i concetti IPv6 e le attività richieste perimpostare una rete che supporta l'indirizzamento IPv6.


A-2

Supporto IPv6 per server OfficeScan e agentiIl supporto IPv6 per OfficeScan è stato introdotto nella versione 10.6. Nelle versioniprecedenti di OfficeScan, l'indirizzamento IPv6 non era supportato. Il supporto IPv6viene attivato automaticamente dopo l'installazione o l'aggiornamento della versione delserver OfficeScan e degli agenti OfficeScan che soddisfano i requisiti IPv6.

Requisiti del server OfficeScan

Di seguito sono elencati i requisiti IPv6 per il server OfficeScan:

• Il server deve essere installato su Windows Server 2008 o Windows Server 2012.Non è possibile installarlo su Windows Server 2003 in quanto tale sistemaoperativo supporta solo parzialmente l'indirizzamento IPv6.

• Il server deve usare un server Web IIS. Il server Apache Web non supportal'indirizzamento IPv6.

• Se il server deve gestire gli agenti OfficeScan IPv4 e IPv6, deve disporre siadell'indirizzo IPv4 che IPv6 e deve essere identificato tramite il nome host. Se ilserver viene identificato tramite il suo indirizzo IPv4, gli agenti OfficeScan IPv6non possono collegarsi al server. Lo stesso problema si verifica se gli agenti IPv4puri si collegano a un server identificato tramite il suo indirizzo IPv6.

• Se il server deve gestire solo agenti IPv6, il requisito minimo è un indirizzo IPv6. Ilserver può essere identificato tramite il nome host o l'indirizzo IPv6. Se il serverviene identificato tramite il nome host, è preferibile utilizzare il suo nome didominio completo (FQDN). Infatti, in un ambiente IPv6 puro, un server WINSnon può tradurre un nome host nel suo corrispondente indirizzo IPv6.

Nota

Il nome di dominio completamente qualificato (FQDN) può essere specificato soloquando si esegue un'installazione locale del server. Non è supportato sulleinstallazioni remote.

Supporto IPv6 in OfficeScan

A-3

Requisiti dell'agente OfficeScan

L'agente OfficeScan deve essere installato su:

• Windows 7

• Windows Server 2008

• Windows Vista

• Windows 8

• Windows 8.1

• Windows Server 2012

Non è possibile installarlo su Windows Server 2003 e Windows XP, in quanto talisistemi operativi supportano solo parzialmente l'indirizzamento IPv6.

Preferibilmente, l'agente OfficeScan dovrebbe disporre di indirizzi IPv4 e IPv6, inquanto alcune delle entità alle quale si connette supportano solo l'indirizzamento IPv4.

Limitazioni del server IPv6 puro

La tabella seguente elenca le limitazioni che si applicano ai server OfficeScan dotati solodi indirizzo IPv6.

TABELLA A-1. Limitazioni del server IPv6 puro

ELEMENTO LIMITAZIONE

Gestione agente Un server IPv6 puro non è in grado di:

• Implementare gli agenti OfficeScan negli dispositivo IPv4 puri.

• Gestire gli agenti OfficeScan IPv4 puri.

Aggiornamenti egestionecentralizzata

Un server IPv6 puro non è in grado di eseguire l'aggiornamento daorigini IPv4 pure, come:




A-4


Registrazione delprodotti,attivazione erinnovo

Un server IPv6 puro non è in grado di connettersi al server per laregistrazione online di Trend Micro per registrare il prodotto, ottenerela licenza e attivare o rinnovare la licenza.

Connessioneproxy

Un server IPv6 puro non è in grado di stabilire la connessioneattraverso un server proxy IPv4 puro.

Soluzioni plug-in Un server IPv6 puro dispone di Plug-in Manager, ma non è in gradodi implementare le soluzioni plug-in a:

• Gli agenti OfficeScan IPv4 puri o host IPv4 puri (a causadell'assenza di una connessione diretta).

• Gli agenti OfficeScan IPv6 puri o gli host IPv6 puri in quantonessuna delle soluzioni plug-in supporta IPv6.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate).Posizionare il server proxy tra il server OfficeScan e le entità alle quali si connette o cheserve.

Limitazioni dell'agente OfficeScan IPv6 puroLa tabella seguente elenca le limitazioni che si applicano agli agenti OfficeScan dotatisolo di indirizzo IPv6.

TABELLA A-2. Limitazioni dell'agente OfficeScan IPv6 puro


Server OfficeScanprincipale

Gli agenti OfficeScan IPv6 puri non possono essere gestiti daun server OfficeScan IPv4 puro.


A-5


Aggiornamenti Un agente OfficeScan IPv6 puro non è in grado di eseguirel'aggiornamento da origini IPv4 pure, come:



• Un Update Agent IPv4 puro

• Qualsiasi origine aggiornamenti personalizzata IPv4pura

Query di scansione,query di reputazioneWeb e Smart Feedback

Un agente OfficeScan IPv6 puro non è in grado di inviarequery a origini Smart Protection, come:


NotaIl supporto IPv6 per Smart Protection Server èstato introdotto nella versione 2.5.

• Trend Micro Smart Protection Network (anche per SmartFeedback)

Sicurezza del software Gli agenti OfficeScan IPv6 puri non sono in grado diconnettersi al Servizio Certified Safe Software di TrendMicro.

Soluzioni plug-in Gli agenti OfficeScan IPv6 puri non sono in grado di installarele soluzioni plug-in, in quanto nessuna di queste supportaIPv6.

Connessione proxy Un agente OfficeScan IPv6 puro non è in grado di stabilire laconnessione attraverso un server proxy IPv4 puro.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate).Posizionare il server proxy tra gli agenti OfficeScan e le entità alle quali si connettono.


A-6

Configurazione indirizzi IPv6La console Web consente di configurare un indirizzi IPv6 o un intervallo di indirizziIPv6. Di seguito sono riportate alcune istruzioni per la configurazione.

• OfficeScan accetta presentazioni di indirizzi IPv6 standard.

Ad esempio:

2001:0db7:85a3:0000:0000:8a2e:0370:7334

2001:db7:85a3:0:0:8a2e:370:7334

2001:db7:85a3::8a2e:370:7334

::ffff:192.0.2.128

• OfficeScan accetta inoltre indirizzi IPv6 con collegamento locale, come:

fe80::210:5aff:feaa:20a2

AVVERTENZA!Quando si specifica un indirizzo IPv6 con collegamento locale è necessario essereprudenti in quanto, anche se OfficeScan accetta l'indirizzo, potrebbe non funzionarecome previsto in determinate circostanze. Ad esempio, non è possibile aggiornare gliagenti OfficeScan dall'origine aggiornamenti se l'origine si trova in un altro segmentodi rete ed è identificata dal corrispondente indirizzo IPv6 con collegamento locale.

• Quando l'indirizzo IPv6 è incluso in un URL, racchiuderlo tra parentesi quadre ([]).

• Per gli intervalli di indirizzi IPv6, generalmente sono necessari un prefisso e unalunghezza di prefisso. Per le configurazioni in cui il server esegue query degliindirizzi IP, si applicano le limitazioni della lunghezza del prefisso per evitare che siverifichino problemi di prestazioni quando il server esegue query su un numeroelevato di indirizzi IP. Ad esempio, per la funzione Gestione server esterni, lalunghezza del prefisso deve essere compresa tra 112 (65.536 indirizzi IP) e 128 (2indirizzi IP).

• Alcune impostazioni relative agli indirizzi o agli intervalli di indirizzi IPv6 vengonoimplementate negli agenti OfficeScan, ma gli agenti OfficeScan le ignorano. Adesempio, se è stato configurato l'elenco delle origini Smart Protection ed è incluso


A-7

uno Smart Protection Server identificato da corrispondente indirizzo IPv6, gliagenti OfficeScan IPv4 puri ignoreranno il server e si collegheranno alle altreorigini Smart Protection.

Schermate che visualizzano gli indirizzi IPIn questa argomento sono enumerate le posizioni della console Web in cui sonovisualizzati gli indirizzi IP.

• Struttura agente

Nella struttura agente, gli indirizzi IPv6 degli agenti OfficeScan IPv6 puri sonovisualizzati sotto la colonna Indirizzo IP. Per gli agenti OfficeScan dual-stack, gliindirizzi IPv6 sono visualizzati se sono stati utilizzati per effettuare la registrazioneal server.

NotaÈ possibile controllare l'indirizzo IP utilizzato dagli agenti OfficeScan dual-stack perla registrazione al server da Agenti > Impostazioni globali agente > Indirizzo IPpreferito.

Quando si esportano le impostazioni della struttura agente in un file, gli indirizziIPv6 sono presenti anche nel file esportato.

• Stato agente

Informazioni dettagliate sull'agente sono disponibili accedendo a Agenti >Gestione agente > Stato. In questa schermata, sono visualizzati gli indirizzi IPv6degli agenti OfficeScan IPv6 puri e degli agenti OfficeScan dual-stack che hannousato gli indirizzi IPv6 per la registrazione al server.

• Registri

Gli indirizzi IPv6 degli agenti OfficeScan dual-stack e IPv6 puri sono visualizzatinei seguenti registri:

• Registri di virus/minacce informatiche



A-8


• Registri di verifica connessione

• Console di Control Manager

Nella tabella seguente sono indicati quali indirizzi IP degli agenti OfficeScan e delserver OfficeScan sono visualizzati sulla console di Control Manager.

TABELLA A-3. Indirizzi IP dell'agente OfficeScan e del server OfficeScanvisualizzati sulla console di Control Manager

OFFICESCANCONTROLLO MANAGERVERSION

5.5 SP1 5.5 5.0

Server dual-stack IPv4 e IPv6 IPv4 IPv4

Server IPv4 puro IPv4 IPv4 IPv4

Server IPv6 puro IPv6 Non supportato Non supportato

Agente OfficeScandual-stack

L'indirizzo IPutilizzato per laregistrazionedell'agenteOfficeScan alserver OfficeScan



Agente OfficeScanIPv4 puro

IPv4 IPv4 IPv4

Agente OfficeScanIPv6 puro

IPv6 IPv6 IPv6

B-1

Appendice B

Supporto per Windows Server Core2008/2012

In questa appendice sono riportate le informazioni relative al supporto di OfficeScan perWindows Server Core 2008/2012.


B-2

Supporto per Windows Server Core 2008/2012Windows Server Core 2008/2012 rappresentano installazioni "minime" di WindowsServer 2008/2012. In un Server Core:

• Molte delle opzioni e delle funzioni di Windows Server 2008/2012 sono rimosse.

• Il server esegue una versione del sistema operativo sensibilmente più ridotta.

• Le operazioni sono eseguite principalmente dall'interfaccia della riga di comando.

• Il sistema operativo esegue un numero inferiore di servizi e richiede meno risorsedurante l'avvio.

L'agente OfficeScan supporta Server Core. Questa sezione contiene informazionisull'entità del supporto per Server Core.

Il server OfficeScan non supporta Server Core.

Metodi di installazione per Windows ServerCore

I metodi di installazione riportati di seguito non sono supportati o sono supportati soloparzialmente:

• Pagina di installazione sul Web: questo metodo non è supportato poiché ServerCore non dispone di Internet Explorer.

• Trend Micro Vulnerability Scanner: lo strumento Vulnerability Scanner non puòessere eseguito localmente su Server Core. Eseguire lo strumento dal serverOfficeScan o da un altro dispositivo.

Sono supportati i seguenti metodi di installazione:

• Installazione remota. Per i dettagli, consultare Installazione remota dalla console WebOfficeScan a pagina 5-20.

• Impostazione script di accesso

Supporto per Windows Server Core 2008/2012

B-3

• Agent Packager

Installazione dell'agente OfficeScan usando Impostazionescript di accesso

Procedura

1. Aprire il prompt dei comandi.

2. Mappare il percorso del file AutoPcc.exe digitando il seguente comando:

net use <lettera unità mappata> \\<nome host del serverOfficeScan o indirizzo IP>\ofcscan

Ad esempio:

net use P: \\10.1.1.1\ofcscan

Se il percorso di AutoPcc.exe è stato mappato correttamente, viene visualizzatoun messaggio di notifica.

3. Cambiare il percorso di AutoPcc.exe digitando la lettera dell'unità mappata e duepunti (:). Ad esempio:

P:

4. Per avviare l'installazione, digitare quanto segue:

AutoPcc.exe


B-4

L'immagine seguente mostra i comandi e i risultati sul prompt dei comandi.

FIGURA B-1. Prompt dei comandi che mostra come installare l'agente OfficeScanusando Impostazione script di accesso

Installazione dell'agente OfficeScan usando il pacchettoagente OfficeScan

Procedura

1. Creare il pacchetto.

Per i dettagli, consultare Installazione con Agent Packager a pagina 5-25.


3. Mappare il percorso del pacchetto agente OfficeScan digitando il seguentecomando:

net use <lettera unità mappata> \\<Percorso del pacchettoagente>

Ad esempio:


B-5

net use P: \\10.1.1.1\Package

Se il percorso del pacchetto dell'agente OfficeScan è stato mappato correttamente,viene visualizzato un messaggio di notifica.

4. Cambiare il percorso del pacchetto dell'agente OfficeScan digitando la letteradell'unità mappata e due punti (:). Ad esempio:

P:

5. Copiare il pacchetto dell'agente OfficeScan in una directory locale sul computerServer Core digitando il seguente comando:

copy <nome file pacchetto> <directory dell'dispositivoServer Core in cui si desidera copiare il pacchetto>

Ad esempio:

copy officescan.msi C:\Pacchetto client

Se il pacchetto dell'agente OfficeScan è stato copiato correttamente, vienevisualizzato un messaggio di notifica.

6. Cambiare la directory locale. Ad esempio:

C:

cd C:\Pacchetto client

7. Per avviare l'installazione, digitare il nome file del pacchetto: Ad esempio:

officescan.msi


B-6

L'immagine seguente mostra i comandi e i risultati sul prompt dei comandi.

FIGURA B-2. Prompt dei comandi che mostra come installare l'agente OfficeScanusando un pacchetto agente

Funzioni dell'agente OfficeScan su WindowsServer Core

La maggior parte delle funzioni dell'agente OfficeScan disponibili su Windows Server2008/2012 funziona su Server Core. L'unica funzione non supportata è la modalitàroaming.

Per un elenco delle funzioni disponibili su Windows Server 2008/2012, vedere Funzionidell'agente OfficeScan a pagina 5-3.

La console dell'agente OfficeScan è accessibile solo dall'interfaccia della riga dicomando.

Nota

Alcune schermate della console dell'agente OfficeScan comprendono un pulsante Guida sucui fare clic per aprire una guida in formato HTML sensibile al contesto. Poiché WindowsServer Core 2008/2012 non dispone di browser, la Guida non sarà disponibile per l'utente.Per visualizzarla, l'utente deve installare un browser.


B-7

Comandi di Windows Server CoreAvviare la console dell'agente OfficeScan e altre operazioni dell'agente OfficeScaninviando i comandi dall'interfaccia della riga di comando.

Per eseguire i comandi, accedere alla posizione di PccNTMon.exe. Questo processo èresponsabile dell'avvio della console dell'agente OfficeScan. Il processo si trova in<Cartella di installazione dell'agente>.

La tabella riportata di seguito comprende un elenco dei comandi disponibili.

TABELLA B-1. Comandi di Windows Server Core

COMANDO AZIONE

pccntmon Apre la console dell'agente OfficeScan

pccnt

pccnt <percorsocartella o unità>

Esegue la scansione dell'unità o della cartella specificata perverificare la presenza di rischi per la sicurezza

Linee guida:

• Se il percorso della cartella contiene spazi, racchiuderel'intero percorso tra virgolette.

• Scansione di file singoli non supportata.

Comandi corretti:

• pccnt C:\

• pccnt D:\Files

• pccnt "C:\Documents and Settings"

Comandi non corretti:

• pccnt C:\Documents and Settings

• pccnt D:\Files\esempio.doc

pccntmon -r Apre il Monitoraggio in tempo reale

pccntmon -v Apre una schermata contenente un elenco dei componentidell'agente e le rispettive versioni


B-8

COMANDO AZIONE

pccntmon -u Apre una schermata dalla quale avviare "Aggiorna ora"(aggiornamento manuale dell'agente)

Se non è possibile avviare "Aggiorna ora", nel prompt deicomandi viene visualizzato il seguente messaggio:

Disattivato o non funzionante

pccntmon -n Apre una finestra a comparsa nella quale viene specificata unapassword per rimuovere l'agente

Se non è necessaria una password per rimuovere il clientOfficeScan, il processo di rimozione dell'agente OfficeScanviene avviato.

Per caricare nuovamente l'agente OfficeScan, digitare ilcomando seguente:

pccntmon

pccntmon -m Apre una finestra a comparsa nella quale viene specificata unapassword per disinstallare l'agente OfficeScan

Se non è necessaria una password per disinstallare l'agenteOfficeScan, il processo di disinstallazione dell'agenteOfficeScan viene avviato.


B-9

COMANDO AZIONE

pccntmon -c Mostra le seguenti informazioni nella riga di comando:


• Smart scan

• Scansione convenzionale

• Stato del pattern

• Aggiornato

• Non aggiornato

• Servizio Scansione in tempo reale

• Funzionante

• Disattivato o non funzionante


• Online

• Roaming

• Offline

• Servizi di reputazione Web

• Disponibili

• Riconnessione

• Servizi di reputazione file

• Disponibili

• Riconnessione

pccntmon -h Mostra tutti i comandi disponibili

C-1

Appendice C

Supporto per Windows 8/8.1 eWindows Server 2012

In questa appendice viene descritto il supporto di OfficeScan per Windows 8/8.1 eWindows Server 2012.


C-2

Informazioni su Windows 8/8.1 e WindowsServer 2012

Windows 8/8.1 e Windows Server 2012 offrono agli utenti due tipi di modalitàoperative: modalità desktop e modalità interfaccia utente di Windows. La modalitàdesktop è simile alla schermata classica di Windows con il pulsante Start.

La modalità interfaccia utente di Windows presenta un'interfaccia grafica totalmentenuova, adatta per essere utilizzata sui cellulari e sui dispositivi mobili Windows. Tra lenuove funzionalità vi sono l'interfaccia touch screen a scorrimento, i riquadri e lenotifiche di tipo avviso popup.

TABELLA C-1. Riquadri e notifiche di tipo avviso popup

CONTROLLO DESCRIZIONE

Riquadri I riquadri sono simili alle icone sul desktop utilizzate nelleversioni precedenti di Windows. L'utente seleziona unriquadro per avviare l'applicazione a esso associata.

I riquadri animati forniscono agli utenti informazioni specifichedell'applicazione che si aggiornano dinamicamente. Leapplicazioni possono pubblicare informazioni nei riquadrianche quando esse non sono in esecuzione.

Notifiche di tipo avvisopopup

Le notifiche di tipo avviso popup sono simili ai messaggipopup. Queste notifiche forniscono informazioni sensibili alivello temporale sugli eventi che si verificano durantel'esecuzione di un'applicazione. Le notifiche di tipo avvisopopup appaiono in primo piano quando Windows è in modalitàdesktop, quando viene visualizzata la schermata di blocco oquando viene eseguita un'altra applicazione.

NotaA seconda dell'applicazione, le notifiche di tipo avvisopopup potrebbero non essere visualizzate su tutte leschermate o in tutte le modalità.

Supporto per Windows 8/8.1 e Windows Server 2012

C-3

OfficeScan in modalità interfaccia utente di Windows

Nella tabella che segue viene dettagliato il supporto di OfficeScan per le funzionalitàriquadri e notifiche di tipo avviso popup nella modalità interfaccia utente di Windows.

TABELLA C-2. Supporto di OfficeScan per riquadri e notifiche di tipo avviso popup

CONTROLLO SUPPORTO DI OFFICESCAN

Riquadri OfficeScan dispone di un collegamento per gli utenti alprogramma agente OfficeScan. Quando l'utente fa clic sulcollegamento, Windows passa dalla modalità desktop allavisualizzazione del programma agente OfficeScan.

NotaOfficeScan non supporta i riquadri animati.

Notifiche di tipo avvisopopup

OfficeScan offre le seguenti notifiche di tipo avviso popup:

• Rilevati programmi sospetti

• Scansione pianificata

• Minaccia risolta

• È necessario riavviare il computer

• Dispositivo di archiviazione USB rilevato

• Infezione rilevata

NotaOfficeScan visualizza le notifiche di tipo avviso popupsolo nella modalità interfaccia utente di Windows.

Attivazione delle notifiche di tipo avviso popup

Gli utenti possono scegliere di ricevere notifiche di tipo avviso popup modificando leimpostazioni del PC sull'dispositivo agente OfficeScan. OfficeScan richiede chel'utente attivi manualmente le notifiche di tipo avviso popup.


C-4

Procedura

1. Spostare il puntatore del mouse sull'angolo in basso a destra dello schermo pervisualizzare la barra di accesso.

2. Fare clic su Impostazioni > Modifica impostazioni PC.

Viene visualizzata la schermata Impostazioni PC.

3. Fare clic su Notifiche.

4. Nella sezione Notifiche, impostare le seguenti opzioni su On:

• Mostra notifiche delle app

• Mostra le notifiche delle app nella schermata di blocco (facoltativo)

• Riproduci suoni delle notifiche (facoltativo)

Internet Explorer 10/11Internet Explorer (IE) 10 è il browser predefinito in Windows 8/8.1 e Windows Server2012. Internet Explorer 10 e versioni successive è disponibile in due versioni differenti:una per la nuova interfaccia utente di Windows e una adatta alla modalità desktop.

In Internet Explorer 10 e versioni successive per l'interfaccia utente di Windows, lanavigazione avviene senza plug-in. I programmi plug-in utilizzati in precedenza per lanavigazione Web non si attengono ad alcuno standard prestabilito. Ne consegue cheesiste una grande diversità di qualità del codice impiegato nei plug-in stessi. I plug-ininoltre richiedono una quantità maggiore di risorse di sistema e aumentano il rischio diinfezioni da minacce informatiche.

Microsoft ha sviluppato Internet Explorer 10 e versioni successive per l'interfacciautente di Windows con l'intento di seguire le nuove tecnologie basate su standard esostituire le soluzioni con plug-in utilizzate precedentemente. Nella tabella seguentesono riportate le tecnologie utilizzate da Internet Explorer 10 e versioni successive, checonsentono di sostituire la vecchia tecnologia con plug-in.

Supporto per Windows 8/8.1 e Windows Server 2012

C-5

TABELLA C-3. Confronto tra tecnologie basate su standard e programmi plug-in

FUNZIONALITÀTECNOLOGIA STANDARD

WORLD WIDE WEB (W3C)PLUG-IN EQUIVALENTI DI

ESEMPIO

Video e audio Video e audio HTML5 • Flash

• Apple QuickTime

• Silverlight

Grafica • Canvas HTML5

• SVG (Scalable VectorGraphics)

• Transizioni eanimazioni CSS3(Cascading Style SheetLevel 3)

• Trasformazioni CSS

• Flash

• Apple QuickTime

• Silverlight

• Applet Java

Archiviazione offline • Sistema diarchiviazione Web.

• API di file

• IndexedDB

• API Application Cache

• Flash

• Applet Java

• Google Gears

Comunicazione di rete,condivisione delle risorse,caricamento di file

• Messaggistica WebHTML

• CORS (Cross-OriginResource Sharing)

• Flash

• Applet Java

Microsoft ha sviluppato anche una versione di Internet Explorer 10 e successivecompatibile con i plug-in e destinata unicamente alla modalità desktop. Se un utentedella versione per la modalità interfaccia utente di Windows accede a un sito Web cherichiede l'uso di un programma plug-in aggiuntivo, Internet Explorer 10, e versionisuccessive, visualizza una notifica che richiede all'utente di passare alla modalità desktop.Una volta passati in modalità desktop, l'utente può visualizzare il sito Web che richiedel'uso o l'installazione del programma plug-in di terze parti.


C-6

Supporto della funzione OfficeScan in Internet Explorer10/11

La modalità che l'utente impiega per lavorare con Windows 8/8.1 o Windows Server2012 influisce sulla versione Internet Explorer 10 e successive utilizzata, e pertanto sullivello di supporto offerto dalle diverse funzionalità di OfficeScan. Nella tabella seguenteè dettagliato il livello di supporto per le diverse funzionalità di OfficeScan nella modalitàdesktop e nella modalità interfaccia utente di Windows.

NotaLe funzionalità non elencate offrono il supporto completo in entrambe le modalitàoperative di Windows.

TABELLA C-4. Supporto della funzione OfficeScan con la modalità interfaccia utente

FUNZIONE MODALITÀ DESKTOPMODALITÀ INTERFACCIA

UTENTE DI WINDOWS

Console server Web Supporto completo Non supportato

Reputazione Web Supporto completo Supporto limitato

• Scansione del trafficoHTTPS disattivata

Firewall Supporto completo Supporto limitato

• Filtro di applicazionidisattivato

D-1

Appendice D

Rollback di OfficeScanIn questa appendice sono riportate le informazioni relative al supporto del rollbackdell'agente e del server OfficeScan.


D-2

Rollback del server OfficeScan e degli agentiOfficeScan

La procedura di rollback di OfficeScan comporta il ripristino degli agenti OfficeScan equindi del server OfficeScan.

Importante

• Gli amministratori possono effettuare il rollback del server OfficeScan e degli agentisolo con l'utilizzo di questa procedura, se l'amministratore ha scelto di effettuare ilbackup del server durante il processo di installazione. Se i file di backup del server nonsono disponibili, per le procedure di rollback manuale fare riferimento allaGuidaall'installazione e all'aggiornamento delle versioni di OfficeScan precedentemente installate.

• Questa versione di OfficeScan supporta solo i rollback per le versioni di OfficeScanseguenti:

• OfficeScan 10.6 (incluse tutte le versioni dei Service Pack)

• OfficeScan 10.5

• OfficeScan 10.0

Rollback degli agenti OfficeScanOfficeScan esegue il rollback solo degli agenti OfficeScan che hanno la stessa versionedel server ripristinato. Non è possibile effettuare il rollback degli agenti OfficeScan chehanno una versione precedente rispetto al server.

Importante

Assicurarsi che il rollback degli agenti OfficeScan venga effettuato prima del rollback delserver OfficeScan.

Procedura

1. Assicurarsi che gli agenti OfficeScan siano in grado di effettuare l'aggiornamentodel programma agente.

Rollback di OfficeScan

D-3

a. Nella console Web OfficeScan 11.0, accedere a Agenti > Gestione agente.

b. Selezionare gli agenti OfficeScan su cui eseguire il rollback.

c. Fare clic su Impostazioni > Privilegi e altre impostazioni > Altreimpostazioni.

d. Attivare l'opzione Gli agenti OfficeScan possono aggiornare icomponenti, ma non possono aggiornare il programma agente néimplementare le hotfix.

2. Nella console Web OfficeScan 11.0, accedere a Aggiornamenti > Agenti >Origine aggiornamenti.

3. Selezionare Origine aggiornamenti personalizzata.

4. Nell'Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.


5. Digitare gli indirizzi IP degli agenti OfficeScan di cui eseguire il rollback.

6. Digitare l'URL dell'origine degli aggiornamenti.

Ad esempio, digitare:

http://<Indirizzo IP del server OfficeScan>:<port>/OfficeScan/download/Rollback



Quando un agente OfficeScan di cui si esegue il rollback viene aggiornato da questaorigine aggiornamenti, questo viene disinstallato e viene installata la versioneprecedente dell'agente OfficeScan.

Suggerimento

Gli amministratori possono velocizzare il processo di rollback avviando unAggiornamento manuale sugli agenti OfficeScan. Per i dettagli, consultareAggiornamento manuale degli agenti OfficeScan a pagina 6-48.


D-4

9. Una volta installata la versione precedente dell'agente OfficeScan, chiedereall'utente di riavviare il computer.

Dopo aver completato il processo di rollback, l'agente OfficeScan continua ainviare la segnalazione allo stesso server OfficeScan.

NotaUna volta effettuato il rollback dell'agente OfficeScan, tutti i componenti, incluso ilPattern antivirus, eseguono il rollback alla versione precedente. Se gli amministratorinon effettuano il rollback del server OfficeScan, l'agente OfficeScan sottoposto arollback non può aggiornare i componenti. Gli amministratori devono cambiarel'origine aggiornamenti dell'agente OfficeScan su cui è stato eseguito il rollback conl'origine aggiornamenti standard per ricevere ulteriori aggiornamenti dei componenti.

Rollback del server OfficeScanPer effettuare la procedura di rollback del server OfficeScan, gli amministratori devonointerrompere manualmente i servizi Windows, aggiornare il registro di sistema esostituire i file del server OfficeScan nella directory di installazione di OfficeScan.

ImportanteAssicurarsi che il rollback degli agenti OfficeScan venga effettuato prima del rollback delserver OfficeScan.

Procedura

1. Sul computer del server OfficeScan, interrompere i seguenti servizi:

• Firewall di difesa dalle intrusioni (se installato)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• OfficeScan Active Directory Integration Service

• OfficeScan Control Manager Agent

Rollback di OfficeScan

D-5

• OfficeScan Plug-in Manager

• Servizio principale OfficeScan

• Apache 2 (se si utilizza il server Web Apache)

• Servizio di pubblicazione World Wide Web (se si utilizza il server Web IIS)

2. Copiare e sostituire tutti i file e le directory dalla directory <Cartella di installazione delserver>\PCCSRV\Download\Rollback\ alla directory <Cartella di installazione delserver>\PCCSRV\Download\.

3. Fare clic su Start, digitare regedit e premere INVIO.

Viene visualizzata la schermata Editor del Registro di sistema.

4. Nel riquadro di navigazione a sinistra, selezionare una delle chiavi di registroseguenti:

• Per sistemi a 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service

• Per sistemi a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\Officescan\service

5. Andare a File > Importa....

6. Selezionare il file .reg nella directory <Cartella di installazione del server>\PCCSRV\Download\Rollback\.

7. Fare clic su Sì per ripristinare tutte le chiavi della versione di OfficeScanprecedente.

8. Aprire un editor della riga di comando (fare clic su Start, digitare cmd.exe) einserire i seguenti comandi per reimpostare il contatore delle prestazioni di LocalWeb Classification Server:

cd <Cartella di installazione del server>\PCCSRV\LWCS

regsvr32.exe /u /s perfLWCSPerfMonMgr.dll

regsvr32.exe /s perfLWCSPerfMonMgr.dll

9. Riavviare i seguenti servizi:


D-6

• Firewall di difesa dalle intrusioni (se installato)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• OfficeScan Active Directory Integration Service

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• Servizio principale OfficeScan

• Apache 2 (se si utilizza il server Web Apache)

• Servizio di pubblicazione World Wide Web (se si utilizza il server Web IIS)

10. Disinfettare la cache di Internet Explorer e rimuovere manualmente i controlliActiveX. Per maggiori dettagli sulla rimozione dei controlli ActiveX in InternetExplorer 9, consultare la pagina http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9.

Il server OfficeScan è stato ripristinato alla versione installata precedentemente.

SuggerimentoGli amministratori possono verificare la corretta esecuzione del rollback controllandoil numero della versione di OfficeScan nella schermata Informazioni su (Guida >Informazioni su).

11. Dopo aver confermato l'esecuzione del rollback di OfficeScan, eliminare tutti i filedalla directory <Cartella_installazione_server>\PCCSRV\Download\Rollback\.

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

E-1

Appendice E

GlossarioI termini contenuti in questo glossario forniscono ulteriori informazioni sui terminiinformatici più comuni e sui prodotti e le tecnologie Trend Micro.


E-2

ActiveUpdateActiveUpdate è una funzione condivisa da molti prodotti Trend Micro. Collegandosi alsito Web degli aggiornamenti di Trend Micro, ActiveUpdate consente di scaricare viaInternet le versioni più recenti dei file di pattern, dei motori di scansione e dei file diprogramma.

File compressoSingolo file contenente uno o più file separati e le informazioni necessarie perl'estrazione mediante un apposito programma, come ad esempio WinZip.

CookieMeccanismo per memorizzare le informazioni relative un utente di Internet, quali ilnome, le preferenze e gli interessi; tali informazioni sono memorizzate nel browser Webper essere utilizzate successivamente. Quando un utente accede a un sito Web per ilquale nel browser è presente un cookie, il browser invia il cookie al server Web equest'ultimo lo utilizza per presentare all'utente pagine Web personalizzate. L'utente, adesempio, può ricevere un messaggio di benvenuto personalizzato contenente il proprionome.

Attacco DoS (Denial of Service)Un attacco DoS (Denial of Service) all'dispositivo o alla rete provoca una perdita di"servizio", cioè della connessione di rete. In genere, gli attacchi DoS hanno effettinegativi sull'ampiezza di banda della rete o provocano un sovraccarico delle risorse delsistema, ad esempio della memoria dell'dispositivo.

Glossario

E-3

DHCPIl protocollo DHCP (Dynamic Host Control Protocol) serve ad assegnare gli indirizzi IPdinamici ai dispositivi della rete. A causa dell'assegnazione dinamica degli indirizzi, ognivolta che un dispositivo si connette alla rete può avere un indirizzo IP diverso. In alcunisistemi l'indirizzo IP del dispositivo cambia anche durante la connessione. Il protocolloDHCP supporta una combinazione di indirizzi IP statici e dinamici.

DNSIl DNS (Domain Name System) è un servizio di query di dati generico utilizzatoprincipalmente in Internet per convertire i nomi degli host in indirizzi IP.

Il termine risoluzione indica il processo secondo il quale un agente DNS richiede a unserver DNS i dati relativi all'indirizzo e al nome dell'host. La configurazione DNS dibase prevede che un server esegua la risoluzione predefinita. Si prenda come esempio unserver remoto che invia a un server una query per ottenere i dati relativi a una macchinanella zona corrente. Il software agente nel server remoto invia la query al resolver, cherisponde alla richiesta utilizzando i file del proprio database.

Nome dominioIl nome completo di un sistema, formato dal nome host logico e dal nome di dominio,ad esempio tellsitall.com. Un nome di dominio in genere è sufficiente perdeterminare l'indirizzo univoco di qualsiasi host presente su Internet. Questa procedura,detta "risoluzione del nome", utilizza il Domain Name System (DNS).

Indirizzo IP dinamicoUn indirizzo IP dinamico è un indirizzo IP assegnato da un server DHCP. L'indirizzoMAC di un dispositivo non cambia ma al dispositivo può venire assegnato un nuovoindirizzo IP dal server DHCP in base alla disponibilità.


E-4

ESMTPESMTP (Enhanced Simple Mail Transport Protocol) include la sicurezza,l'autenticazione e altri dispositivi per risparmiare l'ampiezza di banda e proteggere iserver.

Contratto di licenza per l'utente finaleIl Contratto di licenza è il contratto legale tra un produttore di software e un utente disoftware. Di solito contiene limitazioni sull'uso del prodotto da parte dell'utente; perrifiutare il contratto, non fare clic su "Accetto" durante l'installazione. Se si fa clic su"Non accetto" l'installazione del prodotto software non viene completata.

Molti utenti accettano inavvertitamente l'installazione di spyware e altri tipi di graywaresui computer quando fanno clic su "Accetto" alle richieste EULA visualizzate durantel'installazione di alcuni software gratuiti.

Falso allarmeUn falso allarme si verifica quando un software di protezione considera infetto un fileche in realtà non lo è.

FTPFTP (File Transfer Protocol) è un protocollo standard utilizzato per il trasferimento difile da un server a un client tramite Internet. Per ulteriori informazioni, consultare ildocumento RFC 959 del Network Working Group.

GeneriCleanGeneriClean, conosciuta anche come disinfezione dei riferimenti, è una nuovatecnologia per la disinfezione dei virus e delle minacce che funziona anche in assenza dei

Glossario

E-5

componenti di disinfezione virale. Utilizzando un file rilevato come base, GeneriCleandetermina se al file rilevato corrispondono un processo/servizio in memoria e una vocedi registro e li rimuove direttamente.

Hot FixUna hot fix è un accorgimento o una soluzione a un problema specifico riscontrato dagliutenti. Le hot fix sono specifiche per determinati problemi e pertanto non vengonodistribuiti a tutti i clienti. Le hot fix Windows comprendono un programma diinstallazione a differenza delle hot fix non Windows che non lo comprendono (di solitoè necessario interrompere i daemon, copiare il file per sovrascriverne la contropartenell'installazione personale e riavviare i daemon).

Per impostazione predefinita, gli agenti OfficeScan sono in grado di installare le hot fix.Se non si desidera che gli agenti OfficeScan installino le hotfix, modificare leimpostazioni di aggiornamento dell'agente tramite la console Web, da Agenti >Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altreimpostazioni.

Se non si riesce a implementare correttamente una hot fix nel server OfficeScan,utilizzare Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questoconsente a OfficeScan di interpretare il file hot fix come nuovo elemento per cui ilserver tenta nuovamente di implementarlo automaticamente. Per maggiori dettagli suquesto strumento, vedere Esecuzione di Touch Tool per le hot fix dell'agente OfficeScan a pagina6-57.

HTTPHTTP (HyperText Transfer Protocol) è un protocollo standard utilizzato per iltrasferimento di pagine Web (inclusi grafica e contenuti multimediali) da un server a unclient tramite Internet.


E-6

HTTPSSi riferisce al protocollo HTTP (Hypertext Transfer Protocol) che utilizza il protocollodi sicurezza SSL (Secure Socket Layer). Il protocollo HTTPS è una variante delprotocollo HTTP utilizzata per gestire le transazioni sicure.

ICMPTalvolta un gateway o un host di destinazione utilizza il protocollo ICMP (InternetControl Message Protocol) per comunicare con un host di origine, ad esempio persegnalare un errore nell'elaborazione dei datagrammi. Il protocollo ICMP utilizza ilsupporto di base IP come se si trattasse di un protocollo di livello superiore; di fattoICMP è parte integrante del protocollo IP e viene implementato da tutti i moduli IP. Imessaggi ICMP vengono inviati in diverse situazioni: ad esempio, quando undatagramma non è in grado di raggiungere la propria destinazione, quando il gatewaynon dispone di una capacità di memorizzazione nel buffer sufficiente ad inoltrare undatagramma e quando il gateway può indirizzare l'host affinché invii il trafficoutilizzando un percorso più breve. Il protocollo IP non è progettato per essereinteramente affidabile. Lo scopo di questi messaggi di controllo consiste nel fornire unriscontro sui problemi relativi all'ambiente di comunicazione e non nel rendere l'IPaffidabile.

IntelliScanIntelliScan è un metodo di identificazione dei file da analizzare. Per i file eseguibili (adesempio .exe), il tipo di file effettivo viene determinato in base al suo contenuto. Per ifile non eseguibili (ad esempio .txt), il tipo di file effettivo viene determinato in baseall'intestazione del file.

L'utilizzo di IntelliScan offre i vantaggi illustrati di seguito.

• Ottimizzazione delle prestazioni: IntelliScan non influisce sulle applicazionidell'agente perché utilizza risorse di sistema minime.

• Periodo di scansione più breve: IntelliScan utilizza l'identificazione del tipo di fileeffettivo; sottopone a scansione solo i file che sono vulnerabili alle infezioni. Il

Glossario

E-7

tempo di scansione risulta quindi sensibilmente ridotto rispetto alla scansione ditutti i file.

IntelliTrapGli sviluppatori di virus spesso cercano di aggirare i filtri antivirus utilizzando algoritmidi compressione in tempo reale. IntelliTrap contribuisce a ridurre il rischio che tali viruspenetrino nelle reti bloccando i file contenenti file eseguibili compressi in tempo reale eabbinandoli alle caratteristiche di altre minacce informatiche. Poiché IntelliTrapidentifica i file come rischi per la sicurezza e potrebbe erroneamente bloccare file sicuri,è opportuno mettere in quarantena (non eliminare né disinfettare) i file quando si attivaIntelliTrap. Se gli utenti si scambiano regolarmente file eseguibili compressi in temporeale, occorre disattivare IntelliTrap.

IntelliTrap utilizza i seguenti componenti:

• Motore di scansione virus

• Pattern IntelliTrap


IP"Il protocollo IP (Internet Protocol) provvede alla trasmissione di blocchi di datichiamati datagrammi dall'origine alla destinazione, laddove per origine e destinazione siintendono host identificati da indirizzi di lunghezza fissa." (RFC 791)

File JavaJava è un linguaggio di programmazione di uso generico sviluppato da SunMicrosystems. Un file Java è un file che contiene codice Java. Il linguaggio Java supportala programmazione per Internet attraverso le "applet" Java indipendenti dallapiattaforma. Un'applet Java è un programma scritto in linguaggio Java e che può essereincluso in una pagina HTML. Quando si utilizza un browser compatibile con tecnologia


E-8

Java per visualizzare una pagina contenente un'applet, l'applet trasferisce il codiceall'dispositivo e la Java Virtual Machine del browser esegue l'applet.

LDAPIl protocollo LDAP (Lightweight Directory Access Protocol) è un protocollo diapplicazione per inviare query e modificare i servizi di directory utilizzando TCP/IP.

Porta di ascoltoLa porta di ascolto è utilizzata per le richieste di connessione all'agente al fine discambiare dati.

MCP AgentTrend Micro Management Communication Protocol (MCP) è l'agent di prossimagenerazione di Trend Micro per i prodotti gestiti. MCP sostituisce Trend MicroManagement Infrastructure (TMI) per la comunicazione tra Control Manager eOfficeScan. MCP ha diverse nuove funzioni:

• Carico di rete e dimensioni pacchetti ridotti

• Supporto traversale NAT e firewall

• Supporto HTTPS

• Supporto di comunicazione a una via e a due vie

• Supporto SSO (Single Sign-On)

• Supporto nodo cluster

Glossario

E-9

Minaccia di tipo mistoLe minacce di tipo misto sfruttano vari punti di accesso e vulnerabilità delle retiaziendali. Alcuni esempi di questo tipo di minacce sono "Nimda" e "CodeRed".

NATNAT (Network Address Translation) è uno standard per convertire gli indirizzi IP sicuriin indirizzi IP registrati, esterni e temporanei di un pool di indirizzi. Ciò consente allereti affidabili con indirizzi IP assegnati privatamente di avere accesso a Internet. Diconseguenza non è necessario ottenere un indirizzo IP registrato per ogni macchinadella rete.

NetBIOSNetBIOS (Network Basic Input Output System) è un'API che aggiunge funzionalitàquali capacità di rete al BIOS del DOS.

Comunicazione unidirezionaleL'attraversamento NAT è diventato un problema sempre più significativo nell'odiernarealtà degli ambienti di rete. Per risolvere questo problema, MCP utilizza unacomunicazione unidirezionale. La comunicazione a una via si realizza tramite l'MCPAgent che da una parte avvia la connessione al server e dall'altra effettua il polling deicomandi sempre dal server. Ogni richiesta è una query di comando di tipo CGI o unatrasmissione di registro. Per ridurre l'impatto sulla rete, l'MCP Agent mantiene attiva laconnessione e la apre al massimo. Una richiesta successiva utilizza una connessioneaperta esistente. Se la connessione si interrompe, tutte le connessioni SSL dello stessohost utilizzeranno la cache dell'ID di sessione e questo ridurrà i tempi di riconnessione.


E-10

PatchLa patch è un gruppo di hot fix e patch di protezione che risolve vari problemi di unprogramma. Trend Micro rende disponibili le patch regolarmente. Le patch Windowsincludono un programma di installazione al contrario delle patch non Windows che disolito dispongono di uno script di installazione.

Attacco di phishingIl phishing è una forma di frode in rapida ascesa che consiste nell'ingannare gli utentiWeb spingendoli a divulgare informazioni riservate tramite siti Web falsi che imitano sitilegittimi.

In una situazione tipo, l'utente ignaro riceve un messaggio e-mail urgente (dall'aspettoufficiale) che lo informa di un problema verificatosi con il suo account, da risolvereimmediatamente pena la chiusura dell'account stesso. Il messaggio e-mail comprende unURL di un sito Web simile a quello autentico. Il messaggio ingannevole viene realizzatocopiando un indirizzo e-mail ed un sito Web autentico e cambiando il back-end chericeve i dati raccolti.

Il messaggio invita l'utente ad accedere al sito e a confermare alcune informazionirelative all'account. In questo modo, l'hacker che ha creato il falso sito ricevedirettamente i dati inseriti dall'utente come il suo nome utente, la password, il numerodella carta di credito o il codice fiscale.

Il phishing è rapido, economico e facile da realizzare. Potenzialmente, è anche alquantoredditizio per i criminali che lo praticano. Rilevare il phishing è difficile anche per gliutenti più esperti. È difficile rintracciarlo anche per le forze dell'ordine. E per di più èquasi impossibile perseguirlo per legge.

È possibile segnalare a Trend Micro eventuali siti Web che si sospetta siano siti diphishing.

Glossario

E-11

PingPing è un'utilità che invia una richiesta echo ICMP a un indirizzo IP e attende unarisposta. L'utilità ping può determinare se l'dispositivo con l'indirizzo IP specificato èonline.

POP3POP3 (Post Office Protocol) è un protocollo standard utilizzato per la memorizzazionee il trasferimento di messaggi e-mail da un server a un'applicazione client di postaelettronica.

Server proxyUn server proxy è un server World Wide Web che accetta URL dotati di un appositoprefisso, utilizzato per recuperare documenti da una cache locale o da un server remotoe per ritrasmettere l'URL al richiedente.

RPCRPC (Remote Procedure Call) è un protocollo di rete che consente di eseguire unprogramma su un host per fare in modo che il codice sia eseguito su un altro host.

Patch di protezioneUna patch di protezione risolve i problemi di sicurezza e può essere implementata sututti i clienti. Le patch di protezione Windows includono un programma di installazioneal contrario delle patch non Windows che di solito dispongono di uno script diinstallazione.


E-12

Service PackUn service pack è un consolidamento di hot fix, patch e miglioramenti alle funzioni ed èsignificativo al punto da rappresentare un aggiornamento del prodotto. Sia i service packWindows che non Windows includono un programma di installazione e uno script diinstallazione.

SMTPSMTP (Simple Mail Transport Protocol) è un protocollo standard utilizzato per iltrasferimento di messaggi e-mail tra server e tra agenti e server, tramite Internet.

SNMPSNMP (Simple Network Management Protocol) è un protocollo che supporta ilmonitoraggio dei dispositivi collegati a una rete a fini amministrativi.

Trap SNMPUn trap SNMP (Small Network Management Protocol) è un metodo di invio dellenotifiche agli amministratori di rete che utilizzano console di gestione con supporto perquesto protocollo.

OfficeScan può memorizzare la notifica nelle MIB (Management Information Bases).Per visualizzare la notifica del trap SNMP, si può utilizzare il browser MIB.

SOCKS 4SOCKS 4 è un protocollo TCP utilizzato dai server proxy per stabilire una connessionetra gli agenti della rete interna o della LAN e gli dispositivo o i server non appartenenti

Glossario

E-13

alla LAN. Il protocollo SOCKS 4 invia richieste di connessione, imposta circuiti proxy einoltra i dati al livello applicazioni del modello OSI.

SSLSSL (Secure Socket Layer) è un protocollo progettato da Netscape per offrire lasicurezza dei dati tra i protocolli applicativi (come HTTP, Telnet or FTP) e TCP/IP.Questo protocollo di sicurezza fornisce crittografia dei dati, autenticazione del server,integrità dei messaggi e autenticazione dell'agente facoltativa per la connessione TCP/IP.

Certificato SSLQuesto certificato digitale stabilisce una comunicazione HTTPS sicura.

TCPTCP (Transmission Control Protocol) è un protocollo end-to-end affidabile e orientatoalle connessioni, progettato per essere idoneo a una gerarchia a più livelli di protocolliche supporta applicazioni multi-rete. Per la risoluzione degli indirizzi, TCP si affida aidatagrammi IP. Per ulteriori informazioni, consultare il documento RFC 793 delDARPA Internet Program.

TelnetTelnet è un metodo standard di comunicazione tra dispositivi terminali tramite TCPmediante la creazione di un terminale virtuale di rete (NVT, Network Virtual Terminal).Per ulteriori informazioni, consultare il documento RFC 854 del Network WorkingGroup.


E-14

Porta dei cavalli di TroiaLe porte dei cavalli di Troia sono normalmente utilizzate dagli omonimi programmi perconnettersi agli dispositivo. Durante un'infezione OfficeScan blocca le porte chepossono essere utilizzate dai programmi cavalli di Troia e contrassegnate dai numeririportati di seguito:

TABELLA E-1. Porte dei cavalli di Troia

NUMERO DI PORTAPROGRAMMA

CAVALLO DI TROIANUMERO DI PORTA

PROGRAMMACAVALLO DI TROIA

23432 Asylum 31338 Net Spy

31337 Back Orifice 31339 Net Spy

18006 Back Orifice 2000 139 Nuker

12349 Bionet 44444 Prosiak

6667 Bionet 8012 Ptakks

80 Codered 7597 Qaz

21 DarkFTP 4000 RA

3150 Deep Throat 666 Ripper

2140 Deep Throat 1026 RSM

10048 Delf 64666 RSM

23 EliteWrap 22222 Rux

6969 GateCrash 11000 Senna Spy

7626 Gdoor 113 Shiver

10100 Gift 1001 Silencer

21544 Girl Friend 3131 SubSari

7777 GodMsg 1243 Sub Seven

6267 GW Girl 6711 Sub Seven

Glossario

E-15

NUMERO DI PORTAPROGRAMMA

CAVALLO DI TROIANUMERO DI PORTA

PROGRAMMACAVALLO DI TROIA

25 Jesrto 6776 Sub Seven

25685 Moon Pie 27374 Sub Seven

68 Mspy 6400 Thing

1120 Net Bus 12345 Valvo line

7300 Net Spy 1234 Valvo line

Porta affidabilePer comunicare, il server e l'agente OfficeScan utilizzano delle porte affidabili.

Se si bloccano le porte affidabili e si ripristinano le normali impostazioni di rete dopoun'infezione, gli agenti OfficeScan non possono riprendere immediatamente lacomunicazione con il server. La comunicazione agente-server viene ripristinata soltantoal raggiungimento del numero di ore specificato nella schermata Impostazioni diprevenzione delle infezioni.

OfficeScan utilizza la porta HTTP (impostazione predefinita: 8080) come portaaffidabile sul server. Nel corso dell'installazione, è possibile immettere un numero diporta diverso. Per bloccare questa porta affidabile e la porta affidabile sull'agenteOfficeScan, selezionare la casella di controllo Blocca porta affidabile nella schermataBlocco delle porte.

Nel corso dell'installazione, il programma di installazione principale genera dei numeri diporta affidabili causali per l'agente OfficeScan.

Determinazione delle porte affidabili

Procedura

1. Accedere a <Cartella di installazione del server>\PCCSRV.

2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.


E-16

3. Per determinare la porta affidabile sul server, individuare la stringa"Master_DomainPort" e controllare il valore posto accanto alla stessa.

Se, ad esempio, la stringa è Master_DomainPort=80, la porta affidabile sulserver corrisponde alla numero 80.

4. Per determinare la porta affidabile sull'agente, individuare la stringa"Client_LocalServer_Port" e controllare il valore posto accanto alla stessa.

Se, ad esempio, la stringa è Client_LocalServer_Port=41375, la portaaffidabile sull'agente corrisponde alla numero 41375.

Comunicazione bidirezionaleLa comunicazione bidirezionale è un'alternativa alla comunicazione unidirezionale. Lacomunicazione a due vie si basa sulla comunicazione a una via, ma ha un canale basatosu HTTP extra che riceve le notifiche dal server; in tal modo è in grado di migliorarel'invio e l'esecuzione dei comandi dal server all'MCP Agent.

UDPUDP (User Datagram Protocol) è un protocollo non orientato alla connessione,utilizzato insieme al protocollo IP per consentire ai programmi applicativi di inviaremessaggi ad altri programmi. Per ulteriori informazioni, consultare il documento RFC768 del DARPA Internet Program.

File non disinfettabiliIl motore di scansione virus non è in grado di disinfettare i seguenti file:

Glossario

E-17

TABELLA E-2. Soluzioni per file non disinfettabili

FILE NONDISINFETTABILE

SPIEGAZIONE E SOLUZIONE

File infettati dacavalli di Troia

I cavalli di Troia sono dei programmi che eseguono operazioninon previste o non autorizzate in genere con intenti dannosi,come visualizzare messaggi, eliminare file e formattare dischi. Icavalli di Troia non infettano i file, quindi non è necessarioeseguire la disinfezione.

Soluzione: Motore di disinfezione virus e Modello di disinfezionevirus rimuovono i cavalli di Troia.

File infettati daworm

Un worm è un programma (o gruppo di programmi) autonomo ingrado di diffondere copie funzionanti di se stesso o di suoisegmenti ad altri dispositivo. La propagazione avviene in generemediante le connessioni alla rete o gli allegati e-mail. I worm nonpossono essere disinfettati dal momento che ciascun file è unprogramma autonomo.

Soluzione: Trend Micro consiglia di eliminare i worm.

File infetti protetti dascrittura

Soluzione: rimuovere la protezione da scrittura per consentire didisinfettare il file.

File protetti tramitepassword

I file protetti da password includono file compressi protetti dapassword o file Microsoft Office protetti da password.

Soluzione: rimuovere la protezione da password per consentire didisinfettare il file.

File di backup I file con l'estensione RB0~RB9 sono copie di backup dei fileinfetti. Il processo di disinfezione effettua il backup dei file infettiper disporre di una copia del file originale qualora venissedanneggiato nel corso della disinfezione.

Soluzione: se la disinfezione viene completata correttamente, nonè necessario conservare le copie di backup del file infetto. Se ilfunzionamento dell'dispositivo non presenta problemi, è possibileeliminare i file di backup.


E-18



File infetti presentinel Cestino

Il sistema potrebbe non consentire la rimozione dei file infettipresenti nel Cestino perché il sistema è in esecuzione.

Soluzione su Windows XP o Windows Server 2003 con FileSystem NTFS:

1. Accedere all'dispositivo con privilegi di amministratore.

2. Chiudere tutte le applicazioni in esecuzione per impedire cheil file venga bloccato; in tal caso infatti Windows non sarebbein grado di eliminarlo.


4. Per eliminare i file, digitare le seguenti stringhe:

cd \

cd recycled

del *.* /S

L'ultimo comando immesso elimina tutti i file presenti nelCestino.

5. Verificare che i file siano stati rimossi.

Soluzione su altri sistemi operativi (o senza NTFS):

1. Riavviare l'dispositivo in modalità MS-DOS.


3. Per eliminare i file, digitare le seguenti stringhe:

cd \

cd recycled

del *.* /S

L'ultimo comando immesso elimina tutti i file presenti nelCestino.

Glossario

E-19



File infetti contenutinella cartella Tempdi Windows o nellacartella dei filetemporanei diInternet Explorer

Il sistema potrebbe non consentire la disinfezione dei file infetticontenuti nella cartella Temp di Windows o nella cartella dei filetemporanei di Internet Explorer perché l'dispositivo li stautilizzando. I file che si desidera disinfettare potrebbero essere deifile temporanei necessari per il corretto funzionamento diWindows.


E-20



Soluzione su Windows XP o Windows Server 2003 con FileSystem NTFS:

1. Accedere all'dispositivo con privilegi di amministratore.

2. Chiudere tutte le applicazioni in esecuzione per impedire cheil file venga bloccato; in tal caso infatti Windows non sarebbein grado di eliminarlo.

3. Se il file infetto si trova nella cartella Temp di Windows:

a. Aprire il prompt dei comandi e accedere alla cartellaTemp di Windows (negli dispositivo Windows XP oWindows Server 2003 è per impostazione predefinita inC:\Windows\Temp).

b. Per eliminare i file, digitare le seguenti stringhe:

cd temp

attrib -h

del *.* /S

L'ultimo comando immesso elimina tutti i file presentinella cartella Temp di Windows.

4. Se il file infetto si trova nella cartella dei file temporanei diInternet Explorer:

a. Aprire il prompt dei comandi e accedere alla cartella deifile temporanei di Internet Explorer (negli dispositivoWindows XP o Windows Server 2003 è per impostazionepredefinita C:\Documents and Settings\<nomeutente>\Local Settings\Temporary InternetFiles.


cd tempor~1

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella temporanea di InternetExplorer.

c. Verificare che i file siano stati rimossi.

Glossario

E-21



Soluzione su altri sistemi operativi (o senza NTFS):

1. Riavviare l'dispositivo in modalità MS-DOS.

2. Se il file infetto si trova nella cartella Temp di Windows:

a. Aprire il prompt dei comandi e accedere alla cartellaTemp di Windows (negli dispositivo Windows XP oWindows Server 2003 è per impostazione predefinita inC:\Windows\Temp).


cd temp

attrib -h

del *.* /S

L'ultimo comando immesso elimina tutti i file presentinella cartella Temp di Windows.

c. Riavviare l'dispositivo in modalità provvisoria.

3. Se il file infetto si trova nella cartella dei file temporanei diInternet Explorer:

a. Aprire il prompt dei comandi e accedere alla cartella deifile temporanei di Internet Explorer (negli dispositivoWindows XP o Windows Server 2003 è per impostazionepredefinita C:\Documents and Settings\<nomeutente>\Local Settings\Temporary InternetFiles.


cd tempor~1

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella temporanea di InternetExplorer.

c. Riavviare l'dispositivo in modalità provvisoria.


E-22



File compressiutilizzando unformato dicompressione nonsupportato

Soluzione: File non compressi.

File bloccati o filetemporaneamentein esecuzione

Soluzione: Sbloccare i file o attendere che i file vengano eseguiti.

File danneggiati Soluzione: Eliminare i file.

File infettati da cavalli di Troia

I cavalli di Troia sono dei programmi che eseguono operazioni non previste o nonautorizzate in genere con intenti dannosi, come visualizzare messaggi, eliminare file eformattare dischi. I cavalli di Troia non infettano i file, quindi non è necessario eseguirela disinfezione.

Soluzione: per rimuovere i cavalli di Troia, OfficeScan utilizza il Motore di disinfezionevirus e il Modello disinfezione virus.

File infettati da worm

Un worm è un programma (o gruppo di programmi) autonomo in grado di diffonderecopie funzionanti di se stesso o di suoi segmenti ad altri dispositivo. La propagazioneavviene in genere mediante le connessioni alla rete o gli allegati e-mail. I worm nonpossono essere disinfettati dal momento che ciascun file è un programma autonomo.

Soluzione: Trend Micro consiglia di eliminare i worm.

File infetti protetti da scrittura

Soluzione: rimuovere la protezione per consentire a OfficeScan di disinfettare il file.

Glossario

E-23

File protetti tramite password

Si tratta di file compressi protetti da password oppure file di Microsoft Office protetti dapassword.

Soluzione: rimuovere la password per consentire a OfficeScan di disinfettare i file.

File di backup

I file con l'estensione RB0~RB9 sono copie di backup dei file infetti. OfficeScaneffettua il backup dei file infetti per disporre di una copia del file originale qualoravenisse danneggiato nel corso della disinfezione.

Soluzione: se OfficeScan riesce a disinfettare i file correttamente, non è necessarioconservare le copie di backup. Se il funzionamento dell'dispositivo non presentaproblemi, è possibile eliminare i file di backup.

IN-1

IndiceAaccount utente, 2-5

dashboard, 2-5ActiveAction, 7-39Active Directory, 2-35–2-38, 2-52, 2-57, 5-14, 5-32

ambito e query, 14-71credenziali, 2-37gestione server esterni, 2-36integrazione, 2-35personalizza gruppi di agenti, 2-36raggruppamento agenti, 2-52role-based administration (RBA), 2-35sincronizzazione, 2-37, 2-38struttura duplicata, 2-57

ActiveSync, 10-36Agente OfficeScan

agenti inattivi, 14-25chiavi di registro, 14-16Connessione al server OfficeScan, 14-26,14-41connessione a Smart Protection Server,14-42disinstallazione, 5-73file, 14-15importazione ed esportazione delleimpostazioni, 14-55informazioni dettagliate sull'agente,14-55metodi di installazione, 5-11processi, 14-16spazio su disco riservato, 6-52

agenti, 2-52, 2-60, 2-61, 4-33, 4-34, 5-2caratteristiche, 5-3connessione, 4-33

eliminazione, 2-60impostazioni proxy, 4-33installazione, 5-2località, 4-34raggruppamento, 2-52spostamento, 2-61

agenti inattivi, 14-25agenti non raggiungibili, 14-45agenti roaming, 5-6, 5-8agent mover, 14-23Agent Packager, 5-13, 5-25, 5-29, 5-32, 5-33

implementazione, 5-25impostazioni, 5-29

aggiornamenti, 4-20, 4-21agenti, 6-30implementazione, 6-55integrated Smart Protection Server,4-20, 4-21Server OfficeScan, 6-17Update Agent, 6-58

AggiornamentoSmart Protection Server, 6-16, 6-30

aggiornamento agenteaggiornamento pianificato, 6-43aggiornamento pianificato con NAT,6-45automatici, 6-41dal server ActiveUpdate., 6-50disattiva, 6-50manuale, 6-47origine personalizzata, 6-35origine standard, 6-34privilegi, 6-49provocato da evento, 6-41


IN-2

aggiornamento OfficeScan, 6-14aggiornamento server

aggiornamento manuale, 6-28aggiornamento pianificato, 6-28duplicazione dei componenti, 6-23impostazioni proxy, 6-21metodi di aggiornamento, 6-27registri, 6-29

Aggiorna ora, 6-51Applicazioni di messaggistica istantanea,10-28Appunti di Windows, 10-36Assistenza

Knowledge Base (database diinformazioni tecniche), 17-2risoluzione rapida dei problemi, 17-4TrendLabs, 17-6

Attacco frammento minuscolo, 12-5Attacco LAND, 12-6attributi di file, 10-5, 10-11–10-13

caratteri jolly, 10-12creazione, 10-12importazione in corso, 10-13

AutoPcc.exe, 5-12, 5-13, 5-22, 5-23autorizzazioni

avanzate, 9-12dispositivi di archiviazione, 9-4dispositivi non di archiviazione, 9-11nome e percorso del programma, 9-9

autorizzazioni avanzateconfigurazione, 9-12dispositivi di archiviazione, 9-6, 9-7

azione per eventi di sistema controllati, 8-5azioni

Prevenzione perdita di dati, 10-37azioni di scansione, 7-37

spyware/grayware, 7-50virus/minacce informatiche, 7-74

BBlocco del comportamento malware, 8-2blocco delle porte, 7-111

Ccache della firma digitale, 7-67Callback C&C

impostazioni globalielenchi di indirizzi IP definitidall'utente, 11-13

widget, 2-27canali di applicazioni e sistemi, 10-25,10-32–10-36

Appunti di Windows, 10-36archiviazione cloud, 10-33CD/DVD, 10-33dispositivi di archiviazione rimovibili,10-35peer-to-peer (P2P), 10-34sincronizzazione software, 10-36stampante, 10-34

Canali di applicazioni e sistemi, 10-34Crittografia PGP, 10-34

canali di rete, 10-25, 10-27–10-29, 10-31, 10-32,10-39

ambito trasmissione, 10-32conflitti, 10-32trasmissioni esterne, 10-31tutte le trasmissioni, 10-29

Applicazioni di messaggisticaistantanea, 10-28client di posta elettronica, 10-25destinazioni e ambito dellatrasmissione, 10-29

Indice

IN-3

destinazioni monitorate, 10-32, 10-39destinazioni non monitorate, 10-32, 10-39FTP, 10-27HTTP e HTTPS, 10-28Protocollo SMB, 10-28webmail, 10-29

caratteri jolly, 10-12attributi di file, 10-12controllo dispositivo, 9-10

Case Diagnostic Tool, 16-2codice dannoso ActiveX, 7-4codice dannoso Java, 7-4community, 17-2componenti, 6-2

privilegi e impostazioni diaggiornamento, 6-49sul server OfficeScan, 6-17

Componenti, 2-22, 5-72nell'agente, 6-30riepilogo aggiornamenti, 6-67su Update Agent, 6-58

Conflitto ARP, 12-5Conformità sicurezza, 14-57

Componenti, 14-60gestione server esterni, 2-36, 14-70implementazione, 14-70implementazione dell'aggiornamento,6-55impostazioni, 14-64installazione, 5-63registri, 16-9scansione, 14-62servizi, 14-59valutazioni pianificate, 14-69

console agentelimitazione accesso, 14-18

console Web, 1-10, 2-2–2-4account di accesso, 2-4banner, 2-4informazioni, 2-2password, 2-4requisiti, 2-3URL, 2-3

conteggio registro firewall, 12-26continuità della protezione, 4-11contratto di licenza per l'utente finale (oEULA, End User License Agreement), E-4controllo dispositivo, 9-2, 9-4, 9-6–9-13, 9-15

autorizzazioni, 9-4, 9-6, 9-7, 9-9, 9-11nome e percorso del programma,9-9

autorizzazioni avanzate, 9-12configurazione, 9-12

caratteri jolly, 9-10dispositivi di archiviazione, 9-4, 9-6, 9-7dispositivi esterni, 9-11, 9-15dispositivi non di archiviazione, 9-11Dispositivi USB, 9-13elenco approvati, 9-13gestione accesso, 9-11, 9-15Provider della firma digitale, 9-8requisiti, 9-2

Controllo dispositivo, 1-12notifiche, 9-18registri, 9-18, 16-10

controllo dispositivo;elenco controllodispositivo;elenco controllodispositivo:aggiunta di programmi, 9-16controllo prestazioni, 7-31Control Manager

integrazione con OfficeScan, 13-23Registri di MCP Agent, 16-11


IN-4

criteriespressioni personalizzate, 10-7–10-9firewall, 12-4, 12-9parole chiave, 10-16, 10-17Prevenzione perdita di dati, 10-44reputazione Web, 11-5

criteri di difesa dalle infezioniBlocco delle porte, 7-111esclusioni reciproche, 7-114file compressi eseguibili, 7-115impedire accesso in scrittura, 7-113impedisci accesso ai file compressi,7-115limita/impedisci l'accesso alle cartellecondivise, 7-110trattamento mutex, 7-114

criteri infezione, 7-104, 11-21, 12-31criterio, 10-3

DDamage Cleanup Services, 1-11, 5-4, 5-6dashboard, 2-5

account utente, 2-5Riepilogo, 2-6, 2-7, 2-11

dashboard riepilogocomponenti e programmi, 2-22

dashboard Riepilogo, 2-6, 2-7, 2-11schede, 2-7schede predefinite, 2-11stato della licenza del prodotto, 2-6widget, 2-7widget predefiniti, 2-11

database backup, 13-41destinazioni monitorate, 10-30, 10-32destinazioni non monitorate, 10-30, 10-31Digital Signature Pattern, 6-10, 7-67directory di quarantena, 7-41, 7-47

disinstallazione, 5-73dalla console Web, 5-73Plug-in Manager, 15-12Protezione dati, 3-15uso del programma di disinstallazione,5-74

disinstallazione dell'agente, 5-73dispositivi di archiviazione

autorizzazioni, 9-4autorizzazioni avanzate, 9-6, 9-7

dispositivi esternigestione accesso, 9-11, 9-15

dispositivi non di archiviazioneautorizzazioni, 9-11

Dispositivi USBelenco approvati, 9-13

configurazione, 9-13documentazione, xiidomini, 2-52, 2-59–2-61

aggiunta, 2-59eliminazione, 2-60raggruppamento agenti, 2-52ridenominazione, 2-61

domini di posta elettronica monitorati, 10-26domini di posta elettronica non monitorati,10-26Driver comune firewall, 16-19, 16-20Driver comune Firewall, 6-8, 6-9Driver Early Boot Clean, 6-7Driver monitoraggio del comportamento,6-10Driver scansione dei virus, 6-5DSP, 9-8duplicazione dei componenti, 6-23, 6-64

Eelenco approvati, 7-51

Indice

IN-5

elenco eccezioni, 8-6Monitoraggio del comportamento, 8-6

elenco programmi approvati, 8-6elenco programmi bloccati, 8-6Elenco siti Web bloccati, 4-9, 4-22Elenco software sicuro certificato, 12-3Enciclopedia dei virus, 7-5esclusioni scansione, 7-32, 7-33

directory, 7-34estensioni dei file, 7-36file, 7-36

Esegui scansione, 7-24esporta impostazioni, 14-55espressioni, 10-5, 10-6

personalizzata, 10-7, 10-10criteri, 10-7–10-9

predefinito, 10-6espressioni personalizzate, 10-7–10-10

criteri, 10-7–10-9importazione in corso, 10-10

espressioni predefinite, 10-6visualizzazione, 10-6

eventi di sistema controllati, 8-3

FFalso antivirus, 7-44file COM infettante, 7-4file compressi, 7-30, 7-74

regole di decompressione, 10-40file crittografati, 7-46file EXE infettante, 7-4file pattern

Elenco siti Web bloccati, 4-9smart protection, 4-8Smart Scan Agent Pattern, 4-8Smart Scan Pattern, 4-9

filtro di applicazioni, 12-3

firewall, 5-4, 5-7, 12-2criteri, 12-9disattivazione, 12-6eccezioni al criterio, 12-14eccezioni predefinite ai criteri, 12-15monitoraggio infezioni, 12-6operazioni, 12-8privilegi, 12-6, 12-23profili, 12-4, 12-18vantaggi, 12-2verifica, 12-32

Flooding SYN, 12-5Frammenti sovrapposti, 12-5Frammento troppo grande, 12-4FTP, 10-27

Ggestione server esterni, 2-36, 14-70

query pianificata, 14-75registri, 16-9risultati query, 14-73

gestore della quarantena, 13-54

Hhot fix, 6-11, 6-57HTTP e HTTPS, 10-28

Iidentificatore di dati, 10-5

attributi di file, 10-5espressioni, 10-5parole chiave, 10-5

IDS, 12-4IGMP frammentato, 12-6immagine disco dell'agente, 5-14, 5-38importa impostazioni, 14-55impostazione cache scansione su richiesta,7-68


IN-6

Impostazione script di accesso, 5-12, 5-13, 5-22,5-23Impostazioni aggiuntive del servizio, 14-6,14-7impostazioni cache per le scansioni, 7-66Impostazioni DHCP, 5-48impostazioni proxy, 4-33

agenti, 4-33impostazioni proxy automatiche, 14-53per connessione esterna, 14-51per connessione interna, 14-50per l'aggiornamento dei componentidel server, 6-21privilegi, 14-52

indirizzo IP gateway, 14-3Indirizzo MAC, 14-3informazioni sul server Web, 13-47installazione, 5-2

agente, 5-2Conformità sicurezza, 5-63Plug-in Manager, 15-3programma plug-in, 15-4Protezione dati, 3-2

installazione agente, 5-2, 5-22Agent Packager, 5-25basato su browser, 5-18dalla console Web, 5-20dalla pagina installazione Web, 5-16Impostazione script di accesso, 5-22post-installazione, 5-70requisiti di sistema, 5-2uso di Conformità sicurezza, 5-63utilizzo dell'immagine disco dell'agente,5-38Utilizzo di Vulnerability Scanner, 5-39

installazione remota, 5-13

integrated Smart Protection Server, 4-19Aggiornamento, 4-20, 4-21

Componenti, 4-21Elenco siti Web bloccati, 4-22ptngrowth.ini, 4-19

IntelliScan, 7-29intranet, 4-13IPv6, 4-26

Assistenza, 4-26IpXfer.exe, 14-23istruzioni condizionali, 10-21

Llicenze, 13-38

Protezione dati, 3-4stato, 2-6

livello sicurezza agente, 14-17località, 4-34

awareness, 4-34location awareness, 14-2LogServer.exe, 16-3, 16-15

Mmetodi di aggiornamento

agenti, 6-40Server OfficeScan, 6-27Update Agent, 6-65

metodo di scansione, 5-26predefinito, 7-9

Microsoft SMS, 5-14, 5-33migrazione

dal server normale ServerProtect, 5-66da software di protezione di terzi, 5-66

minacce Web, 11-2modalità di valutazione, 7-77modelli, 10-20–10-22, 10-24

istruzioni condizionali, 10-21

Indice

IN-7

operatori logici, 10-21personalizzata, 10-21, 10-22, 10-24predefinito, 10-21

modelli personalizzati, 10-21creazione, 10-22importazione in corso, 10-24

modelli predefiniti, 10-21Modello disinfezione virus, 6-7Monitoraggio degli eventi, 8-3Monitoraggio del comportamento, 8-14

azione per eventi di sistema, 8-5elenco eccezioni, 8-6registri, 8-14

Motore di disinfezione virus, 6-7Motore di scansione spyware, 6-8Motore di scansione virus, 6-4Motore Filtro URL, 6-9

NNetBIOS, 2-52Network VirusWall Enforcer, 4-34notifiche

aggiornamento agente, 6-54Controllo dispositivo, 9-18infezioni, 7-104, 11-21, 12-31Pattern dei virus non aggiornato, 6-54per gli amministratori, 10-50, 13-31per gli utenti dell'agente, 7-87, 10-53riavvio dispositivo, 6-54Rilevamenti di callback C&C, 11-21rilevamento delle minacce Web, 11-16rilevamento spyware/grayware, 7-51violazioni del firewall, 12-28virus/minacce informatiche, 7-45

nuove caratteristiche, 1-2

OOfficeScan

agente, 1-13aggiornamento dei componenti, 5-72componenti, 6-2Componenti, 2-22console Web, 2-2database backup, 13-41documentazione, xiiinformazioni, 1-2licenze, 13-38principali funzioni e vantaggi, 1-9programmi, 2-22registri, 13-34scansione database, 7-72server Web, 13-47servizi agenti, 14-12terminologia, xiv

onlinecommunity, 17-2

operatori logici, 10-21operazioni pre-installazione, 5-17, 5-20, 5-63origine aggiornamenti

agenti, 6-33Server OfficeScan, 6-20Update Agent, 6-60

PPacchetto MSI, 5-14, 5-32, 5-33packer, 7-2pagina di installazione sul Web, 5-11, 5-16parametri di scansione

attività utente sui file, 7-28compressione dei file, 7-30file da esaminare, 7-28pianificazione, 7-32Uso della CPU, 7-31


IN-8

parole chiave, 10-5, 10-14personalizzata, 10-16, 10-17, 10-19predefinito, 10-14, 10-15

parole chiave personalizzate, 10-16criteri, 10-16, 10-17importazione in corso, 10-19

parole chiave predefinitedistanza, 10-15numero di parole chiave, 10-15

password, 13-48patch, 6-11patch di protezione, 6-11Pattern dei virus, 6-3, 6-54, 6-56Pattern di configurazione monitoraggio delcomportamento, 6-10Pattern di monitoraggio attivo spyware, 6-8Pattern eccezioni IntelliTrap, 6-6Pattern implementazione dei criteri, 6-10pattern incrementale, 6-23Pattern IntelliTrap, 6-6Pattern rilevamento monitoraggio delcomportamento, 6-9Pattern spyware, 6-8PCRE, 10-7Performance Tuning Tool, 16-2Perl Compatible Regular Expressions, 10-7personalizza gruppi di agenti, 2-36, 2-53phishing, E-10Ping of Death, 12-5Plug-in Manager, 1-10, 5-6, 5-8, 15-2

disinstallazione, 15-12gestione delle funzioni native deiprodotti, 15-4installazione, 15-3risoluzione dei problemi, 15-12

Prevenzione delle infezioni virali, 2-19

criteri, 7-110disattivazione, 7-116

Prevenzione perdita di dati, 10-2, 10-3, 10-5attributi di file, 10-11–10-13azioni, 10-37canali, 10-25canali di applicazioni e sistemi,10-32–10-36Canali di applicazioni e sistemi, 10-34canali di rete, 10-25, 10-27–10-29, 10-31,10-32, 10-39criteri, 10-44criterio, 10-3espressioni, 10-6–10-10identificatore di dati, 10-5modelli, 10-20–10-22, 10-24parole chiave, 10-14–10-17, 10-19regole di decompressione, 10-40widget, 2-24, 2-26

privilegiprivilegi configurazione proxy, 14-52privilegi firewall, 12-23, 12-25privilegio di rimozione, 14-19privilegio di roaming, 14-20privilegi scansione, 7-55privilegi scansione e-mail, 7-64Privilegi scansione pianificata, 7-58

privilegi scansione, 7-55probabile virus/minaccia informatica, 7-5,7-93Programma cavallo di Troia, 1-11, 6-7, 7-3programma Joke, 7-2programma plug-in

installazione, 15-4programmi, 2-22, 6-2protezione automatica dell'agente, 14-13

Indice

IN-9

Protezione datidisinstallazione, 3-15implementazione, 3-6installazione, 3-2licenza, 3-4stato, 3-9

protezione dispositivi esterni, 6-10Protocollo SMB, 10-28Provider della firma digitale, 9-8

specifica, 9-8ptngrowth.ini, 4-19

Rraggruppamento agenti, 2-52–2-54, 2-56–2-61

Active Directory, 2-52, 2-56aggiunta di un dominio, 2-59automatici, 2-53, 2-54DNS, 2-52eliminazione di un dominio o di unagente, 2-60gruppi personalizzati, 2-53Indirizzi IP, 2-57manuale, 2-52, 2-53metodi, 2-52NetBIOS, 2-52operazioni, 2-58ridenominazione di un dominio, 2-61spostamento agenti, 2-61

Raggruppamento automatico agenti, 2-53, 2-54raggruppamento manuale agenti, 2-52, 2-53registri, 13-34

informazioni, 13-34Monitoraggio del comportamento, 8-14registri aggiornamenti agente, 6-55registri dei rischi per la sicurezza, 7-90registri del firewall, 12-24, 12-25, 12-29Registri di controllo dispositivo, 9-18

registri di reputazione Web, 11-23registri di ripristino files in quarantena,7-98registri di ripristino spyware/grayware,7-103registri di scansione, 7-103registri di spyware/grayware, 7-99registri di verifica connessione, 14-44registri di virus/minacce informatiche,7-81, 7-91registri eventi di sistema, 13-33

registri agenteregistri aggiornamenti agente, 16-18registri aggiornamenti e hot fix, 16-17Registri Damage Cleanup Services,16-17Registri della scansione e-mail, 16-18registri di connessioni dell'agente, 16-18registri di debug, 16-15Registri di debug del firewallOfficeScan, 16-19Registri di debug della prevenzionedelle infezioni virali, 16-19registri di debug della reputazione Web,16-22Registri di debug di Protezione dati,10-60, 16-23registri di debug di TDI, 16-24registri installazioni da zero, 16-16

registri di debugagenti, 16-15server, 16-3

registri serverRegistri del server Apache, 16-8Registri del supporto Virtual Desktop,16-15


IN-10

Registri di Active Directory, 16-6Registri di Agent Packager, 16-8registri di aggiornamento deicomponenti, 16-7Registri di conformità della sicurezza,16-9Registri di controllo dispositivo, 16-10registri di debug, 16-3Registri di debug dello strumento dimigrazione ServerProtect, 16-11Registri di debug del motore discansione virus, 16-13Registri di debug VSEncrypt, 16-11registri di gestione server esterni, 16-9registri di installazione/aggiornamentolocale, 16-5registri di installazione/aggiornamentoremoto, 16-5Registri di MCP Agent di ControlManager, 16-11registri di reputazione Web, 16-10registri di role-based administration,16-6registri raggruppamento dell'agente,16-7

regole di decompressione, 10-40reputazione file, 4-3reputazione Web, 1-11, 4-3, 4-4, 5-4, 5-6, 11-4

criteri, 11-5registri, 16-10

requisiti di sistemaUpdate Agent, 6-58

riavvio servizio, 14-12Riepilogo

aggiornamenti, 6-67dashboard, 2-6, 2-7, 2-11

rilevamento rootkit, 6-10rischi per la sicurezza, 7-2, 7-5–7-7

attacchi di phishing, E-10protezione da, 1-10spyware/grayware, 7-5–7-7

risoluzione dei problemiPlug-in Manager, 15-12

risorse per la risoluzione dei problemi, 16-1role-based administration (RBA), 2-35, 13-2

account utente, 13-12ruoli utente, 13-2

rootkit, 7-3ruolo utente

amministratore, 13-8Utente esperto Trend, 13-9utente ospite, 13-8

Sscansione cache, 7-66scansione convenzionale, 7-9–7-11

passaggio a Smart scan, 7-11scansione database, 7-72scansione dei cookie, 7-78scansione di Microsoft Exchange Server, 7-73scansione di prova, 5-72scansione di virus/minacce informatiche

impostazioni globali, 7-70risultati, 7-92

scansione e-mail, 7-64Scansione in tempo reale, 7-16Scansione manuale, 7-19

collegamento, 7-72Scansione pianificata, 7-21

avvia e interrompi, 7-58, 7-80interrompi automaticamente, 7-80promemoria, 7-79rimanda, 7-79

Indice

IN-11

riprendi, 7-80scansione spyware/grayware

azioni, 7-50elenco approvati, 7-51risultati, 7-100

schede, 2-7schede predefinite, 2-11script di prova EICAR, 7-3Script di prova EICAR, 5-72Segnalazione conformità, 14-58server di riferimento, 13-29server integrato, 4-7Server OfficeScan, 1-12

funzioni, 1-12ServerProtect, 5-66Server standalone, 4-7Server Tuner, 13-55Servizio Certified Safe Software, 7-81, 8-10,12-26Servizio principale monitoraggio delcomportamento, 6-10Servizio Scansione in tempo reale, 14-40Sistema di prevenzione intrusioni, 12-4Sistema di supporto intelligente, 2-5, 16-2Smart Feedback, 4-3smart protection, 4-3, 4-4, 4-6–4-10, 4-25, 4-26

ambiente, 4-13file pattern, 4-8–4-10

Elenco siti Web bloccati, 4-9processo di aggiornamento, 4-10Smart Scan Agent Pattern, 4-8Smart Scan Pattern, 4-9

origine, 4-7, 4-8origini, 4-25, 4-26

confronto, 4-7località, 4-26

protocolli, 4-8Supporto IPv6, 4-26

Servizi di reputazione file, 4-3Servizi di reputazione Web, 4-3, 4-4Smart Feedback, 4-3Smart Protection Network, 4-6Smart Protection Server, 4-7volume delle minacce, 4-3

Smart Protection, 4-13Smart Protection Network, 1-2, 4-6Smart Protection Server, 4-7, 4-14, 4-18–4-22

Aggiornamento, 6-16Aggiornamento, 6-30installazione, 4-14integrato, 4-7, 4-19–4-22migliori pratiche, 4-18standalone, 4-7, 4-19

Smart Protection Server standalone, 4-19ptngrowth.ini, 4-19

smart scan, 6-4, 7-9–7-11passaggio da Scansione convenzionale,7-11

Smart Scan Agent Pattern, 4-8, 6-4Smart Scan Pattern, 4-9, 6-4software di protezione di terzi, 5-64spyware/grayware, 7-5–7-7

adware, 7-5applicazioni per decifratura password,7-6dialer, 7-6potenziali minacce, 7-6programmi Joke, 7-6protezione da, 7-7ripristino, 7-54spyware, 7-5


IN-12

strumenti di accesso remoto, 7-6strumenti per hacker, 7-6

Statistiche sui primi 10 rischi per lasicurezza, 2-21Strumento di generazione del modello diprescansione VDI, 14-86Strumento di migrazione SQL Server, 13-42,13-46

configurazione, 13-43notifica di avviso, 13-46

Strumento elenco dispositivi, 9-14struttura agente, 2-39–2-44, 2-47–2-50

filtri, 2-41informazioni, 2-39operazione generali, 2-40operazioni specifiche, 2-43, 2-44, 2-47–2-50

aggiornamenti componentirollback, 2-49aggiornamenti manualicomponenti, 2-48gestione agente, 2-44Prevenzione delle infezioni virali,2-47registri dei rischi per la sicurezza,2-50

ricerca avanzata, 2-41, 2-42visualizzazioni, 2-41

Supporto IPv6, A-2limitazioni, A-3, A-4visualizzazione indirizzi IPv6, A-7

Supporto Virtual Desktop, 14-75

TTeardrop, 12-5tipi di scansione, 5-3, 5-6, 7-15TMPerftool, 16-2TMTouch.exe, 6-57

touch tool, 6-57TrendLabs, 17-6

UUpdate Agent, 5-3, 5-6, 5-28, 6-58

assegnazione, 6-59duplicazione dei componenti, 6-64metodi di aggiornamento, 6-65origine di aggiornamento standard, 6-61requisiti di sistema, 6-58segnalazione analitica, 6-66

Uso della CPU, 7-31utilità di importazione impostazioni gateway,14-5

Vvalutazioni pianificate, 14-69VDI, 14-75

registri, 16-15verifica connessione, 14-43versione di prova, 13-38virus/minacce informatiche, 7-2–7-5

codice dannoso ActiveX, 7-4codice dannoso Java, 7-4file COM ed EXE infettante, 7-4packer, 7-2probabile virus/minaccia informatica,7-5Programma cavallo di Troia, 7-3programma Joke, 7-2rootkit, 7-3tipi, 7-2–7-5virus da macro, 7-4virus del settore boot, 7-4virus di prova, 7-3virus VBScript, JavaScript o HTML, 7-4worm, 7-4

Indice

IN-13

virus da macro, 7-4virus del settore boot, 7-4virus di prova, 7-3virus di rete, 7-4, 12-4virus HTML, 7-4virus JavaScript, 7-4virus VBScript, 7-4Vulnerability Scanner, 5-15, 5-39

efficacia, 5-39Impostazioni DHCP, 5-48impostazioni ping, 5-60protocolli supportati, 5-55query prodotto, 5-54recupero descrizione dell'dispositivo,5-57

Wwebmail, 10-29widget, 2-7, 2-12, 2-14, 2-15, 2-19, 2-22–2-24, 2-26,2-27, 2-29–2-31, 15-3

Agenti antivirus connessi, 2-15Aggiornamenti agente, 2-22Connettività agente e server, 2-14disponibili, 2-12Eventi di callback C&C, 2-27Infezioni, 2-19Mappa delle minacce della reputazionefile, 2-31OfficeScan e Plug-ins Mashup, 2-23Origini delle minacce principali dellareputazione Web, 2-29Prevenzione perdita di dati -Rilevamenti per periodo di tempo, 2-26Prevenzione perdita di dati -Rilevamenti principali, 2-24Principali utenti minacciati dellareputazione Web, 2-30

Rilevamenti dei rischi per la sicurezza,2-19

widget predefiniti, 2-11Windows Server Core, B-2

comandi, B-7funzioni disponibili dell'agente, B-6metodi di installazione supportati, B-2

worm, 7-4