of cescan - trend micro · la documentazione dell'utente di trend micro officescan 10.6 sp2 è...

Per medie e grandi aziende

Guida per l'amministratore

OfficeScanTM

Endpoint Security Protected Cloud Web Security

Trend Micro Incorporated si riserva il diritto di apportare modifiche a questadocumentazione e ai prodotti in essa descritti senza alcun obbligo di notifica. Primadell'installazione e dell'utilizzo del software, leggere con attenzione i file readme, le notesulla versione corrente e l'ultima edizione della relativa documentazione dell'utente, chesono disponibili presso il sito di Trend Micro all'indirizzo:

http://docs.trendmicro.com/it-it/enterprise/officescan.aspx

Trend Micro, il logo Trend Micro della pallina con il disegno di una T, OfficeScan,Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall eTrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altrinomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettiviproprietari.

Copyright © 2013. Trend Micro Incorporated. Tutti i diritti riservati.

Codice documento: OSEM105726_121015

Data di pubblicazione: gennaio 2013

Versione documento: 1.0

Nome del prodotto e versione documento: OfficeScan™ 10.6 SP2

Protetto da brevetto U.S.: 5,951,698

La documentazione dell'utente di Trend Micro OfficeScan 10.6 SP2 è destinata allapresentazione delle caratteristiche principali del software e alle istruzioni perl'installazione nell'ambiente di produzione dell'utente. Prima di procedere all'installazioneo all'utilizzo del software, è consigliata la lettura di questa documentazione.

Altre informazioni dettagliate sull'utilizzo di funzioni specifiche del software sonodisponibili nella guida in linea e nella Knowledge Base sul sito Web di Trend Micro.

Trend Micro si impegna continuamente a migliorare la propria documentazione. Ilriscontro degli utenti è sempre ben accetto. È possibile esprimere un giudizio sulladocumentazione al seguente indirizzo:

http://www.trendmicro.com/download/documentation/rating.asp


i

SommarioPrefazione

Prefazione ........................................................................................................... ix

Documentazione di OfficeScan ....................................................................... x

Destinatari ........................................................................................................... x

Convenzioni utilizzate nella documentazione .............................................. xi

Terminologia ..................................................................................................... xii

Parte I: Introduzione e informazioni preliminariCapitolo 1: Introduzione di OfficeScan

Informazioni su OfficeScan .......................................................................... 1-2

Novità della versione ...................................................................................... 1-2

Principali funzioni e vantaggi ...................................................................... 1-10

Il server OfficeScan ...................................................................................... 1-13

Client OfficeScan .......................................................................................... 1-15

Integrazione con i prodotti e i servizi Trend Micro ................................ 1-15

Capitolo 2: Informazioni preliminari su OfficeScanLa console Web ............................................................................................... 2-2

Dashboard Riepilogo ..................................................................................... 2-5

Active Directory Integration ....................................................................... 2-28

Struttura client OfficeScan .......................................................................... 2-32

Domini OfficeScan ...................................................................................... 2-45

Parte II: Protezione dei computer collegati inrete

Guida per l'amministratore di OfficeScan

ii

Capitolo 3: Utilizzo di Trend Micro Smart ProtectionInformazioni su Trend Micro Smart Protection ........................................ 3-2

Servizi Smart Protection ................................................................................ 3-3

Origini Smart Protection ............................................................................... 3-5

File Smart Protection Pattern ....................................................................... 3-8

Impostazione dei servizi Smart Protection ............................................... 3-13

Utilizzo dei servizi Smart Protection ......................................................... 3-32

Capitolo 4: Installazione del Client OfficeScanInstallazione da zero del client OfficeScan ................................................. 4-2

Considerazioni sull'installazione ................................................................... 4-2

Considerazioni sull'implementazione ........................................................ 4-11

Migrazione al client OfficeScan .................................................................. 4-66

Post-installazione .......................................................................................... 4-70

Disinstallazione client OfficeScan .............................................................. 4-73

Capitolo 5: Come mantenere la protezione aggiornataProgrammi e componenti di OfficeScan .................................................... 5-2

Panoramica sugli aggiornamenti ................................................................. 5-11

Aggiornamenti server OfficeScan .............................................................. 5-14

Aggiornamenti di Integrated Smart Protection Server ........................... 5-26

Aggiornamenti del client OfficeScan ......................................................... 5-26

Update Agent ................................................................................................ 5-53

Riepilogo aggiornamento componenti ...................................................... 5-62

Capitolo 6: Analisi dei rischi per la sicurezzaInformazioni sui rischi per la sicurezza ....................................................... 6-2

Metodi di scansione ........................................................................................ 6-7

Sommario

iii

Tipi di scansione ........................................................................................... 6-14

Impostazioni comuni a tutti i tipi di scansione ........................................ 6-28

Privilegi scansione e altre impostazioni ..................................................... 6-53

Impostazioni globali di scansione .............................................................. 6-70

Notifiche sui Rischi per la sicurezza .......................................................... 6-80

Registri dei rischi per la sicurezza .............................................................. 6-88

Rischi per la sicurezza ................................................................................ 6-100

Capitolo 7: Uso di Monitoraggio del comportamentoMonitoraggio del comportamento ............................................................... 7-2

Privilegi di monitoraggio del comportamento ........................................... 7-9

Notifiche di Monitoraggio del comportamento per gli utenti dei clientOfficeScan ..................................................................................................... 7-11

Registri di Monitoraggio del comportamento .......................................... 7-12

Capitolo 8: Utilizzo di Controllo dispositivoControllo dispositivo ...................................................................................... 8-2

Modifica delle notifiche di controllo dispositivo ..................................... 8-16

Registri di controllo dispositivo ................................................................. 8-16

Capitolo 9: Gestione della Protezione dati e utilizzo diPrevenzione perdita di dati

Installazione di Protezione dati .................................................................... 9-2

Licenza di Protezione dati ............................................................................. 9-4

Implementazione di Protezione dati nei client ........................................... 9-6

Informazioni sulla Prevenzione perdita di dati .......................................... 9-9

Criteri di Prevenzione perdita di dati ......................................................... 9-11

Notifiche di Prevenzione perdita di dati ................................................... 9-55


iv

Registri di Prevenzione perdita di dati ...................................................... 9-59

Disinstallazione di Protezione dati ............................................................. 9-65

Capitolo 10: Protezione dei computer dalle minacce WebMinacce Web ................................................................................................. 10-2

Reputazione Web ......................................................................................... 10-2

Criteri di reputazione Web .......................................................................... 10-3

Proxy per la Reputazione Web ................................................................... 10-9

Notifiche di minacce Web per utenti client .............................................. 10-9

Registri di reputazione Web ...................................................................... 10-11

Capitolo 11: Utilizzo del firewall di OfficeScanInformazioni sul Firewall di OfficeScan ................................................... 11-2

Attivazione o disattivazione del Frewall di OfficeScan .......................... 11-6

Criteri e profili del firewall .......................................................................... 11-8

Privilegi firewall .......................................................................................... 11-25

Impostazioni firewall globali ..................................................................... 11-27

Notifiche di violazione del firewall per utenti client OfficeScan ........ 11-29

Registri del firewall ..................................................................................... 11-30

Infezioni da violazione del firewall .......................................................... 11-32

Test del firewall OfficeScan ...................................................................... 11-33

Parte III: Gestione di server e client OfficeScanCapitolo 12: Gestione del server OfficeScan

Role-based Administration (RBA) ............................................................. 12-2

Trend Micro Control Manager ................................................................. 12-23

Server di riferimento .................................................................................. 12-28

Sommario

v

Impostazioni notifica amministratore ..................................................... 12-30

Registri eventi di sistema ........................................................................... 12-32

Gestione dei registri ................................................................................... 12-34

Licenze ......................................................................................................... 12-37

OfficeScan Database Backup ................................................................... 12-40

Informazioni sul server Web OfficeScan ............................................... 12-42

Password della console Web ..................................................................... 12-43

Impostazioni della console Web .............................................................. 12-43

Gestore della quarantena ........................................................................... 12-44

Server Tuner ................................................................................................ 12-45

Smart Feedback .......................................................................................... 12-48

Capitolo 13: Gestione del client OfficeScanLocalità computer ......................................................................................... 13-2

Gestione programma client OfficeScan .................................................... 13-6

Connessione client-server ......................................................................... 13-25

Impostazioni proxy client OfficeScan ..................................................... 13-50

Visualizzazione delle informazioni dettagliate sul client OfficeScan .. 13-54

Importazione ed esportazione delle impostazioni client ...................... 13-55

Conformità sicurezza ................................................................................. 13-57

Supporto Trend Micro Virtual Desktop ................................................. 13-74

Impostazioni client globali ........................................................................ 13-87

Configurazione dei privilegi del client e altre impostazioni ................. 13-89

Parte IV: Protezione aggiuntiva


vi

Capitolo 14: Uso di Plug-In ManagerInformazioni su Plug-In Manager .............................................................. 14-2

Installazione di Plug-In Manager ............................................................... 14-3

Gestione delle funzioni native di OfficeScan ........................................... 14-4

Gestione dei programmi plug-in ................................................................ 14-4

Disinstallazione di Plug-In Manager .......................................................... 14-9

Risoluzione dei problemi di Plug-In Manager ....................................... 14-10

Capitolo 15: Utilizzo di Policy Server per Cisco NACInformazioni su Policy Server per Cisco NAC ........................................ 15-3

Componenti e termini .................................................................................. 15-3

Architettura Cisco NAC .............................................................................. 15-7

La sequenza di convalida client .................................................................. 15-8

Policy Server ................................................................................................ 15-10

Requisiti di sistema per Policy Server ...................................................... 15-21

Requisiti per Cisco Trust Agent (CTA) .................................................. 15-23

Piattaforme compatibili e requisiti ........................................................... 15-23

Implementazione di Policy Server per NAC .......................................... 15-25

Capitolo 16: Configurazione di OfficeScan con software diterze parti

Panoramica e configurazione dell'architettura Check Point .................. 16-2

Configurazione del file Secure Configuration Verification per OfficeScan .......................................................................................................................... 16-4

Installazione supporto SecureClient .......................................................... 16-6

Capitolo 17: Visualizzazione della guidaRisorse per la risoluzione dei problemi ..................................................... 17-2

Sommario

vii

Come contattare l'assistenza tecnica ........................................................ 17-25

Appendice A: Supporto IPv6 in OfficeScanSupporto IPv6 per server OfficeScan e client ........................................... A-2

Requisiti del server OfficeScan ............................................................ A-2Requisiti del client OfficeScan ............................................................. A-3Limitazioni del server IPv6 puro ........................................................ A-3Limitazioni del client OfficeScan IPv6 puro ..................................... A-4

Configurazione indirizzi IPv6 ...................................................................... A-6

Schermate che visualizzano gli indirizzi IP ................................................ A-7

Appendice B: Supporto per Windows Server Core2008/2012

Supporto per Windows Server Core 2008/2012 ...................................... B-2

Metodi di installazione per Windows Server Core ................................... B-2Installazione del client OfficeScan usando Impostazione script diaccesso ..................................................................................................... B-3Installazione del client OfficeScan usando il pacchetto clientOfficeScan ............................................................................................... B-4

Funzioni del client OfficeScan su Windows Server Core ........................ B-6

Comandi di Windows Server Core .............................................................. B-7

Appendice C: Supporto per Windows 8 e Windows Server2012

Informazioni su Windows 8 e Windows Server 2012 .............................. C-2OfficeScan in modalità interfaccia utente di Windows .................... C-3Attivazione delle notifiche di tipo avviso popup .............................. C-3

Internet Explorer 10 ...................................................................................... C-4Supporto della funzione OfficeScan in Internet Explorer 10 ........ C-6

Appendice D: Glossario

Indice


viii

Indice ............................................................................................................. IN-1

ix

Prefazione

PrefazioneConsultare la Guida per l'amministratore di Trend Micro™OfficeScan™. Questodocumento contiene le informazioni introduttive e illustra le procedure perl'installazione del client e di gestione dei client e del server OfficeScan.

Argomenti di questo capitolo:

• Documentazione di OfficeScan a pagina x

• Destinatari a pagina x

• Convenzioni utilizzate nella documentazione a pagina xi

• Terminologia a pagina xii


x

Documentazione di OfficeScanLa documentazione di OfficeScan comprende quanto segue:

TABELLA 1. Documentazione di OfficeScan

DOCUMENTAZIONE DESCRIZIONE

Guidaall'installazione eall'aggiornamento

Un documento PDF che illustra i requisiti e le procedure diinstallazione del server OfficeScan e l'aggiornamento del server edei client.

Guida perl'amministratore

Un documento PDF contenente le informazioni introduttive, leprocedure per l'installazione del client e la gestione dei client e delserver OfficeScan.

Guida File HTML compilati in formato WebHelp o CHM che fornisconoprocedure, consigli di utilizzo e informazioni specifiche. La Guida èdisponibile nelle console dei client e del server OfficeScan, di PolicyServer e nell'installazione principale di OfficeScan.

File Readme Contiene un elenco di problemi noti e la procedura di base perl'installazione. Contiene inoltre le informazioni più recenti sulprodotto che non è stato possibile inserire nella documentazione nelsoftware né in quella stampata.

Knowledge Base Un database online contenente informazioni utili per la risoluzionedei problemi. Fornisce le informazioni più recenti sui problemi notiriscontrati nell'utilizzo dei prodotti. Per accedere alla KnowledgeBase, visitare il seguente sito Web:

http://esupport.trendmicro.com

Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per ildownload alla pagina seguente:


DestinatariLa documentazione di OfficeScan è destinata agli utenti seguenti:

http://esupport.trendmicro.com


Prefazione

xi

• Amministratori di OfficeScan: responsabili della gestione di OfficeScan,comprese le attività di gestione e installazione del server OfficeScan e del clientOfficeScan. Si presuppone che questi utenti abbiano conoscenze avanzate di reti egestione dei server.

• Amministratori Cisco NAC: responsabili della progettazione e manutenzione deisistemi di sicurezza con server Cisco NAC e apparecchiature di rete Cisco. Sipresuppone che abbiano esperienza con tali attrezzature.

• Utenti finali: utenti che hanno il client OfficeScan installato nei propri computer.Le conoscenza informatiche di questi utenti variano da principiante a utenteesperto.

Convenzioni utilizzate nella documentazionePer facilitare l'individuazione e l'interpretazione delle informazioni, nelladocumentazione di OfficeScan vengono utilizzate le convenzioni illustrate di seguito:

TABELLA 2. Convenzioni utilizzate nella documentazione

CONVENZIONE DESCRIZIONE

TUTTO MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tasti dellatastiera.

Grassetto Menu e comandi dei menu, pulsanti dei comandi, schede,opzioni e attività.

Corsivo Riferimenti ad altra documentazione o a componenti di nuovatecnologia.

Computer collegati inrete > Gestione client

Un "percorso di navigazione" che consente all'utente diraggiungere la schermata della console Web. Se sonopresenti diversi percorsi, vuol dire che ci sono diversi modiper accedere alla stessa schermata.

<Testo> Indica che il testo all'interno delle parentesi angolari deveessere sostituito da dati effettivi. Ad esempio, C:\Programmi\<nome_file> può corrispondere a C:\Programmi\esempio.jpg.


xii

CONVENZIONE DESCRIZIONE

Nota Indica note per la configurazione o raccomandazioni

Suggerimento Indica informazioni su procedure ottimali e consigli di TrendMicro

AVVERTENZA! Indica avvisi relativi ad attività che possono comportare danniper i computer della rete

TerminologiaLa tabella riportata di seguito contiene la terminologia ufficiale utilizzata nelladocumentazione di OfficeScan:

TABELLA 3. Terminologia di OfficeScan

TERMINOLOGIA DESCRIZIONE

Client OfficeScan Programma client OfficeScan

Computer client Il computer dove è installato il client OfficeScan

Utente client (o utente) La persona che gestisce il client OfficeScan sul computerclient

Server Il programma server OfficeScan

Computer server Il computer dove è installato il server OfficeScan

Amministratore (oamministratore OfficeScan)

La persona che gestisce il server OfficeScan

Prefazione

xiii


Console L'interfaccia utente per configurare e gestire leimpostazioni del client e del server OfficeScan.

La console del programma server OfficeScan èdenominata "console Web", mentre la console delprogramma client OfficeScan è denominata "consoleclient".

Rischio per la sicurezza Termine collettivo per virus/minacce informatiche,spyware/grayware e minacce Web

Servizio licenza Comprende Antivirus, Damage Cleanup Services,Reputazione Web e Anti-spyware, —tutti attivati durantel'installazione del server OfficeScan

Servizio OfficeScan Servizi gestiti tramite Microsoft Management Console(MMC). Ad esempio, ofcservice.exe, il Servizioprincipale OfficeScan.

Programma Comprende il client OfficeScan, Cisco Trust Agent ePlug-In Manager

Componenti Consentono di analizzare, individuare ed eseguireoperazioni contro i rischi per la sicurezza

Cartella diinstallazione delclient

La cartella del computer che contiene i file del clientOfficeScan. Se durante l'installazione si accettano leimpostazioni predefinite, la cartella di installazione sitrova nei percorsi seguenti:

C:\Programmi\Trend Micro\OfficeScan Client

C:\Programmi\Trend Micro (x86)\ClientOfficeScan


xiv


Cartella diinstallazione delserver

La cartella del computer che contiene i file del serverOfficeScan. Se durante l'installazione si accettano leimpostazioni predefinite, la cartella di installazione sitrova nei percorsi seguenti:

C:\Programmi\Trend Micro\OfficeScan

C:\Programmi\Trend Micro (x86)\OfficeScan

Ad esempio, se un file specifico si trova in \PCCSRV nellacartella di installazione del server, il percorso completodel file è:

C:\Programmi\Trend Micro\OfficeScan\PCCSRV\<nome_file>.

Client con Smart Scan Un client OfficeScan configurato per utilizzare SmartScan

Client con scansioneconvenzionale

Un client OfficeScan configurato per utilizzare lascansione convenzionale

Dual-stack Un'entità con indirizzi IPv4 e IPv6. Ad esempio:

• Un endpoint dual-stack è un computer con indirizziIPv4 e IPv6.

• Un client dual-stack è un client installato su unendpoint dual-stack.

• Un Update Agent dual-stack distribuisceaggiornamenti ai client.

• Un server proxy dual-stack, come DeleGate, è ingrado di convertire un indirizzo IPv4 in IPv6 eviceversa.

IPv4 puro Un'entità che ha solo un indirizzo IPv4

IPv6 puro Un'entità che ha solo un indirizzo IPv6

Soluzioni plug-in Programmi plug-in e funzionalità di OfficeScan disponibiliattraverso Plug-In Manager

Parte IIntroduzione e informazioni

preliminari

1-1

Capitolo 1

Introduzione di OfficeScanIn questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche diTrend Micro™OfficeScan™.


• Informazioni su OfficeScan a pagina 1-2

• Novità della versione a pagina 1-2

• Principali funzioni e vantaggi a pagina 1-10

• Il server OfficeScan a pagina 1-13

• Client OfficeScan a pagina 1-15

• Integrazione con i prodotti e i servizi Trend Micro a pagina 1-15


1-2

Informazioni su OfficeScanTrend Micro ™OfficeScan™ protegge le reti aziendali da minacce informatiche, virus direte, minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è unasoluzione integrata che comprende un programma client OfficeScan che risiedenell'endpoint e un programma server che gestisce tutti i client. Il client OfficeScancontrolla il computer e ne segnala lo stato di sicurezza al server. Il server, attraverso laconsole di gestione basata sul Web, permette di impostare criteri di sicurezza coordinatie di implementare gli aggiornamenti in ciascun client.

Trend Micro Smart Protection Network™, il componente principale di OfficeScan, èun'infrastruttura client cloud di prossima generazione che fornisce soluzioni per lasicurezza migliori rispetto agli approcci tradizionali. La tecnologia "in-the-cloud" unica eil client leggero consentono di ridurre la dipendenza dai download dei patternconvenzionali e di eliminare i ritardi normalmente associati agli aggiornamenti deidesktop. Le aziende possono godere dei vantaggi offerti dalla maggiore ampiezza dibanda della rete, dalla riduzione delle risorse necessarie e dei risparmi sui costi associati.Gli utenti sfruttano l'accesso immediato alla protezione più recente disponibile daqualsiasi località di accesso alla rete: all'interno della rete aziendale, a casa o in viaggio.

Novità della versioneTrend Micro OfficeScan comprende le nuove funzioni e i miglioramenti seguenti:

Piattaforme e browser compatibili

Questa versione di OfficeScan fornisce supporto per le installazioni del client suWindows 8™ e Windows Server™ 2012 / Server Core 2012.

Questa versione di OfficeScan fornisce anche supporto per le installazioni del server suWindows Server™ 2012.

Questa versione di OfficeScan fornisce supporto per Internet Explorer™ 10.

Introduzione di OfficeScan

1-3

NotaI client che utilizzano la modalità di interfaccia grafica di Windows ricevono supportolimitato. Per i dettagli, consultare Supporto per Windows 8 e Windows Server 2012 a pagina C-1.

Miglioramento delle prestazioni e della funzione dirilevamento

Questa versione di OfficeScan fornisce il seguente miglioramento delle prestazioni edella funzionalità di rilevamento.

TABELLA 1-1. Miglioramento delle prestazioni e della funzione di rilevamento

MIGLIORAMENTO DESCRIZIONE

Installazione MSI La scansione in tempo reale ora verifica la firma del file di unpacchetto di installazione MSI prima di procedere all'installazione.Appena OfficeScan riceve conferma dell'attendibilità della firma delfile, la funzione di scansione in tempo reale consente di procedereall'installazione senza eseguire ulteriori scansioni.

Miglioramento VDIQuesta versione di OfficeScan migliora la funzionalità di aggiornamento di Smart Scanper ambienti virtuali. Se un numero elevato di client Smart Scan richiede unaggiornamento del pattern, il server ora mette le richieste client in coda fino a quando èin grado di inviare una risposta. Una volta che un client ha completato l'aggiornamento,il server richiede al client successivo in coda di iniziare a sua volta l'aggiornamento.

Miglioramenti a Prevenzione perdita di datiIn questa versione di OfficeScan è stata migliorata la funzionalità di Prevenzione perditadi dati per offrire:

• Supporto per Windows 8, Windows Server 2012, Windows Server Core 2012

• Supporto per Windows Store App nella modalità interfaccia utente diWindows e supporto per le applicazioni desktop


1-4

• Supporto del protocollo HTTPS mediante Internet Explorer 10

• Supporto del protocollo HTTPS mediante Chrome™ versioni 19, 20, 21 e 22

• Supporto aggiornato per Gmail

• Supporto per Microsoft Office™ 2013

Novità nella versione 10.6 SP1Trend Micro OfficeScan SP1 comprende le nuove funzioni e i miglioramenti seguenti.

Gestione dei criteri da Control Manager

Control Manager 6.0 consente agli amministratori di creare e implementare criteri suiserver OfficeScan gestiti da Control Manager. Per maggiori dettagli, vedere la Guida perl'amministratore di Control Manager.

Supporto del Monitoraggio del comportamento a 64 bit

Le funzionalità di Monitoraggio del comportamento di OfficeScan supportano ora leversioni a 64 bit delle seguenti piattaforme:

• Windows Server 2008™

• Windows 7™

• Windows Vista™ con SP1 (o versioni successive)

Supporto della Protezione automatica del client a 64 bit

La Protezione automatica del client supporta ora le versioni a 64 bit delle seguentipiattaforme:

• Windows Server 2008™

• Windows 7™



1-5

Supporto del Controllo dispositivo a 64 bit per Prevenzionemodifiche non autorizzate

Le funzionalità di Controllo dispositivo di OfficeScan supportano ora le versioni a 64 bitdelle seguenti piattaforme durante il monitoraggio di Prevenzione modifiche nonautorizzate:

• Windows 2008™

• Windows 7™


Nota

Il Controllo dispositivo per la Protezione dati fornisce il supporto per tutte le versioni a 64bit delle piattaforme Windows. Per ulteriori informazioni sulla configurazione a 64 bit,vedere Autorizzazioni per dispositivi di archiviazione a pagina 8-3.

Miglioramenti della Protezione dati

I miglioramenti della Protezione dati in OfficeScan 10.6 SP1 includono il supporto e gliaggiornamenti seguenti:

• Supporto Prevenzione perdita di dati e Controllo dispositivo per le versioni a 64 bitdelle piattaforme Windows

• Oltre 100 modelli di Prevenzione perdita di dati preconfigurati e identificatori didati

Miglioramenti dell'infrastruttura desktop virtuale

Questa versione di OfficeScan migliora le funzionalità e il supporto Virtual DesktopInfrastructure (VDI).

• Supporto Microsoft Hyper-V™: gli amministratori ora sono in grado di gestire iclient virtuali utilizzando il server Microsoft Hyper-V™, oltre al server VMwarevCenter™ e a Citrix XenServer™.


1-6

• Miglioramento dell'ambiente incostante: OfficeScan identifica ora i clientvirtuali tramite l'indirizzo Media Access Control (MAC). Questa operazioneimpedisce a OfficeScan di assegnare più identificatori globalmente univoci (GUID)allo stesso client in ambienti incostanti.

Per i dettagli, consultare Supporto Trend Micro Virtual Desktop a pagina 13-74.

Scansione estesa delle porte per reputazione Web

OfficeScan è ora in grado di effettuare la scansione del traffico HTTP su tutte le porteper le violazioni dei criteri di reputazione Web. Se gli amministratori non desideranoeffettuare la scansione del traffico su tutte le porte, OfficeScan offre l'opzione dieffettuarla sulle porte HTTP predefinite 80, 81 e 8080.

Per i dettagli, consultare Configurazione dei Criteri di reputazione Web a pagina 10-3.

Novità nella versione 10.6Trend Micro OfficeScan 10.6 comprende le nuove funzioni e i miglioramenti seguenti:

• Protezione dati

Il modulo Protezione dati fornisce la Prevenzione perdita di dati ed espande lagamma di dispositivi monitorati da Controllo dispositivo.

Plug-In Manager gestisce l'installazione e la licenza del modulo Protezione dati. Perulteriori informazioni, consultare Installazione di Protezione dati a pagina 9-2.


1-7

TABELLA 1-2. Funzioni di Protezione dati OfficeScan

FUNZIONI DIPROTEZIONE DATI

DETTAGLI

Prevenzione perditadi dati

Prevenzione perdita di dati protegge le risorse digitali diun'organizzazione da perdite accidentali o intenzionali.Prevenzione perdita di dati consente di:

• identificare le risorse digitali da proteggere

• creare criteri che limitano o impediscono latrasmissione delle risorse digitali attraverso i comunicanali di trasmissione, ad esempio posta elettronica edispositivi esterni

• Implementare la conformità alle norme vigenti sullaprivacy

Per ulteriori informazioni, consultare Informazioni sullaPrevenzione perdita di dati a pagina 9-9.

Controllo dispositivo OfficeScan dispone di una funzione di Controllo dispositivoche regola l'accesso ai dispositivi di archiviazione USB, alleunità CD/DVD, floppy e di rete. Controllo dispositivo faparte del modulo Protezione dati e allarga la gamma didispositivi regolando l'accesso ai seguenti dispositivi:

• Dispositivi per l'acquisizione di immagini

• Modem

• Porte (COM e LPT)

• Dispositivi a infrarossi

• Schede PCMCIA

• Tasto Stamp

• Interfaccia IEEE 1394

Per ulteriori informazioni, consultare Controllo dispositivo apagina 8-2.

• Plug-in Manager 2.0

Plug-in Manager 2.0 viene installato con il server OfficeScan. Questa versione diPlug-In Manager contiene i seguenti widget:


1-8

i widget costituiscono un rapido riferimento visivo alle caratteristiche e ai plug-in diOfficeScan ritenuti indispensabili per l'impresa. I widget sono disponibili nelladashboard Riepilogo del server OfficeScan, che sostituisce la schermata Riepilogodelle versioni precedenti di OfficeScan. Per ulteriori informazioni, consultareDashboard Riepilogo a pagina 2-5.

• Supporto IPv6

Ora è possibile installare il server OfficeScan e i client su computer IPv6.

Inoltre, le nuove versioni di Control Manager e Smart Protection Server orasupportano IPv6 per fornire un'integrazione senza problemi con il serverOfficeScan e i client.

Per ulteriori informazioni, consultare Supporto IPv6 per server OfficeScan e client a paginaA-2.

• File di cache per le scansioni

Il client OfficeScan ora crea file di cache che contengono informazioni su file sicuriche sono stati già sottoposti a scansione e file che Trend Micro ritiene attendibili. Ifile di cache offrono un riferimento rapido durante le scansioni su richiestariducendo, così, l'utilizzo di risorse del sistema. Le scansioni su richiesta (Scansionemanuale, Scansione pianificata ed Esegui scansione) ora sono più efficienti e leprestazioni sono migliorate del 40%.

Per ulteriori informazioni, consultare Impostazioni cache per le scansioni a pagina 6-66.

• Avvio più rapido

All'avvio del computer, il client OfficeScan rinvia il caricamento di alcuni servizi delclient se l'uso della CPU è superiore al 20%. Quando l'utilizzo della CPU risulta aldi sotto del limite, il client avvia il caricamento dei servizi.

I servizi includono:

• OfficeScan NT Firewall

• Servizio Protezione dati OfficeScan

• Servizio prevenzione modifiche non autorizzate di Trend Micro

• Potenziamento di Damage Cleanup Services


1-9

I Damage Cleanup Services ora possono essere eseguiti in modalità di disinfezioneavanzata per interrompere le attività di software di protezione fasulli, detti anchefalsi antivirus. Il client utilizza anche regole di disinfezione avanzate per rilevare einterrompere in modo proattivo le applicazioni che manifestano uncomportamento da falso antivirus.

È possibile scegliere la modalità di disinfezione quando si configurano le azioni discansione di virus/minacce informatiche per Scansione manuale, Scansione intempo reale, Scansione pianificata ed Esegui scansione. Per ulteriori informazioni,consultare Damage Cleanup Services a pagina 6-43.

• Supporto HTTPS di Reputazione Web

I client adesso possono eseguire la scansione del traffico HTTPS per rintracciare leminacce Web. Questa funzionalità può essere configurata quando si crea un criteriodi reputazione Web. Per ulteriori informazioni, consultare Criteri di reputazione Web apagina 10-3.

Importante

• La scansione HTTPS supporta solo le piattaforme Windows 8 o Windows 2012che operano in modalità desktop.

• Dopo aver attivato la scansione HTTPS per la prima volta sui client OfficeScancon Internet Explorer 9 o 10, gli utenti devono attivare il componenteaggiuntivo TmIEPlugInBHO Class nella finestra di popup del prima che lascansione HTTPS sia operativa.

• Supporto per Windows Server Core 2008

Il client OfficeScan ora può essere installato su Windows Server Core 2008. Gliutenti possono usare i comandi CLI per avviare la console del client e controllare lostato della protezione degli endpoint.

Per ulteriori informazioni, consultare Supporto per Windows Server Core 2008/2012 apagina B-2.

• Altri miglioramenti

Questa versione comprende i miglioramenti riportati di seguito:


1-10

• I client Smart Scan ora eseguono Outlook Mail Scan in modalità Smart Scan.Nelle versioni precedenti, i client Smart Scan eseguivano Outlook Mail Scan inmodalità di scansione convenzionale.

• Registri e notifiche dei rilevamenti di spyware/grayware ora riportano il nomedell'utente collegato al computer al momento del rilevamento.

• Nei registri spyware/grayware, se il risultato della scansione di secondo livelloè "Ignorati", il risultato della scansione di primo livello è ora "Richiesteulteriori azioni" invece di "Nessuna operazione richiesta". Con questomiglioramento, ora è possibile prendere ulteriori misure, come ad esempiodisinfettare spyware/grayware ritenuti dannosi.

• La Protezione automatica del client è ora un'impostazione flessibile chel'utente può configurare nella struttura del client.

• Ora è possibile configurare tutti i client per inviare heartbeat al serverOfficeScan. Nella versione precedente, i messaggi di heartbeat potevanoessere inviati solo dai client delle reti non raggiungibili. Per ulterioriinformazioni, consultare Client non raggiungibili a pagina 13-45.

• Quando si esportano le impostazioni della struttura del client in un file .dat,da questo punto verranno esportate tutte le impostazioni. Nelle versioniprecedenti, venivano esportate solo le impostazioni di scansioni e i privilegidel client o altre impostazioni. Per ulteriori informazioni sulle impostazioni diesportazione, vedere Importazione ed esportazione delle impostazioni client a pagina13-55.

• Quando si usa lo strumento Client Mover, ora è possibile specificare ilsottodominio della struttura del client nel quale il client sarà inserito dopo cheviene spostato nel rispettivo nuovo server principale. Per ulterioriinformazioni, consultare Client Mover a pagina 13-22.

Principali funzioni e vantaggiOfficeScan offre le funzioni e i vantaggi seguenti:

• Plug-In Manager e soluzioni plug-in


1-11

Plug-In Manager semplifica l'installazione, l'implementazione e la gestione dellesoluzioni plug-in.

Gli amministratori possono installare due tipi di soluzioni plug-in:

• Programmi plug-in

• Funzioni OfficeScan native

• Gestione centralizzata

Una console di gestione basata su Web consente agli amministratori di accedere inmodo trasparente a tutti i client e server della rete. La console Web coordinal'implementazione automatica di criteri di sicurezza, file di pattern e aggiornamentisoftware su ciascun client e server. Grazie ai servizi di prevenzione delle infezioni,arresta i vettori delle infezioni e implementa rapidamente i criteri di protezionespecifici per attacco al fine di prevenire o contenere le infezioni prima che i file dipattern siano resi disponibili. OfficeScan esegue anche il monitoraggio in temporeale, spedisce notifiche degli eventi e genera relazioni complete. Gli amministratoripossono eseguire l'amministrazione in remoto, impostare criteri personalizzati persingoli desktop o gruppi e bloccare le impostazioni di sicurezza dei client.

• Protezione contro i rischi per la sicurezza

OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansionedei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezzaindividuato. Un numero estremamente alto di rischi per la sicurezza individuati inun periodo di tempo breve indica un'infezione. Per contenere le infezioni,OfficeScan implementa i criteri di prevenzione delle infezioni e isola i computerinfetti fino a quando sono completamente privi di rischi.

OfficeScan utilizza Smart Scan per rendere il processo di scansione più efficiente.Questa tecnologia consente di scaricare un gran numero di firme precedentementememorizzate nel computer local su Origini Smart Protection. Con questoapproccio viene ridotto l'impatto sul sistema e sulla rete del volume sempremaggiore di aggiornamenti delle firme per i sistemi endpoint.

Per informazioni su Smart Scan e su come implementarlo sui client, vedere Metodidi scansione a pagina 6-7.

• Damage Cleanup Services


1-12

Damage Cleanup Services™ disinfetta i computer dai virus di rete, da quelli basatisu file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro,file virali) utilizzando un processo completamente automatizzato. Per affrontare leminacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup Services effettuale seguenti operazioni:

• Rileva e rimuove i cavalli di Troia attivi

• Blocca i processi innescati dai cavalli di Troia

• Ripara i file di sistema modificati dai cavalli di Troia

• Elimina i file e le applicazioni lasciati dai cavalli di Troia

Poiché Damage Cleanup Services viene eseguito in background, non è necessarioconfigurarlo. Gli utenti non si rendono neanche conto che il sistema è in funzione.Tuttavia, OfficeScan può a volte richiedere all'utente di riavviare il computer percompletare il processo di rimozione di un cavallo di Troia.

• Reputazione Web

La tecnologia di reputazione Web protegge in modo proattivo i computer clientall'interno o all'esterno della rete aziendale da siti Web dannosi e potenzialmentepericolosi. La reputazione Web spezza la catena dell'infezione e impedisce ildownload di codice dannoso.

Per verificare la credibilità delle pagine e dei siti Web è sufficiente integrareOfficeScan con Smart Protection Server o con Trend Micro Smart ProtectionNetwork.

• Firewall di OfficeScan

Il firewall OfficeScan protegge i client e i server della rete grazie a un sistema di"stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. Èpossibile creare regole per filtrare le connessioni in base all'applicazione,all'indirizzo IP, al numero di porta o al protocollo e poi applicare tali regole agruppi diversi di utenti.

• Prevenzione perdita di dati

Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione daperdite accidentali o intenzionali. Prevenzione perdita di dati consente agliamministratori di:


1-13

• identificare le risorse digitali da proteggere

• Creare criteri che limitano o impediscono la trasmissione delle risorse digitaliattraverso i comuni canali di trasmissione, ad esempio messaggi e-mail edispositivi esterni

• implementare la conformità alle norme vigenti sulla privacy

• Controllo dispositivo

Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e allerisorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire laperdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce aproteggere dai rischi per la sicurezza.

• Monitoraggio del comportamento

Monitoraggio del comportamento controlla costantemente i client alla ricerca dimodifiche insolite al sistema operativo o al software installato.

• Implementazione della protezione e dei criteri

OfficeScan si integra senza problemi con Cisco™ TrustAgent, consentendo cosìl'implementazione dei criteri più efficaci all'interno di una rete Cisco Self-Defending Network. OfficeScan dispone anche di un server dei criteri (PolicyServer) per la comunicazione automatica con i server di controllo dell'accesso diCisco. Se integrato con Trend Micro™ Network VirusWall™ o un altro dispositivoNetwork Admission Control (NAC), OfficeScan può controllare i client provandoad accedere alla rete e riparare, reindirizzare, limitare, negare o consentire l'accesso.Se un computer è vulnerabile o viene infettato, OfficeScan può isolarloautomaticamente, insieme ai relativi segmenti di rete, finché tutti i computer nonvengono aggiornati o la disinfezione non è terminata.

Il server OfficeScanIl server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischiper la sicurezza e gli aggiornamenti dei client.

Il server esegue due importanti funzioni:


1-14

• Installa, controlla e gestisce i client OfficeScan

• Scarica la maggior parte dei componenti necessari ai client. Il server OfficeScanscarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce aiclient.

Nota

Alcuni componenti vengono scaricati dalle origini Smart Protection. Perinformazioni, vedere Origini Smart Protection a pagina 3-5.

FIGURA 1-1. Funzionamento del server OfficeScan

Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in temporeale tra server e client. I client sono gestiti da una console Web basata sul browser a cuil'amministratore può accedere virtualmente da qualsiasi punto della rete. Il server


1-15

comunica con il client (e il client con il server) attraverso Hypertext Transfer Protocol(HTTP).

Client OfficeScanL'installazione del client OfficeScan su ogni computer con sistema operativo Windowsconsente di proteggere i computer dai rischi per la sicurezza.

Il client OfficeScan invia quindi delle notifiche al server principale dal quale è statoinstallato. Configurare i client per inviare le segnalazioni a un altro server utilizzando lostrumento Client Mover. Il client invia al server dati in tempo reale sugli eventi e sullostato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacceinformatiche, l'avvio e lo spegnimento del client, l'avvio di una scansione o ilcompletamento di un aggiornamento.

Integrazione con i prodotti e i servizi TrendMicro

OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente.Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguitisulle versioni richieste o consigliate.

TABELLA 1-3. Integrazione di prodotti e servizi con OfficeScan

PRODOTTO/SERVIZIO

DESCRIZIONE VERSIONE

ServerActiveUpdate

Fornisce tutti i componenti necessari ai clientOfficeScan per proteggere i client dalle minaccealla sicurezza

Non applicabile

SmartProtectionNetwork

Fornisce i Servizi di reputazione file e i Servizi direputazione Web ai client.

Smart Protection Network è gestito da TrendMicro.

Non applicabile


1-16

PRODOTTO/SERVIZIO

DESCRIZIONE VERSIONE

SmartProtectionServerstandalone

Fornisce gli stessi Servizi di reputazione file eServizi di reputazione Web offerti da SmartProtection Network.

Smart Protection Server standalone è inteso alocalizzare il servizio per garantire una maggioreefficienza della rete aziendale.

NotaIntegrated Smart Protection Server vieneinstallato con il server OfficeScan. Svolgele stesse funzioni del server standalone,ma le sue capacità sono più limitate.

• 2.5

(consigliato)

• 2.0

ControlManager

Una soluzione di gestione software che consentedi controllare a livello centrale i programmiantivirus e di protezione dei contenuti, senzatenere conto della piattaforma o dell'ubicazionefisica del programma.

• 6.0

(consigliato)

• 5.5 SP1

• 5.5

• 5.0

2-1

Capitolo 2

Informazioni preliminari suOfficeScan

In questo capitolo vengono descritte le istruzioni preliminari per TrendMicro™OfficeScan™ e le impostazioni iniziali per la configurazione.


• La console Web a pagina 2-2

• Dashboard Riepilogo a pagina 2-5

• Active Directory Integration a pagina 2-28

• Struttura client OfficeScan a pagina 2-32

• Domini OfficeScan a pagina 2-45


2-2

La console WebLa console Web è l'elemento centrale per il monitoraggio di in tutta la rete aziendale. Laconsole ha una serie di impostazioni e valori predefiniti che possono essere configuratiin base ai requisiti e alle specifiche di protezione. La console Web utilizza tecnologieInternet standard quali Java, CGI, HTML e HTTP.

NotaConfigurare le impostazioni di timeout dalla console Web. Consultare Impostazioni dellaconsole Web a pagina 12-43.

Utilizzare la console Web per eseguire le operazioni riportate di seguito:

• Gestire i client installati sui computer collegati in rete

• Raggruppare i client in domini logici per consentire configurazione e gestionesimultanee

• Impostare le configurazioni di scansione e avviare la scansione manuale su uno opiù computer collegati in rete

• Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registriinviati dai client

• Configurare i criteri e le notifiche per le infezioni

• Delegare operazioni di amministrazione della console Web ad altri amministratoriOfficeScan mediante la configurazione di ruoli e account utente

• Accertarsi che i client siano conformi con le linee guida sulla sicurezza

NotaLa console Web non è supportata da Windows 8 o Windows Server 2012 in modalitàinterfaccia utente di Windows.

Requisiti per l'apertura della console WebAprire la console Web da un computer della rete che abbia i requisiti riportati di seguito:

Informazioni preliminari su OfficeScan

2-3

• Processore Intel ™ Pentium™ da 300 MHz o equivalente

• 128 MB di RAM

• Almeno 30 MB di spazio disponibile su disco

• Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore

• Microsoft Internet Explorer™ 7.0 o versione successiva

Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, aseconda del tipo di installazione prevista per il server OfficeScan:

TABELLA 2-1. URL della console Web OfficeScan

TIPO DI INSTALLAZIONE URL

Senza SSL su un sito predefinito http://<FQDN server OfficeScan oindirizzo IP>/OfficeScan

Senza SSL su un sito virtuale http://<FQDN server OfficeScan oindirizzo IP>:<Numero porta HTTP>/OfficeScan

Con SSL su un sito predefinito https://<FQDN server OfficeScan oindirizzo IP>/OfficeScan

Con SSL su un sito virtuale https://<FQDN server OfficeScan oindirizzo IP>/OfficeScan

NotaSe è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browserWeb e i file della cache del server proxy potrebbero impedire il corretto caricamento dellaconsole Web OfficeScan. Cancellare la memoria della cache sul browser e su qualunqueserver proxy che si trova tra il server OfficeScan e il computer usato per accedere allaconsole Web.

Account di accessoDurante l'installazione del server OfficeScan il programma crea un account principale(root) e richiede di digitare la password per tale account. Quando si apre la console Web


2-4

per la prima volta, digitare "root" come nome utente e come password dell'accountprincipale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica perreimpostarla.

Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti diaccedere alla console Web senza utilizzare l'account principale (root). Quando gli utentiaccedono alla console possono utilizzare gli account utente impostati per loro. Perulteriori informazioni, consultare Role-based Administration (RBA) a pagina 12-2.

Il banner della console Web

L'area del banner della console Web presenta le opzioni riportate di seguito:

FIGURA 2-1. Area banner della console Web

• <nome account>: fare clic sul nome account (ad esempio, root) per modificare idettagli dell'account, ad esempio la password.

• Disconnetti: consente di disconnettersi dalla console Web

• Guida ( )

• Novità: apre una pagina con un elenco delle nuove funzioni comprese nellaversione del prodotto attuale

• Sommario e indice: apre la Guida del server OfficeScan

• Knowledge Base: apre la Knowledge Base di Trend Micro, da cui è possibilevisualizzare le domande frequenti e le informazioni aggiornate sul prodotto,accedere all'assistenza clienti e registrare OfficeScan

• Informazioni sulla sicurezza: visualizza la pagina Informazioni sullasicurezza di Trend Micro, dove è possibile leggere informazioni sui rischi perla sicurezza più recenti


2-5

• Vendite: visualizza la pagina Web di Trend Micro relativa alle vendite, da cuiè possibile contattare l'addetto alle vendite locale.

• Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove sipossono inviare domande e trovare risposte a quesiti generici sui prodottiTrend Micro

• Informazioni su: fornisce una panoramica del prodotto, le istruzioni percontrollare i dettagli della versione dei componenti e un collegamento aSistema di supporto intelligente. Per i dettagli, consultare Sistema di supportointelligente a pagina 17-2.

Dashboard RiepilogoLa dashboard Riepilogo viene visualizzata quando si apre la console Web OfficeScan osi fa clic su Riepilogo nel menu principale.

Ciascun account utente della console Web ha una dashboard completamenteindipendente. Qualunque modifica alla dashboard di un account utente non riguarda ledashboard di altri account utente.

Se una dashboard contiene i dati del client OfficeScan, i dati che vengono visualizzatidipendono dalle autorizzazioni del dominio client per l'account utente. Ad esempio, sevengono concesse autorizzazioni ad un account utente per la gestione dei domini A e B,la dashboard dell'account utente visualizzerà solamente i dati dei client appartenenti aidomini A e B.

Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) apagina 12-2.

La dashboard Riepilogo contiene:

• Sezione dello stato della licenza del prodotto

• Widget

• Schede


2-6

Sezione dello stato della licenza del prodotto

Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato dellelicenze OfficeScan.

FIGURA 2-2. Sezione dello stato della licenza del prodotto

Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze:

• Se si dispone di una licenza per la versione completa:

• 60 giorni prima della scadenza della licenza

• Durante il periodo di proroga per il prodotto. La durata del periodo diproroga varia a seconda dell'area geografica. Verificare il periodo di prorogacon il rappresentante Trend Micro.

• Alla scadenza della licenza e al termine del periodo di proroga. In questoperiodo non sarà possibile ottenere l'assistenza tecnica o effettuarel'aggiornamento dei componenti. I motori di scansione continueranno aeffettuare l'analisi dei computer utilizzando componenti obsoleti. Talicomponenti obsoleti potrebbero non proteggere in maniera completa dai piùrecenti rischi per la sicurezza.

• Se si dispone di una licenza per la versione di valutazione:

• 14 giorni prima della scadenza della licenza

• Alla scadenza della licenza. In questo periodo OfficeScan disattival'aggiornamento dei componenti, la scansione e tutte le funzionalità client.

Se si dispone di un codice di attivazione, rinnovare una licenza accedendo aAmministrazione > Licenza prodotto.


2-7

Schede e widgetI widget sono i componenti principali della dashboard. I widget forniscono informazionispecifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguiredeterminate operazioni, quali l'aggiornamento di componenti obsoleti.

Le informazioni che il widget visualizza provengono da:

• Server e client OfficeScan

• Soluzioni plug-in e relativi agenti lato client

• Trend Micro Smart Protection Network

NotaAttivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulterioriinformazioni su Smart Feedback, vedere Smart Feedback a pagina 12-48.

Le schede forniscono un contenitore per i widget. La dashboard Riepilogo supporta finoa 30 schede.

Utilizzo delle schede

Gestire le schede effettuando le seguenti operazioni:


2-8

TABELLA 2-2. Operazioni schede

OPERAZIONE PASSAGGI

Aggiungere unanuova scheda

1. Fare clic sull'icona di aggiunta sulla parte superiore delladashboard. Viene visualizzata una nuova schermata.

2. Inserire le seguenti informazioni.

• Titolo: il nome della scheda

• Layout: scegliere uno dei layout disponibili

• Adatta automaticamente: attivare Adattaautomaticamente se si seleziona un layout con diversecaselle (come ad esempio " ") e ciascuna casellaconterrà solo un widget. Adattamento automaticamentemodifica il widget per adattare le dimensioni a quelle diuna casella.

3. Fare clic su Salva.

Modificare leimpostazioni dellascheda

1. Fare clic su Impostazioni scheda sull'angolo in alto a destradella scheda. Viene visualizzata una nuova schermata.

2. Modificare il nome della scheda, il layout e le impostazioni diadattamento automatico.


Spostare unascheda

Usare la funzionalità di trascinamento per cambiare la posizionedella scheda.

Eliminare unascheda

Fare clic sull'icona di eliminazione accanto al titolo della scheda.

Eliminare una scheda comporta l'eliminazione di tutti i widget dellascheda.


2-9

Utilizzo dei Widget

Gestire i widget effettuando le seguenti operazioni:

TABELLA 2-3. Operazioni widget

OPERAZIONE PASSAGGI

Aggiungere un nuovowidget

1. Fare clic sulla scheda.

2. Fare clic su Aggiungi widget sull'angolo in alto a destradella scheda. Viene visualizzata una nuova schermata.

3. Selezionare i widget da aggiungere. Per un elenco deiwidget disponibili, vedere Widget disponibili a pagina2-11.

• Fare clic sulle icone di visualizzazione ( )nella sezione superiore destra della schermata perpassare da Visualizzazione dettagliata aVisualizzazione di riepilogo.

• Le categorie di widget si trovano alla sinistra dellaschermata. Selezionare una categoria per restringerele selezioni.

• Utilizzare la casella di testo per la ricerca sull partesuperiore della schermata per cercare un widgetspecifico.

4. Fare clic su Aggiungi.

Spostare un widget Utilizzare la funzionalità di trascinamento per spostare unwidget in una diversa posizione all'interno della scheda.

Ridimensionare unwidget

Ridimensionare un widget su di una scheda multicolonnapuntando il cursore sul bordo del widget e muovendolo versodestra o sinistra.


2-10

OPERAZIONE PASSAGGI

Modificare il titolo delwidget

1. Fare clic sull'icona di modifica ( ). Viene visualizzatauna nuova schermata.

2. Immettere il nuovo titolo.

NotaPer alcuni widget, quali OfficeScan e Plug-inMashup, le voci relative ai widget possono esseremodificate.


Aggiornare i dati delwidget

Fare clic sull'icona di aggiornamento ( ).

Eliminare un widget Fare clic sull'icona di eliminazione ( ).

Schede e widget predefiniti

La Dashboard Riepilogo viene fornita con un set di schede e widget predefiniti. Èpossibile rinominare o eliminare le schede e i widget.

TABELLA 2-4. Schede predefinite nella dashboard Riepilogo

SCHEDA DESCRIZIONE WIDGET

OfficeScan Questa scheda contiene le stesseinformazioni trovate nella schermataRiepilogo nelle precedenti versioni diOfficeScan. In questa scheda èpossibile visualizzare la protezione dairischi per la sicurezza globale della reteOfficeScan. Inoltre, è possibileeffettuare delle azioni su voci cherichiedono un intervento immediato,quali le infezioni o i componentiobsoleti.

• Widget Connettività clienta pagina 2-13

• Widget Rilevamenti deirischi per la sicurezza apagina 2-17

• Widget Infezioni a pagina2-18

• Widget Aggiornamenticlient a pagina 2-20


2-11

SCHEDA DESCRIZIONE WIDGET

OfficeScan eplug-in

Questa scheda mostra quali clienteseguono il client OfficeScan e lesoluzioni plug-in. Utilizzare questascheda per valutare lo stato disicurezza complessivo dei client.

Widget OfficeScan e Plug-insMashup a pagina 2-21

SmartProtectionNetwork

Questa scheda contiene informazioniper Trend Micro Smart ProtectionNetwork, che fornisce Servizi direputazione file e Servizi di reputazioneWeb ai client OfficeScan.

• Widget Origini delleminacce principali dellareputazione Web apagina 2-25

• Widget Principali utentiminacciati dellareputazione Web apagina 2-26

• Widget Mappa delleminacce dellareputazione file a pagina2-27

Widget disponibili

In questa versione sono disponibili i seguenti widget:

TABELLA 2-5. Widget disponibili

NOME WIDGET DISPONIBILITÀ

Connettività client Disponibilità standard

Per i dettagli, consultare Widget Connettività client apagina 2-13.

Rilevamenti dei rischi perla sicurezza

Disponibilità standard

Per i dettagli, consultare Widget Rilevamenti dei rischiper la sicurezza a pagina 2-17.


2-12


Infezioni Disponibilità standard

Per i dettagli, consultare Widget Infezioni a pagina2-18.

Aggiornamenti client Disponibilità standard

Per i dettagli, consultare Widget Aggiornamenti client apagina 2-20.

OfficeScan e Plug-insMashup

Disponibilità standard ma solo con visualizzazione deidati sui client OfficeScan.

I dati provenienti dalle seguenti soluzioni plug-in sonodisponibili successivamente all'attivazione di ciascunasoluzione:

• Firewall di difesa dalle intrusioni

• Supporto Trend Micro Virtual Desktop

Per i dettagli, consultare Widget OfficeScan e Plug-insMashup a pagina 2-21.

Incidenti di Prevenzioneperdita di dati principali

Disponibile dopo l'attivazione di Protezione datiOfficeScan

Per i dettagli, consultare Widget Incidenti di Prevenzioneperdita di dati principali a pagina 2-23.

Incidenti di Prevenzioneperdita di dati per periododi tempo

Disponibile dopo l'attivazione di Protezione datiOfficeScan

Per i dettagli, consultare Widget Incidenti di Prevenzioneperdita di dati per periodo di tempo a pagina 2-24.

Origini delle minacceprincipali della reputazioneWeb


Per i dettagli, consultare Widget Origini delle minacceprincipali della reputazione Web a pagina 2-25.

Principali utenti minacciatidella reputazione Web


Per i dettagli, consultare Widget Principali utentiminacciati della reputazione Web a pagina 2-26.


2-13


Mappa delle minacce dellareputazione file


Per i dettagli, consultare Widget Mappa delle minaccedella reputazione file a pagina 2-27.

IDF - Stato di avviso Disponibile successivamente all'attivazione di IntrusionDefense Firewall. Fare riferimento alla documentazionedi IDF per i dettagli relativi a questi widget.IDF - Stato del computer

IDF - Cronologia eventidella rete

IDF - Cronologia eventi delsistema

Widget Connettività client

Il widget Connettività client visualizza lo stato della connettività dei client antivirus conil server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a torta. Èpossibile passare dalla tabella al grafico a torta facendo clic sulle icone di visualizzazione( ).

FIGURA 2-3. Widget Connettività client che mostra una tabella


2-14

Widget Connettività client sotto forma di tabella

La tabella suddivide i client per metodi di scansione.

Se il numero dei client per un determinato stato è 1 o maggiore, è possibile fare clic sulnumero per visualizzarli nella struttura client. È possibile avviare delle operazioni su taliclient o modificare le relative impostazioni.

Per visualizzare solo i client che utilizzano un particolare metodo di scansione, fare clicsu Tutti, quindi selezionare il metodo di scansione.

FIGURA 2-4. Stato della connessione dei client con scansione convenzionale


2-15

FIGURA 2-5. Stato della connessione dei client Smart Scan

Se si seleziona Smart Scan:

• La tabella riporta i client Smart Scan online in base allo stato di connessione con gliSmart Protection Server

NotaSolo i client online possono segnalare lo stato di connessione con Smart ProtectionServer.

Se i client non sono connessi a uno Smart Protection Server, ripristinare laconnessione tramite l'esecuzione della procedura descritta in Origini Smart Protectionnon disponibili a pagina 13-42.

• Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia laconsole del server.


2-16

• Se sono presenti più Smart Protection Server, fare clic su ALTRO. Vienevisualizzata una nuova schermata con tutti gli Smart Protection Server.

FIGURA 2-6. Elenco Smart Protection Server

In questa schermata, è possibile:

• Visualizzare tutti gli Smart Protection Server a cui si connettono i client e i numeridi client connessi a ciascun server. Se si fa clic sul numero viene aperta la strutturadei client dove è possibile gestire le impostazioni dei client.

• Avviare la console di un server facendo clic sul collegamento del server


2-17

Widget Connettività client sotto forma di grafico a torta

Il grafico a torta visualizza solamente il numero di client per ciascuno stato e non lisuddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo siricongiunge, alla restante porzione del grafico.

FIGURA 2-7. Widget Connettività client che mostra un grafico a torta

Widget Rilevamenti dei rischi per la sicurezzaIl widget Rilevamenti rischi per la sicurezza visualizza il numero di rischi per lasicurezza e di computer infetti.

FIGURA 2-8. Widget Rilevamenti dei rischi per la sicurezza


2-18

Se il numero dei computer infetti è 1 o maggiore, è possibile fare clic sul numero pervisualizzarli nella struttura client. È possibile avviare delle operazioni sui client presentisu tali computer o modificare le relative impostazioni.

Widget Infezioni

Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso diinfezione.

FIGURA 2-9. Widget Infezioni

In questo widget è possibile:

• Visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/oradell'avviso.

• Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazionisull'avviso di infezione e implementare immediatamente le misure di prevenzionedelle infezioni. Per ulteriori informazioni sull'implementazione delle misure diprevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina6-105.

• Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza pervisualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di


2-19

rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata unanuova schermata.

FIGURA 2-10. Schermata Statistiche sui primi 10 rischi per la sicurezza

Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile:

• Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic suun nome di un rischio per la sicurezza.

• Visualizzare lo stato generale di un determinato computer facendo clic sul nomedel computer.


2-20

• Per visualizzare i registri dei rischi per la sicurezza relativi a un computer, fare clicsu Visualizza in corrispondenza del nome del computer.

• Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimpostaconteggio.

Widget Aggiornamenti client

Il widget Aggiornamenti client visualizza i componenti e i programmi che proteggonoi computer collegati in rete contro i rischi per la sicurezza.

FIGURA 2-11. Widget Aggiornamenti client


• Visualizzare la versione attuale di ciascun componente.

• Visualizzare il numero di client con componenti obsoleti nella colonna Nonaggiornato. Se sono presenti client che devono essere aggiornati, fare clic sulcollegamento numerato per avviare l'aggiornamento.

• Per ciascun programma, visualizzare i client che non sono stati aggiornati facendoclic sul collegamento numerico corrispondente al programma.


2-21

NotaPer l'aggiornamento di Cisco Trust Agent, passare a Cisco NAC >Implementazione Agent.

Widget OfficeScan e Plug-ins Mashup

Il widget OfficeScan e Plug-ins Mashup combina i dati dei client OfficeScan e deiprogrammi di plug-in installati e li visualizza in una struttura client. Questo widget aiutaa valutare rapidamente la copertura di protezione sui client e riduce il sovraccaricorichiesto per la gestione dei programmi di plug-in individuali.

FIGURA 2-12. Widget OfficeScan e Plug-ins Mashup

Questo widget visualizza i dati per i seguenti programmi di plug-in:

• Firewall di difesa dalle intrusioni

• Supporto Trend Micro Virtual Desktop

Questi programmi di plug-in devono essere attivati affinché il widget mashup possavisualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamentodei programmi di plug-in.



2-22

• Scegliere le colonne visualizzate nella struttura client. Fare clic sull'icona dimodifica ( ) sull'angolo in alto a destra del widget, quindi selezionare le colonnenella schermata visualizzata.

TABELLA 2-6. Colonne OfficeScan e Plug-ins Mashup

NOME COLONNA DESCRIZIONE

Nome computer Nome endpoint

Questa colonna è sempre disponibile e non può essererimossa.

Gerarchia dominio Il dominio dell'endpoint nella struttura client OfficeScan.

Stato dellaconnessione

La connettività dei client OfficeScan con il relativo serverOfficeScan principale.

Virus e minacceinformatiche

Il numero di virus e minacce informatiche rilevati dal clientOfficeScan.

Spyware/Grayware Il numero di spyware e grayware rilevati dal clientOfficeScan.

Supporto VDI Indica se l'endpoint è una macchina virtuale.

Profilo sicurezza IDF Fare riferimento alla documentazione di IDF per i dettaglirelativi a queste colonne e ai relativi dati.

Firewall IDF

Stato IDF

DPI IDF

• Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, verràvisualizzata la struttura client OfficeScan. Se si fa doppio clic sui dati deiprogrammi di plug-in (ad eccezione dei dati della colonna Supporto VDI), verràvisualizzata la schermata principale dei programmi di plug-in.

• Utilizzare la funzionalità di ricerca per trovare endpoint individuali. È possibileimmettere il nome completo o una parte del nome dell'host.


2-23

Widget Incidenti di Prevenzione perdita di dati principali

Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.

Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentementedall'azione (blocca o ignora).

FIGURA 2-13. Widget Incidenti di Prevenzione perdita di dati principali

Per visualizzare i dati:

1. Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioniillustrate di seguito.

• Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente

• 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente

• 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente

• 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente

2. Dopo aver selezionato il periodo di tempo, scegliere tra:


2-24

• Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza

• Canale: canali usati per trasmettere risorse digitali con maggiore frequenza

• Modello: modelli di risorse digitali che hanno avviato la maggior parte deirilevamenti

• Computer: computer che hanno trasmesso risorse digitali con maggiorefrequenza

NotaQuesto widget visualizza al massimo 10 utenti, canali, modelli o computer.

Widget Incidenti di Prevenzione perdita di dati per periododi tempo

Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.


2-25

Questo widget traccia il numero di trasmissioni di risorse digitali in un determinatoperiodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate(consentite).

FIGURA 2-14. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo

Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sonodisponibili le opzioni illustrate di seguito.

• Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente

• 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente

• 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente

• 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente

Widget Origini delle minacce principali della reputazioneWebQuesto widget visualizza il numero totale di rilevamenti di minacce per la sicurezzaeffettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una


2-26

mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questowidget, fare clic sul pulsante Guida ( ) nella parte superiore del widget.

FIGURA 2-15. Widget Origini delle minacce principali della reputazione Web

Widget Principali utenti minacciati della reputazione Web

Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi direputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla


2-27

località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsanteGuida ( ) nella parte superiore del widget.

FIGURA 2-16. Widget Principali utenti minacciati della reputazione Web

Widget Mappa delle minacce della reputazione file

Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezzaeffettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa


2-28

mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fareclic sul pulsante Guida ( ) nella parte superiore del widget.

FIGURA 2-17. Widget Mappa delle minacce della reputazione file

Active Directory IntegrationL'integrazione di OfficeScan con la struttura Microsoft™Active Directory™ consente digestire i client OfficeScan in modo più efficiente, di assegnare le autorizzazioni per laconsole Web tramite gli account Active Directory e di determinare in quali client non èinstallato il software di protezione. Tutti gli utenti del dominio della rete possono avere


2-29

accesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitatoper utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo diautenticazione e la chiave di crittografia convalidano le credenziali degli utenti.

L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioniindicate di seguito:

• Role-based Administration (RBA): consente di assegnare agli utentiresponsabilità amministrative specifiche concedendo loro l'accesso alla console delprodotto mediante i loro account Active Directory. Per i dettagli, consultare Role-based Administration (RBA) a pagina 12-2.

• Personalizza gruppi di client: consente di utilizzare Active Directory o gliindirizzi IP per raggruppare i client in modo manuale e associarli ai domini dellastruttura di client OfficeScan. Per i dettagli, consultare Raggruppamento automatico deiclient a pagina 2-47.

• Gestione server esterni: assicurarsi che i computer della rete che non sono gestitidal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per idettagli, consultare Conformità sicurezza per endpoint non gestiti a pagina 13-69.

Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il serverOfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione deidati con i domini di Active Directory a pagina 2-31.

Integrazione di Active Directory con OfficeScan

Procedura

1. Accedere a Amministrazione > Active Directory > Active DirectoryIntegration.

2. In Domini Active Directory specificare il nome del dominio Active Directory.

3. Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazionedei dati con il dominio Active Directory specificato. Le credenziali sonoobbligatorie se il server non appartiene al dominio. In caso contrario, le credenzialisono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server nonsarà in grado di sincronizzare i dati.


2-30

a. Fare clic su Inserisci credenziali del dominio.

b. Nella finestra popup visualizzata, immettere il nome utente e la password. Ilnome utente può essere specificato in uno dei seguenti formati:

• dominio\nome utente

• nomeutente@dominio

c. Fare clic su Salva.

4. Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare lecredenziali per i domini eventualmente aggiunti.

5. Fare clic sul pulsante ( ) per eliminare i domini.

6. Specificare le impostazioni di crittografia se sono state specificate le credenziali peri domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominiospecificate dall'utente prima di salvarle nel database. Quando OfficeScansincronizza i dati con uno dei domini specificati, usa una chiave di crittografia perdecodificare le credenziali del dominio.

a. Andare alla sezione Impostazioni di crittografia per le credenziali deldominio.

b. Immettere una chiave di crittografia non superiore a 128 caratteri.

c. Specificare un file in cui salvare la chiave di crittografia. È possibile scegliereun comune formato di file, come .txt. Includere il nome e il percorsocompleto del file, ad esempio C:\AD_Encryption\EncryptionKey.txt.

AVVERTENZA!se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà ingrado di sincronizzare i dati con i domini specificati.

7. Fare clic su una delle opzioni riportate di seguito.

• Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiedeuna notevole quantità di risorse della rete, è possibile scegliere di salvare solole impostazioni e di eseguire la sincronizzazione successivamente, ad esempiodurante le ore con minore carico di lavoro.


2-31

• Salva e sincronizza: Salva le impostazioni e sincronizza i dati con i dominiActive Directory.

8. Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione deidati con i domini di Active Directory a pagina 2-31.

Sincronizzazione dei dati con i domini di Active DirectorySincronizzare i dati con i domini Active Directory regolarmente in modo che la strutturadel client OfficeScan sia sempre aggiornata e per inviare query ai client non gestiti.

Sincronizzazione manuale dei dati con i domini di ActiveDirectory

Procedura

1. Accedere a Amministrazione > Active Directory > Active DirectoryIntegration.

2. Verificare che le credenziali dei domini e le impostazioni di crittografia non sianocambiate.

3. Fare clic su Salva e sincronizza.

Sincronizzazione automatica dei dati con i domini di ActiveDirectory

Procedura

1. Accedere a Amministrazione > Active Directory > Sincronizzazionepianificata.

2. Selezionare Attiva sincronizzazione pianificata di Active Directory.

3. Specificare la pianificazione di sincronizzazione.


2-32

NotaPer le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica ilnumero di ore che OfficeScan destina alla sincronizzazione di Active Directory con ilserver OfficeScan.


Struttura client OfficeScanLa struttura dei client OfficeScan visualizza tutti i client (raggruppati in Domini OfficeScana pagina 2-45) attualmente gestiti dal server. I client sono raggruppati in domini perconsentire di configurare e gestire contemporaneamente tutti i membri del dominio,nonché di assegnare loro la stessa configurazione.


2-33

La struttura ad albero dei client viene visualizzata nel riquadro principale quando siaccede a determinate funzioni dal menu principale.

FIGURA 2-18. Struttura client OfficeScan

Icone della struttura client

Le icone della struttura client di OfficeScan offrono suggerimenti visivi che indicano iltipo di computer e lo stato dei clienti di OfficeScan gestiti da OfficeScan stesso.

TABELLA 2-7. Icone della struttura client di OfficeScan

ICONA DESCRIZIONE

Dominio

Root


2-34

ICONA DESCRIZIONE

Update Agent

Smart Scan disponibile nel client di OfficeScan

Smart Scan non disponibile nel client di OfficeScan

Smart Scan disponibile in Update Agent

Smart Scan non disponibile in Update Agent

Operazioni generali della struttura dei clientDi seguito è riportato un elenco delle operazioni generali possibili quando vienevisualizzata la struttura dei client:

Procedura

• Fare clic sull'icona del dominio principale ( ) per selezionare tutti i domini e iclient. Quando viene selezionata l'icona del dominio root e si sceglie un'operazioneal di sopra della struttura client, viene visualizzata una schermata per laconfigurazione delle impostazioni. Nella schermata scegliere le seguenti opzionigenerali:

• Applica a tutti i client: applica le impostazioni a tutti i client esistenti e aqualsiasi nuovo client aggiunto a un dominio esistente o futuro. I dominifuturi sono i domini non ancora creati al momento della configurazione delleimpostazioni.

• Applica soltanto ai domini futuri: applica le impostazioni solo ai clientaggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuoviclient aggiunti a un dominio esistente.

• Per selezionare più domini o client adiacenti:


2-35

• Nel pannello situato a destra, selezionare il primo dominio, tenere premuto iltasto MAIUSC e fare clic sull'ultimo dominio o client dell'intervallo.

• Per selezionare un intervallo di domini o client non adiacenti, nel pannello situato adestra, tenere premuto il tasto CTRL e fare clic sui domini o client che si desideraselezionare.

• È possibile cercare un determinato client, specificando il nome del client nellacasella di testo Cerca computer. Viene visualizzato il dominio contenente l'elencodi tutti i suoi client e il nome di ciascun client evidenziato. Per passare al clientsuccessivo, fare clic di nuovo su Cerca. Per selezionare altre opzioni di ricerca, fareclic su Ricerca avanzata.

NotaNon è possibile specificare indirizzi IPv6 o IPv4 quando si cercano dei clientspecifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per idettagli, consultare Opzioni di ricerca avanzate a pagina 2-36.

• Quando si seleziona un dominio, la tabella della struttura dei client si espande emostra tutti i client appartenenti al dominio e tutte le colonne contenenti leinformazioni relative a quei client. Per vedere solo un gruppo di colonne,selezionare un elemento all'interno della visualizzazione struttura client.

• Visualizza tutto: mostra tutte le colonne

• Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi

• Visualizzazione antivirus: mostra tutti i componenti antivirus

• Visualizzazione anti-spyware: mostra tutti i componenti anti-spyware

• Visualizzazione protezione dati: mostra lo stato del modulo Protezione datisui client

• Visualizzazione firewall: mostra tutti i componenti firewall

• Visualizza Smart Protection: mostra il metodo di scansione utilizzato daiclient (convenzionale o Smart Scan) e i componenti Smart Protection

• Visualizzazione Update Agent: mostra le informazioni su tutti gli UpdateAgent gestiti dal server OfficeScan


2-36

• È possibile cambiare la disposizione delle colonne, trascinando i titoli delle colonnein posizioni diverse all'interno della struttura dei client. OfficeScan salvaautomaticamente la nuova posizione delle colonne.

• Facendo clic sul nome di una colonna, è possibile ordinare i client sulla base delleinformazioni in essa contenute.

• La struttura dei client può essere aggiornata facendo clic sull'icona diaggiornamento ( ).

• Le statistiche relative ai client vengono visualizzate al di sotto della struttura deiclient e comprendono informazioni quali il numero totale di client, il numero diclient Smart Scan e il numero di client con scansione convenzionale.

Opzioni di ricerca avanzateLa ricerca dei computer client si basa sui seguenti criteri:

Procedura

• Base: comprende le informazioni di base dei computer, come indirizzo IP, sistemaoperativo, dominio, indirizzo MAC, metodo di scansione e stato di reputazioneWeb

• La ricerca in base all'indirizzo IPv4 richiede una porzione di indirizzo IP cheinizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti icomputer con indirizzi IP contenenti la voce specificata. Se, ad esempio, se sidigita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo diindirizzi IP da 10.5.0.0 a 10.5.255.255.

• La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso.

• La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC innotazione esadecimale, ad esempio 000A1B123C12.

• Versioni componenti: selezionare la casella di controllo vicino al nome delcomponente, restringere i parametri selezionando Precedente alla o Precedente a(incluso), e immettere un numero di versione. Per impostazione predefinita vieneinserito il numero di versione attuale.


2-37

• Stato: comprende le impostazioni del client

Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della struttura deiclient viene visualizzato un elenco di nomi di computer corrispondenti ai criteri.

Operazioni specifiche della struttura dei clientLa struttura client viene visualizzata quando si accede ad alcune schermate della consoleWeb. Al di sopra della struttura dei client sono disponibili voci del menu specifiche dellaschermata visualizzata. Queste voci del menu consentono di effettuare operazionispecifiche quali configurare le impostazioni dei client o avviare operazioni dei client. Pereffettuare tali operazioni occorre prima selezionare la destinazione dell'operazione (ildominio del livello principale che applica le impostazioni a tutti i client, uno o piùdomini oppure uno o più client), quindi selezionare una voce del menu.

La seguente schermata visualizza la struttura client:

• Schermata Gestione client a pagina 2-37

• Schermata Prevenzione delle infezioni a pagina 2-40

• Schermata Aggiornamento componenti per computer in rete a pagina 2-41

• Schermata Rollback a pagina 2-42

• Schermata Registri del rischio per la sicurezza per i computer in rete a pagina 2-43

• Schermata Implementazione Agent a pagina 2-45

Schermata Gestione client

Per visualizzare questa schermata, accedere a Computer collegati in rete > Gestioneclient.


2-38

Gestire le impostazioni generali del client nella schermata Gestione client.

FIGURA 2-19. Schermata Gestione client

La tabella seguente elenca le operazioni che è possibile effettuare:

TABELLA 2-8. Operazioni di Gestione client

PULSANTE DI MENU OPERAZIONE

Stato Visualizzare le informazioni dettagliate sui client. Per i dettagli,consultare Visualizzazione delle informazioni dettagliate sul clientOfficeScan a pagina 13-54.

Operazioni • Eseguire l'opzione Esegui scansione nei computer client. Per idettagli, consultare Avvio di Esegui scansione a pagina 6-25.

• Disinstallare il client. Per i dettagli, consultare Disinstallazionedel client OfficeScan dalla console Web a pagina 4-74.

• Ripristinare i componenti spyware/grayware. Per i dettagli,consultare Ripristino spyware/grayware a pagina 6-52.


2-39


Impostazioni • Configurare le impostazioni di scansione. Per ulteriori dettagli,leggere i seguenti argomenti:

• Metodi di scansione a pagina 6-7

• Scansione manuale a pagina 6-18

• Scansione in tempo reale a pagina 6-15

• Scansione pianificata a pagina 6-20

• Esegui scansione a pagina 6-23

• Configurare le impostazioni di reputazione Web. Per i dettagli,consultare Criteri di reputazione Web a pagina 10-3.

• Configurare le impostazioni di Monitoraggio del comportamento.Per i dettagli, consultare Monitoraggio del comportamento apagina 7-2.

• Configurare le impostazioni di Controllo dispositivo. Per idettagli, consultare Controllo dispositivo a pagina 8-2.

• Configurare i criteri di Prevenzione perdita di dati. Per i dettagli,consultare Configurazione dei criteri Prevenzione perdita di datia pagina 9-49.

• Assegnare i client come Update Agent. Per i dettagli, consultareConfigurazione di Update Agent a pagina 5-54.

• Configurare i privilegi client e altre impostazioni. Per i dettagli,consultare Configurazione dei privilegi del client e altreimpostazioni a pagina 13-89.

• Attivare o disattivare i servizi del client OfficeScan. Per i dettagli,consultare Servizi client OfficeScan a pagina 13-7.

• Configurare l'elenco di spyware/grayware approvato. Per idettagli, consultare Elenco Approvati spyware/grayware apagina 6-50.

• Importazione ed esportazione delle impostazioni client. Per idettagli, consultare Importazione ed esportazione delleimpostazioni client a pagina 13-55.


2-40


Registri Visualizzare i registri riportati di seguito:

• Registri di virus/minacce informatiche (per maggiori dettagli,vedere Visualizzazione dei registri di virus/minacce informatichea pagina 6-88)

• Registri spyware/grayware (per maggiori dettagli, vedereVisualizzazione dei registri di spyware/grayware a pagina 6-95)

• Registri del firewall (per maggiori dettagli, vedere Registri delfirewall a pagina 11-30)

• Registri di reputazione Web (per maggiori dettagli, vedereRegistri di reputazione Web a pagina 10-11)

• Registri di Monitoraggio del comportamento (per maggioridettagli, vedere Registri di Monitoraggio del comportamento apagina 7-12)

• Registri di Controllo dispositivo (per maggiori dettagli, vedereRegistri di controllo dispositivo a pagina 8-16)

Eliminare i registri. Per i dettagli, consultare Gestione dei registri apagina 12-34.

Gestionestruttura client

Gestire la struttura client. Per i dettagli, consultare Operazioni diraggruppamento dei client a pagina 2-53.

Esporta Esportare un elenco dei client in un file .csv (comma-separatedvalue).

Schermata Prevenzione delle infezioni

Per visualizzare questa schermata, accedere a Computer collegati in rete >Prevenzione delle infezioni.


2-41

Specificare ed attivare le impostazioni di prevenzione delle infezioni nella schermataPrevenzione delle infezioni. Per i dettagli, consultare Configurazione della prevenzione deirischi per la sicurezza a pagina 6-104.

FIGURA 2-20. Schermata Prevenzione delle infezioni

Schermata Aggiornamento componenti per computer in rete

Per visualizzare questa schermata, accedere a Aggiornamenti > Computer collegati inrete > Aggiornamento manuale. Fare clic su Seleziona client manualmente equindi su Seleziona.


2-42

Avviare l'aggiornamento manuale nella schermata Aggiornamento componenti percomputer in rete. Per i dettagli, consultare Aggiornamenti manuali del client OfficeScan apagina 5-43.

FIGURA 2-21. Schermata Aggiornamento componenti per computer in rete

Schermata Rollback

Per visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic suSincronizza con il server.


2-43

Eseguire il rollback dei componenti client nella schermata Rollback. Per i dettagli,consultare Ripristino dei componenti per i client OfficeScan a pagina 5-51.

FIGURA 2-22. Schermata Rollback

Schermata Registri del rischio per la sicurezza per icomputer in rete

Per visualizzare questa schermata, accedere a Registri > Registri dei computercollegati in rete > Rischi per la sicurezza.


2-44

Visualizzare e gestire i registri nella schermata Registri del rischio per la sicurezza peri computer in rete.

FIGURA 2-23. Schermata Registri del rischio per la sicurezza per i computer in rete

Eseguire le operazioni riportate di seguito:

1. Visualizzare i registri che i client inviano al server. Per maggiori dettagli, consultare:

• Visualizzazione dei registri di virus/minacce informatiche a pagina 6-88

• Visualizzazione dei registri di spyware/grayware a pagina 6-95

• Visualizzazione dei registri firewall a pagina 11-31

• Visualizzazione dei registri di reputazione Web a pagina 10-11

• Visualizzazione dei registri di Monitoraggio del comportamento a pagina 7-12

• Visualizzazione dei registri di controllo dispositivo a pagina 8-17

• Visualizzazione dei registri di Prevenzione perdita di dati a pagina 9-60


2-45

2. Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 12-34.

Schermata Implementazione Agent

Per visualizzare questa schermata, accedere a Cisco NAC > Implementazione Agent.

Se è stato impostato Policy Server per Cisco NAC, implementare Cisco Trust Agent(CTA) nei client nella schermata Implementazione Agent. Per i dettagli, consultareImplementazione di Cisco Trust Agent a pagina 15-29.

FIGURA 2-24. Schermata Implementazione Agent

Domini OfficeScanUn dominio all'interno di OfficeScan è un gruppo di client che condividono la stessaconfigurazione ed eseguono le stesse operazioni. Il raggruppamento dei client in dominiconsente di configurare e gestire tutti i membri del dominio, nonché di assegnare loro la


2-46

stessa configurazione. Per ulteriori informazioni sul raggruppamento dei client, vedereRaggruppamento client a pagina 2-46.

Raggruppamento clientUtilizzare Raggruppamento client per creare e gestire domini in modo manuale oautomatico nella struttura dei client OfficeScan.

Esistono due modi per raggruppare i client nei domini.

TABELLA 2-9. Metodi di raggruppamento client

METODORAGGRUPPAMENTO

CLIENTDESCRIZIONI

Manuale • DominioNetBIOS

• Dominio ActiveDirectory

• Dominio DNS

Il raggruppamento manuale dei client definisce ildominio al quale il nuovo client installato dovrebbeappartenere. Quando il client viene visualizzato nellastruttura client, è possibile spostarlo in un altrodominio o in un altro server OfficeScan.

Il raggruppamento manuale del client consenteinoltre di creare, gestire e rimuovere domini nellastruttura client.

Per i dettagli, consultare Raggruppamento clientmanuale a pagina 2-46.

Automatico Personalizzagruppi di client

Il raggruppamento automatico dei client utilizza delleregole per ordinare i client nella struttura client. Dopola definizione delle regole, è possibile accedere allastruttura client per ordinarli manualmente o perconsentire a OfficeScan di ordinarli automaticamentequando si verificano eventi specifici o ad intervalliprogrammati.

Per i dettagli, consultare Raggruppamentoautomatico dei client a pagina 2-47.

Raggruppamento client manualeOfficeScan utilizza questa impostazione solo per le installazioni client da zero. Ilprogramma di installazione controlla il dominio di rete a cui appartiene il computer di


2-47

destinazione. Se il nome del dominio è già presente nella struttura dei client, OfficeScanraggruppa il client del computer di destinazione sotto quel dominio e applica ad esso leimpostazioni configurate per quel dominio. Se il nome del dominio non è presente,OfficeScan aggiunge il dominio alla struttura del client, raggruppa il client sotto taledominio, quindi applica le impostazioni della directory principale al dominio e al client.

Configurazione raggruppamento client manuale

Procedura

1. Accedere a Computer collegati in rete > Raggruppamento client.

2. Specificare il metodo di raggruppamento dei client:

• Dominio NetBIOS

• Dominio Active Directory

• Dominio DNS


Operazioni successive

Per gestire i domini ed i relativi raggruppamenti di client, eseguire le seguenti operazioni:

• Aggiungere un dominio

• Eliminare un dominio o un client

• Rinominare un dominio

• Trasferire un client a un altro dominio

Per i dettagli, consultare Operazioni di raggruppamento dei client a pagina 2-53.

Raggruppamento automatico dei clientIl raggruppamento automatico dei client utilizza le regole definite dagli indirizzi IP o daidomini Active Directory. Se una regola definisce un indirizzo IP o un intervallo diindirizzi IP, il server OfficeScan raggrupperà un client con un indirizzo IP


2-48

corrispondente a un dominio specifico della struttura client. Analogamente, se unaregola definisce uno o più domini Active Directory, il server OfficeScan raggrupperà unclient appartenente ad un particolare dominio Active Directory in un dominio specificodella struttura client.

I client applicano solamente una regola per volta. Assegnare delle priorità alle regole, inmodo che se un client soddisfa più di una regola, si applicherà quella con la priorità piùalta.

Configurazione del raggruppamento client automatico

Procedura

1. Accedere a Computer collegati in rete > Raggruppamento client

2. Andare alla sezione Raggruppamento client, quindi selezionare Gruppi di clientpersonalizzati.

3. Andare alla sezione Raggruppamento automatico dei client.

4. Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare ActiveDirectory oppure Indirizzo IP.

• Se è stato selezionato Active Directory, consultare le istruzioni per laconfigurazione in Definizione di una regola di raggruppamento dei client in base aidomini Active Directory a pagina 2-50.

• Se è stato selezionato Indirizzo IP, consultare le istruzioni per laconfigurazione in Definizione di una regola di raggruppamento dei client in base agliindirizzi IP a pagina 2-51.

5. Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi:

a. Selezionare una regola.

b. Fare clic su una freccia sotto la colonna Priorità di raggruppamento perspostare la regola in alto o in basso nell'elenco. Il numero ID della regolacambia in base alla nuova posizione assegnata.

6. Per utilizzare le regole durante il riordino del client:

a. Selezionare le caselle di controllo delle regole da utilizzare.


2-49

b. Assicurarsi che le regole siano attivate. Sotto la colonna dello Stato, dovrebbeessere visualizzata un'icona verde con un segno di spunta ( ). Se èvisualizzata un'icona rossa con la "x" ( ), facendo clic sull'icona si attiva laregola e l'icona diventa verde.

Nota

Se non viene selezionata la casella di controllo per una regola o se la regola vienedisattivata, la stessa non verrà utilizzata quando si riordinano i client nella strutturaclient. Ad esempio, se la regola determina che un client deve spostarsi su un nuovodominio, il client non si sposterà e rimarrà nel dominio attuale.

7. Specificare una pianificazione di riordino nella sezione Creazione dominiopianificata.

a. Selezionare Attiva creazione dominio pianificata.

b. Specificare la pianificazione in Creazione dominio basata supianificazione.

8. Scegliere una delle opzioni elencate di seguito.

• Salva e crea dominio ora: scegliere questa opzione se sono stati specificatinuovi domini Definizione di una regola di raggruppamento dei client in base agliindirizzi IP a pagina 2-51, passaggio 7 o in Definizione di una regola diraggruppamento dei client in base ai domini Active Directory a pagina 2-50, passaggio7.

• Salva: scegliere questa opzione se non sono stati specificati nuovi domini o sidesidera crearne di nuovi solo quando il riordino del client è in esecuzione.

Nota

Il riordino del client non inizierà dopo il completamento di questo passaggio.

9. Per ordinare immediatamente i client, andare alla struttura client e ordinare i client.Per i dettagli, consultare Ordinamento dei client a pagina 2-56. Se è stata configuratauna pianificazione per il riordino nel passaggio 6, il riordino inizierà nel giorno eall'ora prefissati. OfficeScan eseguirà inoltre un'operazione di riordino quando siverificheranno i seguenti eventi:


2-50

• Viene installato un client.

• Viene ricaricato un client.

• L'indirizzo IP di un client viene modificato.

• Un utente client attiva o disattiva la modalità roaming.

Definizione di una regola di raggruppamento dei client inbase ai domini Active Directory

Accertarsi di aver configurato le impostazioni di integrazione di Active Directory primadi eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration apagina 2-28.

Procedura




4. Fare clic su Aggiungi, quindi selezionare Active Directory.

Viene visualizzata una nuova schermata.

5. Selezionare Attiva raggruppamento.

6. Specificare un nome per la regola.

7. In Origine di Active Directory, selezionare il domini o i sottodomini di ActiveDirectory.

8. In Struttura client, selezionare un dominio OfficeScan esistente al quale sonoassociati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste,attenersi alla procedura riportata di seguito:


2-51

a. Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clicsull'icona per l'aggiunta dei domini. Nell'esempio seguente, il nuovo dominioverrà aggiunto sotto il dominio principale (root) di OfficeScan.

FIGURA 2-25. Icona per l'aggiunta dei domini

b. Immettere il nome del dominio nella casella di testo fornita.

c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominioviene aggiunto ed è selezionato automaticamente.

9. Facoltativamente, selezionare Duplica la struttura Active Directory nellastruttura del client OfficeScan. Questa opzione duplica la gerarchia dei dominiActive Directory selezionati nel dominio OfficeScan selezionato.


Definizione di una regola di raggruppamento dei client inbase agli indirizzi IPPer ordinare i client della struttura dei client di OfficeScan, creare gruppi di clientpersonalizzati utilizzando gli indirizzi IP di rete. La funzione si rivela utile agliamministratori per organizzare la struttura dei client OfficeScan prima della registrazionedel client con il server OfficeScan.

Procedura




2-52


4. Fare clic su Aggiungi e selezionare Indirizzo IP.


5. Selezionare Attiva raggruppamento.

6. Specificare un nome per il raggruppamento.

7. Specificare una delle seguenti opzioni:

• Un indirizzo IPv4 o IPv6 singolo

• Un intervallo di indirizzi IPv4

• Una lunghezza e un prefisso IPv6

Nota

Se gli indirizzi IPv4 e IPv6 di un client dual-stack appartengono a due gruppi di clientdiversi, il client sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è disattivatonella macchina host del client, questo sarà spostato sotto il gruppo IPv4.

8. Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP èassociato. Se il dominio non esiste, attenersi alla procedura riportata di seguito:

a. Posizionare il mouse sopra la struttura dei client e fare clic sull'icona perl'aggiunta dei domini.

FIGURA 2-26. Icona per l'aggiunta dei domini

b. Digitare il dominio nella casella di testo disponibile.


2-53

c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominioviene aggiunto ed è selezionato automaticamente.


Operazioni di raggruppamento dei clientDurante il raggruppamento dei client nei domini è possibile effettuare le operazioniriportate di seguito:

Per il raggruppamento dei client manuale:

• Aggiungere un dominio. Per informazioni, vedere Aggiunta di un dominio a pagina2-53.

• Eliminare un dominio o un client. Per informazioni, vedere Eliminazione di undominio o di un client a pagina 2-54.

• Rinominare un dominio. Per informazioni, vedere Ridenominazione di un dominio apagina 2-55.

• Trasferire un client a un altro dominio o a un altro server OfficeScan. Perinformazioni, vedere Spostamento di un client OfficeScan in un altro dominio o serverOfficeScan a pagina 2-55.

Per il raggruppamento dei client automatico:

• Ordinare i client. Per informazioni, vedere Ordinamento dei client a pagina 2-56.

• Eliminare un dominio o un client. Per informazioni, vedere Eliminazione di undominio o di un client a pagina 2-54.

Aggiunta di un dominio

Procedura

1. Accedere a Computer collegati in rete > Gestione client.

2. Fare clic su Gestione struttura client > Aggiungi dominio.

3. Digitare un nome per il dominio che si desidera aggiungere.


2-54


Il nuovo dominio viene visualizzato nella struttura dei client.

5. Creare sottodomini (Facoltativo).

a. Selezionare il dominio principale.

b. Fare clic su Gestione struttura client > Aggiungi dominio.

c. Immettere il nome del sottodominio.

Eliminazione di un dominio o di un client

Procedura


2. Nella struttura client, selezionare:

• Uno o più domini

• Uno, diversi o tutti i client appartenenti ad un dominio

3. Fare clic su Gestione struttura client > Rimozione di dominio/client.

4. Per eliminare un dominio vuoto, fare clic su Rimozione di dominio/client. Senel dominio sono presenti client e si fa clic su Rimozione di dominio/client, ilserver OfficeScan crea nuovamente il dominio e raggruppa tutti i client sotto taledominio la volta successiva che i client si connettono al server OfficeScan. Prima dieliminare il dominio, è possibile effettuare le seguenti operazioni:

a. Trasferire i client ad altri domini. Per spostare i client in altri domini,trascinarli nei domini di destinazione.

b. Eliminare tutti i client.

5. Per eliminare un client, fare clic su Rimozione di dominio/client.


2-55

Nota

L'eliminazione di un client da una struttura client non comporta l'eliminazione delclient OfficeScan dal computer client. Il client OfficeScan è comunque in grado dieffettuare delle operazioni indipendenti dal server quali l'aggiornamento deicomponenti. Tuttavia, sul server non vi è traccia dell'esistenza del client e, per questomotivo, non è possibile implementare configurazioni o inviare notifiche ai client.

Ridenominazione di un dominio

Procedura


2. Selezionare un dominio nella struttura del client.

3. Fare clic su Gestione struttura client > Rinomina dominio.

4. Inserire un nuovo nome per un dominio.

5. Fare clic su Rinomina.

All'interno della struttura dei client viene visualizzato il nuovo nome assegnato aldominio.

Spostamento di un client OfficeScan in un altro dominio o serverOfficeScan

Procedura


2. Nella struttura del client, aprire un dominio e selezionare uno, diversi o tutti iclient.

3. Fare clic su Gestione struttura client > Sposta client.

4. Per trasferire i client a un altro dominio:


2-56

• Selezionare Sposta i client selezionati in un altro dominio.

• Selezionare il dominio.

• Applicare le impostazioni del nuovo dominio ai client (facoltativo).

Suggerimento

È inoltre possibile trascinare i client e rilasciarli in un altro dominio della struttura delclient.

5. Per trasferire i client a un altro server OfficeScan:

• Selezionare Sposta i client selezionati in un altro server OfficeScan.

• Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di portaHTTP.

6. Fare clic su Sposta.

Ordinamento dei client

Procedura


2. Nella struttura del client, effettuare una delle operazioni seguenti:

• Per ordinare tutti i client, fare clic sull'icona del dominio principale OfficeScan( ).

• Per ordinare solo i client appartenenti a determinati domini, selezionare idomini.

• Per ordinare alcuni client o tutti i client appartenenti a un determinatodominio, aprire il dominio e selezionare i client.

3. Fare clic su Gestione struttura client > Ordina client.

4. Fare clic su Avvio.


2-57

5. Quando l'ordinamento è completato, fare clic su Chiudi. A questo punto, clientordinati dovrebbero appartenere ai rispettivi domini designati.

Parte IIProtezione dei computer

collegati in rete

3-1

Capitolo 3

Utilizzo di Trend Micro SmartProtection

In questo capitolo vengono descritte le soluzioni Trend Micro™ Smart Protection e lemodalità di impostazione dell'ambiente richiesto per l'utilizzo di queste soluzioni.

• Informazioni su Trend Micro Smart Protection a pagina 3-2

• Servizi Smart Protection a pagina 3-3

• Origini Smart Protection a pagina 3-5

• File Smart Protection Pattern a pagina 3-8

• Impostazione dei servizi Smart Protection a pagina 3-13

• Utilizzo dei servizi Smart Protection a pagina 3-32


3-2

Informazioni su Trend Micro Smart ProtectionTrend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti deiclient cloud di prossima generazione concepita per proteggere gli utenti contro i rischiper la sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestiteda host per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie a clientleggeri che accedono alla combinazione cloud unica di tecnologie di reputazione file,posta elettronica e Web, nonché ai database delle minacce. La protezione dei clientiviene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti,servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezionereciproca in tempo reale per gli utenti.

Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione ecorrelazione, le soluzioni Trend Micro Smart Protection riducono al minimo ladipendenza dai download convenzionali dei file di pattern ed eliminano i ritardinormalmente associati agli aggiornamenti desktop.

L'esigenza di una nuova soluzione

Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni)richiesti per proteggere un client vengono per la maggior parte distribuiti in base a unapianificazione, che prevede una trasmissione in batch da Trend Micro ai client. Quandoviene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/minacceinformatiche in esecuzione sul client ricarica nella memoria le definizioni dei pattern perfar fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/minacciainformatica, tale pattern deve nuovamente essere parzialmente o completamenteaggiornato e ricaricato sul client per garantire protezione continua.

Nel corso del tempo, si è verificato un significativo aumento del volume di minacceemergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corsodegli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischiper la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezzarappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulleprestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, ingenerale, sul tempo globale richiesto per offrire una protezione di qualità o sul temponecessario a garantirla.

Utilizzo di Trend Micro Smart Protection

3-3

Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delleminacce, volto a proteggere i clienti dalle minacce poste dal volume di virus/minacceinformatiche. La tecnologia e l'architettura utilizzate in questo approccio sfruttano latecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce informatichenell'ambiente cloud. Scaricando la memorizzazione di queste firme di virus/minacceinformatiche in tale ambiente, Trend Micro è in grado di fornire ai clienti una miglioreprotezione contro rischi per la sicurezza emergenti.

Servizi Smart ProtectionSmart Protection include servizi che forniscono firme anti-malware, reputazione Web edatabase delle minacce che vengono memorizzati nella rete cloud.

I servizi Smart Protection includono:

• Servizi di reputazione file: Servizi di reputazione file scarica un elevato numero difirme contro le minacce informatiche (in precedenza memorizzate nei computerclient) nelle origini Smart Protection. Per i dettagli, consultare Servizi di reputazionefile a pagina 3-3.

• Servizi di reputazione Web: Servizi di reputazione Web consente alle originiSmart Protection locali di ospitare i dati di reputazione degli URL che inprecedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicuranoun consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o laverifica della validità degli URL. Per i dettagli, consultare Servizi di reputazione Web apagina 3-4.

• Smart Feedback: Trend Micro continua a raccogliere informazioni inviate informa anonima dai prodotti Trend Micro in tutto il mondo per essere in grado diindividuare nuove minacce in modo proattivo. Per i dettagli, consultare SmartFeedback a pagina 3-4.

Servizi di reputazione fileI Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database"in-the-cloud". Poiché le informazioni relative alle minacce informatiche sonomemorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad


3-4

elevate prestazioni in termini di disponibilità del contenuto e i server con cache localepermettono che la latenza durante il processo di controllo sia minima. L'architetturacloud offre protezione immediata ed elimina la necessità di implementare i pattern oltrea ridurre in modo significativo il carico complessivo dei client.

I client devono essere in modalità Smart Scan per utilizzare i Servizi di reputazione file.In questo documento questi client sono definiti come client Smart Scan. I client chenon sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e sonodefiniti client con scansione convenzionale. Gli amministratori OfficeScan possonoconfigurare tutti i client, o solo alcuni, in modalità Smart Scan.

Servizi di reputazione WebAvvalendosi di uno dei database di reputazione dei domini più grandi del mondo, latecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei dominiWeb assegnando un punteggio di reputazione basato su fattori quali la maturità del sitoWeb, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediantel'analisi del comportamento delle minacce informatiche. I siti sono continuamentesottoposti alla reputazione Web e l'accesso ai siti infetti viene bloccato. Le informazionidi reputazione Web contribuiscono a garantire che le pagine visitate dagli utenti sianosicure e prive di minacce Web quali minacce informatiche, spyware e frodi di phishingvolte a indurre gli utenti a fornire informazioni personali. Per aumentare l'accuratezza eridurre i falsi allarmi, la tecnologia di reputazione Web di Trend Micro assegna punteggidi reputazione a pagine e collegamenti individuali dei siti anziché classificare o bloccaresiti interi. Spesso, infatti, solo alcune parti di siti legittimi sono pericolose e lareputazione può cambiare con il tempo.

I client OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizi direputazione Web. Gli amministratori di OfficeScan possono applicare i criteri direputazione Web a tutti i client o solo ad alcuni.

Smart FeedbackTrend Micro Smart Feedback rappresenta un canale di comunicazione costante tra iprodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce.Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ognisingolo cliente aggiorna automaticamente il database completo delle minacce di Trend


3-5

Micro, consentendo in tal modo di impedire che altri clienti riscontrino la stessaminaccia.

Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso lavasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezioneautomatica in tempo reale contro le minacce più recenti e di fornire una miglioresicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco dellacomunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione dellafonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacydelle informazioni personali o professionali è sempre protetta.

Esempi di informazioni inviate a Trend Micro:

• File checksum

• Siti Web visitati

• Informazioni sui file, comprese le dimensioni e i percorsi

• Nomi di file eseguibili

È possibile interrompere la partecipazione al programma in qualsiasi momento dallaconsole Web.

Suggerimento

Per proteggere il computer non è necessario partecipare al programma Smart Feedback. Lapartecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Microconsiglia di partecipare al programma Smart Feedback per contribuire a migliorare laprotezione complessiva di tutti i clienti Trend Micro.

Per ulteriori informazioni su Smart Protection Network, visitare:

http://it.trendmicro.com/it/about/core-technologies/smart-protection-network/

Origini Smart ProtectionTrend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle originiOfficeScan e Smart Protection.



3-6

Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggiorparte delle definizioni dei pattern di virus e minacce informatiche. I client OfficeScanospitano le definizioni rimanenti. Un client invia le query di scansione alle origini SmartProtection se le relative definizioni dei pattern non sono in grado di determinare ilrischio del file. Le origini Smart Protection determinano il rischio utilizzando leinformazioni di identificazione.

Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati direputazione Web precedentemente disponibili solo attraverso i server host di TrendMicro. Il client invia query di reputazione Web alle origini Smart Protection perverificare la reputazione di siti Web ai quali l'utente tenta di accedere. Il client mette incorrelazione la reputazione di un sito Web con il criterio di reputazione Web applicatosul computer per determinare se l'accesso al sito sarà consentito o bloccato.

L'origine di Smart Protection a cui si connette il client dipende dalla località delcomputer client. I client possono connettersi o a Smart Protection Network di TrendMicro o a Smart Protection Network.

Trend Micro™ Smart Protection Network™Trend Micro ™Smart Protection Network™ è un'infrastruttura per la sicurezza deicontenuti dei client cloud di prossima generazione concepita per proteggere gli utenticontro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestiteda host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio.Smart Protection Network utilizza client più leggeri che accedono alla combinazione "in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché aidatabase delle minacce. La protezione dei clienti viene aggiornata e rafforzataautomaticamente con il progressivo aumento di prodotti, servizi e utenti che accedonoalla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gliutenti.

Per ulteriori informazioni su Smart Protection Network, visitare:

www.smartprotectionnetwork.com



3-7

Smart Protection ServerGli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendalilocali. I server locali limitano i servizi Smart Protection alla rete aziendale per unamaggiore efficienza.

Esistono due tipi di Smart Protection Server:

• Integrated Smart Protection Server: Il programma di installazione di OfficeScancomprende un Integrated Smart Protection Server che viene installato nello stessocomputer dove è installato il server OfficeScan. Dopo l'installazione è possibilegestire le impostazioni di questo server dalla console Web OfficeScan. Il serverintegrato è destinato ad un'implementazione di OfficeScan su piccola scala, nellaquale il numero di client non supera le 3,000 unità. Per implementazioni superiori,è necessario Smart Protection Server standalone.

• Smart Protection Server standalone: Smart Protection Server standalone vieneinstallato su un server VMware o un server Hyper-V. Il server standalone disponedi una console di gestione separata e non è gestito dalla console Web OfficeScan.

Confronto delle origini Smart ProtectionLa seguente tabella sottolinea le differenze tra Smart Protection Network e SmartProtection Server.

TABELLA 3-1. Confronto delle origini Smart Protection

CRITERI DICONFRONTO

SMART PROTECTION SERVERTREND MICRO SMART PROTECTION

NETWORK

Disponibilità Disponibile per i client interni,ossia i client che soddisfano icriteri di località specificati nellaconsole Web OfficeScan

Disponibile principalmente per iclient esterni, ossia i client chenon soddisfano i criteri di localitàspecificati nella console WebOfficeScan


3-8

CRITERI DICONFRONTO

SMART PROTECTION SERVERTREND MICRO SMART PROTECTION

NETWORK

Scopo Progettata e finalizzataall'identificazione dei serviziSmart Protection per la reteaziendale al fine di ottimizzarel'efficienza.

Un'infrastruttura, basata suInternet, su scala globale chefornisce servizi Smart Protectionai client che non possonoaccedere direttamente alla lororete aziendale.

Amministrazione Gli amministratori OfficeScaninstallano e gestiscono questeorigini Smart Protection.

Trend Micro gestisce questaorigine.

Origine diaggiornamentodei pattern

Server ActiveUpdate di TrendMicro

Server ActiveUpdate di TrendMicro

Protocolli diconnessione deiclient

HTTP e HTTPS HTTPS

File Smart Protection PatternI file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e iServizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il serverActiveUpdate di Trend Micro.

Smart Scan Agent PatternSmart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricatodall'origine aggiornamenti del client OfficeScan (il server OfficeScan o un'origineaggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern peri client Smart Scan.


3-9

Nota

I client con Smart Scan sono client OfficeScan che gli amministratori hanno configuratoper utilizzare i Servizi di reputazione file. I client che non utilizzano i Servizi di reputazionefile sono definiti Client con scansione convenzionale.

I client con Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono lascansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischiodel file, viene utilizzato un altro pattern: Smart Scan Pattern.

Smart Scan Pattern

Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini SmartProtection I client con Smart Scan non scaricano Smart Scan Pattern. I client verificanopotenziali minacce rispetto a Smart Scan Pattern inviando query di scansione alle originiSmart Protection.

Elenco siti Web bloccati

L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. I clientOfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco sitiWeb bloccati.

Nota

Gli amministratori possono applicare i criteri di reputazione Web a tutti i client o solo adalcuni.

I client ai quali vengono applicati i criteri di reputazione Web verificano la reputazione diun sito Web rispetto all'Elenco siti Web bloccati inviando query di reputazione Weball'origine Smart Protection. Il client mette in correlazione i dati di reputazione ricevutidall'origine Smart Protection con il criterio di reputazione Web applicato sul computer.In base al criterio, il client blocca o consente l'accesso al sito.


3-10

Processo di aggiornamento di Smart Protection PatternTutti gli aggiornamenti degli Smart Protection Pattern provengono dal serverActiveUpdate di Trend Micro.

FIGURA 3-1. Processo di aggiornamento dei pattern

Utilizzo degli Smart Protection PatternIl client OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per irischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern


3-11

non è in grado di determinare il rischio di un file. Il client invia una query all'Elenco sitiWeb bloccati quando un utente tenta di accedere ad un sito Web. La tecnologia di filtroavanzata consente ai client di inserire nella "cache" i risultati della query. In questo modosi elimina la necessità di inviare la stessa query per più di una volta.

I client che si trovano attualmente nell'Intranet possono connettersi a Smart ProtectionServer per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati. È richiestauna connessione di rete per connettersi a Smart Protection Server. Se sono statiimpostati più Smart Protection Server, gli amministratori possono determinare la prioritàdi connessione.

SuggerimentoInstallare diversi Smart Protection Server per garantire la continuità della protezione nelcaso in cui la connessione a uno Smart Protection Server non sia disponibile.


3-12

I client attualmente non presenti nella Intranet possono connettersi a Trend MicroSmart Protection Network per le query. Per connettersi a Smart Protection Network, ènecessaria una connessione ad Internet.

FIGURA 3-2. Processo di query

I client senza accesso alla rete o ad Internet possono ancora sfruttare la protezionefornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di queryprecedenti. La protezione viene ridotta solo quando una nuova query si rende necessariae il client, dopo ripetuti tentativi, continua a non essere in grado di raggiungereun'origine Smart Protection. In questo caso, il client contrassegna il file per la verificaconsentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessioneall'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo ascansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono staticonfermati come minaccia.

La seguente tabella riepiloga l'entità della protezione in base alla località del client.


3-13

TABELLA 3-2. Comportamenti di protezione in base alla località

POSIZIONE COMPORTAMENTO DEI FILE DEI PATTERN E DELLE QUERY

Per accedere alla intranet • File di pattern: i client scaricano il file Smart ScanAgent Pattern dal server OfficeScan o da un'origineaggiornamenti personalizzata.

• Query di reputazione file e Web: i client si connettonoagli Smart Protection Server per le query.

Senza accesso allaIntranet, ma conconnessione a SmartProtection Network

• File di pattern: i client non scaricano il file Smart ScanAgent Pattern più recente a meno che non siadisponibile una connessione a un server OfficeScan o aun'origine aggiornamenti personalizzata.

• Query di reputazione file e Web: i client si connettonoa Smart Protection Network per le query.

Senza accesso allaIntranet e senzaconnessione a SmartProtection Network

• File di pattern: i client non scaricano il file Smart ScanAgent Pattern più recente a meno che non siadisponibile una connessione a un server OfficeScan o aun'origine aggiornamenti personalizzata.

• Query di reputazione file e Web: i client non ricevono irisultati delle query e devono affidarsi a Smart ScanAgent Pattern e alla cache che contiene i risultati dellequery precedenti.

Impostazione dei servizi Smart ProtectionPrima che i client possano utilizzare Servizi di reputazione file e Servizi di reputazioneWeb, è necessario assicurarsi che l'ambiente sia stato impostato correttamente.Controllare quanto segue:

• Installazione di Smart Protection Server a pagina 3-14

• Gestione di Integrated Smart Protection Server a pagina 3-20

• Elenco delle origini Smart Protection a pagina 3-24

• Impostazioni proxy connessione client a pagina 3-31


3-14

• Installazioni di Trend Micro Network VirusWall a pagina 3-32

Installazione di Smart Protection ServerSe il numero dei client è minore o uguale a 1.000, è possibile installare Smart ProtectionServer integrato o standalone . Installare uno Smart Protection Server standalone se ilnumero dei client è superiore a 1.000.

Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. Iclient che non sono in grado di connettersi a un server particolare tenteranno diconnettersi agli altri server impostati.

Dato che il server integrato e il server OfficeScan vengono eseguiti nello stessocomputer, le prestazioni possono diminuire in modo significativo durante i periodi ditraffico intenso per i due server. Si consideri di utilizzare uno Smart Protection Serverstandalone come origine Smart Protection principale per i client e Integrated SmartProtection Server come supporto di backup.

Installazione di Smart Protection Server standalonePer istruzioni sull'installazione e la gestione di Smart Protection Server standalone,consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server.

Installazione di Integrated Smart Protection ServerSe durante l'installazione del server OfficeScan è stato installato Integrated SmartProtection Server:

• Attivare Integrated Smart Protection Server e configurare le impostazioni per ilserver. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina3-20.

• Se Integrated Smart Protection Server e il client OfficeScan sono sullo stessocomputer server, considerare la possibilità di disattivare il firewall di OfficeScan. Ilfirewall OfficeScan è destinato a essere utilizzato per il computer client, e seattivato su computer server, può avere un'influenza negativa sulle prestazioni. Perle istruzioni per disattivare il firewall, vedere Attivazione o disattivazione del Frewall diOfficeScan a pagina 11-6.


3-15

Nota

Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i pianidella sicurezza.

Suggerimento

Installare Integrated Smart Protection Server dopo aver completato l'installazioneOfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 3-15.

Integrated Smart Protection Server Tool

L'Integrated Smart Protection Tool di Trend Micro OfficeScan consente agliamministratori di installare o disinstallare Integrated Smart Protection Server dopo chel'installazione del server OfficeScan è completata. La versione corrente di OfficeScannon consente agli amministratori di installare/rimuovere Integrated Smart ProtectionServer una volta completata l'installazione del server OfficeScan. Questo strumentomigliora la flessibilità delle funzionalità di installazione rispetto alle versioni precedenti diOfficeScan.

Prima di installare l'Integrated Smart Protection Server, importare i seguenti elementi nelserver OfficeScan 10.6 SP2 aggiornato:

• Strutture dei domini

• Il livello principale e le impostazioni del livello dei domini seguenti:

• Configurazioni di scansione per tutti i tipi di scansione (Manuale, In temporeale, Pianificata, Esegui scansione)

• Configurazioni della reputazione Web

• Elenco URL approvato

• Impostazione del monitoraggio del comportamento

• Impostazioni di controllo dispositivo

• Impostazioni di Prevenzione perdita di dati

• Privilegi e altre impostazioni


3-16

• Impostazioni aggiuntive del servizio

• Elenco approvati spyware/grayware

• Impostazioni client globali

• Località computer

• Criteri e profili del firewall

• Origini Smart Protection

• Pianificazione aggiornamento del server

• Pianificazione e origine dell'aggiornamento del client

• Notifiche

• Impostazioni proxy

Procedura

1. Aprire un prompt dei comandi e accedere alla directory <cartella di installazione delserver>\PCCSRV\Admin\Utility\ISPSInstaller, in cui si trovaISPSInstaller.exe.

2. Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti:

TABELLA 3-3. Opzioni del programma di installazione

COMANDO DESCRIZIONE

ISPSInstaller.exe /i Installa Integrated Smart Protection Serverutilizzando le impostazioni della porta predefinita.

Per ulteriori informazioni sulle impostazioni dellaporta predefinita, consultare la tabella seguente.


3-17

COMANDO DESCRIZIONE

ISPSInstaller.exe /i /f:[numero porta] /s:[numeroporta] /w:[numero porta]

Installa Integrated Smart Protection Serverutilizzando le porte specificate, dove:

• /f:[numero porta] rappresenta la porta direputazione del file HTTP

• /s:[numero porta] rappresenta la porta direputazione del file HTTPS

• /w:[numero porta] rappresenta la porta direputazione Web

NotaAlla porta non specificata viene assegnatoautomaticamente un valore predefinito.

ISPSInstaller.exe /u Disinstalla Integrated Smart Protection Server

TABELLA 3-4. Porte dei servizi di reputazione dell'Integrated Smart ProtectionServer

SERVER WEB E IMPOSTAZIONI

PORTE PER SERVIZI DI REPUTAZIONEFILE

PORTA HTTPPER I SERVIZI DI

REPUTAZIONEWEBHTTP HTTPS (SSL)

Server Apache Web con SSLattivato

8080 4343 (nonconfigurabile)

8080 (nonconfigurabile)

Server Apache Web con SSLdisattivato



Sito Web predefinito IIS conSSL attivato



Sito Web predefinito IIS conSSL disattivato



Sito Web virtuale IIS con SSLattivato

8082 4345(configurabile)

5274(configurabile)


3-18

SERVER WEB E IMPOSTAZIONI

PORTE PER SERVIZI DI REPUTAZIONEFILE

PORTA HTTPPER I SERVIZI DI

REPUTAZIONEWEBHTTP HTTPS (SSL)

Sito Web virtuale IIS con SSLdisattivato

8082 4345(configurabile)

5274(configurabile)

3. Dopo il completamento dell'installazione, aprire la console Web OfficeScan everificare quanto segue:

• Aprire Microsoft Management Console (digitando services.msc nelmenu Avvia) e verificare che Trend Micro Local Web Classification Server eTrend Micro Smart Scan Server siano elencati con lo stato "Avviato".

• Aprire Windows Task Manager. Nella scheda Processi, verificare cheiCRCService.exe e LWCSService.exe siano in esecuzione,

• Nella console Web OfficeScan, verificare che sia visualizzata la voce di menuSmart Protection > Server integrato.

Migliori pratiche per Smart Protection Server

Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioniriportate di seguito:

• Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate.Suddividere le scansioni in gruppi.

• Evitare di configurare tutti i client in modo che eseguano l'operazione Eseguiscansione simultaneamente.

• Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa512 Kbps, modificando il file ptngrowth.ini.


3-19

Personalizzazione di ptngrowth.ini per il server standalone

Procedura

1. Aprire il file ptngrowth.ini in /var/tmcss/conf/.

2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Salvare il file ptngrowth.ini.

4. Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia dellariga di comando (CLI, Command Line Interface):

• service lighttpd restart

Personalizzazione di ptngrowth.ini per il server integrato

Procedura

1. Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV\WSS\.

2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Salvare il file ptngrowth.ini.


3-20

4. Riavviare il servizio Trend Micro Smart Protection Server.

Gestione di Integrated Smart Protection Server

Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni:

• Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file delserver integrato

• Registrazione degli indirizzi del server integrato

• Aggiornamento dei componenti del server integrato

• Configurazione dell'Elenco URL approvati/bloccati del server integrato

Attivazione dei Servizi di reputazione Web e dei Servizi direputazione file del server integrato

Affinché i client siano in grado di inviare query di reputazione Web o di scansione alserver integrato, è necessario attivare i Servizi di reputazione file e i Servizi direputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato diaggiornare i componenti dal server ActiveUpdate.

Questi servizi vengono attivati automaticamente se si sceglie di installare il serverintegrato durante l'installazione del server OfficeScan.

Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Serverstandalone ai quali i client possono inviare le query.

Registrazione degli Indirizzi del server integrato

Gli indirizzi del server integrato sono necessari per configurare l'elenco delle originiSmart Protection per i client interni. Per ulteriori informazioni sull'elenco, vedere Elencodelle origini Smart Protection a pagina 3-24.

Quando inviano le query al server integrato, i client identificano il server attraverso unodei due indirizzi dei Servizi di reputazione file: gli indirizzi HTTP o HTTPS. La


3-21

connessione mediante l'indirizzo HTTPS permette una connessione più sicura mentrequella HTTP richiede un utilizzo di ampiezza di banda inferiore.

Quando i client inviano query di reputazione Web, identificano il server integratodall'indirizzo dei relativi Servizi di reputazione Web.

Suggerimento

Anche i client gestiti da un altro server OfficeScan possono connettersi a questo serverintegrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del serverintegrato all'elenco delle origini Smart Protection.

Aggiornamento dei componenti del server integrato

Il server integrato aggiorna i seguenti componenti:

• Smart Scan Pattern: i client verificano potenziali minacce rispetto a Smart ScanPattern inviando query di scansione al server integrato.

• Elenco siti Web bloccati: i client ai quali vengono applicati i criteri di reputazioneWeb verificano la reputazione di un sito Web rispetto a Elenco siti Web bloccatiinviando query di reputazione Web al server integrato.

È possibile aggiornare manualmente tali componenti o configurare una pianificazione diaggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate.

Nota

Un server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalserver ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi alserver ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gliindirizzi IP, come ad esempio DeleGate.

Configurazione dell'Elenco URL approvati/bloccati delserver integrato

I client gestiscono i rispettivi elenchi degli URL approvati/bloccati Configurare l'elencodei client quando vengono impostati i criteri di reputazione Web (consultare Criteri di


3-22

reputazione Web a pagina 10-3 per ulteriori informazioni). Qualsiasi URL nell'elenco delclient verrà automaticamente consentito o bloccato.

Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non èpresente nell'elenco del client, il client invia una query di reputazione Web al serverintegrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL sitrova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notifica alclient di consentire o bloccare l'URL.

Nota

L'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati.

Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato,importare un elenco da Smart Protection Server standalone. Non è possibile aggiungeremanualmente gli URL.

Configurazione impostazioni Integrated Smart ProtectionServer

Procedura

1. Accedere a Smart Protection > Server integrato.

2. Selezionare Attiva Servizi di reputazione file.

3. Selezionare il protocollo (HTTP o HTTPS) che i client useranno per inviare lequery di scansione al server integrato.

4. Selezionare Attiva Servizi di reputazione Web.

5. Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server.

6. Per aggiornare i componenti del server integrato:

• Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Webbloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Ilrisultato dell'aggiornamento viene visualizzato nella parte superiore dellaschermata.


3-23

• Per aggiornare automaticamente il pattern:

a. Selezionare Attiva aggiornamenti pianificati.

b. Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti.

c. Selezionare un'origine aggiornamenti in Servizi di reputazione file.Smart Scan Pattern verrà aggiornato da questa origine.

d. Selezionare un'origine aggiornamenti in Servizi di reputazione Web.L'Elenco siti Web bloccati verrà aggiornato da questa origine.

Nota

• Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che ilserver disponga di una connessione a Internet e, se si utilizza un server proxy,verificare se la connessione a Internet è disponibile utilizzando le impostazioniproxy. Per informazioni, vedere Proxy per aggiornamenti server OfficeScan a pagina5-17.

• Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente ele risorse di aggiornamento appropriate su tale origine di aggiornamento.Accertarsi, inoltre, che la connessione tra il computer server e l'origineaggiornamenti funzioni. Per ottenere supporto per la configurazione diun'origine di aggiornamento, contattare l'assistenza tecnica.

7. Per configurare l'elenco dei siti approvati/bloccati del server integrato:

a. Fare clic su Importa per immettere nell'elenco gli URL del file .csvpreformattato. È possibile ottenere il file .csv da uno Smart ProtectionServer standalone.

b. Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco inun file .csv.



3-24

Elenco delle origini Smart Protection

I client inviano query alle origini Smart Protection quando eseguono la scansione per irischi sulla sicurezza e per determinare la reputazione di un sito Web.

Supporto IPv6 per le origini Smart Protection

Un client IPv6 puro non è in grado di inviare query direttamente alle origini IPv4, come:

• Smart Protection Server 2.0 (integrato o standalone)

Nota

Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5.


Analogamente, un client IPv4 puro non è in grado di inviare query agli Smart ProtectionServer IPv6 puri.

Per consentire ai client di connettersi alle origini, è necessario un server proxy dual-stackin grado di convertire gli indirizzi IP, come ad esempio DeleGate.

Origini Smart Protection e Località computer

L'origine Smart Protection a cui si connette il client dipende dalla località del computerclient.

Per ulteriori informazioni sulla configurazione delle impostazioni della località, vedereLocalità computer a pagina 13-2.

TABELLA 3-5. Origini Smart Protection per località

POSIZIONE ORIGINI SMART PROTECTION

Esterni I client esterni inviano query di reputazione Web e di scansione a TrendMicro Smart Protection Network.


3-25

POSIZIONE ORIGINI SMART PROTECTION

Interni I client interni inviano query di reputazione Web e di scansione a SmartProtection Server o Trend Micro Smart Protection Network.

Se sono stati installati gli Smart Protection Server, configurare l'elencodelle origini di Smart Protection nella console Web OfficeScan. Unclient interno sceglie un server dall'elenco se deve inviare una query.Se un client non è in grado di connettersi al primo server, ne sceglie unaltro dall'elenco.

SuggerimentoAssegnare uno Smart Protection Server standalone come originedi scansione principale e il server integrato come backup. In talmodo si riduce il traffico diretto al computer che ospita il serverOfficeScan e il server integrato. Inoltre il server standalone è ingrado di elaborare un maggior numero di query.

È possibile configurare un elenco standard o personalizzato di originiSmart Protection. L'elenco standard è utilizzato da tutti i client interni.L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzoIP di un client interno è compreso nell'intervallo, il client utilizza l'elencopersonalizzato.

Configurazione dell'elenco standard di Origini SmartProtection

Procedura

1. Accedere a Smart Protection > Origini Smart Protection.

2. Fare clic sulla scheda Client interni.

3. Selezionare Utilizza l'elenco standard (l'elenco verrà utilizzato da tutti i clientinterni).

4. Fare clic sul collegamento elenco standard.




3-26


6. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Seviene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.

NotaSpecificare il nome host se sono presenti client IPv4 e IPv6 che si connettono aSmart Protection Server.

7. Selezionare Servizi di reputazione file. I client inviano query di scansioneutilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette unaconnessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezzadi banda inferiore.

a. Se si desidera che i client utilizzino l'HTTP, immettere la porta di ascolto delserver per le richieste HTTP. Se si desidera che i client utilizzino l'HTTPS,selezionare SSL ed immettere la porta di ascolto del server per le richiesteHTTPS.

b. Per verificare se è possibile stabilire una connessione con il server, fare clic suTest di connessione.

SuggerimentoLe porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenerel'indirizzo del server:

per il server integrato, aprire la console Web OfficeScan e andare su SmartProtection > Server integrato.

Per il server standalone, aprire la console del server standalone e andare allaschermata Riepilogo.

8. Selezionare Servizi di reputazione Web. I client inviano query di reputazioneWeb utilizzando il protocollo HTTP. L'HTTPS non è supportato.

a. Immettere la porta di ascolto del server per le richieste HTTP.

b. Per verificare se è possibile stabilire una connessione con il server, fare clic suTest di connessione.



3-27

La schermata si chiude.

10. Aggiungere altri server ripetendo i passaggi precedenti.

11. Sulla parte superiore della schermata, selezionare Ordine o Casuale.

• Ordine: i client scelgono i server nell'ordine con il quale sono visualizzatinell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordineper spostare i server in alto e in basso all'interno dell'elenco.

• Casuale: i client scelgono i server in modo casuale.

SuggerimentoDato che Integrated Smart Protection Server e il server OfficeScan vengono eseguitinello stesso computer, le prestazioni possono diminuire in modo significativo durantei periodi di traffico intenso per i due server. Per ridurre il traffico verso il computerserver OfficeScan, assegnare uno Smart Protection Server standalone come origine diSmart Protection principale e il server integrato come origine di backup.

12. Eseguire operazioni varie sulla schermata.

• Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.

• Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

• Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.

• Fare clic sul nome del server per effettuare una delle operazioni riportate diseguito:

• Per visualizzare o modificare le informazioni del server.

• Visualizzare l'indirizzo completo del server per Servizi di reputazioneWeb o Servizi di reputazione file.

• Per aprire la console di uno Smart Protection Server, fare clic su Avviaconsole.

• Per Integrated Smart Protection Server, viene visualizzata la schermata diconfigurazione del server.


3-28

• Per Smart Protection Server standalone e Integrated Smart ProtectionServer di un altro server OfficeScan viene visualizzata la schermata diaccesso.

• Per eliminare una voce, selezionare la casella di controllo del server e fare clicsu Elimina.


La schermata si chiude.

14. Fare clic su Notifica tutti i client.

Configurazione degli elenchi personalizzati di Origini SmartProtection

Procedura

1. Accedere a Smart Protection > Origini Smart Protection.

2. Fare clic sulla scheda Client interni.

3. Selezionare Utilizza elenchi personalizzati basati sugli indirizzi IP dei client.

4. Facoltativamente, selezionare Utilizza l'elenco standard quando nessun serverdegli elenchi personalizzati è disponibile.



6. Nella sezione dell'intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, oentrambi.

NotaI client con un indirizzo IPv4 possono connettersi a un IPv4 puro o a SmartProtection Server dual stack. I client con un indirizzo IPv6 possono connettersi a unIPv6 puro o a Smart Protection Server dual stack. I client con entrambi gli indirizziIPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server.


3-29

7. Nella sezione Impostazione proxy, specificare le impostazioni proxy che i clientutilizzeranno per connettersi a Smart Protection Server.

a. Selezionare Utilizza un server proxy per la comunicazione tra il client elo Smart Protection Server.

b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del serverproxy.

c. Se il server proxy richiede l'autenticazione, digitare il nome utente e lapassword e confermare la password.

8. Nell'Elenco personalizzato Smart Protection Server, aggiungere gli SmartProtection Server.

a. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server.Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.

NotaSpecificare il nome host se sono presenti client IPv4 e IPv6 che si connettono aSmart Protection Server.

b. Selezionare Servizi di reputazione file. I client inviano query di scansioneutilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette unaconnessione più sicura mentre il protocollo HTTP richiede un utilizzo diampiezza di banda inferiore.

i. Se si desidera che i client utilizzino l'HTTP, immettere la porta di ascoltodel server per le richieste HTTP. Se si desidera che i client utilizzinol'HTTPS, selezionare SSL ed immettere la porta di ascolto del server perle richieste HTTPS.

ii. Per verificare se è possibile stabilire una connessione con il server, fareclic su Test di connessione.


3-30

Suggerimento

Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenerel'indirizzo del server:

per il server integrato, aprire la console Web OfficeScan e andare su SmartProtection > Server integrato.

Per il server standalone, aprire la console del server standalone e andarealla schermata Riepilogo.

c. Selezionare Servizi di reputazione Web. I client inviano query direputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.

i. Immettere la porta di ascolto del server per le richieste HTTP.

ii. Per verificare se è possibile stabilire una connessione con il server, fareclic su Test di connessione.

d. Fare clic su Aggiungi all'elenco.

e. Aggiungere altri server ripetendo i passaggi precedenti.

f. Selezionare Ordine o Casuale.

• Ordine: i client scelgono i server nell'ordine con il quale sono visualizzatinell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonnaOrdine per spostare i server in alto e in basso all'interno dell'elenco.

• Casuale: i client scelgono i server in modo casuale.

Suggerimento

Dato che Integrated Smart Protection Server e il server OfficeScan vengonoeseguiti nello stesso computer, le prestazioni possono diminuire in modosignificativo durante i periodi di traffico intenso per i due server. Per ridurre iltraffico verso il computer server OfficeScan, assegnare uno Smart ProtectionServer standalone come origine di Smart Protection principale e il serverintegrato come origine di backup.

g. Eseguire operazioni varie nella schermata.

• Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.


3-31

• Per aprire la console di uno Smart Protection Server, fare clic su Avviaconsole.

• Per Integrated Smart Protection Server, viene visualizzata laschermata di configurazione del server.

• Per Smart Protection Server standalone e Integrated SmartProtection Server di un altro server OfficeScan viene visualizzata laschermata di accesso.

• Per eliminare una voce, fare clic su Elimina ( ).


La schermata si chiude. L'elenco appena aggiunto viene visualizzato comecollegamento dell'intervallo IP nella tabella Intervallo IP

10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati.

11. Eseguire operazioni varie nella schermata.

• Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindimodificare le impostazioni nella schermata visualizzata.

• Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

• Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.


Impostazioni proxy connessione client

Se la connessione a Smart Protection Network richiede l'autenticazione proxy,specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno perclient OfficeScan a pagina 13-51.


3-32

Configurare le impostazioni del proxy interno che i client dovranno utilizzare durante laconnessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno perclient OfficeScan a pagina 13-50.

Impostazioni sulla località del computer

OfficeScan comprende la funzione di Location Awarness in grado di identificare lalocalità del computer client e determinare se il client si connette a Smart ProtectionNetwork o a Smart Protection Server. In tal modo i client rimangono protettiindipendentemente dalla loro località.

Per configurare le impostazioni della località, vedere Località computer a pagina 13-2.

Installazioni di Trend Micro Network VirusWall

Se è installato Trend Micro™ Network VirusWall™ Enforcer:

• Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build1013 per Network VirusWall Enforcer 1200).

• Per consentire al prodotto di rilevare il metodo di scansione di un client, eseguirel'aggiornamento del motore OPSWAT alla versione 2.5.1017.

Utilizzo dei servizi Smart ProtectionDopo che l'ambiente Smart Protection è stato impostato correttamente, i client possonoutilizzare Servizi di reputazione file e Servizi di reputazione Web. È anche possibileiniziare a configurare le impostazioni di Smart Feedback.

Nota

Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione deiservizi Smart Protection a pagina 3-13.


3-33

Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, i client devonousare un metodo di scansione denominato Smart Scan. Per informazioni su Smart Scane su come attivarlo sui client, vedere Metodi di scansione a pagina 6-7.

Per consentire ai client OfficeScan di usare Servizi di reputazione Web, configurare icriteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina10-3.

NotaLe impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. Aseconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti i client oconfigurare impostazioni diverse per i singoli client o per gruppi di client.

Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina12-48.

4-1

Capitolo 4

Installazione del Client OfficeScanQuesto capitolo descrive i requisiti di sistema Trend Micro™OfficeScan™ e leprocedure di installazione del client OfficeScan.

Per ulteriori informazioni sull'aggiornamento del client OfficeScan, consultare la Guidaall'installazione e all'aggiornamento di OfficeScan.


• Installazione da zero del client OfficeScan a pagina 4-2

• Considerazioni sull'installazione a pagina 4-2

• Considerazioni sull'implementazione a pagina 4-11

• Migrazione al client OfficeScan a pagina 4-66

• Post-installazione a pagina 4-70

• Disinstallazione client OfficeScan a pagina 4-73


4-2

Installazione da zero del client OfficeScanIl client OfficeScan può essere installato su computer con piattaforme MicrosoftWindows. OfficeScan è compatibile anche con diversi prodotti di terzi.

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e deiprodotti compatibili di terze parti:


Considerazioni sull'installazionePrima di installare i client, valutare le informazioni riportate di seguito.

• Funzioni del client OfficeScan: alcune funzioni del client non sono disponibili sudeterminate piattaforme Windows.

• Supporto IPv6: il client OfficeScan può essere installato su client dual-stack oIPv6 puri. Tuttavia:

• alcuni sistemi operativi Windows sui quali è possibile installare il clientOfficeScan non supportano l'indirizzamento IPv6.

• Alcuni metodi di installazione richiedono dei requisiti particolari per installarecorrettamente il client OfficeScan.

• Indirizzi IP del client OfficeScan: per i client con indirizzi IPv4 e IPv6, èpossibile scegliere quale indirizzo IP sarà usato dal client per effettuare laregistrazione del client al server.

• Elenco eccezioni: assicurarsi che gli elenchi di eccezioni per le funzioni seguentisiano configurati correttamente:

• Monitoraggio del comportamento: aggiungere le applicazioni importantidel computer all'elenco Programmi approvati per evitare che tali applicazionisiano bloccate dal client OfficeScan. Per ulteriori informazioni, consultareElenco eccezioni Monitoraggio del comportamento a pagina 7-6.


Installazione del Client OfficeScan

4-3

• Reputazione Web: aggiungere i siti Web considerati sicuri all'Elenco URLapprovati per evitare che il client OfficeScan blocchi l'accesso ai siti Web. Perulteriori informazioni, consultare Criteri di reputazione Web a pagina 10-3.

Funzioni del client OfficeScanLe funzioni del client OfficeScan disponibili nel computer dipendono dal sistemaoperativo del computer.

TABELLA 4-1. Funzionalità del client OfficeScan su piattaforme server

FUNZIONE

SISTEMA OPERATIVO WINDOWS

SERVER 2003 SERVER 2008/SERVER CORE 2008

SERVER 2012/SERVER CORE 2012

Scansione manuale,scansione in temporeale e scansionepianificata.

Sì Sì Sì

Aggiornamento deicomponenti(aggiornamentomanuale e pianificato)

Sì Sì Sì

Update Agent Sì Sì Sì

Reputazione Web Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver e consupporto limitatoalla modalitàinterfaccia utentedi Windows

Damage CleanupServices

Sì Sì Sì


4-4

FUNZIONE




Firewall di OfficeScan Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver

Sì, ma disattivatoper impostazionepredefinita durantel'installazione delserver e Filtro diapplicazioni nonsupportato

Monitoraggio delcomportamento

Sì (32 bit), madisattivato perimpostazionepredefinita



No (64 bit) Sì (64 bit), madisattivato perimpostazionepredefinita

Protezione automaticadel client per:

• Chiavi di registro

• Processi






• Servizi

• Protezione file

Sì Sì Sì


4-5

FUNZIONE




Controllo dispositivo

(Servizio prevenzionemodifiche nonautorizzate)





Protezione dati

(inclusa protezione datiper controllodispositivo)






Scansione e-mailMicrosoft Outlook

Sì (32 bit) No No

No (64 bit)

Scansione e-mailPOP3

Sì Sì Sì

Supporto per CiscoNAC

No No No

Plug-in Manager delclient

Sì Sì Sì

Modalità roaming Sì Sì (Server)

No (Server Core)

Sì

Supporto SecureClient Sì (32 bit) No No

No (64 bit)


4-6

FUNZIONE




Smart Feedback Sì Sì Sì

TABELLA 4-2. Funzionalità del client OfficeScan su piattaforme desktop

FUNZIONESISTEMA OPERATIVO WINDOWS

XP VISTA WINDOWS 7 WINDOWS 8

Scansione manuale,scansione in temporeale e scansionepianificata.

Sì Sì Sì Sì

Aggiornamento deicomponenti(aggiornamentomanuale e pianificato)

Sì Sì Sì Sì

Update Agent Sì Sì Sì Sì

Reputazione Web Sì Sì Sì Sì, ma èsupportatasolo lamodalitàinterfacciautente diWindows

Damage CleanupServices

Sì Sì Sì Sì

Firewall di OfficeScan Sì Sì Sì Sì, ma non èsupportatoFiltro diapplicazioni


4-7



Monitoraggio delcomportamento

Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit)

No (64 bit) Sì (64 bit)

Il supporto diVista a 64 bitrichiede SP1o SP2

Sì (64 bit) Sì (64 bit)


• Chiavi di registro

• Processi






• Servizi

• Protezione file

Sì Sì Sì Sì

Controllo dispositivo

(Servizio prevenzionemodifiche nonautorizzate)





Protezione dati

(inclusa protezionedati per controllodispositivo)

Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) inmodalitàdesktop

Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) inmodalitàdesktop


4-8



Scansione e-mailMicrosoft Outlook

Sì (32 bit) No No No

No (64 bit)

Scansione e-mailPOP3

Sì Sì Sì Sì

Supporto per CiscoNAC

Sì No No No

Plug-in Manager delclient

Sì Sì Sì Sì

Modalità roaming Sì Sì Sì Sì

SupportoSecureClient

Sì (32 bit) No No No

No (64 bit)

Smart Feedback Sì Sì Sì Sì

Installazione del client OfficeScan e supporto IPv6In questo argomento vengono illustrate le considerazioni relative all'installazione delclient OfficeScan su client dual-stack o IPv6 puri.

Sistema operativo

Il client OfficeScan può essere installato solo sui seguenti sistemi operativi chesupportano l'indirizzamento IPv6:

• Windows Vista™ (tutte le edizioni)

• Windows Server 2008 (tutte le edizioni)

• Windows 7 (tutte le edizioni)

• Windows Server 2012 (tutte le edizioni)


4-9

• Windows 8 (tutte le edizioni)

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:


Metodi di installazione

Per installare il client OfficeScan su client dual-stack o IPv6 puri, è possibile usare tutti imetodi di installazione del client OfficeScan. Alcuni metodi di installazione richiedonodei requisiti particolari per installare correttamente il client OfficeScan.

Non è possibile migrare ServerProtect™ al client OfficeScan con lo Strumento dimigrazione di server normali ServerProtect in quanto lo strumento non supportal'indirizzamento IPv6.

TABELLA 4-3. Metodi di installazione e supporto IPv6

METODO DIINSTALLAZIONE

REQUISITI E CONSIDERAZIONI

Pagina di installazioneWeb e installazionebasata sul browser

L'URL per la pagina di installazione include il nome host delserver OfficeScan o il relativo indirizzo IP.

Se si sta effettuando l'installazione su un client IPv6 puro, ilserver deve essere dual-stack o IPv6 puro e il relativo nomehost o indirizzo IPv6 deve essere incluso nell'URL.

Per i client dual-stack, l'indirizzo IPv6 visualizzato nellaschermata dello stato d'installazione dipende dall'opzioneselezionata nella sezione Indirizzo IP preferito di Computercollegati in rete > Impostazioni client globali.

Client Packager Quando si esegue lo strumento Packager, è necessarioscegliere se assegnare i privilegi Update Agent al client.Tenere presente che gli Update Agent IPv6 puri possonodistribuire gli aggiornamenti solo ai client IPv6 puri o dual-stack.



4-10

METODO DIINSTALLAZIONE

REQUISITI E CONSIDERAZIONI

Conformità sicurezza,Vulnerability Scanner einstallazione remota

Un server IPv6 puro non può installare il client OfficeScan suendpoint IPv4 puri. Analogamente, un server IPv4 puro nonpuò installare il client OfficeScan su endpoint IPv6 puri.

Indirizzi IP del clientUn server OfficeScan installato in un ambiente che supporta l'indirizzamento IPv6 puògestire i seguenti client OfficeScan:

• Un server OfficeScan installato su una macchina host IPv6 pura può gestire i clientIPv6 puri.

• Un server OfficeScan installato su una macchina host dual-stack con indirizzi IPv4e IPv6 assegnati può gestire client IPv6 puri, dual-stack e IPv4 puri.

Quando vengono installati o aggiornati, i client effettuano la registrazione al serverusando un indirizzo IP.

• I client IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6.

• I client IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4.

• I client IPv4 dual-stack effettuano la registrazione usando il proprio indirizzo IPv4o IPv6. È possibile scegliere l'indirizzo IP che i client utilizzeranno.

Configurazione dell'indirizzo IP utilizzato dai client dual-stack perla registrazione al server

Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solodai client dual-stack.

Procedura

1. Accedere a Computer collegati in rete > Impostazioni client globali.

2. Andare alla sezione Indirizzo IP preferito.

3. Scegliere una delle opzioni elencate di seguito.


4-11

• Solo IPv4: i client usano il proprio indirizzo IPv4.

• Prima IPv4, poi IPv6: i client usano prima il proprio indirizzo IPv4. Se ilclient non è in grado di effettuare la registrazione con l'indirizzo IPv4, usal'indirizzo IPv6. Se la registrazione non riesce con entrambi gli indirizzi IP, ilclient riprova con la priorità stabilita per gli indirizzi IP per questa selezione.

• Prima IPv6, poi IPv4: i client usano prima il proprio indirizzo IPv6. Se ilclient non è in grado di effettuare la registrazione con l'indirizzo IPv6, usal'indirizzo IPv4. Se la registrazione non riesce con entrambi gli indirizzi IP, ilclient riprova con la priorità stabilita per gli indirizzi IP per questa selezione.


Considerazioni sull'implementazioneQuesta sezione fornisce un riepilogo dei diversi metodi di installazione del clientOfficeScan disponibili per l'installazione da zero del client OfficeScan. Tutti i metodi diinstallazione necessitano dei privilegi di amministratore sui computer di destinazione.

Se si stanno installando i client e si desidera attivare il supporto IPv6, leggere leistruzioni riportate in Installazione del client OfficeScan e supporto IPv6 a pagina 4-8.


4-12

TABELLA 4-4. Considerazioni sull'implementazione per l'installazione

METODO DIINSTALLAZIONE/

SUPPORTO SISTEMAOPERATIVO

CONSIDERAZIONI SULL'IMPLEMENTAZIONE

IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT

IMPLEMENTAZIONEDI MASSA

AMPIEZZA DIBANDA

UTILIZZATA

Pagina diinstallazione sulWeb

Supportato su tutti isistemi operativi aeccezione diWindows ServerCore 2008 eWindows 8/Server2012/Server Core2012 in modalitàinterfaccia utente diWindows

No No Sì No No Alto

Dalla pagina diavviamentodell'installazionebasata sulbrowser

Supporto per tutti isistemi operativi

NotaNonsupportato inWindows 8 oWindowsServer 2012in modalitàinterfacciautente diWindows.

No No Sì Sì No Alto, se leinstallazionivengonoavviatenello stessomomento


4-13




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Installazionibasate su UNC



Dalla paginaInstallazioneremota

Supporto per tutti isistemi operativieccetto:

• Windows VistaHome BasicEdition e HomePremiumEdition

• Windows XPHome Edition

• Windows 7Home Basic/Home Premium

• Windows 8(versione base)

No Sì No Sì No Alto

Impostazionescript di accesso




4-14




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Client Packager


No No Sì Sì No Basso, sepianificato

Client Packager(pacchetto MSIimplementato conMicrosoft SMS)


Sì Sì Sì/No Sì Sì Basso, sepianificato

Client Packager(pacchetto MSIimplementato conActive Directory)


Sì Sì Sì/No Sì Sì Alto, se leinstallazionivengonoavviatenello stessomomento

Immagine discodel client


No No No Sì No Basso


4-15




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Trend MicroVulnerabilityScanner (TMVS)







4-16




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Installazioni diconformitàsicurezza




• Windows 7Home Basic/Home Premium



Installazioni della pagina di installazione sul WebAffinché gli utenti possano installare il programma client OfficeScan dalla pagina diinstallazione Web, il server OfficeScan deve essere installato in un computer che utilizzauna delle piattaforme riportate di seguito:

• Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x

• Windows Server 2008 con Internet Information Server (IIS) 7.0

• Windows Server 2008 R2 con Internet Information Server (IIS) 7.5

• Windows Server 2012 con Internet Information Server (IIS) 8.0


4-17

Per installare dalla pagina di installazione Web, occorre disporre della configurazioneriportata di seguito:

• Internet Explorer con il livello di sicurezza impostato in modo da consentire icontrolli ActiveX™. Sono richieste le versioni seguenti:

• versione 6.0 con Windows XP e Windows Server 2003

• versione 7.0 con Windows Vista e Windows Server 2008

• versione 8.0 con Windows 7

• versione 10.0 su Windows 8 e Windows Server 2012

• Privilegi di amministratore sul computer

Per installare il client OfficeScan dalla pagina di installazione Web, inviare agli utenti leseguenti istruzioni. Per inviare la notifica per l'installazione del client OfficeScanmediante messaggio e-mail, vedere Avvio di un'installazione basata sul browser a pagina 4-19.

Installazione dalla pagina di installazione Web

Procedura

1. accedere al computer utilizzando un account amministratore integrato

Nota

Per le piattaforme Windows 7 o 8 occorre aver attivato prima l'account diamministratore predefinito. Per impostazione predefinita Windows 7 e 8 disattivanol'account di amministratore predefinito. Per ulteriori informazioni, fare riferimento alsito del supporto Microsoft (http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx).

2. Se si effettua l'installazione su un computer con Windows XP, Vista, Server 2008,7, 8 o Server 2012, attenersi alla procedura riportata di seguito:

a. Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (adesempio https://<nome server OfficeScan>:4343/officescan)all'elenco di siti affidabili. In Windows XP Home, per accedere a tale elenco

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx


4-18

fare clic su Strumenti > Opzioni Internet > Protezione, selezionare l'iconaSiti affidabili e fare clic su Siti.

b. Modificare le impostazioni di sicurezza di Internet Explorer e attivareRichiesta di conferma automatica per controlli ActiveX. In Windows XP,per effettuare la stessa operazione selezionare Strumenti > Opzioni Internet> Protezione e fare clic su Livello personalizzato.

3. Aprire una finestra di Internet Explorer e digitare uno degli indirizzi riportati diseguito:

• Server OfficeScan con SSL:

https://<nome server OfficeScan>:<porta>/officescan

• Server OfficeScan senza SSL:

http://<nome server OfficeScan>:<porta>/officescan

4. Fare clic sul collegamento nella pagina di accesso.

5. Nella schermata che viene visualizzata, fare clic su Installa ora per avviarel'installazione del client OfficeScan. L'installazione del client OfficeScan vieneavviata. Quando viene richiesto, consentire l'installazione del controllo ActiveX. Altermine dell'installazione, viene visualizzata l'icona del client OfficeScan nella barradelle applicazioni di Windows.

NotaPer ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedereIcone del client OfficeScan a pagina 13-26.

Installazione basata su browserImpostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioniper installare il client OfficeScan. Per avviare l'installazione, gli utenti devono fare clic sulcollegamento per l'installazione del client OfficeScan contenuto nel messaggio e-mail.

Prima di installare i client OfficeScan:

• Verificare i requisiti di installazione del client OfficeScan.


4-19

• Individuare quali computer della rete non sono attualmente provvisti di protezionecontro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito:

• Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica lapresenza di applicazioni software antivirus installate sui computer in base a unintervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultareUtilizzo di Vulnerability Scanner a pagina 4-40.

• Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezzaper endpoint non gestiti a pagina 13-69.

Avvio di un'installazione basata sul browser

Procedura

1. Accedere a Computer collegati in rete > Installazione client > Basato subrowser.

2. Se necessario, modificare la riga dell'oggetto del messaggio e-mail.

3. Fare clic su Crea e-mail.

Si apre il programma di posta predefinito.

4. Inviare il messaggio ai destinatari designati.

Esecuzione di un'installazione basata su UNCAutoPcc.exe è un programma standalone che installa il client OfficeScan neicomputer non protetti e aggiorna i componenti e i file di programma. Per poterutilizzare AutoPcc tramite il percorso UNC (Uniform Naming Convention), i computerdevono appartenere al dominio.

Procedura

1. Accedere a Computer collegati in rete > Installazione client > basato suUNC.


4-20

• Per installare il client OfficeScan su un computer non protetto utilizzandoAutoPcc.exe:

a. Connettersi al computer server OfficeScan. Accedere al percorso UNC:

\\<server computer name>\ofscan

b. Fare clic con il pulsante destro del mouse su AutoPcc.exe eselezionare Esegui come amministratore.

• Per le installazioni desktop in remoto che utilizzano AutoPcc.exe:

a. Aprire una connessione da desktop remoto (Mstsc.exe) in modalitàconsole. In questo modo l'installazione di AutoPcc.exe vieneforzatamente eseguita nella sessione 0.

b. Accedere alla directory \\<server computer name>\ofscan edeseguire AutoPcc.exe.

Installazione remota dalla console Web OfficeScanÈ possibile installare in remoto il client OfficeScan su uno o più computer collegati inrete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazioneremota sui computer di destinazione. L'installazione remota non installa il clientOfficeScan su un computer sul quale è già in esecuzione il server OfficeScan.

NotaQuesto metodo di installazione non può essere adottato sui computer con Windows XPHome, Windows Vista Home Basic e Home Premium Edition, Windows 7 Home Basic eHome Premium Edition (versioni a 32 e a 64 bit) e Windows 8 (versioni di base a 32 e a 64bit). Un server IPv6 puro non può installare il client OfficeScan su client IPv4 puri.Analogamente, un server IPv4 puro non può installare il client OfficeScan su endpointIPv6 puri.

Procedura

1. Se si utilizza Windows Vista, Windows 7, Windows 8 (Pro, Enterprise) o WindowsServer 2012, attenersi alla procedura riportata di seguito:


4-21

a. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

b. Disattivare la condivisione dei file sull'endpoint.

c. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".

e. Aprire Microsoft Management Console (fare clic su Avvia > Esegui edigitare services.msc) e avviare i servizi Registro remoto e RemoteProcedure Call. Quando si installa il client OfficeScan utilizzare l'account e lapassword di amministratore integrati.

2. Nella console Web andare su Computer collegati in rete > Installazione client> Remota.

3. Selezionare i computer di destinazione.

• L'elenco Domini e computer contiene tutti i domini Windows della rete. Pervisualizzare i computer in un dominio specifico, fare doppio clic sul nome deldominio. Selezionare un computer e fare clic su Aggiungi.

• Se si conosce già il nome del computer di destinazione, immetterlo nel campoin cima alla pagina e fare clic su Cerca.

OfficeScan richiede il nome utente e la password del computer di destinazione. Perproseguire utilizzare un nome utente e una password con privilegi diamministratore.

4. Immettere il nome utente e la password e fare clic su Accedi.

Nell'elenco Computer selezionati viene visualizzato il computer di destinazione.

5. Per aggiungere altri computer, ripetere i passaggi 4 e 3.

6. Quando si è pronti per installare il client OfficeScan sui computer di destinazione,fare clic su Installa.

Viene visualizzata una finestra di dialogo di conferma.


4-22

7. Fare clic su Sì per confermare l'installazione del client OfficeScan sui computer didestinazione.

Mentre i file di programma vengono copiati sui diversi computer di destinazione,viene visualizzata una schermata di avanzamento.

Quando OfficeScan ha completato l'installazione in un computer di destinazione, ilnome del computer scompare dall'elenco Computer selezionati e viene visualizzatonell'elenco Domini e computer con un segno di spunta rosso.

Quando tutti i computer sono visualizzati nell'elenco Domini e computer con unsegno di spunta rosso, il processo di installazione remota è concluso.

NotaNell'installazione su diversi computer, OfficeScan riporta nei registri tutte le installazioninon completate (per i dettagli vedere Registri installazioni da zero a pagina 17-17); questo,tuttavia, non causa problemi all'installazione del software sugli altri computer. Dopo averfatto clic su Installa, pertanto, non è più necessario supervisionare la procedura diinstallazione. Per vedere i risultati dell'installazione, controllare i registri al terminedell'operazione.

Installazione con Impostazione script di accessoL'Impostazione script di accesso automatizza l'installazione del client OfficeScan sucomputer non protetti quando questi accedono alla rete. L'Impostazione script diaccesso aggiunge allo script di accesso del server un programma denominatoAutoPcc.exe.

AutoPcc.exe installa il client OfficeScan nei computer non protetti e aggiorna icomponenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script diaccesso, i computer devono appartenere al dominio.


Quando il computer effettua l'accesso al server sul quale sono stati modificati gli scriptdi accesso, AutoPcc.exe installa automaticamente il client OfficeScan sui computerWindows Server 2003 non protetti. AutoPcc.exe, tuttavia, non effettua installazioni


4-23

automatiche del client OfficeScan sui computer con Windows Vista, 7, 8, Server 2008 eServer 2012. Gli utenti devono collegarsi al computer server, passare a \\<nomecomputer server>\ofcscan, fare clic con il pulsante destro del mouse suAutoPcc.exe e selezionare Esegui come amministratore.

Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe:

• Il computer deve essere eseguito in modalità Mstsc.exe / console. In questomodo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0.

• Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da taleposizione.

Aggiornamenti dei componenti e del programmaAutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-spyware e di Damage Cleanup Services.

Script per Windows Server 2003, 2008 e 2012Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge uncomando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un filebatch denominato officescan.bat che contiene il comando per eseguireAutoPcc.exe.

L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati diseguito.

\\<Nome_server>\ofcscan\autopcc

Dove:

• <Nome_server> è il nome o l'indirizzo IP del computer server OfficeScan.

• "ofcscan" è il nome della cartella condivisa di OfficeScan sul server.

• "autopcc" è il collegamento al file eseguibile autopcc che installa il clientOfficeScan.

Posizione dello script di accesso (tramite una directory condivisa mediante accesso direte):


4-24

• Windows Server 2003: \\server Windows 2003\unità di sistema\windir\sysvol\domain\scripts\ofcscan.bat



Aggiunta di Autopcc.exe allo script di accesso con l'utilizzodi Impostazione script di accesso

Procedura

1. Nel computer da cui si esegue l'installazione del server, dal menu Start di Windowsfare clic su Programmi > Server OfficeScan di Trend Micro e <nome delserver> > Impostazione script di accesso.

Viene caricata l'utilità Impostazione script di accesso. La console visualizza unastruttura ad albero con tutti i domini della rete.

2. Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo efare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario edi disporre dei privilegi di amministratore del server.

L'Impostazione script di accesso richiede un nome utente e una password.

3. Immettere il nome utente e la password. Fare clic su OK per continuare.

Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene iprofili degli utenti che si collegano al server. L'elenco Utenti selezionati contieneinvece i profili degli utenti di cui si desidera modificare lo script di accesso.

4. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elencoUtenti e fare clic su Aggiungi.

5. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti.

6. Per escludere il profilo di un utente precedentemente selezionato, selezionarne ilnome nell'elenco Utenti selezionati e fare clic su Elimina.


4-25

7. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto.

8. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utentiselezionati, fare clic su Applica.

Viene visualizzato un messaggio in cui viene confermata la corretta modifica degliscript di accesso al server.

9. Fare clic su OK.

Si ritorna alla schermata iniziale dell'Impostazione script di accesso.

10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4.

11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci.

Installazione con Client PackagerClient Packager crea un pacchetto di installazione che può essere inviato agli utenti consupporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sui propricomputer client per installare o aggiornare la versione del client OfficeScan e aggiornarei componenti.

Client Packager risulta particolarmente utile quando si esegue l'implementazione delclient OfficeScan o dei componenti client nelle sedi remote con ampiezza di bandaridotta. I client OfficeScan installati mediante Client Packager si collegano al server incui è stato creato il pacchetto.

Requisiti di Client Packager:

• 350 MB di spazio libero su disco

• Windows Installer 2.0 (per eseguire un pacchetto MSI)


4-26

Creazione di un pacchetto di installazione con l'utilizzo diClient Packager

Procedura

1. Nel computer server OfficeScan, selezionare <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager.

2. Per eseguire lo strumento, fare doppio clic su ClnPack.exe. Viene aperta laconsole di Client Packager.

3. Selezionare il tipo di pacchetto che si desidera creare.

TABELLA 4-5. Tipi di pacchetti client

TIPO PACCHETTO DESCRIZIONE

Installazione Selezionare Installazione per creare il pacchetto come fileeseguibile. Il pacchetto installa il programma clientOfficeScan con i componenti attualmente disponibili nelserver. Se nel computer di destinazione è installata unaversione precedente del client OfficeScan, il file eseguibileconsente di aggiornare il client.

Aggiornamento Selezionare Aggiorna per creare un pacchetto contenentei componenti attualmente disponibili nel server. Il pacchettoviene creato come file eseguibile. Utilizzare questopacchetto nel caso si verifichino problemi conl'aggiornamento dei componenti in un computer client.

MSI Selezionare MSI per creare un pacchetto conforme alformato Microsoft Installer Package. Il pacchetto installaanche il programma client OfficeScan con i componentiattualmente disponibili nel server. Se nel computer didestinazione è installata una versione precedente del clientOfficeScan, il file MSI consente di aggiornare il client.

4. Configurare le impostazioni indicate di seguito (alcune impostazioni sonodisponibili solo quando è selezionato un tipo di pacchetto particolare):

• Tipo di sistema operativo Windows a pagina 4-28

• Metodo di scansione a pagina 4-28


4-27

• Modalità invisibile a pagina 4-30

• Disattiva pre-scansione a pagina 4-30

• Sovrascrittura forzata con ultima versione a pagina 4-30

• Funzioni di Update Agent a pagina 4-30

• Outlook Mail Scan a pagina 4-31

• Supporto Check Point SecureClient a pagina 4-32

• Componenti a pagina 4-32

5. Successivamente a File di origine, assicurarsi che il percorso del fileofcscan.ini sia corretto. Per modificare il percorso, fare clic su ( ) pertrovare il file ofcscan.ini. Per impostazione predefinita, questo file si trovanella <Cartella di installazione del server>\PCCSRV del serverOfficeScan.

6. In File di destinazione, fare clic su ( ), specificare in quale percorso e con qualenome (ad esempio, ClientSetup.exe) si desidera creare il pacchetto del clientOfficeScan.

7. Fare clic su Crea.

Quando Client Packager ha completato la creazione del pacchetto, vienevisualizzato il messaggio “Creazione pacchetto completata”. Individuare il packagenella directory specificata nel passaggio precedente.

8. Implementare il pacchetto.

Linee guida per l'implementazione del pacchetto1. Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto client

OfficeScan sui loro computer, facendo doppio clic sul file .exeo .msi.

NotaInviare il pacchetto solo agli utenti con OfficeScan client che riporta al server laposizione nella quale è stato creato.


4-28

2. Informare gli utenti che installano il pacchetto .exe su computer con WindowsVista, Server 2008, 7, 8 o Server 2012, che è necessario fare clic con il pulsantedestro del mouse sul file .exe e selezionare Esegui come amministratore.

3. Se è stato creato un file .msi, per implementare il pacchetto effettuare leoperazioni riportate di seguito:

• Utilizzare Active Directory o Microsoft SMS. Consultare Implementazione di unpacchetto MSI utilizzando Active Directory a pagina 4-32 oppure Implementazione diun pacchetto MSI utilizzando Microsoft SMS a pagina 4-34.

4. Avviare il pacchetto MSI tramite il prompt dei comandi e installare il clientOfficeScan in modalità invisibile su un computer remoto con Windows XP, Vista,Server 2008, 7, 8 o Server 2012.

Tipo di sistema operativo Windows

Selezionare il sistema operativo per cui si desidera creare il pacchetto. Implementare ilpacchetto solo sui computer che eseguono questo tipo di sistema operativo. Creare unaltro pacchetto da implementare su un altro tipo di sistema operativo.

Metodo di scansione

Selezionare il metodo di scansione del pacchetto. Per informazioni, vedere Metodi discansione a pagina 6-7.

I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Perulteriori informazioni sui componenti disponibili per ciascun metodo di scansione,vedere Aggiornamenti del client OfficeScan a pagina 5-26.

Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo discansione leggere le linee guida riportate di seguito.

• Se il pacchetto verrà utilizzato per aggiornare un client a questa versione diOfficeScan, verificare il metodo di scansione del livello del dominio nella consoleWeb. Nella console, andare a Computer collegati in rete > Gestione client,selezionare il dominio della struttura dei client a cui appartiene il client, quindi fareclic su Impostazioni > Impostazioni di scansione > Metodi di scansione. Ilmetodo di scansione del livello del dominio deve essere coerente con il metodo discansione del pacchetto.


4-29

• Se il pacchetto verrà utilizzato per eseguire un'installazione da zero del clientOfficeScan, verificare l'impostazione di raggruppamento del client. Nella consoleWeb, andare su Computer collegati in rete > Raggruppamento client.

• Se il raggruppamento del client avviene in base a NetBIOS, Active Directory odominio DNS, verificare il dominio di appartenenza del computer di destinazione.Se il dominio esiste, verificare il metodo di scansione configurato per il dominio. Seil dominio non esiste, verificare il metodo di scansione del livello principale(selezionare l'icona del dominio principale ( ) nella struttura del client e fare clicsu Impostazioni > Impostazioni di scansione > Metodi di scansione). Ilmetodo di scansione del livello del dominio o del livello principale deve esserecoerente con il metodo di scansione del pacchetto.

• Se il raggruppamento dei client avviene in base ai gruppi di client personalizzativerificare Priorità di raggruppamento e Origine.

FIGURA 4-1. Riquadro di anteprima Raggruppamento automatico dei client

Se il computer di destinazione appartiene a un'origine particolare, verificare laDestinazione. La destinazione è il nome del dominio visualizzato all'interno dellastruttura dei client. Dopo l'installazione il client utilizzerà il metodo di scansione diquel dominio.

• Se il pacchetto verrà utilizzato per aggiornare i componenti in un client con questaversione di OfficeScan, verificare il metodo di scansione configurato per il dominiodella struttura dei client a cui appartiene il client. Il metodo di scansione del livellodel dominio deve essere coerente con il metodo di scansione del pacchetto.


4-30

Modalità invisibile

Questa opzione crea un pacchetto che viene installato in background sul computerclient, in modo impercettibile per il client e senza visualizzare la finestra sullo statodell'installazione. Attivare questa opzione se si intende implementare il pacchetto inmodo remoto sul computer di destinazione.

Disattiva pre-scansione

Questa opzione è applicabile solo alle installazioni da zero.

Se nel computer di destinazione non è installato il client OfficeScan, prima di installare ilclient OfficeScan il pacchetto esegue la scansione del computer per rilevare eventualirischi per la sicurezza. Se si è certi che il computer di destinazione non sia infetto, èpossibile disattivare la pre-scansione.

Se la pre-scansione è attivata, il programma di installazione esegue la scansione perrilevare virus e minacce informatiche nelle aree del computer più vulnerabili, compresequelle riportate di seguito:

• Area boot e la directory boot (per i virus del settore boot)

• Cartella Windows

• Cartella Programmi

Sovrascrittura forzata con ultima versione

Questa opzione sovrascrive le versioni dei componenti del client con le versioniattualmente disponibili nel server. Attivare questa opzione per fare in modo che icomponenti del server e del client siano sincronizzati.

Funzioni di Update Agent

Questa opzione consente di assegnare i privilegi di Update Agent al client OfficeScan delcomputer di destinazione. Gli Update Agent assistono il server OfficeScannell'implementazione dei componenti sui client. Per i dettagli, consultare Update Agent apagina 5-53.

È possibile impostare Update Agent per fare in modo che esegua le seguenti operazioni.


4-31

• Implementa componenti

• Implementa impostazioni

• Implementa programmi

Per assegnare privilegi Update Agent a un client OfficeScan:

1. Tenere presente che se il pacchetto sarà implementato su client IPv6 puri, UpdateAgent può distribuire gli aggiornamenti solo ai client IPv6 puri o dual-stack.

2. Per attivare e configurare gli aggiornamenti dell'agente, utilizzare Strumento diconfigurazione aggiornamento pianificato. Per i dettagli, consultare Metodi diaggiornamento per Update Agent a pagina 5-61.

3. Il server OfficeScan che gestisce l'Update Agent non sarà in grado di sincronizzareo implementare le seguenti impostazioni sull'agente:

• Privilegio Update Agent

• Aggiornamento client pianificato

• Aggiornamenti dal server ActiveUpdate di Trend Micro

• Aggiornamenti da altre origini di aggiornamenti

Il pacchetto del client OfficeScan, quindi, deve essere implementato solo suicomputer che non saranno gestiti da un server OfficeScan. Successivamente,configurare l'Update Agent in modo che ottenga gli aggiornamenti da un'origine diaggiornamenti diversa dal server OfficeScan, ad esempio, un'origine diaggiornamento personalizzata. Per fare in modo che il server OfficeScansincronizzi le impostazioni con l'Update Agent, non utilizzare Client Packager escegliere un diverso metodo di installazione per il client OfficeScan.

Outlook Mail Scan

Questa opzione consente di installare il programma Outlook Mail Scan che esegue lascansione delle caselle di posta di Microsoft Outlook™ per rilevare rischi per lasicurezza. Per i dettagli, consultare Privilegi scansione e-mail e altre impostazioni a pagina 6-62.


4-32

Supporto Check Point SecureClient

Questo strumento aggiunge il supporto Check Point™SecureClient™ per Windows XPe Windows Server 2003. SecureClient verifica la versione del pattern dei virus prima diconsentire la connessione alla rete. Per i dettagli, consultare Panoramica e configurazionedell'architettura Check Point a pagina 16-2.

NotaSecureClient non verifica la versione del pattern dei virus sui client che utilizzano SmartScan.

Componenti

Selezionare i componenti e le funzioni da includere nel pacchetto.

• Per ulteriori informazioni sui componenti, vedere Programmi e componenti di OfficeScana pagina 5-2.

• Il modulo Protezione dati sarà disponibile solo se si installa e si attiva la Protezionedati. Per ulteriori informazioni su Protezione dati, vedere Gestione della Protezione datie utilizzo di Prevenzione perdita di dati a pagina 9-1.

Implementazione di un pacchetto MSI utilizzando ActiveDirectoryÈ possibile sfruttare le caratteristiche di Active Directory per implementare il pacchettoMSI contemporaneamente su diversi computer client. Per istruzioni sulla creazione di unfile MSI, consultare Installazione con Client Packager a pagina 4-25.

Procedura

1. Eseguire le operazioni riportate di seguito:

• Per Windows Server 2003 e versioni precedenti:

a. Aprire la console di Active Directory

b. Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desideraimplementare il pacchetto MSI e fare clic su Proprietà.


4-33

c. Nella scheda Criterio di gruppo, fare clic su Nuovo.

• Per Windows Server 2008 e Windows Server 2008 R2:

a. Aprire la console Gestione Criteri di gruppo. Fare clic su Avvia >Pannello di controllo > Strumenti amministrativi > GestioneCriteri di gruppo.

b. Nell'albero della console espandere Oggetti Criteri di grupponell'insieme di strutture e nel dominio che contiene l'oggetto Criteri digruppo da modificare.

c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo damodificare, quindi fare clic su Modifica. Viene visualizzato l'Editoroggetti Criteri di gruppo.

• Per Windows Server 2012:

a. Aprire la console Gestione Criteri di gruppo. Fare clic su Gestioneserver > Strumenti > Gestione Criteri di gruppo.

b. Nell'albero della console espandere Oggetti Criteri di grupponell'insieme di strutture e nel dominio che contiene l'oggetto Criteri digruppo da modificare.

c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo damodificare, quindi fare clic su Modifica. Viene visualizzato l'Editoroggetti Criteri di gruppo.

2. Scegliere tra Configurazione computer e Configurazione utente e aprire le relativeImpostazioni software.

SuggerimentoPer essere sicuri che l'installazione del pacchetto MSI avvenga correttamenteindipendentemente da quale utente accede al computer, Trend Micro consiglia diutilizzare la Configurazione computer anziché la Configurazione utente.

3. Sotto a Impostazioni software, fare clic con il pulsante destro del mouse suInstallazione software, quindi selezionare Nuovo e Pacchetto.

4. Individuare e selezionare il pacchetto MSI.


4-34

5. Selezionare un metodo di implementazione e fare clic su OK.

• Assegnato: il pacchetto MSI viene automaticamente implementato alsuccessivo accesso dell'utente al computer (se è stata selezionata laConfigurazione utente) o al successivo riavvio del computer (se è stataselezionata la Configurazione computer). Questo metodo non richiede alcunintervento da parte dell'utente.

• Pubblicato: per eseguire il pacchetto MSI, dare istruzioni all'utente affinchéapra il Pannello di controllo e la schermata Installazione applicazioni eselezioni l'opzione per l'installazione di programmi in rete. All'avvio delpacchetto MSI del client OfficeScan, gli utenti possono procedere conl'installazione del client OfficeScan.

Implementazione di un pacchetto MSI utilizzando MicrosoftSMS

Se Microsoft BackOffice SMS è installato nel server, è possibile implementare ilpacchetto MSI utilizzando Microsoft System Management Server (SMS). Per istruzionisulla creazione di un file MSI, consultare Installazione con Client Packager a pagina 4-25.

Prima di implementare il pacchetto sul computer di destinazione, il server SMS deveottenere il file MSI dal server OfficeScan.

• Locale: il server SMS e il server OfficeScan si trovano sullo stesso computer.

• Remoto: il server SMS e il server OfficeScan si trovano su computer diversi.

Problemi noti relativi all'installazione con Microsoft SMS:

• Nella colonna Run Time della console SMS appare il messaggio "Sconosciuto".

• Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor delprogramma SMS potrebbe comunque indicare che l'installazione è stata completata.Per istruzioni su come controllare se l'installazione è stata conclusa correttamente,vedere Post-installazione a pagina 4-70.

Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito.


4-35

Ottenimento del pacchetto localmente

Procedura

1. Aprire la console dell'amministratore SMS.

2. Nella scheda Struttura ad albero, fare clic su Pacchetti.

3. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.

Viene visualizzata la schermata Welcome della procedura guidata per la creazionedel pacchetto.

4. Fare clic su Avanti.

Viene visualizzata la schermata Package Definition.

5. Fare clic su Sfoglia.

Viene visualizzata la schermata Open.

6. Sfogliare e selezionare il file del pacchetto MSI creato da Client Packager, quindifare clic su Apri.

Il nome del pacchetto MSI viene visualizzato sulla schermata Definizionepacchetto. Il pacchetto mostra la versione del programma e del "clientOfficeScan".


Viene visualizzata la schermata Source Files.

8. Fare clic su Ricevere sempre i file da una directory di origine, quindi suAvanti.

Viene visualizzata la schermata Directory di origine con il nome del pacchettoche viene creato e la directory di origine stessa.

9. Fare clic su Unità locale sul server del sito.

10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI.



4-36

Viene creato il pacchetto. Al termine del processo, il nome del pacchetto vienevisualizzato sulla console dell'amministratore SMS.

Ottenimento del pacchetto in remoto

Procedura

1. Sul server OfficeScan, utilizzare Client Packager per creare un pacchetto diinstallazione con estensione .exe (non è possibile creare un pacchetto .msi). Perinformazioni, vedere Installazione con Client Packager a pagina 4-25.

2. Sul computer sul quale si desidera archiviare il file di origine, creare una cartellacondivisa.

3. Aprire la console dell'amministratore SMS.

4. Nella scheda Struttura ad albero, fare clic su Pacchetti.

5. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.

Viene visualizzata la schermata Welcome della procedura guidata per la creazionedel pacchetto.


Viene visualizzata la schermata Package Definition.

7. Fare clic su Sfoglia.

Viene visualizzata la schermata Open.

8. Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata.


Viene visualizzata la schermata Source Files.

10. Fare clic su Ricevere sempre i file da una directory di origine, quindi suAvanti.

Viene visualizzata la schermata Directory di origine.


4-37

11. Fare clic su Percorso di rete (nome UNC).

12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (lacartella condivisa creata in precedenza).


Viene creato il pacchetto. Al termine del processo, il nome del pacchetto vienevisualizzato sulla console dell'amministratore SMS.

Distribuzione del pacchetto ai computer di destinazione

Procedura

1. Nella scheda Struttura ad albero, fare clic su Annunci.

2. Dal menu Azione, fare clic su All Tasks > Distribute Software.

Viene visualizzata la schermata Benvenuto della procedura guidata per ladistribuzione del software.


Viene visualizzata la schermata Package.

4. Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchettodi installazione creato.


Viene visualizzata la schermata Distribution Points.

6. Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic suAvanti.

Viene visualizzata la schermata Advertise a Program.

7. Fare clic su Sì per annunciare il pacchetto di installazione del client OfficeScan,quindi su Avanti.

Viene visualizzata la schermata Advertisement Target.

8. Fare clic su Sfoglia per selezionare i computer di destinazione.


4-38

Viene visualizzata la schermata Browse Collection.

9. Fare clic su Tutti i sistemi Windows NT.

10. Fare clic su OK.

Viene nuovamente visualizzata la schermata Advertisement Target.


Viene visualizzata la schermata Advertisement Name.

12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clicsu Avanti.

Viene visualizzata la schermata Advertise to Subcollections.

13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere diannunciare il programma solo ai membri della raccolta specificata oppure anche aimembri delle sottoraccolte.


Viene visualizzata la schermata Advertisement Schedule.

15. Specificare il momento in cui annunciare il pacchetto di installazione del clientOfficeScan digitando o selezionando la data e l'ora.

NotaSe si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una dataspecifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data el'ora nelle caselle di riepilogo Data e ora di scadenza.


Viene visualizzata la schermata Assign Program.

17. Fare clic su Sì, assegna il programma, quindi su Avanti.

Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratoreSMS.

18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero ilprogramma client OfficeScan) ai computer di destinazione, su ognuno di essi viene


4-39

visualizzata una schermata. Istruire gli utenti affinché facciano clic su Sì e seguanole istruzioni fornite dalla procedura guidata per installare il client OfficeScan sulproprio computer.

Installazioni che utilizzano un'immagine disco del client

La tecnologia delle immagini disco consente di creare un'immagine di un clientOfficeScan e di clonarlo su altri computer della rete utilizzando un software perimmagini disco.

Affinché il server possa identificare i singoli client, ogni installazione client OfficeScannecessita di un Identificatore univoco globale (GUID). Per creare GUID diversi perognuno dei cloni, utilizzare il programma OfficeScan denominato ImgSetup.exe.

Creazione di un'immagine disco di un client OfficeScan

Procedura

1. Installare il client OfficeScan su un computer.

2. Copiare ImgSetup.exe dalla <Cartella di installazione del server>\PCCSRV\Admin\Utility\ImgSetup in questo computer.

3. Eseguire ImgSetup.exe su questo computer.

Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE.

4. Creare un'immagine disco del client OfficeScan utilizzando un software perl'immagine disco.

5. Riavviare il clone.

ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. Il clientOfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per ilnuovo client OfficeScan.


4-40

AVVERTENZA!

Per evitare di avere nel database di OfficeScan due computer con lo stesso nome,modificare manualmente il nome del computer o del dominio relativo al client OfficeScanclonato.

Utilizzo di Vulnerability Scanner

Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate,di cercare i computer non protetti presenti nella rete e di installare i client OfficeScan neicomputer.

Considerazioni sull'utilizzo di Vulnerability Scanner

Le considerazioni riportate di seguito possono aiutare a decidere se utilizzareVulnerability Scanner:

• Amministrazione della rete a pagina 4-40

• Topologia e architettura della rete a pagina 4-41

• Specifiche software/hardware a pagina 4-42

• Struttura del dominio a pagina 4-42

• Traffico di rete a pagina 4-43

• Dimensioni della rete a pagina 4-43

Amministrazione della rete

TABELLA 4-6. Amministrazione della rete

INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER

Amministrazione con criteri diprotezione rigidi

Estremamente efficace. Vulnerability Scannersegnala se in tutti i computer è installato o meno ilsoftware antivirus.


4-41


Le responsabilità amministrativesono distribuite nei vari siti

Mediamente efficace

Amministrazione centralizzata Mediamente efficace

Servizio esterno Mediamente efficace

Gli utenti amministrano i propricomputer

Non efficace. Poiché Vulnerability Scanner esegue lascansione della rete per rilevare le installazioni delsoftware antivirus, non è possibile fare in modo chegli utenti eseguano la scansione dei propri computer.

Topologia e architettura della rete

TABELLA 4-7. Topologia e architettura della rete


Sede unica Estremamente efficace. Vulnerability Scannerconsente di eseguire la scansione di un interosegmento IP e di installare il client OfficeScan nellaLAN con facilità.

Sedi diverse con connessione adalta velocità

Mediamente efficace

Sedi diverse con connessione abassa velocità

Non efficace. Occorre eseguire Vulnerability Scannerin ciascuna sede e l'installazione del clientOfficeScan deve essere diretta a un serverOfficeScan locale.

Computer remoti e isolati Mediamente efficace


4-42

Specifiche software/hardware

TABELLA 4-8. Specifiche software/hardware


Sistemi operativi basati suWindows NT

Estremamente efficace. Vulnerabilty Scanner è ingrado di installare facilmente il client OfficeScan inremoto nei computer con sistema operativo basatosu Windows NT.

Sistemi operativi misti Mediamente efficace. Vulnerability Scanner è ingrado di eseguire l'installazione solo nei computercon sistemi operativi basati su Windows NT.

Software di gestione dei desktop Non efficace. Vulnerability Scanner non può essereutilizzato con software di gestione dei desktop.Tuttavia, può essere utile per tenere tracciadell'installazione del client OfficeScan.

Struttura del dominio

TABELLA 4-9. Struttura del dominio


Microsoft Active Directory Estremamente efficace. Per consentire l'installazioneremota del client OfficeScan, specificare l'accountdell'amministratore del dominio in VulnerabilityScanner.

Workgroup Non efficace. Vulnerability Scanner potrebbeincontrare difficoltà nell'installazione in computer cheutilizzano password e account amministrativi diversi.

Servizio di directory Novell™ Non efficace. Vulnerability Scanner richiede unaccount di dominio Windows per installare il clientOfficeScan.

Peer-to-peer Non efficace. Vulnerability Scanner potrebbeincontrare difficoltà nell'installazione in computer cheutilizzano password e account amministrativi diversi.


4-43

Traffico di reteTABELLA 4-10. Traffico di rete


Connessione LAN Estremamente efficace.

512 Kbps Mediamente efficace

Connessione T1 e superiore Mediamente efficace

Accesso remoto Non efficace. Richiede molto tempo per portare atermine l'installazione del client OfficeScan.

Dimensioni della reteTABELLA 4-11. Dimensioni della rete


Rete aziendale molto grande Estremamente efficace. Vulnerability Scanner sirivela molto utile con reti di grandi dimensioni per lequali è indispensabile controllare le installazioni delclient OfficeScan.

Piccole e medie imprese Mediamente efficace. Vulnerability Scanner è utileper installare il client OfficeScan nelle reti di piccoledimensioni. Tuttavia altri metodi di installazione delclient OfficeScan potrebbero rivelarsi più semplici daimplementare.

Linee guida per l'installazione del client OfficeScan conVulnerability ScannerVulnerability Scanner non installa il client OfficeScan nei casi indicati di seguito:

• Il server OfficeScan o un altro software di sicurezza è installato sulla macchina hostdi destinazione.

• Nel computer remoto è presente Windows XP Home, Windows Vista HomeBasic, Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 HomePremium o Windows 8 (versione base).


4-44

Nota

È possibile installare il client OfficeScan sulla macchina host di destinazione utilizzando unaltro dei metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 4-11.

Prima di usare Vulnerability Scanner per installare il client OfficeScan, attenersi allaprocedura riportata di seguito:

• Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7(Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise),Windows Server 2012 (Standard):

1. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

2. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

3. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".

4. Aprire Microsoft Management Console (fare clic su Start > Esegui e digitareservices.msc) e avviare il servizio Remote Registry. Quando si installa ilclient OfficeScan utilizzare l'account e la password di amministratore integrati.

• Per Windows XP Professional (versione a 32 bit o a 64 bit):

1. Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella.

2. Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione filesemplice (scelta consigliata).

Metodi di scansione di vulnerabilità

La scansione di vulnerabilità verifica se nelle macchine host è presente un software disicurezza e può installare il client OfficeScan nelle macchine non protette.

Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità.


4-45

TABELLA 4-12. Metodi di scansione di vulnerabilità

METODO DETTAGLI

Scansione divulnerabilità manuale

Ora gli amministratori possono eseguire scansioni di vulnerabilitàsu richiesta.

Scansione DHCP Gli amministratori possono eseguire scansioni di vulnerabilità sumacchine host che richiedono gli indirizzi IP da un server DHCP.

Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta diascolto del server DHCP per le richieste DHCP). Se rileva unarichiesta DHCP proveniente da una macchina host, la scansionedi vulnerabilità viene eseguita sulla macchina.

NotaVulnerability Scanner non rileva le richieste DHCP separtono da Windows Server 2008, Windows 7, Windows 8o Windows Server 2012.

Scansione divulnerabilitàpianificata

Le scansioni pianificate vengono eseguite in base allapianificazione configurata dagli amministratori.

Una volta eseguito, Vulnerability Scanner visualizza lo stato del client OfficeScan sullemacchine host di destinazione. Lo stato può essere:

• Normale: il client OfficeScan è in esecuzione e sta funzionando correttamente

• Anomalo: i servizi del client OfficeScan non sono in esecuzione oppure il clientnon dispone della protezione in tempo reale

• Non installato: manca il servizio TMListen oppure il client OfficeScan non è statoinstallato

• Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire laconnessione con la macchina host e di determinare lo stato del client OfficeScan


4-46

Esecuzione di una scansione di vulnerabilità manuale

Procedura

1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andarea <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e faredoppio clic su TMVS.exe. Viene visualizzata la console Trend Micro VulnerabilityScanner. Per eseguire la scansione di vulnerabilità su un altro computer conWindows Server 2003, Server 2008, Vista, 7, 8 o Server 2012:

a. Nel computer server OfficeScan, andare a <Cartella diinstallazione del server>\PCCSRV\Admin\Utility.

b. Copiare la cartella TMVS nell'altro computer.

c. Sull'altro computer, aprire la cartella TMVS e fare doppio clic su TMVS.exe.

Viene visualizzata la console Trend Micro Vulnerability Scanner.

Nota

Non è possibile avviare lo strumento da Terminal Server.

2. Andare alla sezione Scansione manuale.

3. Immettere l'intervallo di indirizzi IP dei computer da controllare.

a. Immettere un intervallo di indirizzi IPv4.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solose è eseguito su una macchina host IPv4 pura o dual-stack. VulnerabilityScanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da168.212.1.1 a 168.212.254.254.

b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefissoIPv6.


4-47

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solose è eseguito su una macchina host IPv6 pura o dual-stack.

4. Fare clic su Impostazioni.

Viene visualizzata la schermata Impostazioni.

5. Configurare le impostazioni riportate di seguito:

a. Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degliindirizzi IP specificati nel passaggio precedente per verificare se sonoattualmente in uso. Se una macchina host di destinazione usa un indirizzo IP,Vulnerability Scanner può determinare il sistema operativo della macchinahost. Per i dettagli, consultare Impostazioni ping a pagina 4-61.

b. Metodo di recupero delle descrizioni del computer: per le macchine hostche rispondono al comando "ping", Vulnerability Scanner è in grado direperire ulteriori informazioni sulle macchine host. Per i dettagli, consultareMetodo per recuperare le descrizioni dei computer a pagina 4-58.

c. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nelle macchine host di destinazione. Per i dettagli,consultare Query prodotto a pagina 4-55.

d. Impostazioni server OfficeScan: configurare queste impostazioni se sidesidera che Vulnerability Scanner installi automaticamente il clientOfficeScan sulle macchine host non protette. Queste impostazioniconsentono di identificare il server principale del client OfficeScan e lecredenziali amministrative usate per il collegamento alle macchine host. Per idettagli, consultare Impostazioni server OfficeScan a pagina 4-62.

Nota

Alcune condizioni possono impedire l'installazione del client OfficeScan nellemacchine host di destinazione. Per i dettagli, consultare Linee guida perl'installazione del client OfficeScan con Vulnerability Scanner a pagina 4-43.

e. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansionedi vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di


4-48

visualizzare le notifiche sulle macchine host non protette. Per i dettagli,consultare Notifiche a pagina 4-59.

f. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agliamministratori, Scansione di vulnerabilità è anche in grado di salvare i risultatiin un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina4-60.

6. Fare clic su OK.

La schermata Impostazioni si chiude.


I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione manuale.

NotaSe nel computer è in esecuzione Windows Server 2008 o Windows Server 2012, leinformazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.

8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,individuare la cartella in cui salvare il file, digitare il nome del file e fare clic suSalva.

Esecuzione di una scansione DHCP

Procedura

1. Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartellariportata di seguito: <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS.


4-49

TABELLA 4-13. Impostazioni DHCP nel file TMVS.ini

IMPOSTAZIONE DESCRIZIONE

DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Ilvalore minimo è 3 e il valore massimo è 100. Il valorepredefinito è 3.

DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito ilcontrollo del software antivirus nel computer che effettua larichiesta.

Il valore minimo è 0 (senza attesa) e il valore massimo è600. Il valore predefinito è 60.

LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva.

Vulnerability Scanner invia i risultati della scansione alserver OfficeScan. I registri vengono visualizzati nellaschermata Registri eventi di sistema nella console Web.

OsceServer=x L'indirizzo IP o il nome DNS del server OfficeScan.

OsceServerPort=x La porta del server Web nel server OfficeScan.

2. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, passarea <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la consoleTrend Micro Vulnerability Scanner.

a. Nel computer server OfficeScan, andare a <Cartella diinstallazione del server>\PCCSRV\Admin\Utility.




Nota


3. Nella sezione Scansione manuale, fare clic su Impostazioni.


4-50



a. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nelle macchine host di destinazione. Per i dettagli,consultare Query prodotto a pagina 4-55.

b. Impostazioni server OfficeScan: configurare queste impostazioni se sidesidera che Vulnerability Scanner installi automaticamente il client sullemacchine host non protette. Queste impostazioni consentono di identificare ilserver principale del client OfficeScan e le credenziali amministrative usate peril collegamento alle macchine host. Per i dettagli, consultare Impostazioni serverOfficeScan a pagina 4-62.

NotaAlcune condizioni possono impedire l'installazione del client OfficeScan nellemacchine host di destinazione. Per i dettagli, consultare Linee guida perl'installazione del client OfficeScan con Vulnerability Scanner a pagina 4-43.

c. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansionedi vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado divisualizzare le notifiche sulle macchine host non protette. Per i dettagli,consultare Notifiche a pagina 4-59.

d. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agliamministratori, Scansione di vulnerabilità è anche in grado di salvare i risultatiin un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina4-60.

5. Fare clic su OK.


6. Nella tabella Risultati fare clic sulla scheda Scansione DHCP.

NotaLa scheda Scansione DHCP non è disponibile nei computer che eseguonoWindows Server 2008,Windows 7, Windows 8 e Windows Server 2012.


4-51


Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione dicontrolli di vulnerabilità sui computer mano a mano che questi si connettono allarete.


Configurazione di una scansione di vulnerabilità pianificata

Procedura

1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andarea <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e faredoppio clic su TMVS.exe. Viene visualizzata la console Trend MicroVulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altrocomputer con Windows Server 2003, Server 2008, Vista, 7, 8 o Server 2012:

a. Nel computer server OfficeScan, accedere a <Cartella diinstallazione del server>\PCCSRV\Admin\Utility.




Nota


2. Andare alla sezione Scansione pianificata.

3. Fare clic su Aggiungi/Modifica.

Viene visualizzata la schermata Scansione pianificata.



4-52

a. Nome: digitare un nome per la scansione di vulnerabilità pianificata.

b. Intervallo di indirizzi IP: immettere l'intervallo di indirizzi IP dei computerda controllare.

i. Immettere un intervallo di indirizzi IPv4.

NotaVulnerability Scanner può eseguire query per un intervallo di indirizziIPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack conun indirizzo IPv4 disponibile. Vulnerability Scanner supporta soltanto gliintervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a168.212.254.254.

ii. Per un intervallo di indirizzi IPv6, immettere una lunghezza o unprefisso IPv6.

NotaVulnerability Scanner può eseguire query per un intervallo di indirizziIPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack conun indirizzo IPv6 disponibile.

c. Pianificazione: specificare un'ora di inizio con il formato 24 ore, quindiselezionare con quale frequenza si desidera eseguire la scansione. Selezionareuna frequenza giornaliera, settimanale o mensile.

d. Impostazioni: selezionare le impostazioni di scansione vulnerabilità da usare.

• Se sono state configurate le impostazioni di scansione vulnerabilitàmanuale e si desidera usarle, selezionare Usa impostazioni correnti.Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilitàmanuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina4-46.

• Se non sono state specificate le impostazioni di scansione vulnerabilitàmanuale o si desidera usare altre impostazioni, selezionare Modificaimpostazioni e fare clic su Impostazioni. Viene visualizzata laschermata Impostazioni.

È possibile configurare le seguenti impostazioni e fare clic su OK:


4-53

• Impostazioni ping: la Scansione di vulnerabilità può eseguire il"ping" degli indirizzi IP specificati nel passaggio 4b per verificare sesono attualmente in uso. Se una macchina host di destinazione usaun indirizzo IP, Vulnerability Scanner può determinare il sistemaoperativo della macchina host. Per i dettagli, consultare Impostazioniping a pagina 4-61.

• Metodo di recupero delle descrizioni del computer: per lemacchine host che rispondono al comando "ping", VulnerabilityScanner è in grado di reperire ulteriori informazioni sulle macchinehost. Per i dettagli, consultare Metodo per recuperare le descrizioni deicomputer a pagina 4-58.

• Query prodotto: Vulnerability Scanner è in grado di verificare lapresenza di software di sicurezza nelle macchine host didestinazione. Per i dettagli, consultare Query prodotto a pagina 4-55.

• Impostazioni server OfficeScan: configurare queste impostazionise si desidera che Vulnerability Scanner installi automaticamente ilclient sulle macchine host non protette. Queste impostazioniconsentono di identificare il server principale del client OfficeScane le credenziali amministrative usate per il collegamento allemacchine host. Per i dettagli, consultare Impostazioni server OfficeScana pagina 4-62.

Nota

Alcune condizioni possono impedire l'installazione del clientOfficeScan nelle macchine host di destinazione. Per i dettagli,consultare Linee guida per l'installazione del client OfficeScan conVulnerability Scanner a pagina 4-43.

• Notifiche: Vulnerability Scanner è in grado di inviare i risultati dellascansione di vulnerabilità agli amministratori OfficeScan. Inoltre, èin grado di visualizzare le notifiche sulle macchine host nonprotette. Per i dettagli, consultare Notifiche a pagina 4-59.

• Salva risultati: oltre ad inviare i risultati della scansione divulnerabilità agli amministratori, Scansione di vulnerabilità è anche


4-54

in grado di salvare i risultati in un file .csv. Per i dettagli, consultareRisultati scansione vulnerabilità a pagina 4-60.

5. Fare clic su OK.

La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilitàpianificata creata viene visualizzata nella sezione Scansione pianificata. Se sonostate attivate le notifiche, Vulnerability Scanner invia i risultati della scansione divulnerabilità pianificata.

6. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic suEsegui ora.

I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione pianificata.

NotaSe nel computer è in esecuzione Windows Server 2008 o Windows Server 2012, leinformazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.


Impostazioni Scansione vulnerabilità

Le impostazioni di Scansione vulnerabilità sono configurate da Trend MicroVulnerability Scanner (TMVS.exe) o dal file TMVS.ini.

NotaPer ulteriori dettagli su come raccogliere le informazioni nei registri di debug perVulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 17-3.


4-55

Query prodotto

Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza neiclient. La tabella seguente illustra in che modo avviene il controllo dei prodotti diprotezione da parte di Vulnerability Scanner:

TABELLA 4-14. Prodotti di protezione controllati da Vulnerability Scanner

PRODOTTO DESCRIZIONE

ServerProtect perWindows

Per controllare se SPNTSVC.exe è in esecuzione,Vulnerability Scanner utilizza endpoint RPC. In tal modoottiene informazioni quali il sistema operativo e le versioni delmotore di scansione virus, del pattern dei virus e dei prodotti.Vulnerability Scanner non è in grado di rilevare il serverinformazioni di ServerProtect o la console di gestione diServerProtect.

ServerProtect per Linux Se nel computer di destinazione non è presente Windows,Vulnerability Scanner tenta di connettersi alla porta 14942per controllare se ServerProtect per Linux è installato.

Client OfficeScan Per controllare se il client OfficeScan è installato,Vulnerability Scanner utilizza la porta del client OfficeScan.Controlla inoltre se il processo TmListen.exe è inesecuzione. Se viene eseguito dalla posizione predefinita,ottiene il numero di porta in modo automatico.

Se Vulnerability Scanner viene avviato in un computerdiverso dal server OfficeScan, controllare la porta dicomunicazione dell'altro computer prima di utilizzarla.

PortalProtect™ Per controllare l'installazione del prodotto, VulnerabilityScanner carica la pagina Web http://localhost:port/PortalProtect/index.html.

ScanMail™ perMicrosoft Exchange™

Per controllare l'installazione di ScanMail, VulnerabilityScanner carica la pagina Web http://ipaddress:port/scanmail.html. Per impostazione predefinita, ScanMailutilizza la porta 16372. Se ScanMail utilizza un numero diporta differente, specificare tale numero. In caso contrario,Vulnerability Scanner non è in grado di rilevare ScanMail.


4-56

PRODOTTO DESCRIZIONE

Serie InterScan™ Per controllare l'installazione dei prodotti, VulnerabilityScanner carica la pagina Web di ciascun prodotto.

• InterScan Messaging Security Suite 5.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan eManager 3.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgi-bin/interscan.dll

Trend Micro InternetSecurity™ (PC-cillin)

Per controllare se Trend Micro Internet Security è installato,Vulnerability Scanner utilizza la porta 40116.

McAfee VirusScanePolicy Orchestrator

Vulnerability Scanner invia un token speciale alla porta TCP8081, la porta predefinita di ePolicy Orchestrator per laconnessione tra server e client. Il computer con questoprodotto antivirus risponde utilizzando un tipo di tokenspeciale. Vulnerability Scanner non è in grado di rilevareMcAfee VirusScan standalone.

Norton Antivirus™Corporate Edition

Vulnerability Scanner invia un token speciale alla porta UDP2967, la porta predefinita di Norton Antivirus CorporateEdition RTVScan. Il computer con questo prodotto antivirusrisponde utilizzando un tipo di token speciale. Poiché NortonAntivirus Corporate Edition comunica tramite UDP, il livello diaccuratezza non è garantito. Inoltre il traffico di rete potrebbeinfluenzare il tempo di attesa UDP.

Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati diseguito:

• RPC: rileva ServerProtect per NT

• UDP: rileva i client Norton AntiVirus Corporate Edition

• TCP: rileva McAfee VirusScan ePolicy Orchestrator

• ICMP: rileva i computer tramite l'invio di pacchetti ICMP

• HTTP: rileva i client OfficeScan


4-57

• DHCP: se viene rilevata una richiesta DHCP, Vulnerability Scanner è in grado dicontrollare se sul computer che emette la richiesta sia già stato installato unsoftware antivirus.

Configurazione delle impostazioni della query del prodotto

Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni discansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione divulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 4-44.

Procedura

1. Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner(TMVS.exe):

a. Avviare TMVS.exe.

b. Fare clic su Impostazioni.


c. Andare alla sezione Query prodotto.

d. Selezionare i prodotti da esaminare.

e. Fare clic su Impostazioni accanto al nome del prodotto e specificare ilnumero di porta che verrà controllato da Vulnerability Scanner.

f. Fare clic su OK.


2. Consente di impostare il numero di computer che verranno contemporaneamentecontrollati da Vulnerability Scanner per verificare la presenza di software disicurezza.

a. Andare alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocconote.

b. Per impostare il numero di computer che verranno sottoposti alla scansione divulnerabilità manuale, modificare il valore per ThreadNumManual.Specificare un valore compreso tra 8 e 64.


4-58

Ad esempio, digitare ThreadNumManual=60 se si desidera che VulnerabilityScanner esegua il controllo su 60 computer alla volta.

c. Per impostare il numero di computer che verranno sottoposti alla scansione divulnerabilità pianificata, modificare il valore per ThreadNumSchedule.Specificare un valore compreso tra 8 e 64.

Ad esempio, digitare ThreadNumSchedule=50 se si desidera cheVulnerability Scanner esegua il controllo su 50 computer alla volta.

d. Salvare il file TMVS.ini.

Metodo per recuperare le descrizioni dei computer

Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, puòreperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi direcupero delle informazioni:

• Recupero rapido: recupera solo il nome del computer

• Recupero normale: recupera le informazioni del dominio e del computer

Configurazione delle impostazioni di recupero

Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansionevulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,vedere Metodi di scansione di vulnerabilità a pagina 4-44.

Procedura

1. Avviare TMVS.exe.



3. Andare alla sezione Metodo per recuperare le descrizioni computer.

4. Selezionare Normale o Rapido.


4-59

5. Se è stata seleziona l'opzione Normale, selezionare Recupera descrizionicomputer quando disponibili.

6. Fare clic su OK.


Notifiche

Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agliamministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchinehost non protette.

Configurazione delle impostazioni di notifica

Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansionevulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,vedere Metodi di scansione di vulnerabilità a pagina 4-44.

Procedura




3. Andare alla sezione Notifica.

4. Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi oad altri amministratori nell'organizzazione:

a. Selezionare Risultati e-mail all'amministratore di sistema.

b. Fare clic su Configura per specificare le impostazioni e-mail.

c. Nel campo A immettere l'indirizzo e-mail del destinatario.

d. Nel campo Da, immettere l'indirizzo e-mail del mittente.

e. Nel campo Server SMTP digitare l'indirizzo del server SMTP.


4-60

ad esempio smtp.azienda.com. Le informazioni sul server SMTP sonoobbligatorie.

f. Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppureaccettare quello predefinito.

g. Fare clic su OK.

5. Per comunicare agli utenti che sui computer non è installato il software disicurezza:

a. Selezionare Visualizza una notifica sui computer non protetti.

b. Fare clic su Personalizza per configurare il messaggio di notifica.

c. Nella schermata Messaggio di notifica, digitare un nuovo messaggio oaccettare il messaggio predefinito.

d. Fare clic su OK.

6. Fare clic su OK.


Risultati scansione vulnerabilità

È possibile configurare Vulnerability Scanner in modo da salvare i risultati dellascansione in un file CSV.

Configurazione risultati di scansione

Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delleimpostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni discansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 4-44.

Procedura





4-61

3. Andare alla sezione Salva risultati.

4. Selezionare Salva automaticamente i risultati in un file CSV.

5. Per cambiare la cartella predefinita in cui salvare il file CSV:

a. Fare clic su Sfoglia.

b. Selezionare una cartella di destinazione nel computer o nella rete.

c. Fare clic su OK.

6. Fare clic su OK.


Impostazioni ping

Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina didestinazione e verificare il sistema operativo usato. Se queste impostazioni sonodisattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallospecificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi iltentativo di eseguire la scansione impiegherà più tempo di quanto previsto.

Configurazione delle impostazioni ping

Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità.Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodidi scansione di vulnerabilità a pagina 4-44.

Procedura

1. Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe):

a. Avviare TMVS.exe.

b. Fare clic su Impostazioni.


c. Andare alla sezione delle impostazioni Ping.


4-62

d. Selezionare Consenti a Vulnerability Scanner di eseguire il ping deicomputer della rete per verificarne lo stato.

e. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campiDimensioni pacchetto e Timeout.

f. Selezionare Rilevare il tipo di sistema operativo usando l'impronta delsistema operativo ICMP.

Se si seleziona questa opzione, Vulnerability Scanner determina se unamacchina host esegue Windows o un altro sistema operativo. Per le macchinehost con Windows, Vulnerability Scanner è in grado di identificare la versionedi Windows.

g. Fare clic su OK.


2. Per impostare il numero di computer che verranno sottoposticontemporaneamente a ping da parte di Vulnerability Scanner:

a. Andare alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocconote.

b. Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64.

Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scannereffettui il ping su 60 computer alla volta.

c. Salvare il file TMVS.ini.

Impostazioni server OfficeScan

Le impostazioni del server OfficeScan sono usate quando:

• Vulnerability Scanner è in grado di installare il client OfficeScan su macchine didestinazione non protette. Le impostazioni del server consentono a VulnerabilityScanner di identificare il server principale del client OfficeScan e le credenzialiamministrative da usare per il collegamento alle macchine di destinazione.


4-63

Nota

Alcune condizioni possono impedire l'installazione del client OfficeScan nellemacchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione delclient OfficeScan con Vulnerability Scanner a pagina 4-43.

• Vulnerability Scanner invia i registri di installazione del client al server OfficeScan.

Configurazione impostazioni server OfficeScan

Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni discansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione divulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 4-44.

Procedura




3. Andare alla sezione Impostazioni server OfficeScan.

4. Immettere il nome e il numero della porta del server OfficeScan.

5. Selezionare Installazione automatica del client OfficeScan sui computer nonprotetti.

6. Per configurare le credenziali amministrative:

a. Fare clic su Installa nell'account.

b. Nella schermata Informazioni account, digitare un nome utente e unapassword.

c. Fare clic su OK.

7. Selezionare Invia registri al server OfficeScan.

8. Fare clic su OK.


4-64


Installazione con Conformità sicurezzaInstallare i client OfficeScan nei computer dei domini della rete oppure installare il clientOfficeScan in un computer di destinazione mediante il suo indirizzo IP.

Prima di installare il client OfficeScan, tenere presente quando segue:

Procedura

1. Prendere nota delle credenziali di ogni computer. Durante l'installazione,OfficeScan richiede di specificare le credenziali di accesso.

2. Il client OfficeScan non viene installato in un computer nei casi seguenti:

• Il server OfficeScan è installato nel computer.

• Nel computer è eseguito Windows XP Home, Windows Vista Home Basic,Windows Vista Home Premium, Windows 7™ Starter, Windows 7 HomeBasic, Windows 7 Home Premium e Windows 8 (versione base). Per icomputer con tali piattaforme è necessario scegliere un altro metodo diinstallazione. Per informazioni, vedere Considerazioni sull'implementazione a pagina4-11.

3. Se nel computer di destinazione è eseguito Windows Vista (Business, Enterprise oUltimate Edition) o Windows 7 (Professional, Enterprise o UltimateEdition),Windows 8 (Pro, Enterprise) o Windows Server 2012 (Standard), eseguirela procedura riportata di seguito nel computer:

a. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

b. Disattivare il firewall di Windows.

c. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".


4-65

e. Aprire Microsoft Management Console (da Start > Esegui, digitareservices.msc) e avviare il servizio Registro remoto. Quando si installa ilclient OfficeScan utilizzare l'account e la password di amministratore integrati.

4. Se nel computer sono installati programmi di protezione endpoint di Trend Microo di terzi, verificare se OfficeScan è in grado di disinstallare automaticamente ilsoftware e sostituirlo con il client OfficeScan. Per un elenco del software diprotezione client che OfficeScan disinstalla automaticamente, aprire i file riportatidi seguito contenuti in <Cartella di installazione del server>\PCCSRV\Admin. Peraprire tali file utilizzare un editor di testo, ad esempio Blocco note.

• tmuninst.ptn

• tmuninst_as.ptn

Se il software nel computer di destinazione non è compreso nell'elenco,disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione,potrebbe essere necessario riavviare il computer.


Procedura

1. Accedere a Conformità sicurezza > Gestione server esterni.

2. Fare clic su Installa in cima alla struttura ad albero dei client.

• Se nel computer è già installata una versione precedente del client OfficeScane si fa clic su Installa, l'installazione non viene eseguita e il client non vieneaggiornato a questa versione. Per aggiornare il client, è necessario disattivareun'impostazione.

a. Andare su Computer collegati in rete > Gestione client.

b. Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni >Altre impostazioni.

c. Disattivare l'opzione I client possono aggiornare i componenti manon il programma client né implementare hotfix.


4-66

3. Specificare l'account di accesso amministratore di ciascun computer e fare clic suAccesso. OfficeScan inizia l'installazione del client nel computer di destinazione.

4. Visualizzare lo stato dell'installazione.

Migrazione al client OfficeScanSostituire il software di protezione del client installato su un computer di destinazionecon il client OfficeScan.

Migrazione da altro software di protezione endpoint

Quando si installa il client OfficeScan il programma di installazione esegue il controllodel software di protezione endpoint di Trend Micro o di terzi installato nel computer didestinazione. Il programma di installazione è in grado di disinstallare automaticamente ilsoftware e di sostituirlo con il client OfficeScan.

Per ottenere un elenco del software di protezione endpoint che OfficeScan è in grado didisinstallare automaticamente, aprire i file riportati di seguito contenuti in <Cartella diinstallazione del server>\PCCSRV\Admin. Aprire questi file con un editor di testo, adesempio Blocco note.

• tmuninst.ptn

• tmuninst_as.ptn

Se il software nel computer di destinazione non è compreso nell'elenco, disinstallarlo inmodo manuale. In base al tipo di processo di disinstallazione, potrebbe essere necessarioriavviare il computer.

Problemi relativi alla migrazione dei client OfficeScan

• Se la migrazione del client si è conclusa correttamente, ma l'utente ha riscontratodei problemi nell'uso del client OfficeScan subito dopo l'installazione, riavviare ilcomputer.


4-67

• Se il programma di installazione OfficeScan ha eseguito l'installazione del clientOfficeScan senza disinstallare l'altro software di protezione, si verificheranno deiconflitti tra i due software. Disinstallare entrambi i software, quindi installare ilclient OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazionisull'implementazione a pagina 4-11.

Migrazione dai normali server ServerProtect

Lo strumento di migrazione di server normali ServerProtect™ consente di effettuare lamigrazione di computer con server normale Trend Micro ServerProtect al clientOfficeScan.

Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifichehardware e software del server OfficeScan. Eseguire lo strumento su computer conWindows Server 2003 e Windows Server 2008.

Se la disinstallazione del server normale ServerProtect viene completata correttamente,lo strumento installa il client OfficeScan. Consente anche di migrare le impostazionidell'elenco di esclusione dalla scansione (per tutti i tipi di scansione) al client OfficeScan.

Durante l'installazione del client OfficeScan, potrebbe verificarsi il timeout delprogramma di installazione del client dello strumento di migrazione ed esserevisualizzata una notifica per avvisare che l'installazione non è riuscita. Se questo dovesseverificarsi, non è detto che il client OfficeScan non sia stato installato correttamente.Verificare l'installazione sul computer client dalla console Web OfficeScan.

La migrazione non riesce nelle seguenti situazioni:

• Il client remoto ha solo un indirizzo IPv6. Lo strumento di migrazione nonsupporta l'indirizzamento IPv6.

• Il client remoto non è in grado di utilizzare il protocollo NetBIOS.

• Le porte 455, 337 e 339 sono bloccate.

• Il client remoto non è in grado di utilizzare il protocollo RPC.

• Il servizio Registro remoto s'interrompe.


4-68

Nota

Lo strumento di migrazione di server normali ServerProtect non effettua la disinstallazionedell'agente Control Manager™ di ServerProtect. Per istruzioni su come disinstallarel'agente, fare riferimento alla documentazione di ServerProtect e/o di Control Manager.

Utilizzo dello strumento di migrazione di server normaliServerProtect

Procedura

1. Nel computer server OfficeScan, aprire <Cartella di installazione del server>\PCCSRV\Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini in<Cartella di installazione del server>\PCCSRV\Admin.

2. Fare doppio clic su SPNSXfr.exe per aprire lo strumento.

Viene visualizzata la console dello strumento di migrazione del server normaleServerProtect.

3. Selezionare il server OfficeScan. Il percorso del server OfficeScan vienevisualizzato nell'apposita sezione. Se il percorso non è quello corretto, fare clic suSfoglia e selezionare la cartella PCCSRV nella directory di installazione diOfficeScan. Per attivare lo strumento in modo che al successivo utilizzo troviautomaticamente il server OfficeScan, selezionare la casella di controlloIndividuazione automatica percorso server (selezionata per impostazionepredefinita).

4. Per selezionare i computer sui quali è in esecuzione il server normale ServerProtectper i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nellasezione Computer di destinazione:

• Struttura di rete Windows: visualizza una struttura ad albero dei dominipresenti nella rete. Per selezionare i computer che utilizzano questo metodo,fare clic sui domini sui quali effettuare la ricerca dei computer client.

• Nome server informazioni: ricerca effettuata per nome server informazioni.Per selezionare i computer con questo metodo, immettere il nome di unserver informazioni presente sulla propria rete. Per effettuare la ricerca di


4-69

diversi server informazioni, inserire un punto e virgola ";" tra i nomi deiserver.

• Nome server normale certo: ricerca effettuata per nome server normale. Perselezionare i computer con questo metodo, immettere il nome di un servernormale presente sulla propria rete. Per effettuare la ricerca su diversi servernormali, inserire un punto e virgola ";" tra i nomi dei server.

• Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Perselezionare i computer con questo metodo, immettere un intervallo diindirizzi IP di classe B nella casella Intervallo IP.

Nota

Se un server DNS presente in rete non risponde in fase di ricerca dei client, anchel'operazione di ricerca non risponde. Attendere il timeout della ricerca.

5. Selezionare Riavvio dopo l'installazione per riavviare automaticamente icomputer di destinazione dopo la migrazione.

Per completare la migrazione correttamente, è necessario riavviare il computer. Senon si seleziona questa opzione, riavviare il computer manualmente dopo lamigrazione.

6. Fare clic su Cerca.

I risultati della ricerca vengono visualizzati nella sezione Server normaliServerProtect.

7. Fare clic sui computer per i quali effettuare la migrazione.

a. Per selezionare tutti i computer, fare clic su Seleziona tutto.

b. Per deselezionare tutti i computer, fare clic su Deseleziona tutto.

c. Per esportare l'elenco in un file CSV (comma-separated value), fare clic suEsporta in CSV.

8. Se per accedere ai computer di destinazione sono necessari nome utente epassword, effettuare le seguenti operazioni:

a. Selezionare la casella di controllo Usa account/password gruppo.


4-70

b. Fare clic su Imposta account di accesso.

Viene visualizzata la finestra Inserisci informazioni di amministrazione.

c. Immettere il nome utente e la password.

Nota

Per accedere al computer di destinazione, utilizzare l'account di amministratorelocale o di dominio. Se si effettua l'accesso senza i necessari privilegi (adesempio, come "Guest" o "Utente normale"), non sarà possibile effettuarel'installazione.

d. Fare clic su OK.

e. Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri dipoter inserire il nome utente e la password nel corso del processo dimigrazione nel caso in cui l'accesso risulti impossibile.

9. Fare clic su Migra.

10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare icomputer di destinazione dopo la migrazione.

Post-installazioneAl termine dell'installazione, verificare i seguenti elementi:

• Collegamento al client OfficeScan a pagina 4-71

• Elenco programmi a pagina 4-71

• Servizi client OfficeScan a pagina 4-71

• Registri di installazione del client OfficeScan a pagina 4-72


4-71

Collegamento al client OfficeScanI collegamenti al client OfficeScan vengono visualizzati nel menu Start di Windows delcomputer client.

FIGURA 4-2. Collegamento al client OfficeScan

Elenco programmiClient OfficeScan è incluso nell'elenco Installazione applicazioni del Pannello dicontrollo del computer client.

Servizi client OfficeScanI seguenti servizi del client OfficeScan sono visualizzati in Microsoft ManagementConsole:

• OfficeScan NT Listener (TmListen.exe)

• Scansione in tempo reale OfficeScanNT (NTRtScan.exe)

• OfficeScan NT Proxy Service (TmProxy.exe)

NotaOfficeScan NT Proxy Service non esiste su piattaforme Windows 8 o WindowsServer 2012.


4-72

• OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durantel'installazione

• Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)

Registri di installazione del client OfficeScanIl registro di installazione del client OfficeScan, OFCNT.LOG si trova nei percorsiriportati di seguito:

• %windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazionedel pacchetto MSI

• %temp% per il metodo di installazione con il pacchetto MSI

Attività post-installazione consigliateAl termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni.

Aggiornamento dei componenti

Per essere sicuri che tutti i client siano dotati della protezione contro i rischi per lasicurezza, aggiornare i componenti dei client OfficeScan. È possibile eseguire gliaggiornamenti manuali dei client dalla console Web oppure chiedere agli utenti dieseguire "Aggiorna ora" dai propri computer.

Scansione di prova mediante lo script di prova EICAR

L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per laricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consentedi controllare in modo sicuro la corretta installazione e configurazione del softwareantivirus. Per ulteriori informazioni, visitare il sito Web EICAR:

http://www.eicar.org

Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo filenon è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei

http://www.eicar.org


4-73

software antivirus reagiscono a tale file come se si trattasse di un virus. È possibileutilizzare il file per simulare un'infezione virale e verificare così il correttofunzionamento delle notifiche e-mail e dei registri dei virus.

AVVERTENZA!

Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus.

Esecuzione di una scansione di prova

Procedura

1. Attivare la scansione in tempo reale sul client.

2. Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testosemplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Salvare il file nominandolo EICAR.com in una directory temporanea. OfficeScanrileva immediatamente il file.

4. Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato inun messaggio e-mail e inviarlo ad uno dei computer.

Suggerimento

Trend Micro consiglia di comprimere il file EICAR utilizzando un software dicompressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova.

Disinstallazione client OfficeScanPer disinstallare il client OfficeScan dai computer, è possibile procedere in due modi:

• Disinstallazione del client OfficeScan dalla console Web a pagina 4-74

• Esecuzione del Programma di disinstallazione del client OfficeScan a pagina 4-76


4-74

Se sul client OfficeScan è installato anche Cisco Trust Agent (CTA), disinstallando ilprogramma client OfficeScan è possibile rimuovere anche l'agente o lasciarlo nelcomputer. Ciò dipende dalle impostazioni configurate durante l'implementazionedell'agente. Per ulteriori informazioni, consultare Implementazione di Cisco Trust Agent apagina 15-29.

Se Cisco Trust Agent è presente dopo aver disinstallato il client OfficeScan, rimuoverlomanualmente dalla schermata Installazione applicazioni.

Se non è possibile disinstallare il client OfficeScan con i metodi illustrati, rimuoverlomanualmente. Per i dettagli, consultare Disinstallazione manuale del client OfficeScan a pagina4-76.

Disinstallazione del client OfficeScan dalla console WebDisinstallare il programma client OfficeScan dalla console Web. Eseguire ladisinstallazione solo in caso di problemi con il programma. Per mantenere il computerprotetto dai rischi per la sicurezza, reinstallare subito il programma.

Procedura


2. Nella struttura dei client, fare clic sull'icona del dominio principale ( ) perincludere tutti i client o per selezionare i domini o i client specifici.

3. Fare clic su Operazioni > Disinstallazione client.

4. Nella schermata Disinstallazione client, fare clic su Avvia disinstallazione. Ilserver invia una notifica al client.

5. Controllare lo stato della notifica e verificare che tutti i client abbiano ricevuto lanotifica.

a. Fare clic su Seleziona computer senza notifiche, quindi su Avviadisinstallazione per inviare nuovamente la notifica ai client che non l'hannoricevuta.

b. Se si desidera che OfficeScan interrompa l'invio della notifica ai client, fareclic su Interrompi disinstallazione. I client che hanno già ricevuto la


4-75

notifica, hanno già avviato il processo di disinstallazione e pertanto ignoranoquesto comando.

Programma di disinstallazione del client OfficeScanAssegnare agli utenti i privilegi per disinstallare il programma client OfficeScan erichiedere loro di eseguire il programma di disinstallazione del client dai loro computer.

In base alla configurazione, la disinstallazione può richiedere o meno una password. Se èrichiesta una password, assicurarsi di condividere la password solo con gli utenti chedevono eseguire il programma di disinstallazione e cambiarla immediatamente se vienedivulgata ad altri utenti.

Assegnazione dei privilegi di disinstallazione del clientOfficeScan

Procedura



3. Fare clic su Impostazioni > Privilegi e altre impostazioni.

4. Nella scheda Privilegi, andare alla sezione Disinstallazione.

5. Per consentire agli utenti di eseguire la disinstallazione senza password, selezionareConsenti agli utenti di disinstallare il client OfficeScan. Se è richiesta unapassword, selezionare Richiedi una password per disinstallare il clientOfficeScan, digitare la password e confermarla.

6. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva.Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioniriportate di seguito:

• Applica a tutti i client: applica le impostazioni a tutti i client esistenti e aqualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini


4-76

futuri sono i domini non ancora creati al momento della configurazione delleimpostazioni.


Esecuzione del Programma di disinstallazione del clientOfficeScan

Procedura

1. Nel menu di Windows Avvia, fare clic su Programmi > Client Trend MicroOfficeScan > Disinstallazione client OfficeScan.

È inoltre possibile eseguire la procedura riportata di seguito:

a. Fare clic su Pannello di controllo > Installazione applicazioni.

b. Individuare Client Trend Micro OfficeScan e fare clic su Cambia.

c. Seguire le istruzioni visualizzate.

2. Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza unafinestra che informa l'utente sul progresso e il completamento della disinstallazione.Per completare la disinstallazione, non è necessario riavviare il computer.

Disinstallazione manuale del client OfficeScan

Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazione delclient OfficeScan dalla console Web o dopo aver eseguito il programma didisinstallazione.

Procedura

1. Accedere al computer client mediante un account con privilegi di amministratore.


4-77

2. Fare clic con il tasto destro del mouse sull'icona del client OfficeScan presente nellabarra delle applicazioni, quindi fare clic su Scarica OfficeScan. Se viene richiestauna password, specificare la password per la rimozione, quindi fare clic su OK.

Nota

• In Windows 8 e Windows Server 2012, passare alla modalità desktop perrimuovere il client OfficeScan.

• Disattivare la password nei computer in cui il client OfficeScan verrà rimosso.Per i dettagli, consultare Configurazione dei privilegi del client e altre impostazioni apagina 13-89.

3. Se la password per la rimozione non è stata specificata, utilizzare MicrosoftManagement Console per interrompere i servizi riportati di seguito:

• OfficeScan NT Listener

• OfficeScan NT Firewall

• Scansione in tempo reale di OfficeScan NT

• OfficeScan NT Proxy Service

NotaOfficeScan NT Proxy Service non esiste su piattaforme Windows 8 o WindowsServer 2012.

• Servizio prevenzione modifiche non autorizzate di Trend Micro

4. Rimuovere il collegamento al client OfficeScan presente nel menu Start.

• In Windows 8 e Windows Server 2012:

a. passare alla modalità desktop.

b. Spostare il puntatore del mouse sull'angolo in basso a destra delloschermo e scegliere Start dal menu visualizzato.

Viene visualizzata la schermata Home.

c. Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan.


4-78

d. Fare clic su Rimuovi da Start.

• In tutte le altre piattaforme Windows:

Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse suClient Trend Micro OfficeScan, quindi fare clic su Elimina.

5. Aprire l'editor del Registro di sistema (regedit.exe).

AVVERTENZA!

La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se siapportano modifiche errate al registro di sistema, possono verificarsi seri probleminel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre unacopia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor delregistro.

6. Eliminare le chiavi di registro riportate di seguito:

• Se nel computer non sono installati altri prodotti Trend Micro:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro

Per computer a 64 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro

• Se nel computer non sono installati altri prodotti Trend Micro, eliminare solole chiavi di registro riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\OfcWatchDog

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp



4-79

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp

7. Eliminare i valori o le chiavi di registro riportati di seguito:

• Per sistemi a 32 bit:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Per sistemi a 64 bit:

• HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run

8. Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati diseguito:

• Percorsi:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services



• Chiavi:

• NTRtScan

• tmcfw

• tmcomm

• TmFilter


4-80

• TmListen

• tmpfw

• TmPreFilter

• TmProxy

NotaTmProxy non esiste su piattaforme Windows 8 o Windows Server 2012.

• tmtdi

Notatmtdi non esiste su piattaforme Windows 8 o Windows Server 2012.

• VSApiNt

• tmlwf (per computer Windows Vista/Server 2008/7/8/Server 2012)

• tmwfp (per computer Windows Vista/Server 2008/7/8/Server 2012)

• tmactmon

• TMBMServer

• TMebc

• tmevtmgr

• tmeevw (per Windows 8/Server 2012)

• tmusa (per Windows 8/Server 2012)

9. Chiudere l'editor del Registro di sistema.

10. Fare clic su Avvia > Impostazioni > Pannello di controllo e fare doppio clic suSistema.

NotaSaltare questo passaggio nei sistemi Windows 8 e Windows Server 2012.


4-81

11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi.


12. Fare clic su Visualizza > Mostra dispositivi nascosti.


13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati diseguito (Windows XP/Vista/7/Server 2003/Server 2008):

• tmcomm

• tmactmon

• tmevtmgr

• Trend Micro Filter

• Trend Micro PreFilter

• Trend Micro TDI Driver

• Trend Micro VSAPI NT

• Trend Micro Unauthorized Change Prevention Service

• Trend Micro WFP Callout Driver (per computer con Windows Vista/Server2008/7)

14. Per eliminare manualmente i driver di Trend Micro con un editor da riga dicomando (solo Windows 8/Server 2012), eseguire i comandi seguenti:

• sc delete tmcomm

• sc delete tmactmon

• sc delete tmevtmgr

• sc delete tmfilter


4-82

• sc delete tmprefilter

• sc delete tmwfp

• sc delete vsapint

• sc delete tmeevw

• sc delete tmusa

• sc delete tmebc

NotaPer essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor dariga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tastodestro del mouse sul file cmd.exe e scegliere Esegui come amministratore).

15. Disinstallare il Driver comune Firewall.

a. Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic suProprietà.

b. Fare clic con il tasto destro del mouse su Connessione alla rete locale(LAN) e fare clic su Proprietà.

c. Nella scheda Generale selezionare Driver comune Firewall di TrendMicro e fare clic su Disinstalla.

NotaI seguenti passaggi sono relativi solo ai sistemi operativi Windows Vista/Server2008/7/8/Server 2012. Per i client che utilizzano tutti gli altri sistemi operativiandare al punto 15.

d. Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà.

e. Fare clic su Gestisci connessioni di rete.

f. Fare clic con il tasto destro del mouse su Connessione alla rete locale(LAN) e fare clic su Proprietà.

g. Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fareclic su Disinstalla.


4-83

16. Riavviare il computer client.

17. Se nel computer non sono installati altri prodotti Trend Micro, eliminare la cartelladi installazione Trend Micro (normalmente C:\Programmi\Trend Micro).Nei computer a 64 bit la cartella di installazione è in C:\Programmi(x86)\Trend Micro.

18. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelleriportate di seguito:

• <Cartella di installazione del client>

• La cartella BM nella cartella di installazione Trend Micro (solitamente C:\Programmi\Trend Micro\BM per i sistemi a 32 bit e C:\Programmi(x86)\Trend Micro\BM per i sistemi a 64 bit )

5-1

Capitolo 5

Come mantenere la protezioneaggiornata

In questo capitolo vengono descritti i componenti OfficeScan™ di Trend Micro™ e leprocedure di aggiornamento.


• Programmi e componenti di OfficeScan a pagina 5-2

• Panoramica sugli aggiornamenti a pagina 5-11

• Aggiornamenti server OfficeScan a pagina 5-14

• Aggiornamenti di Integrated Smart Protection Server a pagina 5-26

• Aggiornamenti del client OfficeScan a pagina 5-26

• Update Agent a pagina 5-53

• Riepilogo aggiornamento componenti a pagina 5-62


5-2

Programmi e componenti di OfficeScanOfficeScan utilizza i componenti e i programmi per mantenere i computer client protettidai rischi per la protezione più recenti. Per mantenere questi componenti e programmiaggiornati, eseguire gli aggiornamenti manuali o pianificati.

Oltre ai componenti, i client OfficeScan ricevono dal server OfficeScan anche dei file diconfigurazione aggiornati. I client necessitano di tali file di configurazione per poterapplicare le nuove impostazioni. Ogni volta che si modificano le impostazioni diOfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.

I componenti sono raggruppati come segue:

• Componenti antivirus a pagina 5-2

• Componenti di Damage Cleanup Services a pagina 5-5

• Componenti anti-spyware a pagina 5-6

• Componenti firewall a pagina 5-7

• Componente di Reputazione Web a pagina 5-7

• Componenti monitoraggio del comportamento a pagina 5-7

• Programmi a pagina 5-9

Componenti antivirus

I componenti antivirus sono composti dai pattern, driver e motori seguenti:

• Pattern antivirus a pagina 5-3

• Motore di scansione virus a pagina 5-4

• Driver scansione dei virus a pagina 5-4

• Pattern IntelliTrap a pagina 5-5

• Pattern eccezioni IntelliTrap a pagina 5-5

Come mantenere la protezione aggiornata

5-3

Pattern antivirus

Il pattern dei virus disponibile in un computer client dipende dal metodo di scansioneutilizzato dal client. Per informazioni sui metodi di scansione, vedere Metodi di scansione apagina 6-7.

TABELLA 5-1. Pattern antivirus

METODO DISCANSIONE

PATTERN IN USO

Scansioneconvenzionale

Il Pattern dei virus contiene informazioni che consentono a OfficeScandi identificare i virus, le minacce informatiche e le minacce di tipo mistopiù recenti. Trend Micro crea e distribuisce nuove versioni del patternantivirus diverse volte alla settimana e ogniqualvolta viene scopertauna particolare minaccia.

Trend Micro consiglia di pianificare gli aggiornamenti automatici inmodo che vengano effettuati almeno ogni ora; questa è l'impostazionepredefinita per tutti i prodotti.

Smart Scan Nella modalità Smart Scan i client OfficeScan utilizzano due patternleggeri che collaborano per fornire lo stesso livello di protezione deipattern anti-malware e anti-spyware convenzionali.

Un'origine Smart Protection ospita lo Smart Scan Pattern. Questopattern viene aggiornato ogni ora e contiene la maggior parte delledefinizioni dei pattern. Questo pattern non viene scaricato dai clientSmart Scan. I client verificano potenziali minacce rispetto al patterninviando query di scansione all'origine Smart Protection.

L'origine aggiornamenti del client (il server OfficeScan oppure una delleorigini di aggiornamento personalizzate) ospita Smart Scan AgentPattern. Questo pattern viene aggiornato quotidianamente e contienetutte le altre definizioni dei pattern non disponibili in Smart ScanPattern. I client scaricano questo pattern dall'origine di aggiornamentoutilizzando gli stessi metodi di download degli altri componentiOfficeScan.

Per ulteriori informazioni su Smart Scan Pattern e Smart Scan AgentPattern, vedere File Smart Protection Pattern a pagina 3-8.


5-4

Motore di scansione virusIl motore di scansione rappresenta il fulcro dei prodotti Trend Micro e originariamente èstato sviluppato in risposta ai primi virus basati su file dei computer. Il motore discansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di diversi diVirus e minacce informatiche a pagina 6-2. Il motore di scansione inoltre rileva i viruscontrollati sviluppati e utilizzati per la ricerca.

Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei patterncollaborano per identificare gli elementi riportati di seguito:

• Caratteristiche riconoscibili del codice del virus

• La posizione precisa del virus all'interno del file

OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristinal'integrità del file.

Aggiornamento del motore di scansioneAttraverso la memorizzazione delle informazioni più sensibili a livello temporale su viruso minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre alminimo il numero di aggiornamenti del motore di scansione mantenendo al contempo laprotezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuoveversioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenticircostanze:

• Implementazione di nuove tecnologie di scansione e rilevamento all'interno delsoftware.

• Scoperta di un nuovo virus potenzialmente molto dannoso che il motore discansione non è in grado di gestire

• Miglioramento delle prestazioni di scansione

• Aggiunta di formati di file, linguaggi per script, codifica e/o formati dicompressione

Driver scansione dei virusIl Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Leoperazioni comprendono l'apertura o la chiusura di un file e l'esecuzione di


5-5

un'applicazione. Esistono due versioni del driver. Le due versioni disponibili sonoTmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazionein tempo reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delleoperazioni degli utenti.

Nota

Questo componente non viene visualizzato nella console. Per controllare la versione in uso,accedere a <Cartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con ilpulsante destro del mouse sul file .sys, selezionare Proprietà e accedere alla schedaVersione.

Pattern IntelliTrap

Il pattern IntelliTrap (per dettagli, vedere IntelliTrap a pagina D-7). Il pattern rileva i filecompressi in tempo reale impacchettati come file eseguibili.

Pattern eccezioni IntelliTrap

Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati".

Componenti di Damage Cleanup Services

I componenti di Damage Cleanup Services sono composti dal motore e dal modelloseguenti.

• Motore di disinfezione virus a pagina 5-5

• Modello disinfezione virus a pagina 5-6

Motore di disinfezione virus

Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativiprocessi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit.


5-6

Modello disinfezione virus

Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus perindividuare i file dei cavalli di Troia e i relativi processi per consentire al motore dieliminarli.

Componenti anti-spyware

I componenti anti-spyware sono formati dal motore e dai pattern seguenti:

• Pattern spyware a pagina 5-6

• Motore di scansione spyware a pagina 5-6

• Pattern di monitoraggio attivo spyware a pagina 5-6

Pattern spyware

Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli dimemoria, nel registro di Windows e nei collegamenti URL.

Motore di scansione spyware

Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata suspyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit.

Pattern di monitoraggio attivo spyware

Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo realedi spyware/grayware. Solo i client con scansione convenzionale utilizzano questopattern.

I client con Smart Scan utilizzano Smart Scan Agent Pattern per la scansione in temporeale di spyware/grayware. Se non è possibile determinare il rischio della destinazionedella scansione, i client inviano query di scansione a un'origine Smart Protection.


5-7

Componenti firewallI componenti Firewall sono composti dal pattern e dal driver seguenti:

• Driver comune Firewall a pagina 5-7

• Pattern comune firewall a pagina 5-7

Driver comune Firewall

Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire lascansione dei computer client per rilevare virus di rete. Questo driver supportapiattaforme a 32 bit e a 64 bit.

Pattern comune firewall

Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuarele impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus direte.

Componente di Reputazione WebIl componente di reputazione Web è il Motore Filtro URL.

Motore Filtro URL

Il motore Filtro URL consente la comunicazione tra OfficeScan e il servizio di filtroURL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL etrasmette a OfficeScan le informazioni sulla valutazione.

Componenti monitoraggio del comportamentoI componenti del monitoraggio del comportamento sono composti dai pattern, driver eservizi seguenti:

• Pattern rilevamento monitoraggio del comportamento a pagina 5-8


5-8

• Driver monitoraggio del comportamento a pagina 5-8

• Servizio principale monitoraggio del comportamento a pagina 5-8

• Pattern di configurazione monitoraggio del comportamento a pagina 5-8

• Digital Signature Pattern a pagina 5-9

• Pattern implementazione dei criteri a pagina 5-9

Pattern rilevamento monitoraggio del comportamento

Questo pattern contiene le regole per rilevare il comportamento relativo a minaccesospette.

Driver monitoraggio del comportamento

Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principalemonitoraggio del comportamento per implementare i criteri.

Servizio principale monitoraggio del comportamento

Questo servizio in modalità utente ha le seguenti funzioni:

• Rileva rootkit

• Regola l'accesso ai dispositivi esterni

• Protegge file, chiavi di registro e servizi

Pattern di configurazione monitoraggio del comportamento

Driver monitoraggio del comportamento utilizza questo pattern per individuare glieventi di sistema normali ed escluderli dall'implementazione dei criteri.


5-9

Digital Signature Pattern

Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principalemonitoraggio del comportamento per determinare se un programma responsabile di unevento di sistema è sicuro.

Pattern implementazione dei criteri

Servizio principale monitoraggio del comportamento controlla gli eventi di sistemarispetto ai criteri contenuti in questo pattern.

ProgrammiOfficeScan utilizza i programmi e gli aggiornamenti dei prodotti seguenti:

• Programma client OfficeScan a pagina 5-9

• Cisco Trust Agent a pagina 5-9

• Hot fix, patch e service pack a pagina 5-9

Programma client OfficeScan

Il programma client OfficeScan fornisce una protezione reale contro i rischi per lasicurezza.

Cisco Trust Agent

Cisco Trust Agent consente la comunicazione tra il client e i router che supportanoCisco NAC. Questo agente funziona solo se si disinstalla Policy Server per Cisco NAC.

Hot fix, patch e service pack

Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch eservice pack come quelli riportati di seguito per risolvere problemi, migliorare leprestazioni del prodotto oppure aggiungere nuove funzioni.


5-10

• Hot fix a pagina D-5

• Patch a pagina D-10

• Patch di protezione a pagina D-11

• Service Pack a pagina D-12

Quando questi elementi vengono resi disponibili, l'utente viene informato dalrivenditore o dal fornitore dell'assistenza. Per informazioni sul rilascio di hot fix, patch eservice pack, consultare il sito Web di Trend Micro:

http://www.trendmicro.com/download/emea/?lng=it

Tutte le release includono un file readme che contiene informazioni su installazione,implementazione e configurazione. Prima di eseguire l'installazione, leggere attentamenteil file readme.

Cronologia hot fix e patch

Quando il server OfficeScan implementa file di hot fix o patch nei client OfficeScan, ilprogramma client registra le informazioni su hot fix e patch nell'editor del Registro disistema. È possibile inviare una query su queste informazioni a più client utilizzandosoftware di logistica come Microsoft SMS, LANDesk™ o BigFix™.

Nota

Questa funzione non registra hot fix e patch implementate solo nel server.

Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1.

• I client che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1 conpatch 3.1 o successive registrano le hot fix e le patch installate per le versioni 8.0 esuccessive.

• I client che hanno eseguito l'aggiornamento dalle versioni precedenti alla versione8.0 Service Pack 1 con patch 3.1 registrano solo le hot fix e le patch installate per laversione 10.0 e successive.

Le informazioni sono memorizzate nelle chiavi riportate di seguito:



5-11

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

• Per computer con piattaforme di tipo x64:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

Controllare le chiavi riportate di seguito:

• Chiave: HotFix_installed

Tipo: REG_SZ

Valore: <Nome patch o hot fix>

• Chiave: HotfixInstalledNum

Tipo: DWORD

Valore: <Numero patch o hot fix>

Panoramica sugli aggiornamentiTutti gli aggiornamenti dei componenti provengono dal server Trend MicroActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e leorigini Smart Protection (Smart Protection Server o Smart Protection Network)scaricano i componenti aggiornati. I download delle origini Smart Protection e del serverOfficeScan non si sovrappongono in quanto ciascun server scarica un insieme dicomponenti specifico.

Nota

È possibile configurare sia il server OfficeScan che Smart Protection Server in modo cheeseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. Atale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per laconfigurazione di questa origine di aggiornamento, contattare l'assistenza tecnica.


5-12

Aggiornamento del client OfficeScan e server OfficeScanIl server OfficeScan scarica la maggior parte dei componenti necessari ai client. L'unicocomponente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini SmartProtection.

Se un server OfficeScan gestisce un numero considerevole di client, l'aggiornamentopotrebbe utilizzare una grande quantità risorse del computer server e influire quindi sullastabilità e sulle prestazioni del server. Per ovviare a questo problema OfficeScan disponedella funzione Update Agent che consente ad alcuni client di condividere l'attività didistribuzione degli aggiornamenti agli altri client.

La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento deicomponenti per i client e il server OfficeScan e i consigli su quando utilizzarle:

TABELLA 5-2. Opzioni di aggiornamento server-client

OPZIONE DIAGGIORNAMENTO

DESCRIZIONE RACCOMANDAZIONE

ServerActiveUpdate >Server > Client

Il server OfficeScan riceve icomponenti aggiornati dalserver ActiveUpdate di TrendMicro (o da un'altra origine diaggiornamento) e avvial'aggiornamento deicomponenti sui client.

Utilizzare questo metodo se non cisono sezioni ad ampiezza di bandaridotta tra il server OfficeScan e iclient.

ServerActiveUpdate >Server > UpdateAgent > Client

Il server OfficeScan riceve icomponenti aggiornati dalserver ActiveUpdate (o daun'altra origine diaggiornamento) e avvial'aggiornamento deicomponenti sui client. Alcuniclient designati come UpdateAgent segnalano agli altriclient di aggiornare icomponenti.

Se ci sono sezioni ad ampiezza dibanda ridotta tra il serverOfficeScan e i client, utilizzarequesto metodo per bilanciare ilcarico del traffico nella rete.


5-13

OPZIONE DIAGGIORNAMENTO

DESCRIZIONE RACCOMANDAZIONE

ServerActiveUpdate >Update Agent >

Client

Gli Update Agent ricevono icomponenti aggiornatidirettamente dal serverActiveUpdate (o da un'altraorigine di aggiornamento) esegnalano ai client diaggiornare i componenti.

Utilizzare questo metodo solo se siverificano problemi conl'aggiornamento di Update Agentdal server OfficeScan o da un altroUpdate Agent.

Nella maggior parte dei casi, gliUpdate Agent ricevono gliaggiornamenti più velocemente dalserver OfficeScan o da altri UpdateAgent, piuttosto che da un'origine diaggiornamenti esterna.

ServerActiveUpdate >

Client

I client OfficeScan ricevono icomponenti aggiornatidirettamente dal serverActiveUpdate (o da un'altraorigine di aggiornamento).

Utilizzare questo metodo solo se siverificano problemi conl'aggiornamento dei client dalserver OfficeScan o da un altroUpdate Agent.

Nella maggior parte dei casi, i clientricevono gli aggiornamenti piùvelocemente dal server OfficeScano dagli Update Agent, piuttosto cheda un'origine di aggiornamentiesterna.

Aggiornamento dell'origine Smart Protection

Un'origine Smart Protection (Smart Protection Server o Smart Protection Network)scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dai client Smart Scan.I client verificano potenziali minacce rispetto al pattern inviando query di scansioneall'origine Smart Protection.

Nota

Consultare Origini Smart Protection a pagina 3-5 per ulteriori informazioni sulle origini SmartProtection.


5-14

Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle originiSmart Protection.

TABELLA 5-3. Processo di aggiornamento delle origini Smart Protection

PROCESSO DIAGGIORNAMENTO

DESCRIZIONE

Server ActiveUpdate> Smart ProtectionNetwork

Trend Micro Smart Protection Network riceve gli aggiornamentidal server ActiveUpdate di Trend Micro. I client con SmartScan che non sono connessi alla rete aziendale inviano querya Trend Micro Smart Protection Network.

Server ActiveUpdate> Smart ProtectionServer

Smart Protection Server (integrato o standalone) riceve gliaggiornamenti dal server ActiveUpdate di Trend Micro. I clientSmart Protection connessi alla rete aziendale inviano query aSmart Protection Server.

Smart ProtectionNetwork > SmartProtection Server

Smart Protection Server (integrato o standalone) riceve gliaggiornamenti da Trend Micro Smart Protection Network. Iclient Smart Protection connessi alla rete aziendale invianoquery a Smart Protection Server.

Aggiornamenti server OfficeScanIl server OfficeScan scarica i componenti riportati di seguito e li implementa nei client:

TABELLA 5-4. Componenti scaricati dal server OfficeScan

COMPONENTE

DISTRIBUZIONE

CLIENT CON SCANSIONECONVENZIONALE

CLIENT CON SMARTSCAN

Smart Scan Agent Pattern No Sì

Pattern dei virus Sì No

Motore di scansione virus Sì Sì

Driver scansione dei virus Sì Sì


5-15

COMPONENTE

DISTRIBUZIONE



Pattern IntelliTrap Sì Sì

Pattern eccezioni IntelliTrap Sì Sì

Motore di disinfezione virus Sì Sì

Modello disinfezione virus Sì Sì

Pattern spyware Sì Sì

Motore di scansione spyware Sì Sì

Pattern di monitoraggio attivospyware

Sì No

Driver comune Firewall Sì Sì

Pattern comune firewall Sì Sì

Motore Filtro URL Sì Sì

Driver monitoraggio delcomportamento

Sì Sì

Servizio principale monitoraggio delcomportamento

Sì Sì

Pattern di configurazionemonitoraggio del comportamento

Sì Sì

Pattern rilevamento monitoraggio delcomportamento

Sì Sì

Digital Signature Pattern Sì Sì

Pattern implementazione dei criteri Sì Sì

Suggerimenti e promemoria per gli aggiornamenti:

• Per consentire al server per implementare i componenti aggiornati sui client,attivare l'aggiornamento automatico. Per i dettagli, consultare Aggiornamenti


5-16

automatici del client OfficeScan a pagina 5-35. Se l'aggiornamento automatico del clientè disattivato, il server scarica gli aggiornamenti ma non li implementa nei client.

• Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamentidirettamente ai client IPv4 puri. Analogamente, un server OfficeScan IPv4 puronon è in grado di distribuire gli aggiornamenti direttamente ai client IPv6 puri. Perconsentire a un server OfficeScan di distribuire gli aggiornamenti ai client, ènecessario un server proxy dual-stack in grado di convertire gli indirizzi IP, comead esempio DeleGate.

• Trend Micro rilascia i file di pattern a cadenza regolare, in modo da mantenereaggiornata la protezione del client. Poiché i file di pattern sono disponibiliregolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione deicomponenti che consente un download più rapido dei file di pattern. Per ulterioriinformazioni, consultare Duplicazione dei componenti server OfficeScan a pagina 5-19.

• Se per il collegamento a Internet si utilizza un server proxy, utilizzare leimpostazioni proxy corrette per il download degli aggiornamenti.

• Nel Riepilogo della console Web, aggiungere il widget Aggiornamenti client pervisualizzare le versioni correnti dei componenti e determinare il numero di clientcon componenti aggiornati e obsoleti.

Origini aggiornamenti del server OfficeScan

Configurare il server OfficeScan per scaricare i componenti dal server Active Update diTrend Micro o da un'altra origine. È possibile specificare un'altra origine se il serverOfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per unoscenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 5-22.

Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamentenotificare ai client di effettuare l'aggiornamento dei componenti sulla base delleimpostazioni specificate in Aggiornamenti > Computer collegati in rete >Aggiornamento automatico. Se l'aggiornamento di un componente è particolarmenteimportante, fare in modo che il server invii la notifica ai client immediatamenteaccedendo a Aggiornamenti > Computer collegati in rete > Aggiornamentomanuale.


5-17

Nota

Se non si specifica una pianificazione di implementazione o delle impostazioni diaggiornamento attivate da eventi all'interno di Aggiornamenti > Computer collegati inrete > Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invieràla notifica ai client perché effettuino l'aggiornamento.

Supporto IPv6 per gli aggiornamenti del server OfficeScan

Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamentodirettamente da origini IPv4 pure, come:

• Server ActiveUpdate di Trend Micro

• Control Manager 5.5


Nota

Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 SP1.

• Qualsiasi origine aggiornamenti personalizzata IPv4 pura

Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguirel'aggiornamento direttamente da origini personalizzate IPv6 pure.

Per consentire a un server di connettersi alle origini aggiornamenti, è necessario unserver proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempioDeleGate.

Proxy per aggiornamenti server OfficeScan

Configurare i programmi server ospitati nel computer server per utilizzare leimpostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate diTrend Micro. I programmi server comprendono il server OfficeScan e Integrated SmartProtection Server.


5-18

Configurazione delle impostazioni proxy

Procedura

1. Accedere a Amministrazione > Impostazioni proxy.

2. Fare clic sulla scheda Proxy esterno.

3. Andare alla sezione Aggiornamenti del computer server OfficeScan.

4. Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motoree licenza.

5. Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero diporta.

6. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password econfermare la password.


Configurazione della fonte di aggiornamento server

Procedura

1. Accedere a Aggiornamenti > Server > Fonte aggiornamenti.

2. Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti.

Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessionea Internet e, se si utilizza un server proxy, provare se la connessione a Internet èdisponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy peraggiornamenti server OfficeScan a pagina 5-17.

Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e lerisorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi,inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni.Per ottenere supporto per la configurazione di un'origine di aggiornamento,contattare l'assistenza tecnica.


5-19

Nota

Il server OfficeScan utilizza la duplicazione dei componenti per scaricare icomponenti dall'origine di aggiornamento. Per informazioni, vedere Duplicazione deicomponenti server OfficeScan a pagina 5-19.


Duplicazione dei componenti server OfficeScan

Quando la versione più recente di un file di pattern completo è disponibile per ildownload dal server Trend Micro ActiveUpdate, sono disponibili anche 14 patternincrementali. I pattern incrementali sono versioni ridotte del file di pattern completo checolmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti.Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (laversione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto inumeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175contiene i dati presenti nella versione 175 e non presenti nella versione 171.

Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScanesegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti incui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Perinformazioni sul modo in cui gli Update Agent eseguono la duplicazione deicomponenti, consultare Duplicazione dei componenti di Update Agent a pagina 5-60.

La duplicazione dei componenti si applica ai seguenti componenti:

• Pattern dei virus

• Smart Scan Agent Pattern

• Modello disinfezione virus

• Pattern eccezioni IntelliTrap

• Pattern spyware

• Pattern di monitoraggio attivo spyware


5-20

Scenario di duplicazione dei componentiPer comprendere la duplicazione dei componenti per il server, considerare il seguentescenario:

TABELLA 5-5. Scenario di duplicazione dei componenti del server

Patterncompleti sulserverOfficeScan

Versione attuale: 171

Altre versioni disponibili:

169 167 165 161 159

Versione piùrecente sulserverActiveUpdate

173.175 171.175 169.175 167.175 165.175 163.175

161.175 159.175 157.175 155.175 153.175 151.175

149.175 147.175

1. Il server OfficeScan confronta la versione attuale del pattern completo con laversione più recente sul server ActiveUpdate. Se la differenza tra le due versioni èal massimo 14, il server scarica solo il pattern incrementale per colmare ladifferenza tra le due versioni.

NotaSe la differenza è superiore a 14, il server scarica automaticamente la versionecompleta del file di pattern e 14 pattern incrementali.

Esempio:

• La differenza tra le versioni 171 e 175 è 2. Questo significa che il server nondispone delle versioni 173 e 175.

• Il server scarica il pattern incrementale 171.175. Questo pattern incrementalecolma la differenza tra le versioni 171 e 175.

2. Il server integra il pattern incrementale con il pattern completo corrente pergenerare il pattern completo più recente.

Esempio:

• Sul server, OfficeScan integra la versione 171 con il pattern incrementale171.175 per generare la versione 175.


5-21

• Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente(versione 175).

3. Il server genera pattern incrementali sulla base degli altri pattern completidisponibili sul server. Se il server non genera questi pattern incrementali, i clientche non hanno scaricato in precedenza i pattern incrementali, scaricanoautomaticamente il file di pattern completo, che genererà poi ulteriore traffico direte.

Esempio:

• Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, puògenerare i seguenti pattern incrementali:

169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server non deve utilizzare la versione 171 perché dispone già del patternincrementale 171.175.

• Ora il server dispone di 7 pattern incrementali:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169,167, 165, 163, 161). Le versioni precedenti vengono rimosse (159).

4. Il server confronta i pattern incrementali correnti con i pattern incrementalidisponibili sul server ActiveUpdate. Il server scarica i pattern incrementali nonpresenti.

Esempio:

• Il server ActiveUpdate ha 14 pattern incrementali:

173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• Il server OfficeScan ha 7 pattern incrementali:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server OfficeScan scarica altri 7 pattern incrementali:

173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175


5-22

• Ora il server dispone di tutti i pattern incrementali disponibili sul serverActiveUpdate.

5. Il pattern completo più recente e i 14 pattern incrementali sono disponibili per iclient.

Aggiornamenti server OfficeScan isolatoSe il server OfficeScan appartiene a una rete completamente isolata da tutte le originiesterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguirel'aggiornamento da un'origine interna che contiene i componenti più recenti.

In questo argomento vengono descritte le operazioni necessarie per eseguirel'aggiornamento di un server OfficeScan isolato.

Aggiornamento di un server OfficeScan isolato

Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte leoperazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggidettagliati di ciascuna operazione.

Procedura

1. Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager oun'altra macchina host. L'origine aggiornamenti deve disporre di:

• Una connessione Internet in modo da poter per scaricare i componenti piùrecenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet,il solo modo per ottenere i componenti aggiornati necessari le originiaggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelleorigini aggiornamenti.

• Una connessione funzionante con il server OfficeScan. Se tra il serverOfficeScan e le origini aggiornamenti esiste un server proxy, configurare leimpostazioni proxy. Per i dettagli, consultare Proxy per aggiornamenti serverOfficeScan a pagina 5-17.

• Spazio su disco sufficiente per i componenti scaricati


5-23

2. Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli,consultare Origini aggiornamenti del server OfficeScan a pagina 5-16.

3. Identificare i componenti in cui il server implementa i client. Per un elenco deicomponenti implementabili, vedere Aggiornamenti del client OfficeScan a pagina 5-26.

SuggerimentoPer determinare se un componente viene implementato sui client, si può andare allaschermata Riepilogo aggiornamento nella console Web (Aggiornamenti >Riepilogo). In questa schermata, la frequenza di aggiornamento per un componenteche viene implementato è sempre maggiore dello 0%.

4. Determinare la frequenza di scaricamento dei componenti. I file di patternvengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia diaggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenzatecnica di notificare gli aggiornamenti importanti.

5. Su un'origine aggiornamenti:

a. Effettuare la connessione al server ActiveUpdate. L'URL del server varia inbase alla versione OfficeScan.

b. Scaricare i seguenti elementi:

• Il file server.ini. Questo file contiene informazioni sui componentipiù recenti.

• I componenti identificati nel passaggio 3.

c. Salvare gli elementi scaricati in una directory dell'origine aggiornamenti.

6. Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultareAggiornamento manuale del server OfficeScan a pagina 5-24.

7. Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare icomponenti.


5-24

Metodi di aggiornamento del server OfficeScan

I componenti del server OfficeScan possono essere aggiornati manualmente oppureconfigurando una pianificazione di aggiornamento.

Per consentire al server per implementare i componenti aggiornati sui client, attivarel'aggiornamento automatico. Per i dettagli, consultare Aggiornamenti automatici del clientOfficeScan a pagina 5-35. Se l'aggiornamento automatico del client è disattivato, il serverscarica gli aggiornamenti ma non li implementa nei client.

I metodi aggiornamento includono:

• Aggiornamento server manuale: Quando un aggiornamento è importante,eseguire l'aggiornamento manuale in modo che il server possa ottenere gliaggiornamenti immediatamente. Per informazioni, vedere Aggiornamento manuale delserver OfficeScan a pagina 5-24.

• Aggiornamento server pianificato: Il server OfficeScan si connette all'origine diaggiornamento nella data e orario pianificati per ottenere i componenti più recenti.Per informazioni, vedere Pianificazione aggiornamenti per il server OfficeScan a pagina5-25.

Aggiornamento manuale del server OfficeScan

Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato oaggiornato il server e quando si verifica un'infezione.

Procedura

1. Avviare un aggiornamento manuale tramite:

• Accesso a Aggiornamenti > Server > Aggiornamento manuale.

• Selezione di Aggiorna server ora nel menu principale della console Web.

2. Selezionare i componenti da aggiornare.

3. Fare clic su Aggiorna.


5-25

Il server scarica i componenti aggiornati.

Pianificazione aggiornamenti per il server OfficeScan

Configurare il server OfficeScan affinché controlli con regolarità l'origine diaggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché dinorma i client ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è unmodo semplice ed efficace per assicurare una protezione continua contro i rischi per lasicurezza.

Procedura

1. Accedere a Aggiornamenti > Server > Aggiornamento pianificato.

2. Selezionare Attiva aggiornamento pianificato del server OfficeScan.

3. Selezionare i componenti da aggiornare.

4. Specificare la pianificazione dell'aggiornamento.

Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica ilnumero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti diOfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallotemporale.


Registri di aggiornamento del server OfficeScanVerificare i registri di aggiornamento del server per determinare se esistono dei problemidi aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti deicomponenti del server OfficeScan.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina12-34.


5-26

Visualizzazione dei registri di aggiornamento

Procedura

1. Accedere a Registri > Registri aggiornamenti server.

2. Controllare la colonna Risultato per verificare se alcuni componenti non sono statiaggiornati.

3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta inCSV. Aprire il file o salvarlo in una posizione specifica.

Aggiornamenti di Integrated Smart ProtectionServer

Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern el'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e comeaggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 3-20.

Aggiornamenti del client OfficeScanPer garantire la continua protezione dei client contro i più recenti rischi per la sicurezza,è necessario aggiornare regolarmente i componenti del client.

Prima di aggiornare i client, verificare che la loro origine aggiornamenti (serverOfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti piùrecenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamentiserver OfficeScan a pagina 5-14.

La seguente tabella comprende un elenco di tutti i componenti implementati dalle originiaggiornamenti sui client e i componenti utilizzati con un determinato metodo discansione.


5-27

TABELLA 5-6. Componenti OfficeScan implementati sui client

COMPONENTE

DISTRIBUZIONE



Smart Scan Agent Pattern No Sì

Pattern dei virus Sì No

Motore di scansione virus Sì Sì

Driver scansione dei virus Sì Sì

Pattern IntelliTrap Sì Sì

Pattern eccezioni IntelliTrap Sì Sì

Motore di disinfezione virus Sì Sì

Modello disinfezione virus Sì Sì

Pattern spyware Sì Sì

Motore di scansione spyware Sì Sì

Pattern di monitoraggio attivospyware

Sì No

Driver comune Firewall Sì Sì

Pattern comune firewall Sì Sì

Motore Filtro URL Sì Sì

Driver monitoraggio delcomportamento

Sì Sì

Servizio principale monitoraggio delcomportamento

Sì Sì

Pattern di configurazionemonitoraggio del comportamento

Sì Sì

Pattern rilevamento monitoraggio delcomportamento

Sì Sì


5-28

COMPONENTE

DISTRIBUZIONE



Digital Signature Pattern Sì Sì

Pattern implementazione dei criteri Sì Sì

Origini di aggiornamento client OfficeScanI client possono ottenere gli aggiornamenti dall'origine di aggiornamento standard(server OfficeScan) o componenti specifici dalle origini aggiornamenti personalizzate,come il server ActiveUpdate di Trend Micro. Per ulteriori dettagli, vedere Origineaggiornamenti standard per i client OfficeScan a pagina 5-28 e Origini aggiornamenti personalizzateper i client OfficeScan a pagina 5-30.

Supporto IPv6 per gli aggiornamenti del client OfficeScanUn client IPv6 puro non è in grado di eseguire l'aggiornamento direttamente da originiIPv4 pure, come:

• Un server OfficeScan IPv4 puro

• Un Update Agent IPv4 puro



Analogamente, un client IPv4 puro non è in grado di eseguire direttamentel'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro o unUpdate Agent:

Per consentire ai client di connettersi alle origini aggiornamenti, è necessario un serverproxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.

Origine aggiornamenti standard per i client OfficeScanIl server OfficeScan server è l'origine di aggiornamento standard per i client.


5-29

Se il server OfficeScan non è raggiungibile, i client non avranno un'origine di backup equindi non saranno aggiornati. Per aggiornare i client che non sono in grado diraggiungere il server OfficeScan, Trend Micro consiglia di usare Client Packager. Usarequesto strumento per creare un pacchetto con i componenti più recenti disponibili sulserver, quindi eseguire il pacchetto sui client.

NotaL'indirizzo IP del client (IPv4 o IPv6) determina se è possibile stabilire la connessione alserver OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti client,vedere Supporto IPv6 per gli aggiornamenti del client OfficeScan a pagina 5-28.

Configurazione origine aggiornamento standard per i clientOfficeScan

Procedura

1. Accedere a Aggiornamenti > Computer collegati in rete > Fonteaggiornamenti.

2. Selezionare Origini di aggiornamento standard (aggiorna dal serverOfficeScan).


Processo di aggiornamento client OfficeScan

NotaIn questo argomento viene illustrato il processo di aggiornamento per i client OfficeScan. Ilprocesso di aggiornamento per gli Update Agent è trattato in Origine aggiornamenti standardper i client OfficeScan a pagina 5-28.

Se i client OfficeScan vengono configurati per eseguire l'aggiornamento direttamente dalserver OfficeScan, il processo di aggiornamento avviene come riportato di seguito:

1. Il client OfficeScan ottiene gli aggiornamenti dal server OfficeScan.


5-30

2. Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, il clientOfficeScan tenta di connettersi direttamente al server ActiveUpdate di Trend Microse l'opzione I client scaricano gli aggiornamenti dal Server ActiveUpdate diTrend Micro è attivata in Computer collegati in rete > Gestione client, fareclic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni(scheda) > Aggiorna impostazioni.

NotaÈ possibile aggiornare solo i componenti dal server ActiveUpdate. È possibilescaricare i programmi, le hot fix e le impostazioni del dominio solo dal serverOfficeScan o dagli Update Agent. Per rendere più rapido il processo diaggiornamento, configurare i client OfficeScan in modo che dal server ActiveUpdatevengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare ServerActiveUpdate come origine di aggiornamento del client OfficeScan a pagina 5-34.

Origini aggiornamenti personalizzate per i client OfficeScanOltre che dal server OfficeScan i client OfficeScan possono eseguire l'aggiornamento daOrigini di aggiornamento personalizzate. Le Origini di aggiornamento personalizzatecontribuiscono a ridurre il traffico degli aggiornamenti del client OfficeScan diretto alserver OfficeScan e consentono ai client OfficeScan che non riescono a connettersi alserver OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le originidi aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate,che può contenere fino a 1024 origini di aggiornamento.

SuggerimentoTrend Micro consiglia di assegnare alcuni client OfficeScan come Update Agent e poiaggiungerli all'elenco.

Configurazione delle origini di aggiornamento personalizzate peri client OfficeScan

Procedura



5-31

2. Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi.

3. Nella schermata visualizzata, specificare gli indirizzi IP dei client. È possibileimmettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.

4. Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent seè stato assegnato oppure digitare l'URL di un'origine specifica.

NotaAccertarsi che i client OfficeScan siano in grado di connettersi all'origineaggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificatoun intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4.Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamentideve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gliaggiornamenti client, vedere Origini di aggiornamento client OfficeScan a pagina 5-28.


6. Eseguire operazioni varie nella schermata.

a. Selezionare una delle impostazioni riportate di seguito. Per ulterioriinformazioni sul funzionamento di queste impostazioni, vedere Processo diaggiornamento client OfficeScan a pagina 5-29.

• Hot fix, programmi client, impostazioni dei domini e componentidi aggiornamento degli Update Agent, solo dal server OfficeScan.

• Aggiorna componenti dal server OfficeScan se tutte le originipersonalizzate non sono disponibili o non sono state trovate

• Aggiorna impostazioni dominio dal server OfficeScan se tutte leorigini personalizzate non sono disponibili o non sono state trovate

• Aggiorna programmi client e hot fix dal server OfficeScan se tuttele origini personalizzate non sono disponibili o non sono statetrovate

b. Se come origine è stato specificato almeno un Update Agent, fare clic suSegnalazione analitica di Update Agent per generare una segnalazione cheevidenzi lo stato di aggiornamento dei client. Per ulteriori informazioni sullasegnalazione, vedere Segnalazione analitica di Update Agent a pagina 5-61.


5-32

c. Modificare un'origine aggiornamenti facendo clic sul collegamentodell'intervallo di indirizzi IP. Modificare le impostazioni nella schermatavisualizzata e fare clic su Salva.

d. Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella dicontrollo e facendo clic su Elimina.

e. Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. Èpossibile spostare solo un'origine per volta.


Processo di aggiornamento client OfficeScan

NotaIn questo argomento viene illustrato il processo di aggiornamento per i client OfficeScan. Ilprocesso di aggiornamento per gli Update Agent è trattato in Origini aggiornamentipersonalizzate per gli Update Agent a pagina 5-57.

Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, ilprocesso di aggiornamento prosegue come riportato di seguito:

1. Un client OfficeScan esegue l'aggiornamento dalla prima origine dell'elenco.

2. Se non è in grado di eseguire l'aggiornamento dalla prima origine, il clientOfficeScan utilizza la seconda voce e così via.

3. Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, il clientOfficeScan controlla le impostazioni seguenti nella schermata Fonte aggiornamenti:


5-33

TABELLA 5-7. Altre impostazioni per le origini aggiornamenti personalizzate


Hot fix, programmiclient, impostazioni deidomini e componenti diaggiornamento degliUpdate Agent, solo dalserver OfficeScan.

Se tale impostazione è attivata, gli Update Agenteseguono l'aggiornamento direttamente dal serverOfficeScan e ignorano Elenco origini di aggiornamentopersonalizzate.

Se non è attivata, gli Update Agent applicano leimpostazioni di Origine aggiornamenti personalizzataconfigurate per i client normali.

I client aggiornano glielementi seguenti dalserver OfficeScan setutte le originipersonalizzate nonsono disponibili o nonsono state trovate:Componenti

Se questa opzione è attivata, il client eseguel'aggiornamento dei componenti dal server OfficeScan.

Se l'opzione è disattivata, il client tenta di connettersidirettamente al server ActiveUpdate di Trend Micro se siverifica una delle seguenti condizioni:

• In Computer collegati in rete > Gestione client,fare clic su Impostazioni > Privilegi e altreimpostazioni > Altre impostazioni (scheda) >Aggiorna impostazioni, l'opzione I clientscaricano gli aggiornamenti dal ServerActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate non è incluso nell'Elencoorigini aggiornamento personalizzate.

NotaÈ possibile aggiornare solo i componenti dalserver ActiveUpdate. È possibile scaricare iprogrammi, le hot fix e le impostazioni del dominiosolo dal server OfficeScan o dagli Update Agent.Per rendere più rapido il processo diaggiornamento, configurare i client in modo chedal server ActiveUpdate vengano scaricati solo ifile di pattern. Per ulteriori informazioni, consultareServer ActiveUpdate come origine diaggiornamento del client OfficeScan a pagina5-34.


5-34


I client aggiornano glielementi seguenti dalserver OfficeScan setutte le originipersonalizzate nonsono disponibili o nonsono state trovate:Impostazioni dominio

Se questa opzione è attivata, il client eseguel'aggiornamento delle impostazioni del dominio dalserver OfficeScan.

I client aggiornano glielementi seguenti dalserver OfficeScan setutte le originipersonalizzate nonsono disponibili o nonsono state trovate:Programmi client e hotfix

Se questa opzione è attivata, il client eseguel'aggiornamento dei programmi e delle hot fix dal serverOfficeScan.

4. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, il clientinterrompe il processo di aggiornamento.

Server ActiveUpdate come origine di aggiornamento delclient OfficeScan

Quando i client OfficeScan sono configurati per scaricare gli aggiornamenti direttamentedal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file di pattern perridurre la larghezza di banda utilizzata durante gli aggiornamenti e rendere più rapido ilprocesso di aggiornamento.

I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenzadei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern.

Un client IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal serverActiveUpdate di Trend Micro. Per consentire ai client OfficeScan di connettersi al serverActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizziIP, come ad esempio DeleGate.


5-35

Limitazione dei download dal server ActiveUpdate

Procedura


2. Andare alla sezione Aggiornamenti.

3. Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gliaggiornamenti.

Metodi di aggiornamento del client OfficeScanI client OfficeScan che eseguono l'aggiornamento dei componenti dal server OfficeScano da un'origine di aggiornamento personalizzata possono utilizzare uno dei metodi diaggiornamento riportati di seguito:

• Aggiornamenti automatici del client: l'aggiornamento dei client viene eseguitoautomaticamente quando si verificano alcuni eventi o in base a una pianificazione.Per i dettagli, consultare Aggiornamenti automatici del client OfficeScan a pagina 5-35.

• Aggiornamenti manuali del client: quando un aggiornamento è importante,utilizzare l'aggiornamento manuale per notificare immediatamente ai client dieseguire l'aggiornamento del componente. Per i dettagli, consultare Aggiornamentimanuali del client OfficeScan a pagina 5-43.

• Aggiornamenti basati su privilegi: gli utenti con privilegi di aggiornamentohanno maggiore controllo sull'aggiornamento del client OfficeScan nei propricomputer. Per i dettagli, consultare Privilegi di aggiornamento e altre impostazioni per iclient OfficeScan a pagina 5-45.

Aggiornamenti automatici del client OfficeScan

La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento ai cliented elimina il rischio che i componenti dei computer client diventino obsoleti.

Nel corso dell'aggiornamento automatico, oltre ai componenti, i client OfficeScanricevono anche dei file di configurazione aggiornati. I client necessitano di tali file di


5-36

configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificanole impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i filedi configurazione. Per specificare la frequenza in base alla quale i file di configurazionevengono applicati ai client, vedere il punto 3 Aggiornamento automatico componenti del clientOfficeScan a pagina 5-38.

NotaÈ possibile configurare i client in modo che utilizzino le impostazioni proxy nel corsodell'aggiornamento automatico. Per informazioni, vedere Proxy per gli aggiornamenti deicomponenti del client OfficeScan a pagina 5-48.

Esistono due tipi di aggiornamenti automatici:

• Aggiornamenti provocati da un evento a pagina 5-36

• Aggiornamenti pianificati a pagina 5-38

Aggiornamenti provocati da un evento

Il server può notificare ai client di effettuare l'aggiornamento dei componenti dopo avereffettuato il download dei più recenti componenti e notificare ai client offline dieffettuare l'aggiornamento quando avranno ristabilito la connessione con il server. Altermine dell'aggiornamento, sui computer client OfficeScan è possibile avviare Eseguiscansione (scansione manuale).


5-37

TABELLA 5-8. Opzioni di aggiornamento provocate da un evento

OPZIONE DESCRIZIONE

Avvia l'aggiornamentodei componenti deiclient subito dopo che ilserver OfficeScan hascaricato un nuovocomponente

Non appena completato un aggiornamento, il server notifica aiclient di eseguirlo. I client aggiornati di frequente devonoscaricare pattern incrementali, riducendo in tal modo il temponecessario per completare l'aggiornamento (per maggioridettagli sui pattern incrementali, vedere Duplicazione deicomponenti server OfficeScan a pagina 5-19). Tuttavia gliaggiornamenti frequenti potrebbero incidere negativamentesulle prestazioni del server, soprattutto se molti clienteseguono l'aggiornamento contemporaneamente.

Per includere nell'aggiornamento i client in modalità roaming,selezionare Includi client in roaming e offline. Per maggioridettagli sulla modalità roaming, vedere Privilegio di roamingdel client OfficeScan a pagina 13-20.

Consenti ai client diavviare l'aggiornamentodei componenti quandosi riavviano e siconnettono al serverOfficeScan (i client inroaming sono esclusi)

Se un client non ha eseguito un aggiornamento, i componentivengono scaricati non appena questo stabilisce laconnessione con il server. Un client potrebbe non eseguire unaggiornamento se è offline o se il computer dove è installatonon è in funzione.

Effettua Eseguiscansione dopol'aggiornamento(escludendo i client inroaming)

Il server invia una notifica ai client per l'esecuzione dellascansione dopo un'aggiornamento provocato da un evento.Attivare questa opzione se un aggiornamento specificorisponde a un rischio per la sicurezza già diffuso nella rete.

NotaSe il server OfficeScan non è in grado di inviare una notifica di aggiornamento ai client altermine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15minuti. Il server continuerà a inviare le notifiche di aggiornamento fino a ottenere rispostadal client per un massimo di 5 volte. Se il quinto tentativo non riesce, il server non invieràulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componenti quando iclient si riavviano e si connettono al server, l'aggiornamento dei componenti avverrà inogni caso.


5-38

Aggiornamenti pianificati

L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionare iclient OfficeScan che dispongono di tale privilegio e tali client OfficeScan potrannoeseguire gli aggiornamenti in base alla pianificazione.

Nota

Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultareConfigurazione aggiornamenti pianificati del client OfficeScan con NAT a pagina 5-40.

Aggiornamento automatico componenti del client OfficeScan

Procedura

1. Accedere a Aggiornamenti > Computer collegati in rete > Aggiornamentoautomatico.

2. Selezionare gli eventi che attiveranno l'aggiornamento dei componenti.

• Avvia l'aggiornamento dei componenti dei client subito dopo che ilserver OfficeScan ha scaricato un nuovo componente

• Consenti ai client di avviare l'aggiornamento dei componenti quando siriavviano e si connettono al server OfficeScan (i client in roaming sonoesclusi)

• Effettua Esegui scansione dopo l'aggiornamento (escludendo i client inroaming)

3. Stabilire con quale frequenza i client con il privilegio dell'aggiornamento pianificatoeffettueranno tale aggiornamento.

• Se i client dispongono del privilegio di aggiornamento pianificato, andare alpassaggio successivo.

• Se i client non dispongono del privilegio di aggiornamento pianificato, occorreprima attenersi alla procedura riportata di seguito:

a. Accedere a Computer collegati alla rete > Gestione client.


5-39

b. Nella struttura client, selezionare i client che disporranno del privilegio.

c. Fare clic su Impostazioni > Privilegi e altre impostazioni.

• Opzione 1: nella scheda Privilegi, passare alla sezione Privilegiaggiornamento componenti . È presente l'opzione Attivaaggiornamento pianificato.

• Opzione 2: nella scheda Altre impostazioni, andare alla sezioneAggiorna impostazioni. È presente un'altra opzione Attivaaggiornamento pianificato.

NotaPer concedere agli utenti client la possibilità di attivare o disattivarel'aggiornamento pianificato nella console del client OfficeScan, attivare leopzioni 1 e 2. Dopo aver salvato le impostazioni, gli aggiornamenti verrannoeseguiti nel computer client in base alla pianificazione. L'esecuzione degliaggiornamenti pianificati si interrompe quando un utente client fa clic con ilpulsante destro del mouse sull'icona del client OfficeScan nella barra delleapplicazioni e seleziona Disattiva aggiornamento pianificato.

Per fare in modo che l'aggiornamento pianificato venga eseguito sempre e perimpedire agli utenti client di disattivare l'aggiornamento pianificato, disattivarel'opzione 1 e attivare l'opzione 2.

d. Salvare le impostazioni.

4. Configurare la pianificazione.

a. Se si seleziona Minuto/i o Ora/e, è possibile selezionare l'opzione Aggiornale configurazioni dei client solo una volta al giorno. Se non si selezionaquesta opzione, il client OfficeScan recupera sia i componenti aggiornati siaeventuali file di configurazione disponibili sul server negli intervalli specificati.Se si seleziona questa opzione, OfficeScan aggiorna i componenti negliintervalli specificati e i file di configurazione una sola volta al giorno.


5-40

Suggerimento

Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che leimpostazioni di configurazione di OfficeScan cambino con minore frequenza.L'aggiornamento dei file di configurazione effettuato insieme a quello deicomponenti, richiede una maggiore ampiezza di banda e aumenta il temponecessario affinché OfficeScan completi l'aggiornamento. Per questo motivo,Trend Micro consiglia di aggiornare le configurazioni dei client OfficeScan solouna volta al giorno.

b. Se si seleziona Frequenza giornaliera o Frequenza settimanale, specificarel'ora dell'aggiornamento e il periodo di tempo in cui il server OfficeScanordinerà ai client di aggiornare i componenti. Se, ad esempio, l'ora di inizio èfissata alle 12 e il periodo di tempo è fissato a 2 ore, OfficeScan invia lanotifica di aggiornamento dei componenti a tutti i client online in modocasuale dalle 12:00 alle 14:00. Questa impostazione consente di evitare chetutti i client online si connettano contemporaneamente al server nell'ora diinizio indicata e di ridurre la quantità di traffico indirizzato al server.


I client offline non riceveranno la notifica. I client offline che si connettono quando ilperiodo di tempo per l'aggiornamento è già scaduto, possono aggiornare comunque icomponenti se è stata selezionata l'opzione Consenti ai client di avviarel'aggiornamento dei componenti quando si riavviano, in Aggiornamentoprovocato da un evento. In caso contrario, effettueranno l'aggiornamento deicomponenti durante la successiva sessione di aggiornamento pianificato o quando vieneavviato un aggiornamento manuale.

Configurazione aggiornamenti pianificati del client OfficeScancon NAT

Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito:

• I client OfficeScan sono rappresentati offline nella console Web.

• Il server OfficeScan non è in grado di notificare ai client le modifiche degliaggiornamenti e della configurazione.


5-41

Per risolvere questi problemi, implementare i componenti aggiornati e i file diconfigurazione dal server al client OfficeScan con un aggiornamento pianificato cosìcome descritto di seguito.

Procedura

• Prima di installare il client OfficeScan sui computer client:

a. Configurare la pianificazione dell'aggiornamento del client nella sezione diAggiornamento pianificato di Aggiornamenti > Computer collegati inrete > Aggiornamento automatico.

b. Concedere ai client i privilegi per attivare l'aggiornamento pianificato nellaComputer collegati in rete > Gestione client, fare clic su Impostazioni >Privilegi e altre impostazioni > Privilegi (scheda) > Privilegiaggiornamento componenti.

• Se il client OfficeScan è già presente sui computer client:

a. Concedere ai client i privilegi per effettuare l'opzione "Aggiorna ora" nellaComputer collegati in rete > Gestione client, fare clic su Impostazioni >Privilegi e altre impostazioni > Privilegi (scheda) > Privilegiaggiornamento componenti.

b. Chiedere agli utenti di aggiornare manualmente i componenti sul computerclient (fare clic con il tasto destro del mouse sull'icona del client OfficeScannella barra delle applicazioni e selezionare "Aggiorna ora") per ottenere leimpostazioni di configurazione aggiornate.

Quando i client OfficeScan eseguono un aggiornamento, ricevono sia i componentiaggiornati sia i file di configurazione.

Utilizzo strumento di pianificazione aggiornamento deldominioL'aggiornamento pianificato configurato negli aggiornamenti automatici del client sonoapplicabili solo ai client che dispongono di privilegi di aggiornamento pianificato. per glialtri client, è possibile impostare una pianificazione di aggiornamento separata. Pereffettuare questa operazione, è necessario configurare una pianificazione in base ai


5-42

domini della struttura client. Questa impostazione viene applicata a tutti i clientappartenenti al dominio.

Nota

Non è possibile impostare una pianificazione di aggiornamento per un client o unsottodominio. La configurazione configurata per il dominio principale si applica a tutti isottodomini.

Procedura

1. Registrare i nomi dei domini della struttura client e le pianificazioni diaggiornamento.

2. Accedere alla <Cartella di installazione del server a pagina xiv>\PCCSRV\Admin\Utility\DomainScheduledUpdate.

3. Copiare i file seguenti in <Cartella di installazione del server>\PCCSRV:

• DomainSetting.ini

• dsu_convert.exe

4. Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note.

5. Specificare un dominio della struttura client e configurare la pianificazione diaggiornamento per il dominio. Ripetere questo passaggio per aggiungere altridomini.

Nota

Nel file .ini sono fornite istruzioni dettagliate per la configurazione.

6. Salvare DomainSetting.ini.

7. Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV.

8. Immettere il seguente comando e premere Invio.

dsuconvert.exe DomainSetting.ini


5-43

9. Nella console Web, accedere a Computer collegati in rete > Impostazioniclient globali.


Aggiornamenti manuali del client OfficeScan

Aggiornare i componenti del client OfficeScan manualmente quando questi sonoestremamente obsoleti e ogniqualvolta viene rilevata un'infezione. I componenti delclient OfficeScan sono estremamente obsoleti quando il client OfficeScan non è ingrado di aggiornare i componenti dall'origine aggiornamenti per un periodo di tempoprolungato.

Nel corso dell'aggiornamento manuale, oltre ai componenti, i client OfficeScan ricevonoanche dei file di configurazione aggiornati. I client OfficeScan necessitano di tali file diconfigurazione per poter applicare le nuove impostazioni. Ogni volta che si modificanole impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i filedi configurazione.

Nota

Oltre ai privilegi per avviare gli aggiornamenti manuali, è possibile concedere agli utenti ilprivilegio di eseguire gli aggiornamenti manuali (ovvero Aggiorna ora) sui computer clientOfficeScan. Per i dettagli, consultare Privilegi di aggiornamento e altre impostazioni per i clientOfficeScan a pagina 5-45.

Aggiornamento manuale dei client OfficeScan

Procedura

1. Accedere a Aggiornamenti > Computer collegati in rete > Aggiornamentomanuale.

2. Nella parte superiore della schermata vengono visualizzati i componentiattualmente disponibili nel server OfficeScan e la data in cui tali componenti sonostati aggiornati. Prima di notificare l'aggiornamento ai client, accertarsi che icomponenti siano aggiornati.


5-44

Nota

Aggiornare manualmente i componenti obsoleti nel server. Per informazioni, vedereAggiornamenti manuali del client OfficeScan a pagina 5-43.

3. Per aggiornare solo i client con componenti non aggiornati:

a. Fare clic su Seleziona client con componenti non aggiornati.

b. Facoltativamente, selezionare Includi client in roaming e offline

• Per aggiornare i client in roaming con connessione attiva sul server.

• Per aggiornare i client offline quando tornano online.

c. Fare clic su Avvia aggiornamento.

Nota

Il server cerca i client con componenti di versioni precedenti alle versioni del server einvia ai client la notifica dell'aggiornamento. Per controllare lo stato delle notifiche,accedere alla schermata Aggiornamenti > Riepilogo.

4. Per aggiornare client selezionati:

a. Selezionare Seleziona client manualmente.

b. Fare clic su Seleziona.

c. Nella struttura dei client, fare clic sull'icona del dominio principale ( ) perincludere tutti i client o per selezionare i domini o i client specifici.

d. Fare clic su Avvia aggiornamento componenti.

Nota

Il server inizia a inviare a ogni client la notifica del download degliaggiornamenti. Per controllare lo stato delle notifiche, accedere alla schermataAggiornamenti > Riepilogo.


5-45

Privilegi di aggiornamento e altre impostazioni per i clientOfficeScan

Concedere agli utenti client alcuni privilegi come l'esecuzione di "Aggiorna ora" el'attivazione dell'aggiornamento pianificato.

Esecuzione di "Aggiorna ora"

Gli utenti con questo privilegio possono aggiornare i componenti su richiesta facendoclic con il pulsante destro del mouse sull'icona del client OfficeScan nella barra delleapplicazioni e selezionando Aggiorna ora È possibile consentire agli utenti dei client diutilizzare le impostazioni proxy durante l'operazione "Aggiorna ora". Per informazioni,vedere Privilegi configurazione proxy per client a pagina 13-52.

AVVERTENZA!

Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi diaggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprieimpostazioni proxy.

Attiva aggiornamento pianificato

Questo privilegio consente ai client di attivare o disattivare l'aggiornamento pianificato.Gli utenti con questo privilegio possono attivare/disattivare l'aggiornamento pianificato,non possono configurare la pianificazione effettiva. È necessario specificare lapianificazione nella sezione Aggiornamento pianificato di Aggiornamenti >Computer collegati in rete > Aggiornamento automatico.

I client scaricano gli aggiornamenti dal Server ActiveUpdate diTrend Micro

Quando gli aggiornamenti vengono avviati, i client OfficeScan tentano di ottenere gliaggiornamenti per prima cosa dall'origine aggiornamenti specificata nella schermataAggiornamenti > Computer collegati in rete > Origine aggiornamenti. Sel'aggiornamento non riesce, i client tentano di eseguirlo dal server OfficeScan. Se siseleziona questa opzione, si consente ai client di tentare l'aggiornamento dal serverTrend Micro ActiveUpdate, qualora l'aggiornamento dal server OfficeScan non riesca.


5-46

Un client IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal serverActiveUpdate di Trend Micro. Per consentire ai client di connettersi al serverActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizziIP, come ad esempio DeleGate.

I client possono aggiornare i componenti ma non possonoaggiornare il programma client né implementare hot fix

Questa opzione consente agli aggiornamenti dei componenti di proseguire ma impediscel'implementazione delle hot fix e l'aggiornamento del client OfficeScan.

Se questa opzione non viene selezionata, tutti i client si collegherannocontemporaneamente al server per effettuare l'aggiornamento o installare una hot fix.Questo potrebbe influire negativamente sulle prestazioni di un server dotato di un grannumero di client. Se si seleziona questa opzione, è necessario pensare in che modoridurre l'impatto dell'aggiornamento del client OfficeScan o dell'implementazione dellehot fix sul server.

Assegnazione dei privilegi di aggiornamento ai clientOfficeScan

Procedura




4. Nella scheda Privilegi, passare alla sezione Privilegi aggiornamentocomponenti .

5. Selezionare le seguenti opzioni:

• Esegui "Aggiorna ora"

• Attiva aggiornamento pianificato

6. Nella scheda Altre impostazioni, andare alla sezione Aggiorna impostazioni.


5-47


• I client scaricano gli aggiornamenti dal Server ActiveUpdate di TrendMicro

• Attiva aggiornamento pianificato

• I client possono aggiornare i componenti ma non possono aggiornare ilprogramma client né implementare le hot fix.




Configurazione dello spazio su disco riservato per gliaggiornamenti dei client OfficeScan

OfficeScan è in grado di assegnare una determinata quantità di spazio sul disco del clientper hot fix, file di pattern, motori di scansione e aggiornamenti dei programmi. Perimpostazione predefinita, OfficeScan riserva 60 MB di spazio su disco.

Procedura


2. Andare alla sezione Spazio su disco riservato.

3. Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti.

4. Selezionare lo quantità di spazio su disco.


5-48


Proxy per gli aggiornamenti dei componenti del clientOfficeScan

I client OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamentoautomatico oppure se dispongono del privilegio di eseguire "Aggiorna ora".

TABELLA 5-9. Impostazioni proxy utilizzate nel corso degli aggiornamenti deicomponenti del client OfficeScan

METODO DIAGGIORNAMENTO

IMPOSTAZIONI PROXYUTILIZZATE

UTILIZZO

Aggiornamentoautomatico delclient

• Impostazioni proxyautomatiche. Per idettagli, consultareImpostazioni proxyautomatiche per ilclient OfficeScan apagina 13-53.

• Impostazioni proxyinterne. Per i dettagli,consultare Proxyinterno per clientOfficeScan a pagina13-50.

1. Per aggiornare i componenti, i clientOfficeScan utilizzeranno per primacosa le impostazioni proxyautomatiche.

2. Qualora le impostazioni proxyautomatiche non fossero attive,verranno utilizzate le impostazioniproxy interne.

3. Se entrambe sono disattivate, iclient non utilizzeranno alcunaimpostazione proxy.


5-49

METODO DIAGGIORNAMENTO

IMPOSTAZIONI PROXYUTILIZZATE

UTILIZZO

Aggiorna ora • Impostazioni proxyautomatiche. Per idettagli, consultareImpostazioni proxyautomatiche per ilclient OfficeScan apagina 13-53.

• Impostazioni proxyconfigurate dall'utente.È possibile concedereagli utenti client ilprivilegio di configurarele impostazioni proxy.Per i dettagli,consultare Privilegiconfigurazione proxyper client a pagina13-52.

1. Per aggiornare i componenti, i clientOfficeScan utilizzeranno per primacosa le impostazioni proxyautomatiche.

2. Qualora le impostazioni proxyautomatiche non fossero attive,verranno utilizzate le impostazioniproxy configurare dall'utente.

3. Se entrambe le impostazioni sonodisattivate o se le impostazioniproxy automatiche sono disattivaree gli utenti dei client nondispongono degli appositi privilegi, iclient non utilizzeranno nessunproxy per l'aggiornamento deicomponenti.

Configurazione notifiche di aggiornamento del clientOfficeScan

OfficeScan notifica agli utenti client quando si verificano i seguenti eventi relativiall'aggiornamento:

Procedura


2. Andare alla sezione Impostazioni avvisi.


• Mostra l'icona di avviso sulla barra delle applicazioni di Windows se ilfile di pattern dei virus non è aggiornato da __ giorno/i: Un'icona diavviso viene visualizzata nella barra delle applicazioni di Windows perricordare agli utenti di aggiornare un Pattern dei virus che non è stato


5-50

aggiornato dal numero di giorni specificato. Per aggiornare il pattern, usareuno dei metodi di aggiornamento illustrati in Metodi di aggiornamento del clientOfficeScan a pagina 5-35.

Questa impostazione viene applicata a tutti i client gestiti dal server.

• Visualizza un messaggio di notifica se è necessario un riavvio delcomputer client per caricare un driver in modalità kernel: Dopol'installazione di una hot fix o di un pacchetto di aggiornamento che contieneuna nuova versione di un driver in modalità kernel, la precedente versione deldriver potrebbe essere ancora presente sul computer. L'unico modo pereliminare la versione precedente e caricare quella nuova è riavviare ilcomputer. Dopo aver riavviato il computer, la nuova versione vieneautomaticamente installata e non sono necessari altri riavvii.

Subito dopo l'installazione dell'hot fix o del pacchetto di aggiornamento, sulcomputer client viene visualizzato un messaggio di notifica.


Visualizzazione dei registri aggiornamenti clientOfficeScan

Esaminare i registri di aggiornamento client per determinare eventuali problemi diaggiornamento del pattern dei virus nei client.

Nota

In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern deivirus possono essere inviate dalla console Web.



5-51

Procedura

1. Accedere a Registri > Registri dei computer collegati in rete >Aggiornamento componente.

2. Per visualizzare il numero di aggiornamenti dei client, fare clic su Visualizzaall'interno della colonna Avanzamento. Nella schermata Avanzamentoaggiornamento componenti visualizzata, controllare il numero di clientaggiornati ogni 15 minuti e il numero totale di client aggiornati.

3. Per visualizzare i client il cui pattern dei virus è stato aggiornato, fare clic suVisualizza nella colonna Dettagli.

4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esportain CSV. Aprire il file o salvarlo in una posizione specifica.

Implementazione aggiornamenti del client OfficeScan

Utilizzare Conformità sicurezza per garantire che i client dispongano dei componenti piùrecenti. La conformità della sicurezza consente di determinare le incoerenze deicomponenti tra i client e il server OfficeScan. In genere le incoerenze si verificanoquando i client non riescono a connettersi al server per aggiornare i componenti. Se ilclient ottiene un aggiornamento da un'altra origine (ad esempio dal serverActiveUpdate), è possibile che un componente del client sia più recente rispetto a unodel server.

Per ulteriori informazioni, consultare Conformità sicurezza per i client gestiti a pagina 13-57.

Ripristino dei componenti per i client OfficeScan

Il termine rollback si riferisce all'azione di ripristino della versione precedente del Patterndei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questicomponenti non funzionano correttamente, ripristinare le versioni precedenti.OfficeScan conserva la versione attuale e quella precedente del Motore di scansionevirus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern.


5-52

Nota

Il rollback è consentito solo per i componenti riportati sopra.

OfficeScan utilizza diversi motori di scansione per i client con piattaforme a 32 e 64 bit.Questi motori di scansione devono essere ripristinati separatamente. La procedura diripristino per tutti i tipi di motore di scansione è identica.

Procedura

1. Accedere a Aggiornamenti > Rollback

2. Nella sezione appropriata, fare clic su Sincronizza con il server.

a. Nella struttura dei client visualizzata, fare clic sull'icona del dominio principale( ) per includere tutti i client o per selezionare i domini o i client specifici.

b. Fare clic su Rollback

c. Fare clic su Visualizza registri di aggiornamento per verificare i risultati osu Indietro per tornare alla schermata Rollback.

3. Se sul server è presente una versione precedente del file di pattern, è possibileripristinare il file di pattern sia per server sia per il client OfficeScan, facendo clic suRollback di server e client.

Esecuzione di Touch Tool per le hot fix del clientOfficeScan

Il modulo Touch Tool esegue la sincronizzazione dell'indicatore data e ora conl'indicatore data e ora di un altro file o con l'orario di sistema del computer. Se non siriesce a implementare correttamente una hot fix nel server OfficeScan, utilizzare TouchTool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a OfficeScandi interpretare il file hot fix come nuovo elemento per cui il server tenta nuovamente diimplementarlo automaticamente.


5-53

Procedura

1. Nel server OfficeScan, andare alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\Touch.

2. Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Persincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionareentrambi i file nella stessa posizione di Touch Tool.

3. Aprire un prompt dei comandi ed accedere al percorso di Touch Tool.

4. Digitare i comandi seguenti:

TmTouch.exe <nome file di destinazione> <nome file diorigine>

Dove:

• <nome file destinazione> è il nome dell'hot fix di cui si desideramodificare l'indicatore data e ora

• <nome file origine> è il nome del file di cui si desidera replicarel'indicatore data e ora

NotaSe non si specifica un nome file di origine, lo strumento imposta l'indicatore data eora del file di destinazione in base all'orario di sistema del computer. Utilizzare ilcarattere jolly (*) per il nome del file di destinazione, ma non per quello del file diorigine.

5. Per verificare se la modifica dell'indicatore data e ora è stata applicata, immetteredir nel prompt dei comandi oppure verificare le proprietà del file in Esplorarisorse.

Update AgentPer distribuire l'attività di implementazione dei componenti, delle impostazioni didominio o dei programmi client e delle hot fix ai client OfficeScan, occorre impostare


5-54

alcuni client OfficeScan Update Agent o origini di aggiornamento per altri client. Inquesto modo si ha la certezza che i client ricevano tempestivamente gli aggiornamentisenza indirizzare una quantità eccessiva di traffico di rete al server OfficeScan.

Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti ècaratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent aciascuna località.

Requisiti di sistema per gli Update Agent

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:


Configurazione di Update Agent

Il processo di configurazione di Update Agent prevede due operazioni:

1. Assegnare un client OfficeScan come Update Agent per componenti specifici.

2. Specificare i client che eseguiranno l'aggiornamento da tale Update Agent.

Nota

Il numero di connessioni dei client che un singolo Update Agent può gestire dipendedalle specifiche hardware del computer.

Assegnazione di un client OfficeScan come Update Agent

Procedura


2. Nella struttura client, selezionare i client da designare come Update Agent.



5-55

Nota

Non è possibile selezionare l'icona del dominio principale in quanto tale operazionedesignerebbe tutti i client come Update Agent. Un Update Agent IPv6 puro non è ingrado di distribuire gli aggiornamenti direttamente ai client IPv4 puri. Analogamente,un Update Agent IPv4 puro non è in grado di distribuire gli aggiornamentidirettamente ai client IPv6 puri. Per consentire ad un Update Agent di distribuire gliaggiornamenti ai client, è necessario un server proxy dual-stack in grado di convertiregli indirizzi IP, come ad esempio DeleGate.

3. Fare clic su Impostazioni > Impostazioni Update Agent.

4. Selezionare gli elementi che Update Agent possono condividere.

• Aggiornamento dei componenti

• Impostazioni dominio

• Programmi client e hot fix


Specifica dei client OfficeScan che seguonol'aggiornamento da un Update Agent

Procedura


2. In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.

3. Nella schermata visualizzata, specificare gli indirizzi IP dei client. È possibileimmettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.

4. Nel campo Update Agent, selezionare l'Update Agent da assegnare ai client.


5-56

NotaAccertarsi che i client siano in grado di connettersi all'Update Agent utilizzando irispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4,l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza eun prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6.


Origini aggiornamenti per gli Update AgentGli Update Agent possono ottenere gli aggiornamenti da varie origini quali il serverOfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origineaggiornamenti dalla schermata Origine aggiornamenti della console Web.

Supporto IPv6 per gli Update Agent

Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento daorigini IPv4 pure, come:




Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamentel'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro:

Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessarioun server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempioDeleGate.

Origine aggiornamenti standard per gli Update Agent

Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gliagenti vengono configurati per eseguire l'aggiornamento direttamente dal serverOfficeScan, il processo di aggiornamento avviene come riportato di seguito:


5-57

1. L'Update Agent ottiene gli aggiornamenti dal server OfficeScan.

2. Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersidirettamente al server ActiveUpdate di Trend Micro se si verifica almeno una delleseguenti condizioni:

• In Computer collegati in rete > Gestione client, fare clic su Impostazioni> Privilegi e altre impostazioni > Altre impostazioni > Aggiornaimpostazioni, l'opzione I client scaricano gli aggiornamenti dal ServerActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamentopersonalizzate.

SuggerimentoCollocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi diaggiornamento dal server OfficeScan. Quando gli Update Agent eseguonol'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza dibanda tra la rete e Internet è considerevole.

3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, UpdateAgent interrompe il processo di aggiornamento.

Origini aggiornamenti personalizzate per gli Update Agent

Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento daorigini di aggiornamento personalizzate. Le origini di aggiornamento personalizzatecontribuiscono a ridurre il traffico degli aggiornamenti diretto al server OfficeScan.Specificare le origini di aggiornamento personalizzate nell'Elenco origini diaggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento.Vedere Origini aggiornamenti personalizzate per i client OfficeScan a pagina 5-30 per la proceduraper configurare l'elenco.


5-58

NotaAssicurarsi che l'opzione Hot fix, programmi client, impostazioni dei domini ecomponenti di aggiornamento degli Update Agent, solo dal server OfficeScan siadisattivata sulla schermata

Fonte aggiornamenti (Computer collegati in rete) (Aggiornamenti > Computercollegati in rete > Fonte aggiornamenti) in modo tale che gli Update Agent siano ingrado di connettersi alle origini di aggiornamento personalizzate.

Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue comeriportato di seguito:

1. Update Agent esegue l'aggiornamento dalla prima voce dell'elenco.

2. Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza laseconda voce e così via.

3. Se non è in grado di eseguire l'aggiornamento da nessuna delle voci, l'agentecontrolla le opzioni seguenti:

• Aggiorna componenti dal server OfficeScan se tutte le originipersonalizzate non sono disponibili o non sono state trovate: se attivatal'agente esegue l'aggiornamento dal server OfficeScan.

Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al serverActiveUpdate di Trend Micro se si verifica almeno una delle seguenticondizioni:

NotaÈ possibile eseguire l'aggiornamento dei componenti solo dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni deldominio dal server o dagli Update Agent.

• In Computer collegati in rete > Gestione client, fare clic suImpostazioni > Privilegi e altre impostazioni > Altre impostazioni> Aggiorna impostazioni, l'opzione I client scaricano gliaggiornamenti dal Server ActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamentopersonalizzate.


5-59

• Aggiorna impostazioni dominio dal server OfficeScan se tutte le originipersonalizzate non sono disponibili o non sono state trovate: se attivatal'agente esegue l'aggiornamento dal server OfficeScan.

• Aggiorna programmi client e hot fix dal server OfficeScan se tutte leorigini personalizzate non sono disponibili o non sono state trovate: seattivata l'agente esegue l'aggiornamento dal server OfficeScan.


Il processo di aggiornamento è diverso se l'opzione Update Agent: aggiorna sempreda origini di aggiornamento standard (server OfficeScan) è attivata e il serverOfficeScan notifica all'agente di aggiornare i componenti. Il processo è il seguente:

1. Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignoral'elenco delle origini di aggiornamento.

2. Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamenteal server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenticondizioni:

• In Computer collegati in rete > Gestione client, fare clic su Impostazioni> Privilegi e altre impostazioni > Altre impostazioni > Aggiornaimpostazioni, l'opzione I client scaricano gli aggiornamenti dal ServerActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamentopersonalizzate.

Suggerimento

Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi diaggiornamento dal server OfficeScan. Quando i client OfficeScan eseguonol'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza dibanda tra la rete e Internet è considerevole.



5-60

Configurazione dell'origine aggiornamenti per Update Agent

Procedura


2. Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gliUpdate Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gliUpdate Agent.


Duplicazione dei componenti di Update Agent

Come il server OfficeScan, anche gli Update Agent utilizzano il metodo delladuplicazione per scaricare i componenti. Per informazioni sul modo in cui il serveresegue la duplicazione dei componenti, consultare Duplicazione dei componenti serverOfficeScan a pagina 5-19.

Il processo di duplicazione dei componenti per gli Update Agent è il seguente:

1. Update Agent confronta la versione corrente del pattern completo con la versionepiù recente sull'origine aggiornamenti. Se la differenza tra le due versioni è almassimo 14, Update Agent scarica il pattern incrementale per colmare la differenzatra le due versioni.

NotaSe la differenza è superiore a 14, Update Agent scarica automaticamente la versionecompleta del file di pattern.

2. Update Agent integra il pattern incrementale scaricato con il pattern completocorrente per generare il pattern completo più recente.

3. Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti.

4. Il pattern completo più recente e tutti i pattern incrementali sono disponibili per iclient.


5-61

Metodi di aggiornamento per Update AgentGli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per i clientnormali. Per i dettagli, consultare Metodi di aggiornamento del client OfficeScan a pagina 5-35.

È possibile utilizzare lo strumento di configurazione aggiornamento pianificato perattivare e configurare gli aggiornamenti pianificati di un Update Agent installatomediante Client Packager.

NotaQuesto strumento non è disponibile se l'Update Agent è stato installato mediante altrimetodi di installazione. Per ulteriori informazioni, consultare Considerazionisull'implementazione a pagina 4-11.

Uso dello strumento di configurazione aggiornamentopianificato

Procedura

1. Nel computer Update Agent, passare a <Cartella di installazione del client>.

2. Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la consoledello Strumento di configurazione aggiornamento pianificato.

3. Selezionare Attiva aggiornamento pianificato.

4. Specificare la frequenza e l'orario dell'aggiornamento.

5. Fare clic su Applica.

Segnalazione analitica di Update AgentLa segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura diaggiornamento e determinare quali client scaricano dal server OfficeScan, dagli UpdateAgent o dal server ActiveUpdate. Questa segnalazione è utile anche per controllare se ilnumero di client che richiedono aggiornamenti dalle origini di aggiornamento supera il


5-62

limite di risorse disponibili ed, eventualmente, per reindirizzare il traffico di rete allerisorse appropriate.

NotaQuesta segnalazione comprende tutti gli Update Agent. Se l'attività di gestione di uno o piùdomini è stata delegata ad altri amministratori, essi vedranno anche gli Update Agentappartenenti ai domini non gestiti da loro.

OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (comma-separated value).

In questa segnalazione sono contenute le seguenti informazioni:

• Computer client OfficeScan

• Indirizzo IP

• Percorso struttura dei client

• Origine aggiornamenti

• Se i client scaricano i seguenti elementi dagli Update Agent:

• Componenti

• Impostazioni dominio

• Programmi client OfficeScan e hot fix

Per ulteriori informazioni sulla generazione della segnalazione, vedere Originiaggiornamenti personalizzate per i client OfficeScan a pagina 5-30.

Riepilogo aggiornamento componentiLa console Web fornisce una schermata Riepilogo aggiornamento (accedere aAggiornamenti > Riepilogo) che contiene informazioni sullo stato dell'aggiornamentodei componenti e consente di aggiornare quelli obsoleti. Se è stato attivatol'aggiornamento server pianificato, la schermata informa anche sulla data prevista per ilprossimo aggiornamento.


5-63

Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare laschermata periodicamente.

NotaPer visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server,andare su Smart Protection > Server integrato.

Stato dell'aggiornamento per i client OfficeScanSe si avvia l'aggiornamento dei componenti sui client, è possibile visualizzare in questasezione le seguenti informazioni:

• Numero di client ai quali è stata inviata la notifica per l'aggiornamento deicomponenti.

• Numero di client che non hanno ancora ricevuto la notifica, ma che sono presentinella coda di notifica. Per annullare l'invio della notifica a questi client, fare clic suAnnulla notifica.

ComponentiNella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascuncomponente scaricato e distribuito dal server OfficeScan.

Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimoaggiornamento. Fare clic sul collegamento numerato per visualizzare i client concomponenti obsoleti. Aggiornare manualmente i client con componenti obsoleti.

6-1

Capitolo 6

Analisi dei rischi per la sicurezzaQuesto capitolo descrive come proteggere i computer dai rischi per la sicurezzautilizzando l'analisi basata su file.


• Informazioni sui rischi per la sicurezza a pagina 6-2

• Metodi di scansione a pagina 6-7

• Tipi di scansione a pagina 6-14

• Impostazioni comuni a tutti i tipi di scansione a pagina 6-28

• Privilegi scansione e altre impostazioni a pagina 6-53

• Impostazioni globali di scansione a pagina 6-70

• Registri dei rischi per la sicurezza a pagina 6-88

• Notifiche sui Rischi per la sicurezza a pagina 6-80


6-2

Informazioni sui rischi per la sicurezzaRischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche,spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraversola scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per lasicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuatiin un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere leinfezioni, implementando i criteri di prevenzione delle infezioni e isolando i computerinfetti fino a quando sono completamente privi di rischi. Le notifiche e i registricontribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fossenecessaria un'azione tempestiva.

Virus e minacce informaticheEsistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengonocreati molti altri. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, ivirus informatici odierni, grazie alla loro capacità di sfruttare le vulnerabilità, possonocausare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web.

• Programma Joke: programma simile a un virus che manipola l'aspetto deglioggetti sul monitor di un computer.

• Probabile virus/minaccia informatica: file sospetti con alcune caratteristiche divirus/minacce informatiche. Per dettagli, consultare l'Enciclopedia dei virus diTrend Micro:

http://www.trendmicro.com/vinfo/it/virusencyclo/default.asp

• Rootkit: un programma o una raccolta di programmi che installa ed esegue uncodice su un sistema senza il consenso o la consapevolezza dell'utente finale.Utilizza un virus stealth per mantenere la presenza costante e non rilevabile sullamacchina. I rootkit non infettano le macchine ma cercano piuttosto di fornire unambiente non rilevabile affinché sia possibile eseguire un codice dannoso. I rootkitvengono installati sui sistemi tramite social engineering, in presenza di minacceinformatiche o semplicemente accedendo ad un sito Web dannoso. Una voltainstallato, l'aggressore può virtualmente eseguire qualunque funzione sul sistemache includa l'accesso remoto, le intercettazioni, nascondere i processi, i file le chiavidi registro e i canali di comunicazione.


Analisi dei rischi per la sicurezza

6-3

• Cavallo di Troia: questo tipo di processo utilizza spesso le porte per accedere acomputer e programmi eseguibili. I programmi cavallo di Troia non sono in gradodi riprodursi, ma risiedono nei sistemi per compiere operazioni dannose, adesempio l'apertura delle porte, per consentire l'ingresso degli hacker. Le soluzioniantivirus tradizionali sono in grado di rilevare e rimuovere i virus ma non i cavalli diTroia, soprattutto se sono già in esecuzione nel sistema.

• Virus: programma in grado di replicarsi. Per farlo, un virus deve attaccarsi ad altrifile di programma che gli consentono di attivarsi quando il programma che loospita viene eseguito, inclusi:

• Codice dannoso ActiveX: codice presente nelle pagine Web che eseguonocontrolli ActiveX™.

• Virus da settore boot: virus che infetta il settore boot o una partizione deldisco.

• File COM ed EXE infettante: programma eseguibile con estensione .como .exe.

• Codice dannoso Java: codice virus indipendente dal sistema operativo scrittoo incluso in un codice Java™.

• Virus da macro: virus codificato come macro di un'applicazione e spessoincluso in un documento.

• Virus di rete: un virus che si diffonde su una rete non è necessariamente unvirus di rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm,possono essere considerati virus di rete. In particolare, per moltiplicarsi, ivirus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e iprotocolli di posta elettronica. Spesso non alterano i file di sistema némodificano i settori boot dei dischi rigidi. I virus di rete hanno per lo più loscopo di infettare la memoria dei computer, obbligandoli a invadere di trafficola rete causando rallentamenti o persino errori nell'intera rete. Poiché i virus direte rimangono in memoria, spesso non sono rilevabili mediante i tradizionalimetodi di scansione I/O dei file.

Il firewall OfficeScan utilizza il Pattern comune firewall per identificare ebloccare i virus di rete. Per informazioni, vedere Informazioni sul Firewall diOfficeScan a pagina 11-2.


6-4

• Packer: programma eseguibile compresso e/o codificato per Windows oLinux™ (spesso è un cavallo di Troia). La compressione di programmieseguibili ne rende più difficile il rilevamento per i prodotti antivirus.

• Virus di prova: file inerte che agisce come un virus reale e può essere rilevatodal software di scansione antivirus. I virus di prova, come gli script di provaEICAR, possono essere utilizzati per verificare che l'antivirus installatofunzioni correttamente.

• VBScript, JavaScript o virus HTML: virus presente in una pagina Web escaricato tramite un browser.

• Worm: programma (o gruppo di programmi) autonomo in grado didiffondere copie funzionanti di se stesso o di suoi segmenti ad altri sistemi,spesso tramite e-mail.

• Altro: virus/minacce informatiche che non rientrano nelle categorie di altritipi di virus/minacce informatiche.

Spyware e grayware

Ci sono altre minacce che potrebbero mettere a repentaglio i computer client oltre aivirus e alle minacce informatiche. Per spyware e grayware si intendono applicazioni o filenon classificati come virus o cavalli di Troia ma che possono avere un'influenza negativasulle prestazioni dei computer della rete e introdurre notevoli rischi per la sicurezza, lariservatezza e causare problemi legali alla vostra organizzazione. Spesso spyware egrayware attivano una varietà di azioni indesiderate e pericolose come la visualizzazionedi irritanti finestre pop-up, la registrazione delle sequenze di tasti premute dall'utente ol'esposizione delle vulnerabilità del computer agli attacchi.

Se si trova un'applicazione o un file che OfficeScan non può rilevare come grayware masi pensa che sia un tipo di grayware, inviarlo a Trend Micro per un'analisi:

http://subwiz.trendmicro.com/SubWiz

Tipi di spyware/grayware

• Spyware: raccoglie dati come nomi utente e password e li trasmette a terzi.

http://subwiz.trendmicro.com/SubWiz


6-5

• Adware: visualizza delle pubblicità e raccoglie dati come le preferenze dinavigazione Web in modo da indirizzare pubblicità mirata attraverso un browserWeb.

• Dialer: modifica le impostazioni Internet del computer e può forzare il computer achiamare numeri telefonici predeterminati attraverso un modem. Si tratta in generedi numeri a pagamento o internazionali che rappresentano un notevole costo perl'organizzazione.

• Programma Joke: causa un comportamento anomalo del computer, comel'apertura e la chiusura dell'unità CD-ROM o la visualizzazione di diverse finestre didialogo.

• Strumento per hacker: consente agli hacker di penetrare nel computer.

• Strumento di accesso remoto: consente agli hacker di accedere al computer inremoto e controllarlo.

• Applicazione per decifratura password: consente agli hacker di decifrare i nomiutente e le password.

• Altro: altri tipi di programmi potenzialmente dannosi.

In che modo spyware e grayware penetrano nelle reti

Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utentiscaricano un software legittimo contenente applicazioni grayware all'interno delpacchetto di installazione. La maggior parte dei programmi contiene un contratto dilicenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spessonel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di datipersonali, tuttavia molto frequentemente, gli utenti non leggono attentamente ilcontratto o non comprendono il linguaggio legale.

Rischi e minacce potenziali

L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguentiproblemi:


6-6

• Riduzione delle prestazioni del computer: per svolgere la loro azione, leapplicazioni spyware e grayware utilizzano spesso una quantità considerevole dirisorse di memoria del sistema e della CPU.

• Aumento dei malfunzionamenti del browser Web: alcuni tipi di grayware, comead esempio l'adware, visualizzano informazioni in riquadri o finestre del browser. Aseconda del modo in cui il codice di queste applicazioni interagisce con i processi disistema, il grayware può bloccare o interrompere il funzionamento del browser orichiedere un riavvio del computer.

• Riduzione dell'efficienza dell'utente: costretto a chiudere frequentemente lefinestre pop-up pubblicitarie e affrontare gli effetti negativi dei programmi Joke,l'utente viene spesso distratto dalla propria attività principale.

• Riduzione dell'ampiezza di banda della rete: le applicazioni spyware e graywarespesso trasmettono regolarmente i dati raccolti ad altre applicazioni in esecuzionesulla rete o al di fuori della rete.

• Perdita di informazioni personali e aziendali: non tutti i dati che le applicazionispyware/grayware raccolgono sono innocui come può esserlo un elenco di pagineWeb visitate dall'utente. Spyware e grayware inoltre sono in grado di ottenere lecredenziali dell'utente quali quelle di accesso ai conti bancari online e alle retiaziendali.

• Rischio elevato di responsabilità legali: se le risorse della rete vengonomanomesse, gli hacker sono in grado di utilizzare i computer client per lanciareattacchi o installare spyware e grayware su computer situati al di fuori della rete. Lapartecipazione delle risorse di rete a questo tipo di attività potrebbe rendereun'azienda legalmente responsabile di danni causati a terzi.

Protezione da spyware e grayware e da altre minacce

Possono essere prese molte contromisure per evitare l'installazione di spyware egrayware sul proprio computer. Trend Micro consiglia quanto segue:

• Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale,Scansione pianificata e Esegui scansione) per individuare e rimuovere file eapplicazioni spyware/grayware. Per ulteriori informazioni, consultare Tipi discansione a pagina 6-14.


6-7

• Istruire gli utenti client sulle procedure riportate di seguito:

• Leggere il contratto di licenza (EULA) e la documentazione forniti con leapplicazioni scaricate e installate sui computer.

• Fare clic su No in caso di messaggi in cui si richiede l'autorizzazione perscaricare e installare software, a meno che non si sia certi dell'affidabilità siadel creatore del software sia del sito Web.

• Ignorare messaggi e-mail di natura commerciale non richiesti (spam),soprattutto se viene richiesto di fare clic su un pulsante o un collegamento.

• Configurare le impostazioni del browser Web in modo che assicurino un livello disicurezza alto. Trend Micro consiglia di impostare i browser Web per la richiesta diconferma prima di installare i comandi ActiveX.

• Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modoche Outlook non scarichi automaticamente elementi HTML, come immaginiinviate in messaggi spam.

• Non permettere l'uso di servizi di condivisione file peer-to-peer. Lo spyware e altreapplicazioni grayware potrebbero essere mascherati come altri tipi di file che gliutenti potrebbero scaricare, come file musicali MP3.

• Esaminare periodicamente il software installato sui computer agent e cercareapplicazioni che possano essere spyware o altro grayware.

• Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con lepatch più recenti di Microsoft. Per ulteriori dettagli, consultare il sito WebMicrosoft.

Metodi di scansioneI client OfficeScan sono in grado di utilizzare uno dei due metodi di scansione quandoeseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: SmartScan e Scansione convenzionale.

• Smart Scan


6-8

I client che utilizzano Smart Scan, in questo documento vengono definiti clientSmart Scan. I client Smart Scan utilizzano le scansioni locali e le query in-the-cloud fornite da Servizi di reputazione file.

• Scansione convenzionale

I client che non utilizzano Smart Scan sono definiti Client con scansioneconvenzionale. Un client con scansione convenzionale memorizza tutti icomponenti OfficeScan nel computer client ed esegue la scansione locale di tutti ifile.

Metodo di scansione predefinitoIn questa versione di OfficeScan, il metodo di scansione predefinito per una nuovainstallazione è Smart Scan. Questo significa che se si esegue una nuova installazione delserver OfficeScan e non si modifica il metodo di scansione sulla console Web, tutti iclient gestiti dal server utilizzeranno il metodo Smart Scan.

Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attival'aggiornamento automatico dei client, tutti i client gestiti dal server utilizzeranno ilmetodo di scansione configurato prima dell'aggiornamento della versione. Ad esempio,se si esegue l'aggiornamento da OfficeScan 8.x, che supporta solamente la Scansioneconvenzionale, tutti i client utilizzeranno la Scansione convenzionale a seguitodell'aggiornamento. Se si esegue l'aggiornamento da OfficeScan 10,, che supporta SmartScan e la Scansione convenzionale, tutti i client aggiornati che utilizzano Smart Scancontinueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavano laScansione convenzionale continueranno ad utilizzare quest'ultima.

Metodi di scansione a confrontoLa tabella riportata di seguito consente di confrontare i due metodi di scansione:


6-9

TABELLA 6-1. Confronto tra Scansione convenzionale e Smart Scan

CRITERI DICONFRONTO

SCANSIONE CONVENZIONALE SMART SCAN

Disponibilità Disponibile in questaversione di OfficeScan e intutte quelle precedenti

Disponibile a partire da OfficeScan10

Comportamentodella scansione

Il client con scansioneconvenzionale esegue lascansione nel computerlocale.

• Il client con Smart Scan eseguela scansione nel computerlocale

• Se non è in grado dideterminare il rischio del filedurante la scansione, il clientverifica il rischio inviando unaquery di scansione a un'origineSmart Protection.

• Il client memorizza il risultatodella query di scansione permigliorare le prestazioni dellascansione.

Componenti in usoe aggiornati

Tutti i componentidisponibili nell'origine diaggiornamento, adeccezione di Smart ScanAgent Pattern

Tutti i componenti disponibilinell'origine di aggiornamento, adeccezione di Pattern dei virus ePattern di monitoraggio attivospyware

Origine diaggiornamentotipica

Server OfficeScan Server OfficeScan

Modifica del metodo di scansione

Procedura




6-10

3. Fare clic su Impostazioni > Impostazioni di scansione > Metodi discansione.

4. Selezionare Scansione convenzionale oppure Smart Scan.




Passaggio da Smart Scan a Scansione convenzionaleQuando i client passano alla scansione convenzionale, tenere presente quanto segue:

1. Numero dei client che effettuano il passaggio

Se il numero di client che passa contemporaneamente alla scansione convenzionaleè relativamente piccolo, l'operazione consente di utilizzare in maniera efficiente lerisorse del server OfficeScan e dello Smart Protection Server. Questi server sono ingrado di eseguire altre operazioni importanti durante il passaggio da un metodo discansione all'altro.

2. Tempistica

Quando si passa di nuovo alla scansione convenzionale, è probabile che i clientscarichino la versione completa di Pattern dei virus e Pattern di monitoraggio attivospyware dal server OfficeScan. Questi file di pattern vengono utilizzati solo daiclient con scansione convenzionale.

Per fare in modo che il processo di download termini in tempi brevi, è opportunoeffettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre dieffettuare l'operazione quando per i client non sono pianificati aggiornamenti dal


6-11

server. Disattivare temporaneamente anche "Aggiorna ora" nei client e riattivare lafunzione una volta effettuato il passaggio a Smart Scan.

3. Impostazioni della struttura dei client

Il metodo di scansione è un'impostazione estremamente flessibile che può essereimpostata a livello principale (root), di dominio o di singolo client. Quando si passaalla scansione convenzionale è possibile:

• Creare un nuovo dominio della struttura dei client e assegnare ad esso lascansione convenzionale come metodo di scansione. I client trasferiti inquesto dominio utilizzano la scansione convenzionale. Quando si trasferisce ilclient, attivare l'impostazione Applica le impostazioni del nuovo dominioai client selezionati.

• Selezionare un dominio e configurarlo in modo che utilizzi la scansioneconvenzionale. I client con Smart Scan che appartengono al dominiopasseranno alla scansione convenzionale.

• Selezionare uno o più client con Smart Scan da un dominio e poi effettuare ilpassaggio alla scansione convenzionale.

NotaI cambiamenti al metodo di scansione del dominio hanno la precedenza sul metododi scansione configurato per i singoli client.

Passaggio da Scansione convenzionale a Smart ScanSe si esegue il passaggio dei client da Scansione convenzionale a Smart Scan, assicurarsidi aver impostato i servizi Smart Protection. Per i dettagli, consultare Impostazione deiservizi Smart Protection a pagina 3-13.

La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan:


6-12

TABELLA 6-2. Considerazioni sul passaggio a Smart Scan

CONSIDERAZIONE DETTAGLI

Funzionalità e funzioninon disponibili

I client Smart Scan non sono in grado comunicareinformazioni relative a Smart Scan Pattern e Smart ScanAgent Pattern al Policy Server.

Licenza del prodotto Per utilizzare Smart Scan accertarsi di aver attivato le licenzedei servizi riportati di seguito e che le licenze non sianoscadute:

• Antivirus

• Reputazione Web e anti-spyware

Server OfficeScan Accertarsi che i client siano in grado di connettersi al serverOfficeScan. Solo i client online ricevono la notifica delpassaggio a Smart Scan. I client offline ricevono la notificanon appena sono online. I client roaming ricevono la notificaquando sono online oppure, se il client possiede privilegi diaggiornamento pianificato, quando viene eseguito unaggiornamento pianificato.

Verificare inoltre che il server OfficeScan disponga deicomponenti più recenti perché i client Smart Scan devonoscaricare Smart Scan Agent Pattern dal server. Peraggiornare i componenti, vedere Aggiornamenti serverOfficeScan a pagina 5-14.

Numero dei client cheeffettuano il passaggio

Se il numero di client che passa contemporaneamente allaScansione convenzionale è relativamente esiguo, l'operazioneconsente di utilizzare in maniera efficiente le risorse del serverOfficeScan. Il server OfficeScan è in grado di eseguire altreoperazioni importanti durante il passaggio da un metodo discansione all'altro.


6-13


Tempistica Quando i client passano a Smart Scan per la prima volta,devono scaricare la versione completa di Smart Scan AgentPattern dal server OfficeScan. Smart Scan Pattern vieneutilizzato solo dai client Smart Scan.

Per fare in modo che il processo di download termini in tempibrevi, è opportuno effettuare il passaggio durante l'orario atraffico ridotto. Si consiglia inoltre di effettuare l'operazionequando per i client non sono pianificati aggiornamenti dalserver. Disattivare temporaneamente anche "Aggiorna ora"nei client e riattivare la funzione una volta effettuato ilpassaggio a Smart Scan.

Impostazioni dellastruttura dei client

Il metodo di scansione è un'impostazione estremamenteflessibile che può essere impostata a livello principale (root),di dominio o di singolo client. Quando si passa a Smart Scanè possibile:

• Creare un nuovo dominio della struttura dei client eassegnargli Smart Scan come metodo di scansione. Iclient trasferiti su questo dominio utilizzano Smart Scan.Quando si trasferisce il client, attivare l'impostazioneApplica le impostazioni del nuovo dominio ai clientselezionati.

• Selezionare un dominio e configurarlo in modo che utilizziSmart Scan. I client con la scansione convenzionale cheappartengono al dominio passeranno a Smart Scan.

• Selezionare uno o più client con scansione convenzionaleda un dominio e poi effettuare il passaggio a Smart Scan.

NotaI cambiamenti al metodo di scansione del dominiohanno la precedenza sul metodo di scansioneconfigurato per i singoli client.


6-14


Supporto IPv6 I client Smart Scan inviano query di scansione alle originiSmart Protection.

Un client Smart Scan IPv6 puro non è in grado di inviare querydirettamente alle origini IPv4, come:


NotaIl supporto IPv6 per Smart Protection Server èstato introdotto nella versione 2.5.


Analogamente, un client Smart Scan IPv4 puro non è in gradodi inviare query agli Smart Protection Server IPv6 puri.

Per consentire ai client Smart Scan di connettersi alle origini,è necessario un server proxy dual-stack in grado di convertiregli indirizzi IP, come ad esempio DeleGate.

Tipi di scansionePer proteggere il computer client OfficeScan dai rischi per la sicurezza, OfficeScanfornisce i seguenti tipi di scansione:

TABELLA 6-3. Tipi di scansione

TIPO DI SCANSIONE DESCRIZIONE

Scansione intempo reale

Esegue la scansione automatica di un file sul computer quandoviene ricevuto, aperto, scaricato, copiato o modificato.

Per informazioni, vedere Scansione in tempo reale a pagina 6-15.

Scansionemanuale

Una scansione avviata dall'utente che analizza un file o un insiemedi file per iniziativa dell'utente.

Per informazioni, vedere Scansione manuale a pagina 6-18.


6-15

TIPO DI SCANSIONE DESCRIZIONE

Scansionepianificata

Esegue la scansione automatica di un file sul computer in base allapianificazione configurata dall'utente finale o dall'amministratore.

Per informazioni, vedere Scansione pianificata a pagina 6-20.

Esegui scansione Una scansione avviata dall'amministratore per analizzare i file in unoo più computer di destinazione.

Per informazioni, vedere Esegui scansione a pagina 6-23.

Scansioneintensiva

Una scansione avviata in modo automatico che garantisce ilrilevamento accurato di probabili malware che determinano unrischio elevato per i computer

Consultare Scansione intensiva a pagina 6-27 per ulteriori dettagli.

Scansione in tempo realeLa scansione in tempo reale è una scansione continua e costante. Ogni volta che un fileviene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo realeanalizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rilevarischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. SeOfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informaticaprobabili, visualizza un messaggio di notifica che indica il nome del file infetto e ilrischio per la sicurezza specifico.

NotaPer modificare il messaggio di notifica, aprire la console Web e andare a Notifiche >Notifiche all'utente client.

Configurare e applicare Scansione in tempo reale a uno o più client e domini oppure atutti i client gestiti dal server.


6-16

Configurare le impostazioni della scansione in tempo reale

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale.

4. Nella scheda Destinazione, selezionare le seguenti opzioni:

• Attiva scansione antivirus/minacce informatiche

• Attiva scansione spyware/grayware

Nota

Se si disattiva la scansione per rilevare virus/minacce informatiche, anche lascansione per rilevare spyware/grayware verrà disattivata. Durante un'infezionevirale, per impedire al virus di modificare o eliminare i file e le cartelle neicomputer client, non è possibile disattivare Scansione in tempo reale (seoriginariamente disattivata viene attivata automaticamente).

5. Configurare i criteri di scansione seguenti:

• Attività utente sui file a pagina 6-28

• File da esaminare a pagina 6-29

• Impostazioni di scansione a pagina 6-29

• Esclusioni scansione a pagina 6-32

6. Fare clic sulla scheda Azione e configurare le seguenti opzioni:


6-17

TABELLA 6-4. Azioni di Scansione in tempo reale

AZIONE RIFERIMENTO

Azione di Virus eminacce informatiche

Azione primaria (effettuare una selezione):

• Usa ActiveAction a pagina 6-39

• Stessa operazione per tutti i tipi virus o minacciainformatica a pagina 6-41

• Azione specifica per ogni tipo di virus o minaccia apagina 6-41

NotaPer ulteriori informazioni sulle varie azioni, vedereAzioni di scansione di virus/minacce informatiche apagina 6-37.

Ulteriori azioni di virus e minacce informatiche:

• Directory di quarantena a pagina 6-41

• Crea copia di backup prima di disinfettare a pagina6-43

• Damage Cleanup Services a pagina 6-43

• Mostra notifica al rilevamento di spyware/grayware apagina 6-45

• Mostra notifica al rilevamento di probabile spyware/grayware a pagina 6-45

Azione di spyware/grayware

Azione primaria:

• Azioni di scansione spyware/grayware a pagina6-49

Ulteriori azioni di spyware/grayware:



6-18




Scansione manualeScansione manuale è un metodo di scansione su richiesta che inizia immediatamentedopo che un utente esegue la scansione nella console del client OfficeScan. Il temponecessario per completare la scansione dipende dal numero di file da analizzare e dallerisorse hardware del computer client OfficeScan.

Configurare e applicare Scansione manuale a uno o più client e domini oppure a tutti iclient gestiti dal server.

Configurazione della scansione manuale

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione manuale.

4. Nella scheda Destinazione, configurare le opzioni riportate di seguito:



6-19


• Uso della CPU a pagina 6-31



TABELLA 6-5. Azione di scansione manuale

AZIONE RIFERIMENTO












Azione primaria:




6-20



Scansione pianificata

Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate. Lascansione pianificata permette di automatizzare le scansioni di routine dei client, per unapiù efficiente gestione delle scansioni.

Configurare e applicare Scansione pianificata a uno o più client e domini oppure a tutti iclient gestiti dal server.

Configurazione della scansione pianificata

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione pianificata.





6-21

NotaSe si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansioneper rilevare spyware/grayware verrà disattivata.


• Pianificazione a pagina 6-31







6-22

TABELLA 6-6. Azioni di Scansione pianificata

AZIONE RIFERIMENTO












• Mostra notifica al rilevamento di probabile spyware/grayware a pagina 6-45


Azione primaria:


Ulteriori azioni di spyware/grayware:



6-23




Esegui scansioneEsegui scansione viene avviata in remoto da un amministratore di OfficeScan mediantela console Web e può essere destinata a uno o più computer client.

Configurare e applicare Esegui scansione a uno o più client e domini oppure a tutti iclient gestiti dal server.

Configurazione delle impostazioni della scansione

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazionifunzione Esegui scansione.





6-24

Nota

Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansioneper rilevare spyware/grayware verrà disattivata.







TABELLA 6-7. Azioni di Esegui scansione

AZIONE RIFERIMENTO












6-25

AZIONE RIFERIMENTO


Azione primaria:





Avvio di Esegui scansione

Avviare Esegui scansione nei computer che si sospetta siano infetti.

Procedura



3. Fare clic su Operazioni > Esegui scansione.

4. Per modificare le impostazioni Esegui scansione pre-configurate prima di avviarela scansione, fare clic su Impostazioni.

Viene aperta la schermata Impostazioni funzione Esegui scansione. Perinformazioni, vedere Esegui scansione a pagina 6-23.


6-26

5. Nella struttura dei client, selezionare i client su cui eseguire la scansione e fare clicsu Avvia scansione ora.

Nota

Se non si seleziona alcun client, OfficeScan invia automaticamente una notifica a tuttii client della struttura dei client.

Il server invia una notifica al client.

6. Controllare lo stato della notifica e verificare che tutti i client abbiano ricevuto lanotifica.

7. Fare clic su Seleziona computer senza notifiche e quindi su Avvia scansioneora per inviare nuovamente la notifica ai client che non l'hanno ricevuta.

Esempio: Numero totale di client: 50

TABELLA 6-8. Scenari di client non notificati

SELEZIONE STRUTTURACLIENT

CLIENT NOTIFICATI (DOPOAVER FATTO CLIC SU

"ESEGUI SCANSIONE ORA")CLIENT NON NOTIFICATI

Nessuno (tutti i 50 clientselezionatiautomaticamente)

35 su 50 client 15 client

Selezione manuale (45 su50 client selezionati)

40 su 45 client 5 client + altri 5 client noninclusi nella selezionemanuale

8. Se si desidera che OfficeScan interrompa l'invio della notifica ai client, fare clic suInterrompi notifica. I client che hanno già ricevuto la notifica e hanno già avviatoil processo di scansione ignoreranno questo comando.

9. Per i client che stanno già eseguendo la scansione, fare clic su Interrompiscansione ora per richiedere l'interruzione della scansione.


6-27

Scansione intensivaOfficeScan inizializza automaticamente la scansione intensiva durante una scansionemanuale quando OfficeScan rileva un determinato numero di minacce informatiche sulcomputer client. Il client OfficeScan riavvia la scansione dell'endpoint utilizzando unlivello elevato di rilevamento delle minacce. La scansione intensiva rileva minacceinformatiche più probabili rispetto alle scansioni a richiesta.

NotaLa scansione intensiva richiede più risorse di sistema delle normali scansioni su richiesta.

Le operazioni predefinite per la scansione intensiva sono:

• Prima operazione: Metti in quarantena

• Seconda operazione: Elimina

NotaGli amministratori non possono modificare le operazioni della scansione intensiva.

Configurazione della scansione intensiva con ofcscan.ini

OfficeScan attiva la scansione intensiva appena il computer client OfficeScan rileva unasoglia di infezione. Gli amministratori possono configurare il numero di rilevamenti diminacce informatiche necessario per attivare la scansione intensiva modificando ilfileofcscan.ini.

Procedura

1. Accedi <Cartella di installazione del server>\PCCSRV.

2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.

3. Cercare la stringa "IntensiveScanThreshold" e digitare il nuovo valoreaccanto ad essa.

Il valore predefinito è di 0 rilevamenti (disattivato).


6-28

NotaLa scansione intensiva richiede più risorse di sistema delle normali scansioni surichiesta. Accertarsi che la soglia configurata sia sufficientemente alta per evitarescansioni non necessarie.

4. Salvare il file.

5. Andare a Computer collegati in rete > Impostazioni client globali.


OfficeScan distribuisce l'impostazione aggiornata a tutti i client OfficeScan.

Impostazioni comuni a tutti i tipi di scansionePer ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri discansione, esclusioni di scansione e azioni di scansione. Implementare questeimpostazioni su uno o più client e domini oppure su tutti i client gestiti dal server.

Parametri di scansioneSpecificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributidei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano lascansione. Ad esempio configurare Scansione in tempo reale per ciascun tipo di filedopo averlo scaricato nel computer.

Attività utente sui fileScegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delleopzioni seguenti:

• Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdottinel computer (ad esempio dopo il download di un file) o dei file modificati

• Scansione dei file recuperati: esegue la scansione dei file alla loro apertura

• Scansione dei file creati/modificati e recuperati


6-29

Ad esempio se viene selezionata la terza opzione, un nuovo file scaricato nel computerviene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimanenella posizione attuale. Lo stesso file viene sottoposto a scansione quando un utente loapre e, se l'utente lo modifica, prima che le modifiche vengano salvate.

File da esaminare

Selezionare una delle opzioni seguenti:

• Tutti i file analizzabili: esegue la scansione di tutti i file

• Tipi di file analizzati da IntelliScan: esegue solo la scansione dei file soggetti aospitare del codice maligno, compresi quelli mascherati da estensioni nonpericolose. Per informazioni, vedere IntelliScan a pagina D-6.

• File con estensioni specifiche: esegue solo la scansione dei file con estensionecompresa nell'elenco delle estensioni di file. Aggiungere nuove estensioni orimuovere quelle esistenti.

Impostazioni di scansione

Selezionare una o più opzioni tra quelle elencate di seguito:

• Scansione del disco floppy allo spegnimento del sistema: esegue la scansionedel disco floppy per rilevare virus da boot prima dello spegnimento del computer.Ciò impedisce l'esecuzione di virus/minacce informatiche quando un utente riavviail computer dal disco.

• Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascostedel computer e di eseguirne la scansione durante Scansione manuale

• Analizza unità di rete: esegue la scansione delle cartelle o delle unità di retemappate al computer client OfficeScan durante la Scansione manuale o laScansione in tempo reale.

• Esegui la scansione del settore boot del dispositivo di archiviazione USBdopo il collegamento: esegue la scansione automatica del settore boot di undispositivo di archiviazione USB quando viene collegato con Scansione in temporeale.


6-30

• Scansione dei file compressi: consente a OfficeScan di analizzare il numerospecificato di livelli di compressione e ignora tutti i livelli in eccesso. InoltreOfficeScan disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio,se il massimo fissato è due livelli e un file compresso da analizzare ha sei livelli,OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compressocontiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file.

Nota

OfficeScan considera i file Microsoft Office 2007 in formato Office Open XMLcome file compressi. Office Open XML, il formato file per le applicazioni Office2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati conqueste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, ènecessario attivare la scansione dei file compressi.

• Analizza oggetti OLE: quando un file contiene più livelli OLE (Object Linkingand Embedding), OfficeScan esegue la scansione del numero di livelli specificato eignora i livelli rimanenti.

Tutti i client OfficeScan gestiti dal server controllano questa impostazione durantele funzioni Scansione manuale, Scansione in tempo reale, Scansione pianificata edEsegui scansione. La scansione per rilevare virus/minacce informatiche e spyware/grayware viene eseguita su ciascun livello.

Ad esempio:

si supponga che il numero di livelli specificati sia 2 e che un file abbia undocumento Microsoft Word incorporato (primo livello) all'interno del quale èpresente un foglio di calcolo Microsoft Excel (secondo livello) che contiene unfile .exe (terzo livello). OfficeScan esegue la scansione del documento Word e delfoglio di calcolo Excel, ma ignora il file .exe.

• Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consentedi identificare in modo euristico eventuali minacce informatiche controllandoche i file Microsoft Office non contengano codice di minaccia.

Nota

Il numero di livelli specificato è applicabile a entrambe le opzioni Analizzaoggetti OLE e Rileva codice maligno.


6-31

• Abilita IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibilicompressi. Questa opzione è disponibile soltanto per Scansione in tempo reale. Perinformazioni, vedere IntelliTrap a pagina D-7.

• Esamina settore boot: esegue la scansione del settore boot del disco rigido delcomputer client per rilevare virus/minacce informatiche durante Scansionemanuale, Scansione pianificata ed Esegui scansione.

Uso della CPU

È possibile impostare in OfficeScan una pausa tra una scansione di un file e quellasuccessiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansionepianificata ed Esegui scansione.

Selezionare una delle opzioni seguenti:

• Alto: nessuna pausa tra le scansioni

• Medio: effettua una pausa tra una scansione file e quella successiva, se il consumodi risorse della CPU è superiore al 50%; in caso contrario non effettua la pausa.

• Basso: effettua una pausa tra una scansione file e quella successiva, se il consumodi risorse della CPU è superiore al 20%; in caso contrario non effettua la pausa.

Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU èinferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa riducendo intal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo mapoiché il consumo di CPU è ottimale, le prestazioni del computer non ne risentono inmodo sensibile. Quando il consumo di CPU comincia ad eccedere il valore di soglia,OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando ilconsumo torna al di sotto del valore di soglia.

Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue lascansione dei file senza pause.

Pianificazione

Configurare la frequenza (giornaliera, settimanale o mensile) e l'ora di esecuzione dellaScansione pianificata.


6-32

Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno delmese o della settimana e l'ordine di ricorrenza.

• Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Sesi seleziona il 29, 30 o 31 di un mese che non ha tale giorno, la Scansionepianificata viene eseguita l'ultimo giorno del mese. Quindi:

• Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (adeccezione degli anni bisestili) e il 29 di tutti gli altri mesi.

• Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraioe il 30 di tutti gli altri mesi.

• Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio,il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi.

• Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimanaricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattrolunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Adesempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ognimese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste laquinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza.

Esclusioni scansione

La configurazione delle esclusioni di scansione consente di migliorare le prestazioni dellascansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando siesegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione dellascansione per determinare i file del computer che devono essere esclusi dalla scansioneper il rilevamento di virus/minacce informatiche e spyware/grayware.

Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di unfile negli scenari riportati di seguito:

• Il file si trova in una directory specifica (o in una delle sottodirectory).

• Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione.

• L'estensione del file corrisponde a un'estensione contenuta nell'elenco diesclusione.


6-33

Suggerimento

Per un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in temporeale, accedere a:

http://esupport.trendmicro.com/solution/en-US/1059770.aspx

Eccezioni con caratteri jolly

Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratterijolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione didiversi caratteri.

Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del caratterejolly potrebbero comportare l'esclusione dalla scansione delle directory e dei filesbagliati. Ad esempio C:\* esclude completamente l'unità C:\.

TABELLA 6-9. Esclusioni dalla scansione con caratteri jolly

VALORE ESCLUSI NON ESCLUSI

c:\director*\fil\*.txt

c:\directory\fil\doc.txt

c:\directories\fil\files\document.txt

c:\directory\file\

c:\directories\files\

c:\directory\file\doc.txt

c:\directories\files\document.txt

c:\director?\file\*.txt

c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\director?\file\?.txt

c:\directory\file\1.txt c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\*.txt c:\doc.txt c:\directory\file\doc.txt

c:\directories\files\document.txt

[] Non supportato Non supportato

http://esupport.trendmicro.com/solution/en-US/1059770.aspx


6-34

VALORE ESCLUSI NON ESCLUSI

*.* Non supportato Non supportato

Elenco di esclusione scansione (directory)OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica delcomputer. È possibile specificare al massimo 250 directory.

NotaEscludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte lerelative sottodirectory dalle scansioni.

Inoltre è possibile selezionare l'opzione Escludi directory di installazione deiprogrammi Trend Micro. Se si seleziona questa opzione OfficeScan escludeautomaticamente dalla scansione le directory dei seguenti prodotti Trend Micro:

• <Cartella di installazione del server>

• ScanMail™ per Microsoft Exchange (tutte le versioni tranne la versione 7). Se siutilizza la versione 7, aggiungere all'elenco di esclusione le seguenti cartelle:

• \Smex\Temp

• \Smex\Storage

• \Smex\ShareResPool

• ScanMail eManager™ 3.11, 5.1, 5.11, 5.12

• ScanMail for Lotus Notes™ eManager NT

• InterScan™ Messaging Security Suite

• InterScan Web Security Suite

• InterScan Web Protect

• InterScan VirusWall 3.53

• InterScan FTP VirusWall


6-35

• InterScan Web VirusWall

• InterScan E-Mail VirusWall

• InterScan NSAPI Plug-in

• InterScan eManager 3.5x

Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungeremanualmente la directory del prodotto all'elenco di esclusione dalla scansione.

Configurare inoltre OfficeScan per escludere le direcrory di Microsoft Exchange2000/2003 andando alla sezione Impostazioni di scansione di Computer collegati inrete > Impostazioni client globali. Se si utilizza Microsoft Exchange 2007 o versionisuccessive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione.Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di seguito:

http://technet.microsoft.com/en-us/library/bb332342.aspx

Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:

• Conserva l'elenco di esclusione del computer client: questa è la selezionepredefinita. Se si apportano modifiche all'elenco di esclusione e questa opzione èattivata, le modifiche non potranno essere salvate. Questa opzione viene fornita perimpedire la sovrascrittura accidentale dell'elenco di esclusione esistente del client.Per implementare le modifiche effettuate, selezionare un'altra opzione.

• Sovrascrive l'elenco di esclusione del computer client: questa opzione rimuovel'intero elenco di esclusione sul client e lo sostituisce con l'elenco appenaconfigurato. Se si sceglie questa opzione, OfficeScan visualizza un avviso. Perpassare alla fase successiva, fare clic su Ok nella finestra di messaggio.

• Aggiunge un percorso all'elenco di esclusione del computer client: questaopzione aggiunge gli elementi dell'elenco appena configurato all'elenco diesclusione esistente del client. Se un elemento esiste già nell'elenco di esclusione delclient, il client lo ignorerà.

• Rimuove un percorso dall'elenco di esclusione del computer client: il clientrimuoverà un elemento dall'elenco di esclusione se questo corrisponde ad unelemento dell'elenco appena configurato.



6-36

Elenco di esclusione scansione (file)OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno deinomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in undeterminato percorso del computer, includere il percorso, ad esempio C:\Temp\esempio.jpg.

È possibile specificare al massimo 250 file.

Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:

• Conserva l'elenco di esclusione del computer client: questa è la selezionepredefinita. Se si apportano modifiche all'elenco di esclusione e questa opzione èattivata, le modifiche non potranno essere salvate. Questa opzione viene fornita perimpedire la sovrascrittura accidentale dell'elenco di esclusione esistente del client.Per implementare le modifiche effettuate, selezionare un'altra opzione.

• Sovrascrive l'elenco di esclusione del computer client: questa opzione rimuovel'intero elenco di esclusione sul client e lo sostituisce con l'elenco appenaconfigurato. Se si sceglie questa opzione, OfficeScan visualizza un avviso. Perpassare alla fase successiva, fare clic su Ok nella finestra di messaggio.

• Aggiunge un percorso all'elenco di esclusione del computer client: questaopzione aggiunge gli elementi dell'elenco appena configurato all'elenco diesclusione esistente del client. Se un elemento esiste già nell'elenco di esclusione delclient, il client lo ignorerà.

• Rimuove un percorso dall'elenco di esclusione del computer client: il clientrimuoverà un elemento dall'elenco di esclusione se questo corrisponde ad unelemento dell'elenco appena configurato.

Elenco di esclusione scansione (estensione file)OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a unadelle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo250 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione.

Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando sispecificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti ifile le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile digitareD*.


6-37

Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un puntointerrogativo (?) o un asterisco (*) come carattere jolly.

Applica impostazioni di esclusione scansione a tutti i tipi discansione

OfficeScan consente di configurare le impostazioni di esclusione per un tipo discansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione.Ad esempio:

Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computerclient e si rende conto che questi file non rappresentano una minaccia alla sicurezza.Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applicaquesta impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale,Esegui scansione e Scansione pianificata sono impostate in modo da ignorare ifile .jpg.

Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione intempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Orai file JPG vengono sottoposti a scansione solo con Scansione in tempo reale.

Azioni di scansioneSpecificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva unrischio per la sicurezza. OfficeScan ha gruppi di azioni o operazioni di scansionedifferenti per virus/minacce informatiche e spyware/grayware.

Azioni di scansione di virus/minacce informatiche

L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minacciainformatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Adesempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minacciainformatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione(operazione) del file infetto.

Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacceinformatiche a pagina 6-2.


6-38

Di seguito sono riportate le operazioni di OfficeScan contro virus/minacceinformatiche:

TABELLA 6-10. Azioni di scansione di virus/minacce informatiche

AZIONE DESCRIZIONE

Elimina OfficeScan elimina il file infetto.

Metti inquarantena

OfficeScan rinomina e sposta il file infetto in una directory di quarantenatemporanea sul computer client, che si trova in <Cartella di installazionedel client>\Suspect.

Il client OfficeScan invia i file in quarantena alla directory di quarantenadesignata. Per informazioni, vedere Directory di quarantena a pagina6-41.

La directory di quarantena predefinita si trova sul server OfficeScan in<Cartella di installazione del server>\PCCSRV\Virus. OfficeScan codificai file in quarantena inviati a questa directory.

Se occorre ripristinare i file in quarantena, utilizzare lo strumentoVSEncrypt. Per ottenere informazioni sull'utilizzo di questo strumento,vedere Server Tuner a pagina 12-45.

Disinfetta Prima di consentire l'accesso completo al file, OfficeScan disinfetta il fileinfetto.

Se il file non può essere disinfettato, OfficeScan esegue una secondaoperazione: Metti in quarantena, Elimina, Rinomina, e Ignora. Perconfigurare la seconda azione, andare a Computer collegati in rete >Gestione client. Fare clic sulla scheda Impostazioni > Impostazioni discansione > {Tipo di scansione} > Azione.

Questa operazione può essere eseguita su tutti i tipi di minacceinformatiche ad eccezione di virus/minacce informatiche probabili.

Rinomina OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti nonpossono aprire il file rinominato immediatamente ma solo se lo associanoa una determinata applicazione.

All'apertura del file infetto rinominato, il virus o la minaccia informatica inesso contenuti potrebbero entrare in azione.


6-39

AZIONE DESCRIZIONE

Ignora OfficeScan può utilizzare questa operazione di scansione solo se rilevaun tipo di virus durante Scansione manuale, Scansione pianificata edEsegui scansione. OfficeScan non può utilizzare questa operazione discansione durante la Scansione in tempo reale perché la mancataesecuzione di un'operazione quando si rileva un tentativo di aprire oeseguire un file infetto consente l'esecuzione del virus/della minaccia.Tutte le altre azioni di scansione possono essere utilizzate.

Impediscil'accesso

Questa operazione di scansione può essere eseguita solo durante lascansione in tempo reale. Quando OfficeScan rileva un tentativo di aprireo eseguire un file infetto, blocca immediatamente l'operazione.

Gli utenti possono eliminare manualmente il file infetto.

Usa ActiveAction

Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. Lapersonalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacceinformatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveActionper contrastare questi problemi.

ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacceinformatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione ose non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction.

L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito.

• ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non ènecessario dedicare tempo alla configurazione delle operazioni.

• Gli sviluppatori di virus/minacce informatiche modificano costantemente il modoin cui i virus attaccano i computer. Le impostazioni di ActiveAction vengonoaggiornate per fornire protezione dalle minacce più recenti e dalle modalità diattacco di virus/minacce informatiche più recenti.

NotaActiveAction non è disponibile per la scansione spyware/grayware.


6-40

La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus eminacce informatiche:

TABELLA 6-11. Operazioni di scansione consigliate da Trend Micro contro virus eminacce informatiche

TIPO DI VIRUS/MINACCIA

INFORMATICA

SCANSIONE IN TEMPO REALESCANSIONE MANUALE/SCANSIONE

PIANIFICATA/ESEGUI SCANSIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

Programma Joke Metti inquarantena

Elimina Metti inquarantena

Elimina

Programmacavallo di Troia

Metti inquarantena

Elimina Metti inquarantena

Elimina

Virus Disinfetta Metti inquarantena

Disinfetta Metti inquarantena

virus di prova Impediscil'accesso

N.D. N.D. N.D.

Packer Metti inquarantena

N.D. Metti inquarantena

N.D.

Altro Disinfetta Metti inquarantena

Disinfetta Metti inquarantena

Probabile virus/minacciainformatica

Impediscil'accesso oazioneconfiguratadall'utente

N.D. Ignora oazioneconfiguratadall'utente

N.D.

Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso"durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansionepianificata ed Esegui scansione. Se non si desidera impostare queste azioni comepreferite, è possibile modificarle in Quarantena, Elimina o Rinomina.


6-41

Stessa operazione per tutti i tipi virus o minacciainformatica

Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se comeprima operazione si è scelto "Disinfetta", selezionare una seconda operazione cheOfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è"Disinfetta", non è possibile configurare una seconda operazione.

Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azionequando rileva probabili virus/minacce informatiche.

Azione specifica per ogni tipo di virus o minaccia

Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus ominaccia informatica.

Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informaticheprobabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si èscelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire sela disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibileconfigurare una seconda operazione.

Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione,ad eccezione di "Disinfetta".

Directory di quarantena

Se l'operazione di un file infetto è "Quarantena", il client OfficeScan codifica il file e lotrasferisce in una cartella di quarantena temporanea in <Cartella di installazione del server>\SUSPECT e poi invia il file alla directory di quarantena designata.

Nota

Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, èpossibile ripristinarli. Per ulteriori dettagli, vedere Ripristino dei file crittografati a pagina 6-45.


6-42

Accettare la directory di quarantena predefinita, che si trova nel computer serverOfficeScan. La directory è in formato URL e contiene il nome host del server ol'indirizzo IP.

• Se il server gestisce client IPv4 e IPv6, usare il nome host in modo che tutti i clientpossano inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo),solo i client IPv4 puri e dual-stack possono inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo),solo i client IPv6 puri e dual-stack possono inviare file in quarantena al server.

È anche possibile specificare una directory di quarantena alternativa immettendo ilpercorso in formato URL o UNC o un percorso di file assoluto. I client devono esserein grado di connettersi a questa directory alternativa. Ad esempio, la directory alternativadeve avere un indirizzo IPv6 se riceverà file in quarantena da client dual-stack e IPv6puri. Trend Micro consiglia di designare una directory dual-stack alternativa,identificando la directory con il corrispondente nome host e specificando la directorycon un percorso UNC.

Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL,percorso UNC o percorso di file assoluto:

TABELLA 6-12. Directory di quarantena

DIRECTORY DIQUARANTENA

FORMATOACCETTATO

ESEMPIO NOTE

Una directory sulcomputer serverOfficeScan

URL http://<osceserver>

Questa è la directory predefinita.

Configurare le impostazioni diquesta directory, quali ledimensioni della cartella diquarantena. Per ulteriori dettagli,vedere Gestore della quarantenaa pagina 12-44.

PercorsoUNC

\\<osceserver>\ofcscan\Virus


6-43

DIRECTORY DIQUARANTENA

FORMATOACCETTATO

ESEMPIO NOTE

Una directory suun altro computerserverOfficeScan (sesono presentialtri serverOfficeScan nellarete)

URL http://<osceserver2>

Accertarsi che i client siano ingrado di connettersi a questadirectory. Se si specifica unadirectory non valida, il clientOfficeScan conserva i file diquarantena nella cartellaSUSPECT fino a quando nonviene specificata una directory diquarantena valida. Nei registri divirus e minacce informatiche sulserver, il risultato della scansioneè "Impossibile inviare il file damettere in quarantena alla cartellain quarantena specificata".

Se si utilizza il percorso UNC,assicurarsi che la directory diquarantena sia condivisa per ilgruppo "Tutti" e che tutti i membridel gruppo abbiano i permessi dilettura e scrittura.

PercorsoUNC

\\<osceserver2>\ofcscan\Virus

Un altrocomputer dellarete

PercorsoUNC

\\<nome_computer>\temp

Una diversadirectory sulcomputer clientOfficeScan

Percorsoassoluto

C:\temp

Crea copia di backup prima di disinfettareSe OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire ilbackup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro.OfficeScan codifica il file di backup per prevenirne l'apertura e lo memorizza nellacartella <Cartella di installazione del client>\Backup.

Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina6-45.

Damage Cleanup ServicesDamage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file edalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali).

Il client avvia Damage Cleanup Services prima o dopo la scansione di virus/minacceinformatiche, in base al tipo di scansione.


6-44

• Quando si esegue Scansione manuale, Scansione pianificata o Esegui scansione, ilclient OfficeScan avvia prima Damage Cleanup Services, quindi continua con lascansione di virus/minacce informatiche. Durante la scansione di virus/minacceinformatiche, il client può avviare di nuovo Damage Cleanup Services, senecessario.

• Durante Scansione in tempo reale, il client OfficeScan esegue la scansione di virus/minacce informatiche, quindi avvia Damage Cleanup Services, se necessario.

È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services:

• Disinfezione standard: durante la disinfezione standard, il client OfficeScanesegue una delle seguenti azioni:

• Rileva e rimuove i cavalli di Troia attivi

• Blocca i processi innescati dai cavalli di Troia

• Ripara i file di sistema modificati dai cavalli di Troia

• Elimina i file e le applicazioni lasciati dai cavalli di Troia

• Disinfezione avanzata: oltre alle azioni di disinfezione standard, il clientOfficeScan blocca le attività dei software di sicurezza non legittimi, noti anchecome FakeAV. Il client OfficeScan utilizza anche regole di disinfezione avanzateper rilevare e interrompere in modo proattivo le applicazioni che manifestano uncomportamento da falso antivirus.

Nota

Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altronumero di falsi allarmi.

Damage Cleanup Services non esegue la scansione di virus/minacce informaticheprobabili a meno che non si selezioni l'opzione Esegui disinfezione quando vienerilevato probabile virus/minaccia informatica. Selezionare questa opzione solo sel'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso.Ad esempio, se il client OfficeScan rileva virus/minacce informatiche probabili duranteScansione in tempo reale e l'azione è Metti in quarantena, il client OfficeScan prima


6-45

mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo didisinfezione (standard o avanzata) dipende dalle opzioni selezionate.

Mostra notifica al rilevamento di spyware/grayware

Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo realee Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio dinotifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, andare sulla scheda Virus/minacceinformatiche in Notifiche > Notifiche all'utente client.

Mostra notifica al rilevamento di probabile spyware/grayware

Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione intempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato unmessaggio di notifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, andare sulla scheda Virus/minacceinformatiche in Notifiche > Notifiche all'utente client.

Ripristino dei file crittografati

Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportatidi seguito:

• Prima di mettere un file in quarantena

• Quando si esegue un backup di un file prima di disinfettarlo

OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sianecessario recuperare le informazioni in esso contenute. OfficeScan può decodificare eripristinare i file seguenti:


6-46

TABELLA 6-13. File soggetti a decodifica e ripristino in OfficeScan

FILE DESCRIZIONE

File messi inquarantena nelcomputer client

Questi file si trovano in <Cartella di installazione del client>\SUSPECT\Backup e vengono automaticamente cancellati dopo7 giorni. Questi file inoltre vengono caricati nella directory diquarantena nel server OfficeScan.

File in quarantenanella directory diquarantena designata

Per impostazione predefinita questa directory si trova nelcomputer server OfficeScan. Per ulteriori dettagli, vedereDirectory di quarantena a pagina 6-41.

File crittografati dibackup

I file di backup dei file infetti disinfettati da OfficeScan. Questifile si trovano in <Cartella di installazione del client>\Backup. Per ripristinare questi file gli utenti devono trasferirli in<Cartella di installazione del client>\SUSPECT\Backup.

OfficeScan esegue il backup e la crittografia dei file prima didisinfettarli solo se si seleziona Esegui backup dei file primadella disinfezione in Computer collegati in rete > Gestioneclient>Impostazioni > Impostazioni di scansione > {Tipo discansione} > Azione.

AVVERTENZA!Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche adaltri file e computer. Prima di ripristinare il file, isolare il computer infetto e trasferire i fileimportanti del computer in un percorso di backup.

Decodifica e ripristino dei file

Procedura

• Se il file si trova nel computer client OfficeScan:

a. Aprire il prompt dei comandi e passare a <Cartella di installazione del client>.

b. Digitare il comando riportato di seguito per eseguire VSEncode.exe:

VSEncode.exe /u


6-47

Questo parametro apre una schermata contenente un elenco dei file presentiin <Cartella di installazione client>\SUSPECT\Backup.

c. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è ingrado di ripristinare un solo file alla volta.

d. Nella schermata visualizzata specificare la cartella nella quale deve essereripristinato il file.

e. Fare clic su OK. Il file viene ripristinato nella cartella specificata.

NotaSe OfficeScan esegue di nuovo la scansione del file subito dopo che è statoripristinato, è possibile che venga considerato infetto. Per impedire la scansionedel file, aggiungerlo all'elenco di esclusione della scansione. Per informazioni,vedere Esclusioni scansione a pagina 6-32.

f. Terminato il ripristino dei file, fare clic su Chiudi.

• Se il file si trova nel server OfficeScan o in una directory di quarantenapersonalizzata:

a. Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandie passare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\VSEncrypt.

Se il file si trova in una directory di quarantena personalizzata, passare a<Cartella di installazione server>\PCCSRV\Admin\Utilitye copiare la cartella VSEncrypt nel computer contenente la directory diquarantena personalizzata.

b. Creare un file di testo e digitare l'intero percorso dei file da codificare odecodificare.

Ad esempio, per ripristinare i file C:\Documenti\Reports, digitarenel file di testo C:\Documenti\Reports\*.*.

I file in quarantena nel computer server OfficeScan si trovano in <Cartelladi installazione del server>\PCCSRV\Virus.

c. Salvare il file di testo con estensione INI o TXT. Ad esempio salvarlo con ilnome PerCrittografia.ini nell'unità C: .


6-48

d. Aprire un prompt dei comandi e accedere alla directory in cui si trova lacartella VSEncrypt.

e. Digitare il comando riportato di seguito per eseguire VSEncode.exe:

VSEncode.exe /d /i <percorso del file INI o TXT>

Dove:

<percorso del file INI o TXT> è il percorso del file INI o TXTcreato (ad esempio C:\ForEncryption.ini).

f. Utilizzare gli altri parametri per ottenere comandi diversi.

TABELLA 6-14. Parametri di ripristino

PARAMETRO DESCRIZIONE

Nessuno (nessunparametro)

Codifica i file

/d Decodifica i file

/debug Crea un registro di debug e lo salva nel computer.Nel computer client OfficeScan, il registro di debugVSEncrypt.log viene creato in <Cartella diinstallazione del client>.

/o Sovrascrive il file crittografato o decrittografato giàesistente

/f <nomefile> Codifica o decodifica un solo file

/nr Non ripristina il nome del file originale

/v Visualizza le informazioni sullo strumento

/u Avvia l'interfaccia utente dello strumento

/r <Cartella didestinazione>

Cartella contenente il file ripristinato

/s <Nome del fileoriginale>

Il nome del file crittografato originale


6-49

Ad esempio, è possibile digitare VSEncode [/d] [/debug] perdecodificare i file nella cartella Suspect e creare un registro di debug.Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato ocodificato nella stessa cartella. Prima di decodificare o codificare un file,accertarsi che il file non sia bloccato.

Azioni di scansione spyware/grayware

L'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che harilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche perciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione validaper tutti i tipi di spyware/grayware (per informazioni sui diversi tipi di spyware/grayware, vedere Spyware e grayware a pagina 6-4). Ad esempio, quando OfficeScan rilevaqualsiasi tipo di spyware/grayware durante una scansione manuale (tipo di scansione),esegue la disinfezione (operazione) delle relative risorse di sistema.

Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware:

TABELLA 6-15. Azioni di scansione spyware/grayware

AZIONE DESCRIZIONE

Disinfetta OfficeScan interrompe i processi o elimina registri, file, cookie ecollegamenti.

Dopo aver effettuato la disinfezione di spyware e grayware, i clientOfficeScan effettuano una copia di backup dei dati relativi a spyware egrayware così da consentirne il ripristino nel caso in cui l'utente li considerisicuri. Per informazioni, vedere Ripristino spyware/grayware a pagina6-52.

Ignora OfficeScan non esegue alcuna operazione sui componenti spyware/grayware rilevati, ma registra il rilevamento di spyware/grayware. Questaazione può essere utilizzata solo durante Scansione manuale, Scansionepianificata ed Esegui scansione. Durante Scansione in tempo reale,l'azione è "Impedisci l'accesso".

OfficeScan non esegue azioni se lo spyware/grayware rilevato non èincluso nell'elenco approvato. Per informazioni, vedere Elenco Approvatispyware/grayware a pagina 6-50.


6-50

AZIONE DESCRIZIONE

Impediscil'accesso

OfficeScan nega all'utente l'accesso (per copia e apertura) ai componentigrayware e spyware rilevati. Questa azione può essere eseguita solodurante Scansione in tempo reale. Durante Scansione manuale,Scansione pianificata ed Esegui scansione, l'azione è "Ignora".

Mostra notifica al rilevamento di spyware/grayware

Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale eScansione pianificata, è possibile fare in modo che venga visualizzato un messaggio dinotifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, andare su Notifiche > Notifiche all'utenteclient, fare clic sulla scheda Spyware/Grayware.

Elenco Approvati spyware/graywareOfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file ele applicazioni che non devono essere considerati spyware o grayware. Quando unospyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elencoapprovati e, se esistono delle corrispondenze con il contenuto dell'elenco, non eseguealcuna azione.

Applicare l'elenco approvati a uno o più client e domini oppure a tutti i client gestiti dalserver. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stesso elencoapprovati viene utilizzato durante Scansione manuale, Scansione in tempo reale,Scansione pianificata ed Esegui scansione.

Aggiunta di spyware/grayware già rilevato all'elencoapprovati Approvati

Procedura

1. Accedere a uno dei seguenti:

• Computer collegati in rete > Gestione client


6-51

• Registri > Registri dei computer collegati in rete > Rischi per lasicurezza


3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >Registri di spyware/grayware.

4. Specificare i parametri del registro e fare clic su Visualizza registri.

5. Selezionare i registri e fare clic su Aggiungi all'elenco Approvati.

6. Applicare gli spyware/grayware approvati solo ai computer client selezionati o adeterminati domini.

7. Fare clic su Salva. I client selezionati applicato l'impostazione e il serverOfficeScan aggiunge gli spyware/grayware all'elenco Approvati che si trova inComputer collegati in rete > Gestione client >Impostazioni > ElencoApprovati spyware/grayware.

NotaOfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elencoapprovati.

Gestione dell'elenco approvati spyware/grayware

Procedura



3. Fare clic su Impostazioni > Elenco Approvati spyware/grayware.

4. Nella tabella Nome spyware/grayware selezionare il nome dello spyware/grayware. Per selezionare vari nomi tenere premuto il tasto Ctrl durante laselezione.


6-52

• Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca.OfficeScan aggiorna la tabella con i nomi che corrispondono alla parolachiave.


Il nome viene aggiunto alla tabella Elenco approvati.

6. Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic suRimuovi. Per selezionare vari nomi tenere premuto il tasto Ctrl durante laselezione.




Ripristino spyware/grayware

Dopo aver eseguito la disinfezione da spyware/grayware, i client OfficeScan eseguono ilbackup dei relativi dati. Notificare a un client online di ripristinare i file di backup, se talidati sono considerati sicuri. Scegliere i dati spyware/grayware da ripristinare basandosisull'orario di backup.

Nota

Gli utenti dei client OfficeScan non possono avviare il ripristino di spyware/grayware ericevono la notifica sui dati di backup che il client ha ripristinato.


6-53

Procedura


2. Nella struttura del client, aprire un dominio e selezionare un client.

Nota

Gli spyware/grayware possono essere ripristinati solo da un client alla volta.

3. Fare clic su Operazioni > Ripristino spyware/grayware.

4. Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic suVisualizza.

Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fareclic su Indietro.

5. Selezionare i segmenti di dati che si desidera ripristinare.

6. Fare clic sul pulsante Ripristina.

OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo,consultare i registri di ripristino spyware/grayware. Per informazioni, vedereVisualizzazione dei registri di ripristino spyware/grayware a pagina 6-98.

Privilegi scansione e altre impostazioniGli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file neipropri computer. I privilegi di scansione consentono agli utenti o al client OfficeScan dieffettuare le operazioni riportate di seguito:

• Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione intempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansionea pagina 6-54.

• Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per idettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 6-57.


6-54

• Gli utenti possono attivare la scansione dei messaggi e-mail Microsoft Outlook ePOP3 per rilevare virus/minacce informatiche. Per i dettagli, consultare Privilegiscansione e-mail e altre impostazioni a pagina 6-62.

• Il client OfficeScan può usare le impostazioni delle cache per migliorare le proprieprestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni apagina 6-66.

Privilegi tipo di scansione

Consente agli utenti di configurare le impostazioni di Scansione manuale, Scansione intempo reale e Scansione pianificata.

Concessione dei privilegi tipo di scansione

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi scansione.

5. Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare.




6-55


Configurazione impostazioni di scansione per computerclient OfficeScan

Procedura

1. Fare clic con il tasto destro del mouse sull'icona del client OfficeScan presente nellabarra delle applicazioni, quindi selezionare Console OfficeScan.

2. Fare clic su Impostazioni > {Tipo di scansione}.


6-56

FIGURA 6-1. Impostazioni di scansione nella console del client OfficeScan


• Impostazioni scansione manuale: File da esaminare, Impostazioni discansione, Uso CPU, Esclusioni scansione, Azioni di scansione


6-57

• Impostazioni scansione in tempo reale: Attività utente sui file, File daesaminare, Impostazioni di scansione, Esclusioni scansione, Azioni discansione

• Impostazioni scansione pianificata: Pianificazione, File da esaminare,Impostazioni di scansione, Uso CPU, Esclusioni scansione, Azioni discansione

4. Fare clic su OK.

Privilegi scansione pianificata e altre impostazioni

Se Scansione pianificata è impostata per l'esecuzione sul client, gli utenti possonorimandare, saltare o interrompere la Scansione pianificata.

Rimanda scansione pianificata

Gli utenti con il privilegio "Rimanda scansione pianificata" possono eseguire le azioniseguenti:

• Rimandare la scansione pianificata prima che venga eseguita e specificare quindi ladurata del ritardo. La scansione pianificata può essere postposta una sola volta.

• Se Scansione pianificata è in esecuzione, gli utenti possono interrompere lascansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deveintercorrere prima del riavvio della scansione. Al riavvio, i file analizzati inprecedenza vengono di nuovo sottoposti a scansione. È possibile interrompere eriavviare la scansione pianificata una sola volta.

Nota

Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15minuti. Il periodo di tempo massimo è 12 ore e 45 minuti, che è possibile ridurre andandosu Computer collegati in rete > Impostazioni client globali. Nella sezioneImpostazioni scansione pianificata, modificare l'impostazione Rimanda scansionepianificata fino a __ ore e __ minuti.


6-58

Salta e interrompi scansione pianificata

Questo privilegio consente agli utenti di eseguire le operazioni seguenti:

• Salta scansione pianificata prima che venga eseguita

• Interrompi scansione pianificata mentre è in corso

Notifica di privilegio Scansione pianificata

Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibilericordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notificaprima dell'esecuzione di Scansione pianificata.

Concessione privilegi scansione pianificata evisualizzazione notifica dei privilegi

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi scansione pianificata.


• Rimanda scansione pianificata

• Salta e interrompi scansione pianificata

6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioniscansione pianificata.

7. Selezionare Visualizza una notifica prima dell'esecuzione della scansionepianificata.


6-59

Quando questa opzione è attivata, nel computer client viene visualizzato unmessaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata.Gli utenti vengono informati della pianificazione della scansione (data e ora) e deiloro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare ointerrompere la scansione pianificata.

Nota

È possibile configurare il numero di minuti. Per configurare il numero di minuti,andare su Computer collegati in rete > Impostazioni client globali. Nella sezioneImpostazioni scansione pianificata, modificare l'impostazione Ricorda agliutenti la scansione pianificata __ minuti prima dell'esecuzione.




Posticipo, omissione e interruzione della Scansionepianificata sul computer client

Procedura

• Se la scansione pianificata non è stata avviata:

a. Fare clic con il pulsante destro del mouse sull'icona nella barra delleapplicazioni e selezionare Impostazioni avanzate della scansionepianificata.


6-60

FIGURA 6-2. Opzione Impostazioni avanzate della scansione

NotaSe il messaggio di notifica è attivato ed è impostato in modo da esserevisualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non ènecessario che gli utenti eseguano questo passaggio. Per ulteriori informazionisul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina6-58.

b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioniseguenti:

• Postponi scansione di __ ore e __ minuti.

• Salta questa scansione pianificata. La prossima Scansionepianificata verrà eseguita il <data> alle <ora>.


6-61

FIGURA 6-3. Privilegi di Scansione pianificata sul computer clientOfficeScan

• Se la scansione pianificata è in corso:

a. Fare clic con il pulsante destro del mouse sull'icona nella barra delleapplicazioni e selezionare Impostazioni avanzate della scansionepianificata.

b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioniseguenti:

• Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti.

• Interrompi scansione. La prossima Scansione pianificata verràeseguita il <data> alle <ora>.


6-62

FIGURA 6-4. Privilegi di Scansione pianificata sul computer clientOfficeScan

Privilegi scansione e-mail e altre impostazioniQuando i client dispongono dei privilegi di scansione e-mail, la scheda Scansione e-mail viene visualizzata nella console del client OfficeScan. Nella scheda Scansione e-


6-63

mail sono presenti due programmi di posta elettronica: Outlook Mail Scan e Scansionee-mail POP3.

FIGURA 6-5. Scheda Scansione e-mail nella console del client OfficeScan

Nella tabella seguente vengono descritti i programmi Outlook Mail Scan e Scansione e-mail POP3.


6-64

TABELLA 6-16. Programmi di scansione e-mail.

DETTAGLI OUTLOOK MAIL SCAN SCANSIONE E-MAIL POP3

Scopo Esegue la scansione dei messaggie-mail Microsoft Outlook perrilevare virus o minacceinformatiche

Esegue la scansione dei messaggie-mail POP3 per rilevare virus ominacce informatiche.

Prerequisiti Prima di poterlo utilizzare, gli utentidevono installarlo dalla console delclient OfficeScan.

• Prima che gli utenti possanoutilizzarlo, gli amministratoridevono attivarlo dalla consoleWeb.

NotaPer abilitare lascansione e-mail POP3,vedere Concessione deiprivilegi scansione e-mail e attivazione diPOP3 Mail Scan apagina 6-65.

• È possibile configurare azioniper contrastare virus e minacceinformatiche dalla console delclient OfficeScan, ma non dallaconsole Web.

Tipi discansionesupportati

Scansione manuale

La scansione ha luogo soloquando gli utenti fanno clic suEsegui scansione dalla schedaScansione e-mail sulla consoledel client OfficeScan.

Scansione in tempo reale

La scansione viene eseguitaquando i messaggi e-mail vengonoscaricati dal server di posta POP3.


6-65

DETTAGLI OUTLOOK MAIL SCAN SCANSIONE E-MAIL POP3

Risultatiscansione

• Informazioni sui rischi persicurezza rilevati disponibilidopo il completamento dellascansione.

• Risultati di scansione nonregistrati nella schermataRegistri della console delclient OfficeScan.

• Risultati di scansione noninviati al server.

• Informazioni sui rischi persicurezza rilevati disponibilidopo il completamento dellascansione.

• Risultati di scansione nonregistrati nella schermataRegistri della console del clientOfficeScan.

• Risultati di scansione noninviati al server.

Altri dettagli Nessuno Condivide OfficeScan NT ProxyService (TMProxy.exe) con lafunzione di reputazione Web.

Concessione dei privilegi scansione e-mail e attivazione diPOP3 Mail Scan

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi scansione e-mail.

5. Selezionare Visualizza la scheda Scansione e-mail nella console del client.

6. Fare clic sulla scheda Altre impostazioni e andare alla sezione ImpostazioniScansione e-mail POP3..

7. Selezionare Analizza i messaggi e-mail POP3.



6-66



Impostazioni cache per le scansioni

Il client OfficeScan è in grado di creare la firma digitale e i file di cache per la scansionesu richiesta per migliorare le proprie prestazioni di scansione. Quando viene eseguita unascansione su richiesta, il client OfficeScan verifica innanzitutto il file di cache della firmadigitale e successivamente il file di cache per la scansione su richiesta per individuare ifile da escludere dalla scansione. I tempi di scansione vengono ridotti se dalla scansioneviene escluso un elevato numero di file.

Cache della firma digitale

Il file di cache della firma digitale viene utilizzato durante Scansione manuale, Scansionepianificata ed Esegui scansione. I client non effettuano la scansione dei file le cui cachesono state aggiunte al file di cache della firma digitale.

Il client OfficeScan impiega lo stesso Digital Signature Pattern utilizzato daMonitoraggio del comportamento per creare il file di cache della firma digitale. Il DigitalSignature Pattern contiene un elenco di file che Trend Micro considera affidabili e chepertanto è possibile escludere dalle scansioni.

Nota

Monitoraggio del comportamento viene disattivato automaticamente sulle piattaformeserver Windows (il supporto delle piattaforme a 64 bit per Windows XP, 2003 e Vistasenza SP1 non è disponibile). Se la cache della firma digitale è attivata, i client OfficeScanpresenti su queste piattaforme scaricano il Digital Signature Pattern per utilizzarlo nellacache, senza scaricare gli altri componenti di Monitoraggio del comportamento.


6-67

I client creano il file di cache della firma digitale in base a una pianificazione,configurabile dalla console Web. I client eseguono questa operazione per:

• Aggiungere la cache per i nuovi file introdotti nel sistema dall'ultima volta in cui ilfile di cache è stato creato

• Rimuovere la cache per i file che sono stati modificati o eliminati dal sistema

Durante il processo di creazione della cache, i client eseguono un controllo sulle seguenticartelle per individuare i file affidabili, quindi aggiungono le cache per questi file al file dicache della firma digitale:

• %PROGRAMFILES%

• %WINDIR%

Il processo di creazione della cache non influisce sulle prestazioni del computer perché iclient utilizzano risorse di sistema minime durante tale processo. I client sono anche ingrado di riprendere un'operazione di creazione della cache che per qualche motivo erastata interrotta, ad esempio quando una macchina host viene spenta oppure quando unadattatore del computer wireless viene scollegato.

Impostazione cache scansione su richiesta

Il file di cache della scansione su richiesta viene utilizzato durante Scansione manuale,Scansione pianificata ed Esegui scansione. I client OfficeScan non effettuano lascansione dei file le cui cache sono state aggiunte al file di cache della scansione surichiesta.

Ogni qualvolta si esegue una scansione, il client OfficeScan verifica le proprietà dei fileprivi di minacce. Se un file privo di minacce non è stato modificato per un certo periododi tempo, (è possibile configurare il periodo di tempo), il client OfficeScan aggiunge lacache del file al file di cache della scansione su richiesta. Quando viene eseguita lascansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta.

La cache di un file privo di minacce scade entro un determinato numero di giorni (èpossibile configurare anche il periodo di tempo). Quando si esegue una scansione osuccessivamente alla scadenza della cache, il client OfficeScan rimuove la cache scadutaed esegue nuovamente la scansione del file per verificare la presenza di minacce. Se il fileè privo di minacce e non viene modificato, la cache del file viene aggiunta nuovamente


6-68

al file di cache della scansione su richiesta. Se il file è privo di minacce ma è statomodificato di recente, la cache non viene aggiunta e il file verrà nuovamente sottopostoa scansione la volta successiva.

La cache per il file privo di minacce scade per impedire di escludere dalla scansione i fileinfetti, così come illustrato nei seguenti esempi:

• È possibile che un file di pattern estremamente obsoleto possa aver considerato unfile infetto non modificato come file privo di minacce. Se la cache non è scaduta, ilfile infetto resta nel sistema fino a quando non viene modificato e rilevato daScansione in tempo reale.

• Se un file memorizzato nella cache è stato modificato e Scansione in tempo realenon è operativa durante la modifica del file, la cache deve scadere in modo che ilfile modificato possa essere sottoposto alla scansione per le minacce.

Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipodi scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minorese il client OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presenti nelcomputer durante la Scansione manuale.

Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache dellascansione su richiesta riduce significativamente il tempo di scansione. In un'operazionedi scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deverimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni.Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, alfile di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza piùestesa, ciò significa che dalla scansione vengono esclusi più file.

Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare lacache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguitala scansione successiva.

Configurazione impostazioni cache per le scansioni

Procedura



6-69



4. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazionicache per le scansioni.

5. Configurare le impostazioni per la cache della firma digitale.

a. Selezionare Attiva cache firma digitale.

b. In Costruisci cache ogni __ giorni, specificare con quale frequenza il clientdovrà creare la cache.

6. Configurare le impostazioni per la cache della scansione su richiesta.

a. Selezionare Attiva cache scansione su richiesta.

b. In Aggiungi la cache per i file sicuri non modificati per __ giorni,specificare il numero di giorni per i quali un file deve restare inalterato primadi essere memorizzato nella cache.

c. In La cache per ogni file sicuro scade tra __ giorni, specificare il numeromassimo di giorni in cui una cache deve restare nel file di cache.

NotaPer evitare che tutte le cache aggiunte nel corso di una scansione scadano lostesso giorno, le cache scadono in modo casuale nell'arco del numero massimodi giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono stateaggiunte 500 cache ed il numero massimo di giorni specificato è 10, una partedelle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Ildecimo giorno, tutte le cache rimaste scadranno.




6-70


Impostazioni globali di scansioneLe impostazioni globali di scansione possono essere applicate ai client in vari modi.

• Un'impostazione di scansione particolare può essere applicata a tutti i client gestitidal server o solo ai client con determinati privilegi di scansione. Ad esempio, se si èconfigurato di rinviare la durata di Scansione pianificata, solo i client con taleprivilegio utilizzeranno questa impostazione.

• Un'impostazione di scansione particolare può essere applicata a tutti i tipi discansione o a uno in particolare. Ad esempio, nei computer in cui sono installati siail client OfficeScan sia il server OfficeScan, è possibile escludere il database delserver OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solodurante Scansione in tempo reale.

• Un'impostazione di scansione particolare può essere applicata alla scansione perrilevare virus/minacce informatiche o a quella per rilevare spyware/graywareoppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durantela scansione per rilevare spyware/grayware.

Configurazione delle impostazioni di scansione globali

Procedura


2. Configurare le Impostazioni globali di scansione in ciascuna delle sezioni variabili.

• Sezione impostazioni di scansione a pagina 6-71

• Sezione Impostazioni scansione pianificata a pagina 6-77

• Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche apagina 6-80


6-71


Sezione impostazioni di scansione

La sezione Impostazioni di scansione delle Impostazioni globali di scansione consenteagli amministratori di configurare quanto segue:

• Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 6-71

• Aggiungi scansione manuale al menu dei collegamenti di Windows nei computer client OfficeScana pagina 6-72

• Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina6-72

• Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 6-73

• Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 6-73

• Attiva modalità di valutazione a pagina 6-76

• Esegui scansione cookie a pagina 6-77

Configurare le impostazioni di scansione per file compressidi grandi dimensioni

Durante la scansione dei file compressi per rilevare virus/minacce informatiche espyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione, tutti i client OfficeScan gestiti dal server controllano leimpostazioni seguenti:

• Non esaminare i file presenti in file compressi se la dimensione supera i __MB: OfficeScan non esegue la scansione dei file che superano questo limite.

• Nei file compressi, esamina solo i primi __ file: dopo aver decompresso un filecompresso, OfficeScan esegue la scansione del numero di file specificato e ignoraeventuali altri file presenti.


6-72

Aggiungi scansione manuale al menu dei collegamenti diWindows nei computer client OfficeScan

Quando questa impostazione è attivata, in tutti i client OfficeScan gestiti dal server vieneaggiunta l'opzione Esegui scansione con client OfficeScan al menu di scelta rapida inEsplora risorse. Quando gli utenti fanno clic con il pulsante destro del mouse su un fileo una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione,Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacceinformatiche e spyware/grayware.

FIGURA 6-6. Opzione Esegui scansione con client OfficeScan

Escludi la cartella del database del server OfficeScan dallascansione in tempo reale

Se il client OfficeScan e il server OfficeScan coesistono nello stesso computer, conScansione in tempo reale il client OfficeScan non eseguirà la scansione del database delserver per rilevare virus/minacce informatiche e spyware/grayware.


6-73

SuggerimentoAttivare questa impostazione per impedire il verificarsi di eventuali danni al databasedurante la scansione.

Escludi cartelle e file del server Microsoft Exchange dallascansioneSe il client OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nellostesso computer, con Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione, OfficeScan non esegue la scansione delle seguenticartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/grayware.

• Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp eBadMail

• .\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb,pub1.stm e pub1.edb

• .\Exchsrvr\Gruppo di archiviazione

Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunteall'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulleesclusioni dalla scansione, visitare il sito Web riportato di seguito:


Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione,vedere Esclusioni scansione a pagina 6-32.

Disinfetta/Elimina file infetti all'interno dei file compressiQuando tutti i client gestiti dal server rilevano virus/minacce informatiche all'interno deifile compressi mediante Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i fileinfetti vengono disinfettati o eliminati dai client.

• "Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan.Verificare l'azione che OfficeScan esegue sui file infetti andando sulla scheda



6-74

Computer collegati in rete > Gestione client > Impostazioni > Impostazionidi scansione > {Tipo di scansione} > Azione.

• Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo dellerisorse del computer durante la scansione potrebbe aumentare e la scansionepotrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan devedecomprimere il file compresso, disinfettare/eliminare i file infetti all'interno delfile compresso e infine comprimere di nuovo il file.

• Il formato file compresso è supportato. OfficeScan supporta solo alcuni formatifile compressi, tra cui ZIP e Office Open XML, che utilizza tecnologie dicompressione ZIP. Office Open XML è il formato predefinito per le applicazioniMicrosoft Office 2007 come Excel, PowerPoint e Word.

NotaPer un elenco completo dei formati file compressi supportati, contattare l'assistenzatecnica.

Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus.Quando Scansione in tempo reale decomprime un file compresso denominato abc.zipe rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc ecomprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essereaperto.

La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta.


6-75

TABELLA 6-17. Scenari e risultati dei file compressi

STATO DI"DISINFETTA/ELIMINA FILE

INFETTIALL'INTERNO DEI

FILECOMPRESSI"

OPERAZIONECHE

OFFICESCANDEVE ESEGUIRE

FORMATO FILECOMPRESSO

RISULTATO

Attivato Disinfetta oelimina

Non supportato

Esempio: def.rarcontiene un fileinfetto 123.doc.

OfficeScan codifica def.rar manon disinfetta, elimina o eseguealtre operazioni su 123.doc.

Disattivato Disinfetta oelimina

Supportato/Nonsupportato

Esempio: abc.zipcontiene un fileinfetto 123.doc.

OfficeScan non disinfetta, eliminao esegue altre operazioni suabc.zip e 123.doc.


6-76

STATO DI"DISINFETTA/ELIMINA FILE

INFETTIALL'INTERNO DEI

FILECOMPRESSI"

OPERAZIONECHE

OFFICESCANDEVE ESEGUIRE

FORMATO FILECOMPRESSO

RISULTATO

Attivato/Disattivato

Nondisinfettare oeliminare (inaltre parole,una delleseguenti:Rinomina,Metti inquarantena,Impediscil'accesso oIgnora)

Supportato/Nonsupportato

Esempio: abc.zipcontiene un fileinfetto 123.doc.

OfficeScan esegue l'operazioneconfigurata (Rinomina, Metti inquarantena, Impedisci l'accesso oIgnora) su abc.zip, non su123.doc.

Se l'operazione è:

Rinomina: OfficeScan rinominaabc.zip in abc.vir ma nonrinomina 123.doc.

Quarantena: OfficeScan mette inquarantena abc.zip (123.doc etutti i file non infetti vengonomessi in quarantena).

Ignora: OfficeScan non eseguealcuna operazione su abc.zip e123.doc ma registra ilrilevamento del virus.

Impedisci l'accesso: OfficeScanimpedisce l'accesso a abc.zipquando è aperto (123.doc e tutti ifile non infetti non possonoessere aperti).

Attiva modalità di valutazione

Durante la modalità di valutazione, tutti i client gestiti dal server registreranno spyware egrayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata,Scansione in tempo reale ed Esegui scansione ma non disinfetterà i componenti spywaree grayware. La disinfezione interrompe i processi o elimina registri, file, cookie ecollegamenti.


6-77

La modalità di valutazione di Trend Micro consente di valutare gli elementi che TrendMicro considera spyware/grayware e di prendere provvedimenti in base alla valutazione.Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per lasicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati.

In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione:

• Ignora: Durante l'utilizzo di Scansione manuale, Scansione pianificata ed Eseguiscansione

• Impedisci l'accesso: Durante l'utilizzo di Scansione in tempo reale

Nota

La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configuratedall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansionedurante Scansione manuale, "Ignora" resta l'operazione di scansione quando il client è inmodalità di valutazione.

Esegui scansione cookie

Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per lasicurezza. Quando l'opzione è selezionata, tutti i client gestiti dal server eseguiranno lascansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansionepianificata, Scansione in tempo reale ed Esegui scansione.

Sezione Impostazioni scansione pianificata

Le impostazioni riportate di seguito vengono utilizzate esclusivamente dai clientimpostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado dirilevare virus/minacce informatiche e spyware/grayware.

La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansioneconsente agli amministratori di configurare quanto segue:

• Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 6-78

• Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 6-78


6-78

• Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __minuti a pagina 6-79

• Salta la scansione pianificata quando la durata residua della batteria del computer wireless èinferiore a __ % e l'adattatore è scollegato dalla presa a muro a pagina 6-79

• Riprendi una scansione pianificata non effettuata a pagina 6-79

Ricorda agli utenti la scansione pianificata __ minuti primadell'esecuzione

OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansionepianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e perricordargli i privilegi della scansione pianificata concessi.

Il messaggio di notifica può essere attivato/disattivato da Computer collegati in rete >Gestione client > Impostazioni > Privilegi e altre impostazioni > Altreimpostazioni (scheda) > Impostazioni scansione pianificata. Se l'opzione èdisattivata, il promemoria non viene visualizzato.

Rimanda scansione pianificata fino a __ ore e __ minuti

Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possonoeseguire le operazioni riportate di seguito:

• Rimandare la scansione pianificata prima che venga eseguita e specificare quindi ladurata del ritardo.

• Se Scansione pianificata è in esecuzione, gli utenti possono interrompere lascansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deveintercorrere prima del riavvio della scansione. Al riavvio, i file analizzati inprecedenza vengono di nuovo sottoposti a scansione.

La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negliappositi campi.


6-79

Interrompi automaticamente la scansione pianificataquando l'operazione dura più di __ ore e __ minuti

Quando viene superato il periodo di tempo massimo specificato e la scansione non èancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agliutenti i rischi per la sicurezza rilevati durante la scansione.

Salta la scansione pianificata quando la durata residua dellabatteria del computer wireless è inferiore a __ % el'adattatore è scollegato dalla presa a muro

Se rileva che la durata residua della batteria del computer wireless si sta esaurendo el'adattatore non è collegato a una presa di alimentazione, non appena viene avviataScansione pianificata OfficeScan salta immediatamente la scansione. Se la durata residuadella batteria è limitata ma l'adattatore è collegato all'alimentazione, la scansioneprosegue.

Riprendi una scansione pianificata non effettuata

Quando la Scansione pianificata non viene avviata perché OfficeScan non è inesecuzione nel giorno e all'ora specificati per la Scansione pianificata, è possibilespecificare quando OfficeScan riprenderà la scansione:

• stessa ora giorno successivo: se OfficeScan viene eseguito alla stessa ora delgiorno successivo, la scansione riprende.

• __ minuti dopo l'avvio del computer: OfficeScan riprende la scansione undeterminato numero di minuti dopo che l'utente avvia il computer. Il numero diminuti è compreso tra 10 e 120.

Nota

Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongonodei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altreimpostazioni a pagina 6-57.


6-80

Sezione impostazioni della larghezza di banda del registrovirus/minacce informatiche

La sezione delle Impostazioni di banda del registro virus/minacce informatiche delleImpostazioni globali di scansione consente agli amministratori di configurare:

Consenti ai client OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per irilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora a pagina 6-80

Consenti ai client OfficeScan di creare una sola voce sulregistro di virus/minacce informatiche per i rilevamentiricorrenti dello stesso virus/minaccia informatica in un'ora

OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioniderivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo ditempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica piùvolte compilando rapidamente il registro relativo a virus/minacce informatiche econsumando ampiezza di banda quando il client OfficeScan invia le informazioni delregistro al server. L'attivazione di questa funzione consente di ridurre sia il numero divoci di registro relative a virus/minacce informatiche sia la quantità di ampiezza dibanda utilizzata dai client OfficeScan quando trasmettono le informazioni del registrodei virus al server.

Notifiche sui Rischi per la sicurezzaOfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente,altri amministratori OfficeScan e gli utenti client OfficeScan sui rischi per la sicurezzarilevati.

Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche deirischi per la sicurezza per gli amministratori a pagina 6-81.

Per ulteriori informazioni sulle notifiche inviate agli utenti client OfficeScan, vedereNotifiche dei rischi per la sicurezza per gli utenti client OfficeScan a pagina 6-84.


6-81

Notifiche dei rischi per la sicurezza per gli amministratoriConfigurare OfficeScan in modo da inviare all'utente e ad altri amministratori diOfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quandol'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto,l'intervento dell'utente.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.

NotaOfficeScan è in grado di inviare notifiche tramite e-mail, cercapersone, trap SNMP eRegistro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia imessaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notificaamministratore a pagina 12-30.

Configurazione delle notifiche dei rischi per la sicurezza pergli amministratori

Procedura

1. Accedere a Notifiche > Notifiche per l'amministratore > Notifiche standard.

2. Nella scheda Criteri:

a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware.

b. Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/minacce informatiche e spyware/grayware o solo quando l'azione eseguitacontro i rischi per la sicurezza non è riuscita.

3. Nella scheda E-mail:

a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti dispyware/grayware.

b. Selezionare Attiva notifica mediante e-mail.


6-82

c. Selezionare Invia notifiche agli utenti con autorizzazioni per i dominidella struttura del client.

È possibile usare l'RBA (Role-based Administration) per assegnare agli utentiautorizzazioni al dominio della struttura del client. Se avviene un rilevamentoin un client OfficeScan appartenente ad un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per ildominio. La tabella seguente illustra alcuni esempi:

TABELLA 6-18. Domini della struttura dei client e autorizzazioni

DOMINIOSTRUTTURA CLIENT

RUOLI CONAUTORIZZAZIONIPER IL DOMINIO

ACCOUNT UTENTECON IL RUOLO

INDIRIZZO E-MAILDELL'ACCOUNT

UTENTE

Dominio A Amministratore(integrato)

root [email protected]

Role_01 admin_john [email protected]

admin_chris [email protected]

Dominio B Amministratore(integrato)


Role_02 admin_jane [email protected]

Se un client OfficeScan appartenente al Dominio A rileva un virus, ilmessaggio e-mail viene inviato a [email protected], [email protected] [email protected].

Se un client OfficeScan appartenente al Dominio B rileva uno spyware, ilmessaggio e-mail viene inviato a [email protected] e [email protected].

NotaSe si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominiodevono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notificanon sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Account utente.

d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gliindirizzi e-mail.


6-83

e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. Èpossibile utilizzare variabili token per rappresentare i dati nel campo Oggettoe Messaggio.

TABELLA 6-19. Variabili token per notifiche dei rischi per la sicurezza

VARIABILE DESCRIZIONE

Rilevamenti di virus/minacce informatiche

%v Nome virus/minaccia informatica

%s Computer con virus/minaccia informatica

%i Indirizzo IP del computer

%c Indirizzo MAC del computer

%m Dominio del computer

%p Posizione di virus/minaccia informatica

%y Data e ora del rilevamento virus/minaccia informatica

%e Versione motore di scansione virus

%r Versione del pattern dei virus

%a Azione eseguita per contrastare il rischio per la sicurezza

%n Nome dell'utente che ha effettuato l'accesso al computerinfetto

Rilevamenti di spyware/grayware

%s Computer con spyware/grayware

%i Indirizzo IP del computer

%m Dominio del computer

%y Data e ora del rilevamento di spyware/grayware

%n Nome dell'utente collegato al computer infetto al momentodel rilevamento

%T Risultato della scansione e presenza di spyware e grayware


6-84

4. Nella scheda Cercapersone:


b. Selezionare Attiva notifica mediante cercapersone.

c. Digitare il messaggio.

5. Fare clic sulla scheda Trap SNMP:


b. Selezionare Attiva notifica mediante trap SNMP.

c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Perinformazioni, vedere Tabella 6-19: Variabili token per notifiche dei rischi per lasicurezza a pagina 6-83.

6. Nella scheda Registro eventi NT:


b. Selezionare Attiva notifica mediante registro eventi NT.

c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Perinformazioni, vedere Tabella 6-19: Variabili token per notifiche dei rischi per lasicurezza a pagina 6-83.


Notifiche dei rischi per la sicurezza per gli utenti clientOfficeScan

OfficeScan è in grado di visualizzare i messaggi di notifica sui computer clientOfficeScan:


6-85

• Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se losi desidera, modificarne il contenuto.

• Se il riavvio di un computer client è necessario per completare la disinfezione deifile infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo lascansione di un rischio per la sicurezza specifico. Con Scansione manuale,Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una voltae solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni dellascansione.

Notifica agli utenti del rilevamento di spyware/grayware evirus/minacce informatiche

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale o su Impostazioni > Impostazioni di scansione >Impostazioni scansione pianificata.

4. Fare clic sulla scheda Azione.


• Visualizza un messaggio di notifica sul computer client al rilevamentodi virus/minacce informatiche

• Visualizza un messaggio di notifica sul computer client al rilevamentodi possibili virus/minacce informatiche




6-86



Configurazione delle notifiche di virus/minacce informatiche

Procedura

1. Accedere a Notifiche > Notifiche all'utente client.

2. Fare clic sulla scheda Virus e minacce informatiche.

3. Configurare le impostazioni di rilevamento.

a. Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacceinformatiche o separare le notifiche in base ai seguenti livelli di gravità:

• Alto: il client OfficeScan non è stato in grado di gestire una minacciainformatica grave

• Medio: il client OfficeScan non è stato in grado di gestire una minacciainformatica

• Basso: il client OfficeScan ha risolto tutte le minacce

b. Accettare o modificare i messaggi predefiniti.

4. Per visualizzare un messaggio di notifica qualora un virus o una minacciainformatica abbia avuto origine nel computer client:

a. Selezionare la casella di controllo in Origine dell'infezione di virus/minacce informatiche.

b. Specificare un intervallo per inviare le notifiche.

c. Se lo si desidera, modificare il messaggio di notifica predefinito.


6-87

Nota

Questo messaggio di notifica viene visualizzato solo se il servizio Messenger diWindows è attivato. Controllare lo stato di questo servizio nella schermataServizi (Pannello di controllo > Strumenti amministrativi > Servizi >Messenger).


Configurazione delle notifiche di spyware/grayware

Procedura


2. Fare clic sulla scheda Spyware/Grayware.

3. Accettare o modificare il messaggio predefinito.


Notifica ai client del riavvio per completare la disinfezionedei file infetti

Procedura




4. Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica.

5. Selezionare Visualizza un messaggio di notifica se è necessario un riavvio delcomputer client per completare la disinfezione dei file infetti.


6-88




Registri dei rischi per la sicurezzaOfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/graywaree quando ripristina spyware/grayware.


Visualizzazione dei registri di virus/minacce informaticheQuando rileva virus e minacce informatiche, il client OfficeScan genera i registri e liinvia al server.

Procedura





6-89


3. Fare clic su Registri > Registri virus/minacce o su Visualizza registri >Registri virus/minacce.


5. Visualizzare i registri. I registri contengono le seguenti informazioni:

• Data e ora del rilevamento virus/minaccia informatica

• Computer infetto

• Nome virus/minaccia informatica

• Origine dell'infezione

• File infetto

• Tipo di scansione che ha rilevato il virus o la minaccia informatica

• Risultati scansione

Nota

Per ulteriori informazioni sui risultati della scansione, vedere Risultati dellascansione antivirus/minacce informatiche a pagina 6-90.

• Indirizzo IP

• Indirizzo MAC

• Dettagli registro (per vedere i dettagli, fare clic su Visualizza)


Il file CSV contiene le seguenti informazioni:

• Tutte le informazioni dei registri

• Il nome dell'utente collegato al computer infetto al momento del rilevamento


6-90

Risultati della scansione antivirus/minacce informaticheI seguenti risultati della scansione vengono visualizzati nei registri di virus/minacceinformatiche:

• Eliminati

• La prima azione è Elimina e il file infetto è stato eliminato.

• La prima azione è Disinfetta, ma la disinfezione non è riuscita. La secondaazione è Elimina e il file infetto è stato eliminato.

• In quarantena

• La prima azione è Metti in quarantena e il file infetto è stato messo inquarantena.

• La prima azione è Disinfetta, ma la disinfezione non è riuscita. La secondaazione è Metti in quarantena e il file infetto è stato messo in quarantena.

• Disinfettati

È stato disinfettato un file infetto.

• Rinominati

• La prima azione è Rinomina e il file infetto è stato rinominato.

• La prima azione è Disinfetta, ma la disinfezione non è riuscita. La secondaazione è Rinomina e il file infetto è stato rinominato.

• Accesso negato

• La prima azione è Impedisci l'accesso e l'accesso al file infetto è statoimpedito quando l'utente ha tentato di aprire il file.

• La prima azione è Disinfetta, ma la disinfezione non è riuscita. La secondaazione è Impedisci l'accesso e l'accesso al file infetto è stato impedito quandol'utente ha tentato di aprire il file.

• Probabile virus/minaccia informatica individuato durante Scansione in temporeale.

• La scansione in tempo reale impedisce l'accesso ai file che sono stati infettatida virus boot anche nel caso in cui l'azione di scansione sia impostata su


6-91

Disinfetta (prima azione) e Metti in quarantena (seconda azione). Ciò èdovuto al fatto che il tentativo di disinfettare il virus potrebbe danneggiare ilMaster Boot Record (MBR) del computer infetto. eseguire la scansionemanuale per permettere a OfficeScan di disinfettare o mettere in quarantena ilfile.

• Ignorati

• La prima azione è Ignora. OfficeScan non ha eseguito alcuna azione sul fileinfetto.

• La prima azione è Disinfetta, ma la disinfezione non è riuscita. La secondaazione è Ignora, quindi OfficeScan non ha eseguito alcuna azione sul fileinfetto.

• Ignorato un potenziale rischio per la sicurezza

Questo risultato di scansione viene visualizzato quando OfficeScan individua un"probabile virus/minaccia informatica" durante Scansione manuale, Scansionepianificata ed Esegui scansione. Per informazioni su probabili virus/minacceinformatiche e su come inviare file sospetti a Trend Micro per l'analisi, fareriferimento all'Enciclopedia dei virus online di Trend Micro disponibile alla paginaseguente.

http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=POSSIBLE_VIRUS&VSect=Sn

• Impossibile disinfettare o mettere in quarantena il file

Disinfetta è la prima azione. Metti in quarantena è la seconda azione e non è statopossibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile mettere in quarantena il file/Impossibile rinominare il file apagina 6-92.

• Impossibile disinfettare o eliminare il file

Disinfetta è la prima azione. Elimina è la seconda azione e non è stato possibileeffettuare nessuna delle due azioni.

Soluzione: consultare Impossibile eliminare il file a pagina 6-92.

• Impossibile disinfettare o rinominare il file




6-92

Disinfetta è la prima azione. Rinomina è la seconda azione e non è stato possibileeffettuare nessuna delle due azioni.

Soluzione: consultare Impossibile mettere in quarantena il file/Impossibile rinominare il file apagina 6-92.

• Impossibile mettere in quarantena il file/Impossibile rinominare il file

Spiegazione 1.

Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere inesecuzione oppure essere contenuto in un CD. Non appena l'applicazione avràrilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potràmetterlo in quarantena/rinominarlo.

Soluzione

Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD inquestione in quanto il virus potrebbe infettare altri computer della rete.

Spiegazione 2.

Il file infetto si trova nella cartella Temporary Internet Files del computer client.Poiché il computer scarica i file durante l'accesso ai siti Web, è possibile che ilbrowser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato ilfile, OfficeScan potrà metterlo in quarantena o rinominarlo.

Soluzione: nessuna

• Impossibile eliminare il file

Spiegazione 1.

il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazioneDisinfetta/Elimina file infetti all'interno dei file compressi in Computercollegati in rete > Impostazioni client globali è disattivata.

Soluzione

Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi.Quando questa opzione è attivata, OfficeScan decomprime un file compresso,disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo.


6-93

NotaSe si attiva questa impostazione, l'utilizzo delle risorse del computer durante lascansione potrebbe aumentare e la scansione potrebbe richiedere più tempo.

Spiegazione 2.

Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere inesecuzione oppure essere contenuto in un CD. Non appena l'applicazione avràrilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potràeliminarlo.

Soluzione

Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD inquestione in quanto il virus potrebbe infettare altri computer della rete.

Spiegazione 3.

Il file infetto si trova nella cartella Temporary Internet Files del computer clientOfficeScan. Poiché il computer scarica i file durante l'accesso ai siti Web, èpossibile che il browser abbia bloccato il file infetto. Non appena il browser Webavrà rilasciato il file, OfficeScan potrà eliminarlo.

Soluzione: nessuna

• Impossibile inviare il file da mettere in quarantena alla cartella diquarantena specificata

Anche se OfficeScan ha messo correttamente in quarantena un file nella cartella\Suspect del computer client OfficeScan, non riesce a inviare il file alla directorydi quarantena designata.

Soluzione

Determinare quale tipo di scansione (Scansione manuale, Scansione in tempo realeo Scansione pianificata) ha rilevato il virus/minaccia informatica e quindi fare clicsulla directory di quarantena specificata nella scheda Computer collegati in rete >Gestione client > Impostazioni > {Tipo di scansione} > Azione.

Se la directory di quarantena di trova nel computer server OfficeScan o in un altrocomputer server OfficeScan:


6-94

1. Verificare che il client sia in grado di collegarsi al server.

2. Se per indicare la directory di quarantena si utilizza il formato URL:

a. Assicurarsi che il nome del computer specificato dopo "http://" siacorretto.

b. Controllare la dimensione del file infetto. Se questa supera la dimensionemassima per i file specificata in Amministrazione > Gestore dellaquarantena, modificare l'impostazione adattandola al file. È anchepossibile decidere di compiere altri azioni come eliminare il file.

c. Verificare la dimensione della directory di quarantena e determinare se hasuperato la capacità di cartella specificata in Amministrazione >Gestore della quarantena. Modificare la capacità della cartella oeliminare manualmente dei file nella directory di quarantena.

3. Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena siacondivisa per il gruppo "Tutti" e che tutti i membri del gruppo abbiano ipermessi di lettura e scrittura. Verificare inoltre che la directory di quarantenaesista e che il percorso UNC sia corretto.

Se la directory di quarantena si trova su un altro computer della rete (per questoscenario è consentito solo il percorso UNC):

1. Verificare che il client OfficeScan sia in grado di collegarsi al computer.

2. Assicurarsi che la directory di quarantena sia condivisa per tutto il gruppo"Tutti" e che tutti i membri del gruppo abbiano i permessi di lettura escrittura.

3. Verificare che la directory di quarantena esista.

4. Verificare che il percorso UNC sia corretto.

Se la directory di quarantena si trova in una directory diversa del computer clientOfficeScan (per questo scenario è consentito solo il percorso assoluto), verificareche la cartella della directory di quarantena esista.

• Impossibile disinfettare il file

Spiegazione 1.


6-95

Il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazioneDisinfetta/Elimina file infetti all'interno dei file compressi in Computer collegatiin rete > Impostazioni client globali è disattivata.

Soluzione

Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi.Quando questa opzione è attivata, OfficeScan decomprime un file compresso,disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo.

NotaSe si attiva questa impostazione, l'utilizzo delle risorse del computer durante lascansione potrebbe aumentare e la scansione potrebbe richiedere più tempo.

Spiegazione 2.

Il file infetto si trova nella cartella Temporary Internet Files del computer clientOfficeScan. Poiché il computer scarica i file durante l'accesso ai siti Web, èpossibile che il browser abbia bloccato il file infetto. Non appena il browser Webavrà rilasciato il file, OfficeScan potrà disinfettarlo.

Soluzione: nessuna

Spiegazione 3.

Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni, vedere File nondisinfettabile a pagina D-16.

Visualizzazione dei registri di spyware/graywareQuando rileva spyware e grayware, il client OfficeScan genera i registri e li invia alserver.

Procedura




6-96



3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >Registri di spyware/grayware.



• Data e ora del rilevamento di spyware/grayware

• Computer interessati

• Nome spyware/grayware

• Tipo di scansione che ha rilevato il programma spyware/grayware

• Dettagli su risultati della scansione spyware/grayware (se l'azione di scansioneè riuscita o meno). Per informazioni, vedere Risultati della scansione spyware/grayware a pagina 6-97.

• Indirizzo IP

• Indirizzo MAC

• Dettagli registro (per vedere i dettagli, fare clic su Visualizza)

6. Aggiungere spyware/grayware considerati innocui a Elenco Approvati spyware/grayware.


Il file CSV contiene le seguenti informazioni:

• Tutte le informazioni dei registri

• Il nome dell'utente collegato al computer infetto al momento del rilevamento


6-97

Risultati della scansione spyware/grayware

I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware:

• Operazione riuscita, non sono necessarie azioni

Questo è il risultato di primo livello se l'azioni di scansione è stata completatacorrettamente. Il risultato di secondo livello può essere uno dei seguenti:

• Disinfettato: OfficeScan interrompe i processi o elimina registri, file, cookie ecollegamenti.

• Accesso negato: OfficeScan ha negato all'utente l'accesso (per copia eapertura) ai componenti grayware e spyware rilevati.

• Richieste ulteriori azioni

Questo è il risultato di primo livello se l'azioni di scansione non è stata completatacorrettamente. I risultati di secondo livello conterranno almeno uno dei seguentimessaggi:

• Ignorato: OfficeScan non ha eseguito alcuna operazione, ma ha registrato ilrilevamento di spyware e grayware per successive valutazioni.

Soluzione: aggiungere spyware/grayware considerati innocui all'ElencoApprovati spyware/grayware.

• Disinfezione spyware/grayware non sicura: questo messaggio vienevisualizzato nel caso in cui il motore di scansione spyware tenti di disinfettareogni singola cartella e siano rispettati i criteri di seguito riportati.

• Gli elementi da disinfettare superano i 250 MB.

• Il sistema operativo utilizza i file contenuti nella cartella. La cartellapotrebbe essere necessaria per il normale funzionamento del sistema.

• La cartella è una directory principale (come C: o F:)

Soluzione: Contattare il provider del supporto per ricevere assistenza.

• La scansione di spyware/grayware è stata interrotta manualmente.Effettuare una scansione completa: un utente interrompe la scansioneprima del completamento.


6-98

Soluzione: eseguire una scansione manuale e attenderne la conclusione.

• Spyware/grayware disinfettato. È necessario riavviare il computer.Riavviare il computer: OfficeScan ha disinfettato i componenti spyware/grayware, ma è necessario riavviare il computer per completare l'attività.

Soluzione: riavviare immediatamente il computer.

• Impossibile disinfettare spyware/grayware: Sono stati rilevati spyware/grayware su un CD-ROM o un'unità di rete. OfficeScan disinfetta solospyware/grayware rilevati in queste posizioni.

Soluzione: rimuovere manualmente il file infetto

• Risultati scansione spyware/grayware non identificati. Contattarel'assistenza tecnica di Trend Micro: una nuova versione del motore discansione spyware fornisce un nuovo risultato della scansione che laconfigurazione di OfficeScan non è in grado di gestire.

Soluzione: contattare l'assistenza tecnica per capire come determinare il nuovorisultato della scansione.

Visualizzazione dei registri di ripristino spyware/grayware

Dopo aver eseguito la disinfezione da spyware/grayware, i client OfficeScan eseguono ilbackup dei relativi dati. Notificare a un client online di ripristinare i file di backup, se talidati sono considerati sicuri. I registri contengono le informazioni sui dati di backup dispyware/grayware ripristinati, sul computer interessato e sui risultati del ripristino.

Procedura

1. Accedere a Registri > Registri dei computer collegati in rete > Ripristinospyware/grayware.

2. Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinatocorrettamente i dati di spyware e grayware.



6-99

Registri di scansione

Quando si esegue Scansione manuale, Scansione pianificata o Esegui scansione, il clientOfficeScan crea un registro della scansione che contiene informazioni sulla scansione. Èpossibile esaminare il registro della scansione accedendo alla console del clientOfficeScan. I client non inviano i registri della scansione al server.

I registri della scansione mostrano le seguenti informazioni:

• Data e ora di inizio della scansione di OfficeScan

• Data e ora di fine della scansione di OfficeScan

• Stato della scansione

• Completato: la scansione è stata completata correttamente.

• Operazione interrotta: la scansione è stata interrotta dall'utente prima delcompletamento.

• Operazione interrotta in modo imprevisto: la scansione è stata interrottadall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizioScansione in tempo reale di OfficeScan potrebbe essere stato interrotto inmodo imprevisto oppure l'utente ha forzato il riavvio del client.

• Tipo di scansione

• Numero di oggetti esaminati

• Numero di file infetti

• Numero di azioni non riuscite

• Numero di azioni riuscite

• Versione del pattern dei virus

• Versione di Smart Scan Agent Pattern

• Versione del pattern spyware


6-100

Rischi per la sicurezzaUn rischio per la sicurezza si presenta quando i rilevamenti di virus/minacceinformatiche, spyware/grayware e le sessioni di cartelle condivise superano unadeterminata soglia in un determinato intervallo di tempo. Esistono vari modi per reagiree contenere un'infezione nella rete, tra i quali:

• Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attivitàsospette

• Blocco di porte e cartelle principali del computer

• lnvio di messaggi di avviso di infezione ai client

• Disinfezione dei computer infetti

Notifiche e criteri dei rischi per la sicurezza

Configurare OfficeScan per inviare una notifica all'utente e agli amministratori diOfficeScan quando si verificano i seguenti eventi:

• Infezioni di virus/minacce informatiche

• Infezioni di spyware/grayware

• Infezioni da violazioni del firewall

• Infezioni di sessioni di condivisione delle cartelle

Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo dirilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamentinel periodo di rilevamento stabilito.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.


6-101

NotaOfficeScan è in grado di inviare notifiche dei rischi per sicurezza tramite e-mail,cercapersone, trap SNMP e Registro Eventi di Windows NT. Per le infezioni delle sessionidi cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare leimpostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per idettagli, consultare Impostazioni notifica amministratore a pagina 12-30.

Configurazione delle notifiche e dei criteri dei rischi per lasicurezza

Procedura

1. Accedere a Notifiche > Notifiche per l'amministratore > Notifiche infezione.


a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware:

b. Specificare il numero di origini uniche dei rilevamenti.

c. Specificare il numero di rilevamenti e il periodo di rilevamento per ognirischio per la sicurezza.

SuggerimentoTrend Micro consiglia di accettare i valori predefiniti di questa schermata.

OfficeScan invia un messaggio di notifica quando il numero di rilevamenti fissatoviene superato. Ad esempio, nella sezione Virus e minacce informatiche, se sispecificano 10 origini uniche, 100 rilevamenti e un periodo di tempo di 5 ore,OfficeScan invia la notifica quando 10 diversi client hanno riportato un totale di101 rischi per la sicurezza nell'arco di 5 ore. Se tutti i rischi sono stati rilevati nellostesso client nell'arco di 5 ore, OfficeScan non invia la notifica.


a. Andare alla sezione Sessioni di condivisione delle cartelle.

b. Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete.


6-102

c. In Sessioni di condivisione cartelle registrate, fare clic sul collegamentodel numero per visualizzare i computer con cartelle condivise e i computercon accesso alle cartelle condivise.

d. Specificare il numero di sessioni di condivisione cartelle e il periodo dirilevamento.

OfficeScan invia un messaggio di notifica quando il numero di sessioni dicondivisione cartelle fissato viene superato.


a. Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni dispyware/grayware e Infezioni delle sessioni di condivisione dellecartelle.


c. Specificare i destinatari del messaggio e-mail.

d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare solo variabili token per rappresentare i dati nelcampo Oggetto e Messaggio.

TABELLA 6-20. Variabili token per le notifiche dei rischi per la sicurezza


Infezioni di virus/minacce informatiche

%CV Numero totale di virus/minacce informatiche rilevati

%CC Numero totale di computer con virus/minacce informatiche

Infezioni di spyware/grayware

%CV Numero totale di spyware/grayware rilevati

%CC Numero totale di computer con spyware/grayware

Infezioni delle sessioni di condivisione delle cartelle

%S Numero di sessioni di condivisione delle cartelle


6-103


%T Totale periodo di durata delle sessioni di condivisione dellecartelle

%M Periodo di tempo in minuti

e. Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/grayware da includere nel messaggio e-mail. È possibile includere il nome delclient/dominio, il nome del rischio per la sicurezza, la data e l'ora delrilevamento, il file infetto e il percorso e il risultato della scansione.

f. Accettare o modificare i messaggi di notifica predefiniti.

5. Nella scheda Cercapersone:

a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezionidi spyware/grayware.



6. Fare clic sulla scheda Trap SNMP:



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Perinformazioni, vedere Tabella 6-20: Variabili token per le notifiche dei rischi per lasicurezza a pagina 6-102.

7. Nella scheda Registro eventi NT:



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Per


6-104

informazioni, vedere Tabella 6-20: Variabili token per le notifiche dei rischi per lasicurezza a pagina 6-102.


Configurazione della prevenzione dei rischi per lasicurezza

Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misuredi prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delleimpostazioni di prevenzione, poiché eventuali errori di configurazione possonoprovocare problemi imprevisti nella rete.

Procedura

1. Accedere a Computer collegati in rete > Prevenzione delle infezioni.


3. Fare clic su Avvia Prevenzione delle infezioni.

4. Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurarele impostazioni per il criterio:

• Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 6-106

• Blocco delle porte vulnerabili a pagina 6-107

• Divieto di accesso in scrittura a file e cartelle a pagina 6-108

5. Selezionare i criteri da applicare.

6. Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Ilvalore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni direte prima che il periodo di prevenzione delle infezioni scada.


6-105

AVVERTENZA!Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Perbloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo ditempo indeterminato, anziché utilizzare OfficeScan si consiglia di modificaredirettamente le impostazioni del computer o della rete.

7. Accettare o modificare il messaggio di notifica del client predefinito.

NotaPer configurare OfficeScan affinché invii notifiche durante un'infezione, accedere aNotifiche > Notifiche per l'amministratore > Notifiche infezione.

8. Fare clic su Avvia notifiche di infezione.

Le misure di prevenzione delle infezioni selezionate vengono visualizzate in unanuova finestra.

9. Tornare alla struttura dei client e selezionare la colonna Prevenzione delleinfezioni.

Accanto ai computer a cui vengono applicate le misure di prevenzione delleinfezioni viene visualizzato un segno di spunta.

OfficeScan registra i seguenti eventi nei registri eventi di sistema:

• Eventi server (avvio della prevenzione delle infezioni e notifica dei client di attivarela prevenzione delle infezioni)

• Evento client OfficeScan (attivazione della prevenzione delle infezioni)

Criteri per la prevenzione delle infezioniQuando si verificano le infezioni, implementare i seguenti criteri:

• Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 6-106

• Blocco delle porte vulnerabili a pagina 6-107

• Divieto di accesso in scrittura a file e cartelle a pagina 6-108


6-106

Limitazione/Negazione dell'accesso alle cartelle condivise

Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivisedella rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartellecondivise.

Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle,ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisaregli utenti di non condividere le cartelle durante un'infezione oppure implementare dinuovo il criterio per applicarlo alle nuove cartelle condivise.

Procedura




4. Fare clic su Limita/impedisci l'accesso alle cartelle condivise.

5. Selezionare una delle opzioni seguenti:

• Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise

• Impedisci accesso completo

Nota

l'impostazione di accesso in sola lettura non si applica alle cartelle condivise giàconfigurate per impedire l'accesso completo.


Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delleinfezioni.



6-107


Blocco delle porte vulnerabili

Durante le infezioni, è necessario bloccare le porte vulnerabili che virus/minacceinformatiche potrebbero utilizzare per accedere ai computer client OfficeScan.

AVVERTENZA!Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione.Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili.Ad esempio, se si blocca la porta affidabile, OfficeScan non riesce a comunicare con ilclient per tutta la durata dell'infezione.

Procedura




4. Fare clic su Blocco delle porte.

5. Decidere se selezionare l'opzione Blocca porta affidabile.

6. Selezionare le porte da bloccare nella colonna Porte bloccate.

a. Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata chesi apre, selezionare le porte da bloccare e fare clic su Salva.

• Tutte le porte (ICMP incluso): blocca tutte le porte eccetto quellaaffidabile. Se si desidera bloccare anche la porta affidabile, selezionare lacasella di controllo Blocca porta affidabile nella schermata precedente.

• Porte utilizzate frequentemente: selezionare almeno un numero diporta da salvare nelle impostazioni per il blocco delle porte diOfficeScan.


6-108

• Porte dei cavalli di Troia: blocca le porte normalmente utilizzate daiprogrammi cavalli di Troia. Per informazioni, vedere Porta dei cavalli diTroia a pagina D-14.

• Un numero o intervallo di porte: è possibile specificare la direzione deltraffico da bloccare e alcuni commenti, come il motivo per cui devonoessere bloccate le porte specificate.

• Protocollo ping (respingi ICMP): fare clic su questa opzione se sidesidera soltanto bloccare i pacchetti ICMP, come ad esempio lerichieste ping.

b. Per modificare le impostazioni per le porte bloccate, fare clic sul numero diporta.

c. Nella schermata che si apre, modificare le impostazioni e fare clic su Salva.

d. Per rimuovere una porta dall'elenco, selezionare la casella di controllo accantoal numero di porta e fare clic su Elimina.





Divieto di accesso in scrittura a file e cartelle

I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartellesui computer host. Durante un'infezione è possibile configurare OfficeScan affinchénon consenta a virus/minacce informatiche di modificare o eliminare file e cartelle suicomputer client OfficeScan.

Procedura



6-109



4. Fare clic su Impedisci accesso alla scrittura di file e cartelle.

5. Inserire il percorso directory. Dopo avere digitato il percorso directory daproteggere, fare clic su Aggiungi.

NotaDigitare il percorso assoluto (non quello virtuale) della directory.

6. Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i filecon determinate estensioni. Per specificare un'estensione non compresa nell'elenco,digitarla nella casella di testo e fare clic su Aggiungi.

7. Per proteggere file specifici, in File da proteggere, inserire il nome file completo efare clic su Aggiungi.





Disattivazione della prevenzione delle infezioniSe si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati omessi in quarantena da OfficeScan, ripristinare le normali impostazioni di retedisattivando la funzione di prevenzione delle infezioni.

Procedura



6-110


3. Fare clic su Ripristina impostazioni.

4. Per informare gli utenti che l'infezione è terminata, selezionare Invia una notificaagli utenti client dopo il ripristino delle impostazioni originali.

5. Accettare o modificare il messaggio di notifica del client predefinito.

6. Fare clic su Ripristina impostazioni.

NotaSe non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristinaautomaticamente trascorso il numero di ore specificato in Ripristinaautomaticamente le normali impostazioni di rete dopo __ ore nella schermataImpostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore.

OfficeScan registra i seguenti eventi nei registri eventi di sistema:

• Eventi server (avvio della prevenzione delle infezioni e notifica dei clientOfficeScan di attivare la prevenzione delle infezioni)

• Evento client OfficeScan (attivazione della prevenzione delle infezioni)

7. Dopo aver disattivato la prevenzione dalle infezioni, effettuare la scansione deicomputer di rete per contrastare eventuali rischi per la prevenzione.

7-1

Capitolo 7

Uso di Monitoraggio delcomportamento

Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzandola funzione di Monitoraggio del comportamento.


• Monitoraggio del comportamento a pagina 7-2

• Privilegi di monitoraggio del comportamento a pagina 7-9

• Notifiche di Monitoraggio del comportamento per gli utenti dei client OfficeScan a pagina 7-11

• Registri di Monitoraggio del comportamento a pagina 7-12


7-2

Monitoraggio del comportamentoIl Monitoraggio del comportamento controlla costantemente gli endpoint alla ricerca dimodifiche insolite al sistema operativo o al software installato. Il Monitoraggio delcomportamento protegge gli endpoint con il Blocco del comportamento malware e ilMonitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco dieccezioni configurato dall'utente e il servizio Certified Safe software.

Importante

Il Monitoraggio del comportamento non supporta le piattaforme Windows XP oWindows 2003 a 64 bit.

Il Monitoraggio del comportamento supporta le piattaforme Windows Vista a 64 bitcon SP1 o versioni successive.

Per impostazione predefinita, il Monitoraggio del comportamento è disattivato in tuttele versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012.Prima di attivare il Monitoraggio del comportamento su queste piattaforme server,leggere le linee guida e le migliori pratiche descritte in Servizi client OfficeScan a pagina13-7.

Blocco del comportamento malware

Il Blocco del comportamento malware offre uno strato necessario di protezioneaggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso.Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguonovarie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva icomportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questafunzione per garantire un livello più alto di protezione contro le minacce nuove,sconosciute ed emergenti.

Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizzauna notifica sul computer client OfficeScan. Per ulteriori informazioni sulle notifiche,vedere Notifiche di Monitoraggio del comportamento per gli utenti dei client OfficeScan a pagina7-11.

Uso di Monitoraggio del comportamento

7-3

Monitoraggio degli eventi

Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchisoftware e malware non autorizzati. Controlla le aree di sistema alla ricerca dideterminati eventi, consentendo agli amministratori di regolare i programmi che attivanoquesti eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezionedel sistema che superano e che esulano da quelli garantiti dal Blocco del comportamentomalware.

La tabella seguente contiene l'elenco degli eventi di sistema monitorati.

TABELLA 7-1. Eventi di sistema controllati

EVENTI DESCRIZIONE

Duplicazione dei filedi sistema

Molti programmi dannosi creano copie di sé stessi o di altriprogrammi dannosi servendosi dei nomi utilizzati dai file disistema di Windows. Lo scopo è generalmente quello di avere laprecedenza o di sostituirsi ai file di sistema, di evitare ilrilevamento o di disincentivare gli utenti dall'eliminare i filedannosi.

Modifica del fileHosts

Il file Hosts abbina il nome di dominio agli indirizzi IP. Moltiprogrammi dannosi modificano il file Hosts e fanno in modo che ilbrowser Web venga reindirizzato verso siti Web infetti, inesistentio falsificati.

Comportamentosospetto

Il comportamento sospetto può essere rappresentato daun'operazione specifica o una serie di operazioni raramentesvolte da programmi legittimi. I programmi che rivelano uncomportamento sospetto devono essere utilizzati con cautela.

Nuovo plug-in perInternet Explorer

I programmi spyware/grayware spesso installano dei plug-in nonrichiesti per Internet Explorer, come barre degli strumenti e oggettiBHO (Browser Helper Object).

Modifica delleimpostazioni diInternet Explorer

Molti virus/minacce informatiche modificano le impostazioni diInternet Explorer, comprese quelle relative a home page, siti Webaffidabili, impostazioni del server proxy ed estensioni dei menu.

Modifica dei criteridi protezione

Le modifiche ai criteri di protezione di Windows possonoconsentire alle applicazioni indesiderate di essere eseguite e dimodificare le impostazioni di sistema.


7-4

EVENTI DESCRIZIONE

Caricamento dilibrerie diprogramma

Molti programmi dannosi configurano Windows in modo che tuttele applicazioni carichino automaticamente una libreria diprogramma (DLL). Questo causa l'esecuzione delle routinedannose nelle DLL ad ogni avvio dell'applicazione.

Modifica della shell Molti programmi dannosi modificano le impostazioni della shell diWindows per associare sé stessi a determinati tipi di file. Questaroutine consente ai programmi dannosi di venire avviatiautomaticamente quando l'utente apre i file ad essi associati inEsplora risorse. Le modifiche alle impostazioni della shell diWindows sono anche in grado di consentire ai programmi dannosidi rilevare i programmi utilizzati dall'utente e vengono avviatiinsieme alle applicazioni legittime.

Nuovo servizio I servizi di Windows sono processi con funzioni speciali e ingenere rimangono in esecuzione costante in background conaccesso amministrativo completo. I programmi dannosi spesso siinstallano come servizi, in modo da rimanere nascosti.

Modifica dei file disistema

Alcuni file di sistema di Windows determinano il comportamentodel sistema, compresi i programmi di avvio e le impostazioni delsalvaschermo. Molti programmi dannosi modificano i file disistema per poter essere avviati automaticamente all'avvio econtrollare il comportamento del sistema.

Modifica dei criteridel firewall

I criteri di Windows Firewall determinano quali applicazioni hannoaccesso alla rete, quali porte sono aperte per la comunicazione equali indirizzi IP possono comunicare con il computer dell'utente.Molti programmi dannosi modificano i criteri per aprirsi un varconella rete e in Internet.

Modifica deiprocessi di sistema

Molti programmi dannosi eseguono varie operazioni sui processiintegrati di Windows. Esempi di tali operazioni sono l'interruzioneo la modifica dei processi in esecuzione.

Nuovo programmadi avvio

Molti programmi dannosi configurano Windows in modo che tuttele applicazioni carichino automaticamente una libreria diprogramma (DLL). Questo causa l'esecuzione delle routinedannose nelle DLL ad ogni avvio dell'applicazione.

Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azioneconfigurata per l'evento.


7-5

La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventidi sistema monitorati.

TABELLA 7-2. Azioni per eventi di sistema controllati

AZIONE DESCRIZIONE

Valuta OfficeScan autorizza sempre i programmi associati a un eventoma tiene traccia dell'operazione nei registri ai fini della valutazione.

Questa è l'azione predefinita per tutti gli eventi di sistemacontrollati.

NotaQuesta opzione non è supportata per il Caricamento dilibrerie di programma sui sistemi a 64 bit.

Consenti OfficeScan autorizza sempre i programmi associati a un evento.

Chiedi senecessario

OfficeScan chiede agli utenti se consentire o negare i programmiassociati a un evento e aggiungere i programmi all'elenco dieccezioni

Se l'utente non risponde entro un determinato periodo di tempo,OfficeScan autorizza automaticamente l'esecuzione delprogramma. Il periodo di tempo predefinito è 30 secondi. Permodificare il periodo di tempo, vedere Modifica del periodo ditempo necessario prima che un programma possa essere eseguitoa pagina 7-7.

NotaQuesta opzione non è supportata per il Caricamento dilibrerie di programma sui sistemi a 64 bit.

Impedisci OfficeScan blocca sempre i programmi associati a un evento etiene traccia dell'operazione nei registri.

Quando un programma viene bloccato e le notifiche sono attivate,OfficeScan visualizza una notifica sul computer client OfficeScan.Per ulteriori informazioni sulle notifiche, vedere Notifiche diMonitoraggio del comportamento per gli utenti dei clientOfficeScan a pagina 7-11.


7-6

Elenco eccezioni Monitoraggio del comportamentoL'elenco di eccezioni del monitoraggio del comportamento contiene programmi che nonvengono controllati da Monitoraggio del comportamento.

• Programmi approvati: i programmi contenuti in questo elenco possono essereeseguiti. I programmi approvati vengono comunque controllati da altre funzioni diOfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione.

• Programmi bloccati: non è possibile avviare i programmi inclusi in questo elenco.Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi.

Configurare l'elenco di eccezioni dalla console Web. È anche possibile assegnare agliutenti il privilegio di configurare il proprio elenco di eccezioni dalla console del clientOfficeScan. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina7-9.

Configurazione del Blocco del comportamento malware, delMonitoraggio degli eventi e dell'Elenco di Eccezione:

Procedura



3. Fare clic su Impostazioni > Impostazioni del monitoraggio delcomportamento.

4. Selezionare Attiva Blocco del comportamento malware.

5. Configurare le impostazioni del monitoraggio degli eventi.

a. Selezionare Attiva Monitoraggio degli eventi.

b. Scegliere gli eventi di sistema da controllare e selezionare un'azione perciascuno degli eventi selezionati. Per informazioni sugli eventi di sistemacontrollati e le azioni, vedere Monitoraggio degli eventi a pagina 7-3.

6. Configurare l'elenco di eccezioni.


7-7

a. In Inserire il percorso completo del programma, digitare il percorsocompleto del programma da approvare o bloccare. Separare le diverse vocicon un punto e virgola (; L'elenco di eccezioni supporta caratteri jolly epercorsi UNC.

b. Fare clic su Approva programmi o Blocca programmi.

c. Per eliminare un programma bloccato o approvato dall'elenco, fare clicsull'icona del cestino ( ) accanto al programma.

Nota

OfficeScan accetta un massimo di 100 programmi approvati e 100 programmibloccati.




Modifica del periodo di tempo necessario prima che unprogramma possa essere eseguito

Questa impostazione funziona solo se è attivato il Monitoraggio degli eventi e l'azioneper un evento di sistema controllato è "Chiedi se necessario". Questa azione chiedeall'utente se consentire o negare i programmi associati all'evento. Se l'utente nonrisponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamentel'esecuzione del programma. Per i dettagli, consultare Monitoraggio degli eventi a pagina 7-3.


7-8

Procedura


2. Passare alla sezione Impostazioni del monitoraggio del comportamento .

3. Specificare il periodo di tempo in Autorizza automaticamente il programma seil client non risponde entro __ secondi.


Servizio Certified Safe Software

Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare lasicurezza di un programma rilevato da Blocco del comportamento malware o daMonitoraggio degli eventi. Attivare il servizio Certified Safe Software per ridurre lapossibilità di falsi allarmi.

Nota

Prima di attivare il Servizio Certified Safe Software, accertarsi che le impostazioni proxy delclient OfficeScan siano corrette (per informazioni, vedere Impostazioni proxy client OfficeScan apagina 13-50). Impostazioni proxy scorrette, insieme a una connessione Internetintermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Diconseguenza, i programmi controllati non rispondono.

Inoltre, i client OfficeScan IPv6 puri non possono inviare query direttamente ai datacenterTrend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP, ad esempioDeleGate, è necessario per consentire ai client OfficeScan di collegarsi ai datacenter TrendMicro.

Attivazione del Servizio Certified Safe Software

Procedura


2. Passare alla sezione Impostazioni del monitoraggio del comportamento .


7-9

3. Selezionare l'opzione Attiva il servizio Certified Safe Software.


Privilegi di monitoraggio del comportamentoSe i client dispongono dei privilegi di Monitoraggio del comportamento, la schedaMonitoraggio del comportamento viene visualizzata nella console del client OfficeScan.Gli utenti possono, quindi, gestire il proprio elenco di eccezioni.

FIGURA 7-1. Scheda Monitoraggio del comportamento nella console del clientOfficeScan


7-10

Concessione dei privilegi di monitoraggio delcomportamento

Procedura




4. Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio delcomportamento.

5. Selezionare Visualizza la scheda Monitoraggio del comportamento nellaconsole del client.





7-11

Notifiche di Monitoraggio del comportamentoper gli utenti dei client OfficeScan

OfficeScan può visualizzare un messaggio di notifica su un computer client OfficeScansubito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivarel'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio.

Attivazione dell'invio di messaggi di notifica

Procedura




4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni delmonitoraggio del comportamento .

5. Selezionare Visualizza una notifica quando un programma viene bloccato.





7-12

Modifica del contenuto del messaggio di notifica

Procedura


2. Fare clic sulla scheda Violazioni ai criteri di monitoraggio del comportamento.

3. Modificare il messaggio predefinito nella casella di testo disponibile.


Registri di Monitoraggio del comportamentoI client OfficeScan registrano le istanze di accesso non autorizzato ai programmi einviano i registri al server. Un client OfficeScan che è sempre in funzione raccoglie iregistri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti.


Visualizzazione dei registri di Monitoraggio delcomportamento

Procedura

1. Accedere a Registri > Registri dei computer collegati in rete > Rischi per lasicurezza o Computer collegati in rete > Gestione client.


3. Fare clic su Registri > Registri di Monitoraggio del comportamento oppureVisualizza registri > Registri di Monitoraggio del comportamento.


7-13



• Data/Ora di rilevamento del processo non autorizzato

• Computer in cui il processo non autorizzato è stato rilevato

• Dominio del computer

• Violazione, ossia la regola di monitoraggio dell'evento violata dal processo

• Azione eseguita al rilevamento della violazione

• Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso

• Livello di rischio del programma non autorizzato

• Programma, ossia il programma non autorizzato

• Operazione, ossia l'azione eseguita dal programma non autorizzato

• Destinazione, ossia il processo al quale è stato eseguito l'accesso


Configurazione della pianificazione dell'invio dei registridi Monitoraggio del comportamento:

Procedura

1. Accedere a <Cartella di installazione del server>\PCCSRV.


3. Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto adessa.

Il valore predefinito è 3600 secondi e la stringa completa èSendBMLogPeriod=3600.


7-14

4. Specificare il valore in secondi.

Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in7200.

5. Salvare il file.

6. Andare a Computer collegati in rete > Impostazioni client globali.

7. Fare clic su Salva senza cambiare le impostazioni.

8. Riavviare il client.

8-1

Capitolo 8

Utilizzo di Controllo dispositivoQuesto capitolo descrive come proteggere i computer dai rischi per la sicurezzautilizzando la funzione di Controllo dispositivo.


• Controllo dispositivo a pagina 8-2

• Modifica delle notifiche di controllo dispositivo a pagina 8-16

• Registri di controllo dispositivo a pagina 8-16


8-2

Controllo dispositivoControllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorsedi rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e ladispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischiper la sicurezza.

È possibile configurare i criteri di Controllo dispositivo per i client interni ed esterni. Gliamministratori OfficeScan in genere configurano criteri più rigidi per i client esterni.

I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibileapplicare determinati criteri a gruppi di client o a singoli client. È possibile ancheapplicare un singolo criterio a tutti i client.

Dopo aver distribuito i criteri, i client utilizzano il criterio di località impostato nellaschermata Località computer (vedere Località computer a pagina 13-2) per stabilire la lorolocalità e il criterio da applicare. I client cambiano criteri ogni volta che cambia lalocalità.

Importante:

• Per impostazione predefinita, il Controllo dispositivo è disattivato in tutte leversioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012.Prima di attivare il Controllo dispositivo su queste piattaforme server, leggere lelinee guida e le migliori pratiche descritte in Servizi client OfficeScan a pagina 13-7.

• I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendonodall'attivazione della licenza di Protezione dati. Protezione dati è un moduloconcesso in licenza separatamente che deve essere attivato prima dell'utilizzo. Perulteriori informazioni sulla licenza di Protezione dati, vedere Licenza di Protezione datia pagina 9-4.

TABELLA 8-1. Tipi di dispositivo

PROTEZIONE DATI ATTIVATAPROTEZIONE DATI NON

ATTIVATA

Dispositivi di archiviazione

CD/DVD Monitorato Monitorato

Utilizzo di Controllo dispositivo

8-3

PROTEZIONE DATI ATTIVATAPROTEZIONE DATI NON

ATTIVATA

Dischi floppy Monitorato Monitorato

Unità di rete Monitorato Monitorato

Dispositivi USB diarchiviazione

Monitorato Monitorato

Dispositivi non di archiviazione

Porte COM e LPT Monitorato Non monitorato

Interfaccia IEEE 1394 Monitorato Non monitorato

Dispositivi perl'acquisizione di immagini

Monitorato Non monitorato

Dispositivi a infrarossi Monitorato Non monitorato

Modem Monitorato Non monitorato

Scheda PCMCIA Monitorato Non monitorato

Tasto Stamp Monitorato Non monitorato

• Per un elenco dei modelli di dispositivi supportati, vedere:


Autorizzazioni per dispositivi di archiviazioneLe autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengonoutilizzate per:

• Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy eunità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitareil livello di accesso.

• Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllodispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione,ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibileconsentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.



8-4

La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi diarchiviazione.

TABELLA 8-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione

AUTORIZZAZIONI FILE NEL DISPOSITIVO FILE IN ENTRATA

Accesso completo Operazioni consentite: copia,spostamento, apertura,salvataggio, eliminazione,esecuzione

Operazioni consentite:salvataggio, spostamento, copia

Ciò significa che un file puòessere salvato, spostato ecopiato nel dispositivo.

Modifica Operazioni consentite: copia,spostamento, apertura,salvataggio, eliminazione

Operazioni non consentite:esecuzione

Operazioni consentite:salvataggio, spostamento, copia

Lettura edesecuzione

Operazioni consentite: copia,apertura, esecuzione

Operazioni non consentite:salvataggio, spostamento,eliminazione

Operazioni non consentite:salvataggio, spostamento, copia

Lettura Operazioni consentite: copia,apertura

Operazioni non consentite:salvataggio, spostamento,eliminazione, esecuzione


Elenca solocontenutodispositivo

Operazioni non consentite: tuttele operazioni

Il dispositivo e i file che contienesono visibili all'utente (adesempio, da Esplora risorse diWindows).



8-5

AUTORIZZAZIONI FILE NEL DISPOSITIVO FILE IN ENTRATA

Blocca

(disponibile dopol'attivazione dellaProtezione dati)

Operazioni non consentite: tuttele operazioni

Il dispositivo e i file che contienenon sono visibili all'utente (adesempio, da Esplora risorse diWindows).


La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi epuò prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file,ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, vieneeseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Sel'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia,l'azione di scansione è Elimina, il file viene eliminato.

SuggerimentoIl controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per ilmonitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportati daOfficeScan (per informazioni, vedere Supporto del Controllo dispositivo a 64 bit per Prevenzionemodifiche non autorizzate a pagina 1-5), impostare l'autorizzazione del dispositivo su Bloccaper limitare l'accesso a tale dispositivo.

Autorizzazioni avanzate per i dispositivi di archiviazioneLe autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate peri dispositivi di archiviazione. È possibile applicare una delle autorizzazioni seguenti:

• Modifica

• Lettura ed esecuzione

• Lettura

• Elenca solo contenuto dispositivo

È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate perdeterminati programmi sui dispositivi di archiviazione e sul computer locale.

Per definire i programmi, configurare gli elenchi di programmi seguenti.


8-6

TABELLA 8-3. Elenchi di programmi

ELENCO DIPROGRAMMI

DESCRIZIONE VALORI VALIDI

Programmi conaccesso in letturae scrittura aidispositivi

Questo elenco contiene i programmi locali ei programmi dei dispositivi di archiviazioneche hanno accesso in lettura e scrittura aidispositivi.

Un esempio di programma locale èMicrosoft Word (winword.exe), di solitoinstallato in C:\\Programmi\\MicrosoftOffice\\Office. Se l'autorizzazione per idispositivi di archiviazione USB è "Elencasolo contenuto dispositivo", ma "C:\\Programmi\\Microsoft Office\\Office\\winword.exe" è incluso nell'elenco:

• L'utente avrà accesso in lettura escrittura a tutti i file del dispositivo diarchiviazione USB a cui Microsoft Wordha accesso.

• L'utente può salvare, spostare ocopiare un file Microsoft Word suldispositivo di archiviazione USB.

Nome e percorso delprogramma

Per i dettagli,consultare Specificadi nome e percorsodel programma apagina 8-8.

Programmi sudispositivi a cui èconsentitoeseguire

Questo elenco contiene i programmi deidispositivi di archiviazione che possonoessere eseguiti dagli utenti o dal sistema.

Ad esempio, per consentire agli utenti diinstallare il software da un CD, aggiungerea questo elenco il nome e il percorso delprogramma di installazione, ad esempio "E:\Installer\Setup.exe",

Nome e percorso delprogramma oprovider della firmadigitale

Per maggiori dettagli,vedere Specifica dinome e percorso delprogramma a pagina8-8 o Specifica di unprovider della firmadigitale a pagina8-7.

In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi.Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, seattivato, richiede agli utenti di specificare un nome utente e una password validi prima


8-7

che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza unprogramma del dispositivo denominato "Password.exe", che è necessario autorizzareaffinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avereaccesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificareil nome utente o la password.

Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessarioaggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Peristruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Aggiunta diprogrammi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini a pagina 8-14.

AVVERTENZA!I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio principale(root) e sovrascrivono i programmi nei singoli domini e nei client.

Specifica di un provider della firma digitale

Specificare un provider di firma digitale se si ritengono affidabili i programmi delprovider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile


8-8

conoscere il provider della firma digitale verificando le proprietà di un programma (adesempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).

FIGURA 8-1. Provider della firma digitale per il programma del client OfficeScan(PccNTMon.exe)

Specifica di nome e percorso del programma

Il nome e il percorso di un programma devono essere composti da un massimo di 259caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibilespecificare solo il nome del programma.

È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi deiprogrammi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo,come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a caratteremultiplo, come un nome di un programma.


8-9

Nota

I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessariospecificare il nome esatto di una cartella.

Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:

TABELLA 8-4. Uso corretto dei caratteri jolly

ESEMPIO DATI CORRISPONDENTI

?:\Password.exe Il file "Password.exe" si trova direttamente sotto unaqualsiasi unità

C:\Programmi\Microsoft\*.exe Qualsiasi file in C:\Programmi che abbiaun'estensione di file

C:\Programmi\*.* Qualsiasi file in C:\Programmi che abbiaun'estensione di file

C:\Programmi\a?c.exe Qualsiasi file .exe in C:\Programmi composto da 3caratteri che inizi con la lettera "a" e termini con lalettera "c"

C:\* Qualsiasi file che si trovi direttamente sotto l'unità C:\Programmi con o senza un'estensione di file

Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:

TABELLA 8-5. Uso scorretto dei caratteri jolly

ESEMPIO MOTIVO

??:\Buffalo\Password.exe ?? rappresenta due caratteri, mentre le lettere delleunità sono costituite da un solo carattere alfabetico.

*:\Buffalo\Password.exe * rappresenta dati con più caratteri, mentre le letteredelle unità sono costituite da un solo caratterealfabetico.

C:\*\Password.exe I caratteri jolly non possono essere usati perrappresentare nomi di cartelle. È necessariospecificare il nome esatto di una cartella.C:\?\Password.exe


8-10

Autorizzazioni per dispositivi non di archiviazioneL'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Perquesti dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.

Gestione dell'accesso ai dispositivi esterni (Protezione datiattivata)

Procedura



3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

4. Fare clic sulla scheda Client esterni per configurare le impostazioni per i clientesterni o sulla scheda Client interni per configurare le impostazioni per i clientinterni.

5. Selezionare Attiva controllo dispositivo.

6. Applicare le impostazioni come indicato di seguito:

• Nella scheda Client esterni è possibile applicare le impostazioni ai clientinterni selezionando Applica impostazioni a client interni.

• Se ci si trova nella scheda Client interni, è possibile applicare le impostazionidelle azioni ai client esterni selezionando Applica impostazioni a clientesterni.

7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in undispositivo di archiviazione USB.

8. Configurare le impostazioni per i dispositivi di archiviazione.

a. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Perulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi diarchiviazione a pagina 8-3.


8-11

b. Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca,configurare un elenco dei dispositivi approvati. Gli utenti possono accedere aquesti dispositivi e possono controllare il livello di accesso usando leautorizzazioni. Consultare Configurazione di un elenco Approvati per i dispositiviUSB a pagina 8-12.

9. Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.




Configurazione delle autorizzazioni avanzate

Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinatodispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazionivengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa chefacendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà sidefiniscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.

Nota

Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente iprogrammi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi diarchiviazione a pagina 8-5.

Procedura

1. Fare clic su Notifiche e autorizzazioni avanzate.


8-12


2. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare ilpercorso ed il nome file del programma e fare clic su Aggiungi.

Il provider della firma digitale non viene accettato.

3. Sotto Programmi su dispositivi di archiviazione di cui è consentital'esecuzione:, digitare il percorso ed il nome file del programma oppure il providerdella firma digitale e fare clic su Aggiungi.

4. Selezionare Visualizza un messaggio di notifica sul computer client quandoOfficeScan rileva un accesso non autorizzato ai dispositivi.

• L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate suldispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gliutenti non potranno salvare, spostare, eliminare o eseguire un file suldispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alleautorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 8-3.

• È possibile modificare il messaggio di notifica. Per maggiori dettagli,consultare Notifiche di Controllo dispositivo a pagina 8-16.

5. Fare clic su Indietro.

Configurazione di un elenco Approvati per i dispositivi USB

L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come caratterejolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi chesoddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositiviUSB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elencoapprovati.

Procedura

1. Fare clic su Dispositivi approvati.

2. Immettere il fornitore del dispositivo.

3. Immettere il modello e l'ID di serie del dispositivo.


8-13

Suggerimento

Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agliendpoint. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-54.

4. Selezionare l'autorizzazione per ciascun dispositivo. Per maggiori dettagli sulleautorizzazioni, consultare Autorizzazioni per dispositivi di archiviazione a pagina 8-3.

5. Per aggiungere altri dispositivi, fare clic sull'icona (+).

6. Fare clic su < Indietro.

Gestione dell'accesso ai dispositivi esterni (Protezione dati nonattivata)

Procedura



3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

4. Fare clic sulla scheda Client esterni per configurare le impostazioni per i clientesterni o sulla scheda Client interni per configurare le impostazioni per i clientinterni.

5. Selezionare Attiva controllo dispositivo.

6. Applicare le impostazioni come indicato di seguito:

• Nella scheda Client esterni è possibile applicare le impostazioni ai clientinterni selezionando Applica impostazioni a client interni.

• Se ci si trova nella scheda Client interni, è possibile applicare le impostazionidelle azioni ai client esterni selezionando Applica impostazioni a clientesterni.


8-14

7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in undispositivo di archiviazione USB.

8. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulterioriinformazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione apagina 8-3.

9. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per ildispositivo di archiviazione è una delle seguenti: Modifica, Lettura edesecuzione, Lettura o Elenca solo contenuto dispositivo. ConsultareConfigurazione delle autorizzazioni avanzate a pagina 8-11.




Aggiunta di programmi agli elenchi di controllo dispositivo conofcscan.ini

Nota

Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi chepossono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi diarchiviazione a pagina 8-5.

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV.


8-15

2. Aprire il file ofcscan.ini usando un editor di testo.

3. Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi diarchiviazione:

a. Individuare le righe seguenti:

[DAC_APPROVED_LIST]

Count=x

b. Sostituire "x" con il numero di programmi dell'elenco dei programmi.

c. Sotto "Count=x", aggiungere i programmi digitando quanto segue:

Item<number>=<nome e percorso del programma o providerdella firma digitale>

Ad esempio:

[DAC_APPROVED_LIST]

Count=3

Item0=C:\Program Files\program.exe

Item1=?:\password.exe

Item2=Microsoft Corporation

4. Per aggiungere i programmi su dispositivi di archiviazione di cui è consentital'esecuzione:

a. Individuare le righe seguenti:

[DAC_EXECUTABLE_LIST]

Count=x

b. Sostituire "x" con il numero di programmi dell'elenco dei programmi.

c. Sotto "Count=x", aggiungere i programmi digitando quanto segue:

Item<number>=<nome e percorso del programma o providerdella firma digitale>


8-16

Ad esempio:

[DAC_EXECUTABLE_LIST]

Count=3

Item0=?:\Installer\Setup.exe

Item1=E:\*.exe

Item2=Trend Micro, Inc.

5. Salvare e chiudere il file ofcscan.ini .

6. Aprire la console Web OfficeScan e andare a Computer collegati in rete >Impostazioni client globali.

7. Fare clic su Salva per implementare gli elenchi di programmi in tutti i client.

Modifica delle notifiche di controllo dispositivoI messaggi di notifica sono visualizzati negli endpoint quando si verificano violazioni delControllo dispositivo. Se necessario, gli amministratori possono modificare il messaggiodi notifica predefinito.

Procedura


2. Fare clic sulla scheda Violazioni del controllo dispositivo.

3. Modificare i messaggi predefiniti nella casella di testo disponibile.


Registri di controllo dispositivoI client OfficeScan registrano le istanze di accesso non autorizzato dei dispositivi einviano i registri al server. Un client che è sempre in funzione raccoglie i registri e li invia


8-17

dopo 24 ore. Un client che è stato riavviato controlla l'ultima volta che i registri sonostati inviati al server. Se il tempo trascorso è superiore a 24 ore, il client invia i registriimmediatamente.


Visualizzazione dei registri di controllo dispositivo

Procedura



3. Fare clic su Registri > Registri di controllo dispositivo oppure Visualizzaregistri > Registri di controllo dispositivo.



• Data/Ora di rilevamento dell'accesso non autorizzato

• Computer al quale è connesso un dispositivo esterno o è mappata una risorsadi rete

• Dominio di computer al quale è connesso un dispositivo esterno o è mappatauna risorsa di rete

• Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso

• Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui èstato eseguito l'accesso

• Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso


8-18

• Autorizzazioni impostate per la destinazione


9-1

Capitolo 9

Gestione della Protezione dati eutilizzo di Prevenzione perdita di dati

In questo capitolo si descrive come installare e attivare il modulo Protezione dati e comeutilizzare la funzione Prevenzione perdita di dati.


• Installazione di Protezione dati a pagina 9-2

• Licenza di Protezione dati a pagina 9-4

• Implementazione di Protezione dati nei client a pagina 9-6

• Informazioni sulla Prevenzione perdita di dati a pagina 9-9

• Criteri di Prevenzione perdita di dati a pagina 9-11

• Notifiche di Prevenzione perdita di dati a pagina 9-55

• Registri di Prevenzione perdita di dati a pagina 9-59

• Disinstallazione di Protezione dati a pagina 9-65


9-2

Installazione di Protezione datiIl modulo Protezione dati comprende le funzionalità seguenti:

• Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata dirisorse digitali

• Controllo dispositivo: Regola l'accesso ai dispositivi esterni

NotaLa versione standard di OfficeScan comprende la funzionalità Controllo dispositivo checonsente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazioneUSB. La funzionalità Controllo dispositivo del modulo Protezione dati consente diampliare la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedereControllo dispositivo a pagina 8-2.

Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan marichiedono una licenza separata. Dopo aver installato il server OfficeScan, questefunzionalità sono disponibili ma non sono operative e non possono essere implementatesui client. L'installazione di Protezione dati prevede il download di un file dal serverActiveUpdate o da una origine aggiornamenti personalizzata, se è stata impostata.Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la licenza diProtezione dati per attivarne le funzionalità complete. L'installazione e l'attivazionevengono eseguite da Plug-in Manager.

Importante

• Non è necessario installare il modulo standalone Protezione dati se il softwarePrevenzione della perdita di dati Trend Micro è già installato e in esecuzione sugliendpoint.

• Il modulo Protezione dati può essere installato su un Plug-In Manager IPv6 puro.Tuttavia, solo la funzionalità Controllo dispositivo può essere implementata nei clientIPv6 puri. La funzione Prevenzione perdita di dati non funziona nei client IPv6 puri.

Gestione della Protezione dati e utilizzo di Prevenzione perdita di dati

9-3

Installazione di Protezione dati

Procedura

1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menuprincipale.

2. Nella schermata Plug-in Manager, andare alla sezione Protezione datiOfficeScan e fare clic su Download.

Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download.

Plug-In Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

NotaSe Plug-In Manager non è in grado di scaricare il file, proverà a scaricarloautomaticamente dopo 24 ore. Per effettuare manualmente il download del pacchettoda parte di Plug-In Manager, riavviare il servizio OfficeScan Plug-In Manager daMicrosoft Management Console.

3. Monitorare l'avanzamento del download.

Nel corso del download è possibile effettuare altre operazioni.

Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare iregistri di aggiornamento server sulla console web di OfficeScan. Nel menuprincipale fare clic su Registri > Registri aggiornamenti server.

Dopo che Plug-In Manager ha scaricato il file, Protezione dati OfficeScan vienevisualizzato in una nuova schermata.

NotaSe Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioniin Risoluzione dei problemi di Plug-In Manager a pagina 14-10.

4. Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa orao per installarlo in un secondo momento, fare quanto segue:

a. Fare clic su Installa in un secondo momento.


9-4

b. Aprire la schermata Plug-in Manager.

c. Andare alla sezione Protezione dati OfficeScan e fare clic su Installa.

5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.

L'installazione viene avviata.

6. Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione vienevisualizzata la versione di Protezione dati OfficeScan.

Licenza di Protezione datiVisualizzare, attivare e rinnovare la licenza di Protezione dati da Plug-In Manager.

Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza.

Attivazione o rinnovo della licenza di Protezione dati

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione OfficeScan Protezione datie fare clic su Gestione programma.

3. Fare clic su Nuovo codice di attivazione.

4. Immettere il Codice di attivazione.

È possibile anche copiare il Codice di attivazione e incollarlo su una delle caselle ditesto.



9-5

Visualizzazione delle informazioni di licenza perProtezione dati

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione OfficeScan Protezione datie fare clic su Gestione programma.

3. Fare clic su Visualizza Informazioni sulla licenza.

4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.

• Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

• Versione: indica se la versione è "Completa" o se si tratta di una "Versione diprova". L'attivazione viene visualizzata come "Completa" sia per la versionecompleta e sia per la versione di valutazione.

• Postazioni: visualizza il numero di client OfficeScan che possono installare ilmodulo Protezione dati

• La licenza scade il: se Protezione dati prevede diverse licenze, verràvisualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono31.12.11 e 30.06.11, verrà visualizzata la data 31.12.11.

• Codice di attivazione: visualizza il Codice di attivazione

• Promemoria: A seconda della versione della licenza corrente, Protezione dativisualizza i promemoria sulla data di scadenza della licenza durante il periododi proroga (solo nelle versioni complete) oppure quando scade la licenza.

NotaLa durata del periodo di proroga varia a seconda dell'area geografica. Verificare ilperiodo di proroga con il rappresentante Trend Micro.

Se la licenza non viene rinnovata, i moduli Prevenzione perdita di dati e Controllodispositivo continueranno a funzionare, ma non si potrà più usufruire dell'assistenzatecnica.


9-6

5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza sul sito Web di Trend Micro.

6. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic suAggiorna informazioni.

Implementazione di Protezione dati nei clientImplementare il modulo Protezione dati nei client OfficeScan dopo l'attivazione dellalicenza. Dopo l'implementazione, i client OfficeScan iniziano ad utilizzare Prevenzioneperdita di dati e Controllo dispositivo.


9-7

Importante

• Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003,Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effettonegativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazionidel sistema costantemente e adottare le misure necessarie quando si verificano cali diprestazioni.

NotaIl modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultareServizi client OfficeScan a pagina 13-7.

• Se il software Prevenzione della perdita di dati Trend Micro è disponibilenell'endpoint, OfficeScan non lo sostituisce con il modulo Protezione dati.

• Solo Controllo dispositivo può essere implementato nei client IPv6 puri. Prevenzioneperdita di dati non funziona nei client IPv6 puri.

• Il modulo Protezione dati viene installato immediatamente nei client online. Nei clientoffline e roaming il modulo viene installato quando diventano online.

• Gli utenti devono riavviare i computer per completare l'installazione dei driver diPrevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare.

• Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione deiproblemi di implementazione. Per i dettagli, consultare Registri di debug Protezione dati apagina 9-65.

Implementazione del modulo Protezione dati ai client

Procedura


2. Nella struttura client è possibile:

• Fare clic sull'icona del dominio principale ( ) per implementare il modulo intutti i client presenti e futuri.

• Selezionare un dominio specifico per implementare il modulo su tutti i clientesistenti e futuri del dominio.


9-8

• Selezionare un client specifico per implementare il modulo solo su quel client.

3. Implementare il modulo in due modi diversi:

• Fare clic su Impostazioni > Impostazioni DLP.

• Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

NotaSe si esegue l'implementazione da Impostazioni > Impostazioni DLP e ilmodulo Protezione dati è stato implementato correttamente, saranno installati idriver di Prevenzione perdita di dati. Se i driver sono installati correttamente,viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare ilcomputer per terminare l'installazione dei driver.

Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemidurante l'installazione dei driver. Se il registro di debug è attivato, controllare iregistri di debug per ottenere dettagli sui problemi di installazione dei driver.

4. Viene visualizzato un messaggio per indicare il numero di client in cui il modulonon è installato. Fare clic su Sì per avviare l’implementazione.

NotaSe si fa clic su No (o se il modulo non è stato implementato su uno o più client), lostesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni >Impostazioni DLP o Impostazioni > Impostazioni di controllo dispositivo.

I client iniziano il download del modulo dal server.

5. Controllare se il modulo è stato implementato sui client.

a. Selezionare un dominio nella struttura client:

b. Nell visualizzazione struttura client, selezionare Visualizzazione protezionedati o Visualizza tutto.

c. Controllare la colonna Stato Protezione dati. Lo stato dell'implementazionepuò essere uno dei valori riportati di seguito:

• In esecuzione: l'implementazione del modulo è riuscita e le funzionisono state attivate.


9-9

• Riavvio necessario: i driver di Prevenzione perdita di dati non sonostati installati perché gli utenti non hanno riavviato i rispettivi computer.Se i driver non sono installati, Prevenzione perdita di dati non funziona.

• Operazione interrotta: il servizio per il modulo non è stato avviato o ilcomputer di destinazione è stato arrestato in modo normale. Per avviareil servizio Protezione dati, accedere a Computer collegati in rete >Gestione client > Impostazioni > Impostazioni aggiuntive delservizio e attivare Servizio Protezione dati.

• Impossibile eseguire l'installazione: si è verificato un problemadurante l'implementazione del modulo sul client. Occorre implementaredi nuovo il modulo dalla struttura del client.

• Impossibile eseguire l'installazione (esiste già un programma perla prevenzione della perdita di dati): se il software Prevenzione dellaperdita di dati Trend Micro è presente nell'endpoint, OfficeScan non losostituisce con il modulo Protezione dati.

• Non installato: il modulo non è stato implementato sul client. Lo statoviene visualizzato se si sceglie di non implementare il modulo sul client ose lo stato del client è offline o roaming durante l'implementazione.

Informazioni sulla Prevenzione perdita di datiLe soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esternedi raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metàdella storia. Le violazioni dei dati sono diventate di ordinaria amministrazione edespongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – apersone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito aerrori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti,oppure attacchi maligni.

Le violazioni dei dati possono:

• Danneggiare la reputazione del marchio.

• Minare la fiducia del cliente nell'azienda.


9-10

• Causare spese superflue a copertura dei rimedi e delle multe per violazione dellanormativa in materia di conformità.

• Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furtodella proprietà intellettuale.

Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggila protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura disicurezza.

Prevenzione perdita di dati protegge i dati sensibili di un'organizzazione da perditeaccidentali o intenzionali. Prevenzione perdita di dati consente di:

• Identificare le informazioni sensibili che devono essere protette utilizzando gliidentificatori di dati.

• Creare criteri che limitano o impediscono la trasmissione delle risorse digitaliattraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositiviesterni.

• Implementare la conformità alle norme vigenti sulla privacy

Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessarioessere in grado di rispondere alle domande seguenti:

• Quali dati è necessario proteggere dagli utenti non autorizzati?

• Dove risiedono i dati sensibili?

• Come sono trasmessi i dati sensibili?

• Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili?

• Quale azione deve essere intrapresa se si verifica una violazione della sicurezza?

Queste importanti domande, in genere, riguardano diversi reparti e impiegati cheutilizzano i dati sensibili nell'ambito dell'organizzazione.

Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibileiniziare a definire gli identificatori di dati e i criteri aziendali.


9-11

Criteri di Prevenzione perdita di datiOfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. Icriteri determinano quali file e dati devono essere protetti da trasmissione nonautorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione.

NotaLe trasmissioni di dati tra il server OfficeScan e i client non sono monitorate.

È possibile configurare i criteri per i client esterni e interni. Gli amministratoriOfficeScan in genere configurano criteri più rigidi per i client esterni.

È possibile applicare determinati criteri a gruppi di client o a singoli client. È possibileanche applicare un singolo criterio a tutti i client.

Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nellaschermata Località computer (vedere Località computer a pagina 13-2) per determinarnela località e il criterio da applicare. I client cambiano criteri ogni volta che cambia lalocalità.

Configurazione dei criteriDefinire i criteri DLP configurando le seguenti impostazioni:

TABELLA 9-1. Impostazioni per la definizione di un criterio DLP

IMPOSTAZIONI DESCRIZIONE

Identificatori didati

OfficeScan utilizza gli identificatori di dati per identificare leinformazioni sensibili. Gli identificatori di dati includono espressioni,attributi di file e parole chiave.


9-12

IMPOSTAZIONI DESCRIZIONE

Modello I modelli DLP combinano identificatori di dati e operatori logici (E,O, Eccetto) per formare istruzioni condizionali. Il criterio DLP saràapplicato solo ai file o ai dati che soddisfano una determinataistruzione condizionale.

OfficeScan comprende una serie di modelli predefiniti e consenteagli utenti di creare modelli personalizzati.

Un criterio DLP può contenere uno o più modelli. OfficeScan utilizzala prima regola corrispondente quando verifica i modelli. Questosignifica che se un file o dei dati corrispondono agli identificatori didati di un modello, OfficeScan non esegue la verifica in altri modelli.

Canale I canali sono entità che trasmettono le informazioni sensibili.OfficeScan supporta i comuni canali di trasmissione, come la postaelettronica, i dispositivi di archiviazione rimovibili e le applicazioni dimessaggistica istantanea.

Azione OfficeScan esegue una o più azioni quando rileva un tentativo ditrasmissione di informazioni sensibili attraverso uno dei canali.

Tipi di identificatore di datiLe risorse digitali sono i file e i dati che un'organizzazione deve proteggere datrasmissione non autorizzata. È possibile definire le risorse digitali utilizzando i seguentiidentificatori di dati:

• Espressioni: dati con una determinata struttura. Per i dettagli, consultareEspressioni a pagina 9-13.

• Attributi di file: proprietà dei file, come il tipo e le dimensioni dei file. Per idettagli, consultare Attributi di file a pagina 9-18.

• Parole chiave: un elenco di parole o frasi speciali. Per i dettagli, consultare Parolechiave a pagina 9-21.


9-13

Nota

Non è possibile eliminare un identificatore di dati utilizzato da un modello DLP. Eliminareil modello prima di eliminare l'identificatore di dati.

Espressioni

Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle cartedi credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnn-nnnn", e questo li rende idonei per il rilevamento basato su espressioni.

È possibile usare espressioni predefinite e personalizzate. Per ulteriori dettagli, vedereEspressioni predefinite a pagina 9-13 e Espressioni personalizzate a pagina 9-14.

Espressioni predefinite

In OfficeScan è inclusa una serie di espressioni predefinite. Queste espressioni nonpossono essere modificate o eliminate.

OfficeScan verifica queste espressioni usando equazioni matematiche e associazioni deipattern. Quando OfficeScan individua possibili dati corrispondenti a un'espressione, talidati possono essere sottoposti a ulteriori verifiche.

Per un elenco completo delle espressioni predefinite, vedere http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Visualizzazione delle impostazioni per le espressioni predefinite

Nota

Le espressioni predefinite non possono essere modificate o eliminate.

Procedura

1. Accedere a Computer collegati in rete > Prevenzione perdita di dati >Identificatori di dati.

2. Fare clic sulla scheda espressione.

http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx



9-14

3. Fare clic sul nome dell'espressione.

4. Viene visualizzata la schermata delle impostazioni.

Espressioni personalizzate

Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa leproprie esigenze.

Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creareespressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassierrata possono avere un impatto negativo sulle prestazioni.

Durante la creazione delle espressioni:

• Fare riferimento alle espressioni predefinite per ottenere esempi di espressionivalide. Ad esempio, se si crea un'espressione con una data, fare riferimento alleespressioni con il prefisso "Data".

• Si noti che OfficeScan segue i formati di espressioni definiti in PCRE (PerlCompatible Regular Expressions). Per ulteriori informazioni su PCRE, visitare ilseguente sito Web:

http://www.pcre.org/

• Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmio perfezionarle per migliorare i rilevamenti.

Sono disponibili vari criteri per la creazione di espressioni. Un'espressione devesoddisfare i criteri scelti prima che OfficeScan applichi ad essa un criterio DLP. Perulteriori informazioni sulle diverse opzioni dei parametri, vedere Criteri per le espressionipersonalizzate a pagina 9-15.

http://www.pcre.org/


9-15

Criteri per le espressioni personalizzate

TABELLA 9-2. Opzioni dei criteri per le espressioni personalizzate

CRITERI REGOLA ESEMPIO

Nessuno Nessuna Tutti - Nomi provenienti dall'USCensus Bureau (Ufficio delcensimento degli Stati Uniti)

Espressione: [^\w]([A-Z][a-z]{1,12}(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]{1,12})[^\w]

Caratteri specifici Un'espressione devecomprendere i caratterispecificati.

Inoltre il numero deicaratteri dell'espressionedeve essere compresoentro il numero minimo emassimo.

Stati Uniti - Numero di registrazioneABA

Espressione: [^\d]([0123678]\d{8})[^\d]

Caratteri: 0123456789

Numero minimo di caratteri: 9

Numero massimo di caratteri: 9

Suffisso Il suffisso si riferisceall'ultimo segmento diun'espressione. Un suffissodeve comprendere icaratteri specificati econtenere un certo numerodi caratteri.

Inoltre il numero deicaratteri dell'espressionedeve essere compresoentro il numero minimo emassimo.

Tutti - Indirizzo abitazione

Espressione: \D(\d+\s[a-z.]+\s([a-z]+\s){0,2} (lane|ln|street|st|avenue|ave| road|rd|place|pl|drive|dr|circle| cr|court|ct|boulevard|blvd)\.? [0-9a-z,#\s\.]{0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?)[^\d-]

Caratteri suffisso: 0123456789-

Numero di caratteri: 5

Numero minimo di caratterinell'espressione: 25

Numero massimo di caratterinell'espressione: 80


9-16

CRITERI REGOLA ESEMPIO

Separatore acarattere singolo

Un'espressione deve averedue segmenti separati daun carattere. La lunghezzadel carattere deve essere 1byte.

Inoltre il numero deicaratteri a sinistra delseparatore deve esserecompreso entro il numerominimo e massimo. Ilnumero di caratteri a destradel separatore non devesuperare il numeromassimo.

Tutti - Indirizzo e-mail

Espressione: [^\w.]([\w\.]{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}[a-z\.]{0,10})[^\w.]

Separatore: @

Numero minimo di caratteri asinistra: 3

Numero massimo di caratteri asinistra: 15

Numero massimo di caratteri adestra: 30

Creazione di un'espressione personalizzata

Procedura





4. Digitare un nome per l'espressione. Il nome non deve superare i 100 byte e nondeve contenere i seguenti caratteri:

• > < * ^ | & ? \ /

5. Immettere una descrizione la cui lunghezza non superi i 256 byte.

6. Immettere l'espressione e specificare se applicare la distinzione tra maiuscole eminuscole.

7. Immettere i dati visualizzati.


9-17

Ad esempio, se si crea un'espressione per i numeri di documenti di identità,immettere un numero di esempio. Questi dati vengono utilizzati solo perriferimento e non vengono visualizzati nel prodotto.

8. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per iparametri scelti (vedere Criteri per le espressioni personalizzate a pagina 9-15):

• Nessuno

• Caratteri specifici

• Suffisso

• Separatore a carattere singolo

9. Provare l'espressione su dati effettivi.

Ad esempio, se l'espressione si riferisce a un documento di identità, digitare unnumero del documento di identità nella casella di testo Dati di prova, fare clic suProva e verificare i risultati.

10. Se i risultati sono soddisfacenti, fare clic su Salva.

Nota

Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado dirilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effettonegativo sulle prestazioni.

11. Viene visualizzato un messaggio che ricorda di implementare le impostazioni suiclient. Fare clic su Chiudi.

12. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti i client.

Importazione di espressioni personalizzate

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienele espressioni. È possibile generare il file esportando le espressioni dal server OfficeScana cui si accede o da un altro server OfficeScan.


9-18

Nota

I file di espressioni .dat generati da questa versione di OfficeScan non sono compatibilicon le versioni precedenti.

Procedura



3. Fare clic su Importa e individuare il file .dat che contiene le espressioni.

4. Fare clic sul pulsante Apri.

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Seun'espressione da importare esiste già, viene ignorata.

5. Fare clic su Applica a tutti i client.

Attributi di file

Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributidi file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensionidei file. Ad esempio, una società di sviluppo software potrebbe voler limitare lacondivisione del programma di installazione del software della società al reparto diricerca&sviluppo, i cui membri sono responsabili dello sviluppo e del test del software.In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare latrasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i repartiad eccezione di quello di ricerca&sviluppo.

Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nelcontesto dell'esempio precedente, anche i programmi di installazione del software diterze parti condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzaregli attributi di file insieme ad altri identificatori di file DLP per rilevare in modo piùpreciso i file rilevanti.


9-19

Per un elenco completo dei tipi di file supportati, vedere http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Creazione di un elenco di attributi di file

Procedura


2. Fare clic sulla scheda attributo di file.



4. Digitare un nome per l'elenco di attributi di file. Il nome non deve superare i 100byte e non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /


6. Selezionare i tipi di file effettivi preferiti.

7. Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file edigitare l'estensione del tipo di file. OfficeScan verifica i file con l'estensionespecificata, ma non ne verifica il tipo di file effettivo. Linee guida per specificare leestensioni dei file:

• Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.)e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta unnome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol etest.pol.

• Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un puntointerrogativo (?) per indicare un carattere singolo e un asterisco (*) perindicare due o più caratteri. Vedere gli esempi seguenti:

- *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm

- *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr




9-20

- *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp

• Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensionein quanto corrispondere a una parte del nome del file o di un'estensione noncorrelata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg eabc.donor12.pdf.

• Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessarioaggiungere uno spazio dopo il punto e virgola.

8. Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensionidel file devono corrispondere a numeri interi maggiori di zero.




Importazione di un elenco di attributi di file

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienegli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributidi file dal server OfficeScan a cui si accede o da un altro server OfficeScan.

NotaI file di attributi .dat generati da questa versione di OfficeScan non sono compatibili conle versioni precedenti.

Procedura


2. Fare clic sulla scheda attributo di file.

3. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributidi file.


9-21


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unelenco di attributi di file da importare esiste già, viene ignorato.


Parole chiave

Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiavecorrelate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi","gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono esserepresenti in un certificato medico. Per impedire la trasmissione di file contenti certificatimedici, è possibile usare queste parole chiave in un criterio DLP e configurareOfficeScan in modo da bloccare i file che contengono tali parole chiave.

È possibile combinare parole di uso comune in modo da formare parole chiavesignificative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo daformare parole chiave che si trovano nei codici sorgente, come "END-IF", "END-READ" e "AT END".

È possibile usare parole chiave predefinite e personalizzate. Per ulteriori dettagli, vedereElenchi parole chiave predefinite a pagina 9-21 e Elenchi parole chiave personalizzate a pagina9-23.

Elenchi parole chiave predefinite

In OfficeScan è inclusa una serie di elenchi di parole chiave predefinite. Questi elenchidi parole chiave non possono essere modificati o eliminati. Ciascun elenco ha dellecondizioni incorporate che determinano se il modello deve innescare una violazione deicriteri

Per maggiori dettagli sugli elenchi di parole chiave predefinite, vedere in OfficeScan,vedere http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.




9-22

Funzionamento degli elenchi di parole chiave

Condizione del numero di parole chiave

Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di undeterminato numero di parole chiave in un documento prima che possa essereriscontrata una violazione.

La condizione del numero di parole chiave contiene i seguenti valori:

• Tutti: tutte le parole chiave dell'elenco devono essere presenti nel documento.

• Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente neldocumento.

• Numero specifico: nel documento, deve essere presente almeno il numero diparole chiave specificato. Se nel documento è presente un numero di parolesuperiore a quello specificato, si verifica una violazione.

Condizione di distanza

Alcuni elenchi contengono una condizione di “distanza” per determinare se è presenteuna violazione. la “distanza” indica il numero di caratteri tra il primo carattere di unaparola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voceseguente:

First Name:_John_ Last Name:_Smith_

La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) ei campi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente, siverifica una violazione se il numero di caratteri tra “F” nel campo First Name and e “L”nel campo Last Name è uguale diciotto (18).

Di seguito viene riportato un esempio che non costituisce una violazione:

The first name of our new employee from Switzerland is John. His last name isSmith.

In questo esempio, il numero di caratteri tra “f” nel campo “first name” e “l” nel campo“last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza enon si verifica una violazione.


9-23

Elenchi parole chiave personalizzate

Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiavepredefiniti soddisfa le proprie esigenze.

Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Una parolachiave deve soddisfare i criteri scelti prima che OfficeScan applichi ad essa un criterioDLP. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti:

• Qualsiasi parola chiave

• Tutte le parole chiave

• Tutte le parole chiave comprese tra <x> caratteri

• Il punteggio combinato per le parole chiave supera la soglia

Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzatea pagina 9-23.

Elenchi di parole chiave personalizzate

TABELLA 9-3. Criteri per un elenco di parole chiave

CRITERI REGOLA

Qualsiasiparola chiave

Un file deve contenere almeno una parola chiave dell'elenco di parolechiave.

Tutte le parolechiave

Un file deve contenere tutte le parole chiave dell'elenco di parolechiave.


9-24

CRITERI REGOLA

Tutte le parolechiavecomprese tra<x> caratteri

Un file deve contenere tutte le parole chiave dell'elenco di parolechiave. Inoltre ogni coppia di parole chiave deve essere separata da unmassimo di <x> caratteri.

Ad esempio, si supponga che le tre parole chiave siano WEB, DISK eUSB e che il numero di caratteri specificato sia 20.

Se OfficeScan rileva tutte le parole chiave nell'ordine DISK, WEB eUSB, il numero di caratteri dalla "D" (in DISK) alla "W" (in WEB) e dalla"W" alla "U" (in USB) deve essere inferiore o pari a 20 caratteri.

I dati seguenti soddisfano i criteri:DISK####WEB############USB

I dati seguenti non soddisfano i criteri:DISK*******************WEB****USB (23 caratteri tra "D" e "W")

Quando si determina il numero dei caratteri, si tenga presente che unnumero basso, quale 10, consente di ottenere tempi di scansione ridottima copre un'area relativamente piccola. Ciò riduce le probabilità dirilevamento di dati sensibili, in particolare nei file di grandi dimensioni.A un numero maggiore corrisponde un'area maggiore, ma i tempi discansione potrebbero essere maggiori.

Il punteggiocombinato perle parolechiave superala soglia

Un file deve contenere una o più parole chiave dell'elenco di parolechiave. Se viene rilevata solo una parola chiave, il punteggio deveessere maggiore della soglia. Se esistono più parole chiave, ilpunteggio combinato deve essere maggiore della soglia.

Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Unaparola o frase riservata, quale "aumento di stipendio" per il repartoRisorse umane, deve avere un punteggio relativamente alto. Parole ofrasi che non sono molto rilevanti possono avere un punteggio minore.

Quando viene configurata la soglia, occorre considerare i punteggiassegnati alle parole chiave. Ad esempio, se esistono cinque parolechiave e tre hanno una priorità alta, la soglia può essere uguale ominore del punteggio combinato delle tre parole chiave di priorità alta.Ciò significa che il rilevamento di queste tre parole chiave è sufficientea considerare il file come sensibile.


9-25

Creazione di un elenco di parole chiave

Procedura


2. Fare clic sulla scheda parola chiave.



4. Digitare un nome per l'elenco di parole chiave. Il nome non deve superare i 100byte e non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /


6. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per icriteri scelti:

• Qualsiasi parola chiave

• Tutte le parole chiave

• Tutte le parole chiave comprese tra <x> caratteri

• Il punteggio combinato per le parole chiave supera la soglia

7. Per aggiungere parole chiave all'elenco in modo manuale:

a. Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte especificare se si applica la distinzione tra maiuscole e minuscole.

b. Fare clic su Aggiungi.

8. Per aggiungere parole chiave con l'opzione "importa":


9-26

Nota

Utilizzare questa opzione se è disponibile un file .csv in formato corretto checontiene le parole chiave. È possibile generare il file esportando le parole chiave dalserver OfficeScan a cui si accede o da un altro server OfficeScan.

a. Fare clic su Importa e individuare il file .csv che contiene le parole chiave.

b. Fare clic sul pulsante Apri.

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Seuna parola chiave da importare esiste già nell'elenco, viene ignorata.

9. Per eliminare le parole chiave, selezionarle e fare clic su Elimina.

10. Per esportare le parole chiave:

Nota

Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppureper importarle su un altro server OfficeScan. Saranno esportate le parole chiavepresenti nell'elenco. Non è possibile esportare singole parole chiave.

a. Fare clic sul pulsante Esporta.

b. Salvare il file .csv risultante nel percorso desiderato.




Importazione di un elenco di parole chiave

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienegli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parolechiave dal server OfficeScan a cui si accede o da un altro server OfficeScan.


9-27

Nota

I file .dat di parola chiave generati da questa versione di OfficeScan non sono compatibilicon le versioni precedenti.

Procedura


2. Fare clic sulla scheda parola chiave.

3. Fare clic su Importa e individuare il file .dat che contiene le parole chiave.


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unelenco di parole chiave da importare esiste già, viene ignorato.


Modelli di Prevenzione perdita di dati

I modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto)per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati chesoddisfano una determinata istruzione condizionale.

Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E devecontenere determinati termini legali (parole chiave) E deve contenere numeri ID(espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterioconsente al personale delle Risorse umane di trasmettere il file stampandolo in modoche la copia stampata possa essere firmata da un dipendente. La trasmissione attraversotutti gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata.

Se sono stati configurati degli identificatori di dati DLP, è possibile creare i proprimodelli. È possibile inoltre usare i modelli predefiniti. Per ulteriori dettagli, vedereModelli DLP personalizzati a pagina 9-28 e Modelli DLP predefiniti a pagina 9-28.


9-28

NotaNon è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modellodal criterio prima di eliminarlo.

Modelli DLP predefinitiOfficeScan viene fornito con i seguenti modelli predefiniti che possono essere utilizzatiper conformarsi ai diversi standard normativi. Questi modelli non possono esseremodificati o eliminati.

• GLBA: Gramm-Leach-Billey Act

• HIPAA: Health Insurance Portability and Accountability Act

• PCI-DSS: Payment Card Industry Data Security Standard

• SB-1386: US Senate Bill 1386

• US PII: United States Personally Identifiable Information

Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengonoprotetti, vedere http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Modelli DLP personalizzatiCreare modelli personalizzati se sono stati configurati identificatori di dati. I modellicombinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzionicondizionali.

Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici,vedere Istruzioni condizionali e operatori logici a pagina 9-28.

Istruzioni condizionali e operatori logici

OfficeScan valuta le istruzioni condizionali da sinistra a destra. Prestare attenzioneall'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'usonon corretto genera un'istruzione condizionale non corretta che può produrre risultatiimprevisti.




9-29

Vedere alcuni esempi nella tabella seguente.

TABELLA 9-4. Esempi di istruzioni condizionali

ISTRUZIONE CONDIZIONALE INTERPRETAZIONE ED ESEMPIO

[Identificatore di dati 1] E[Identificatore di dati 2]Eccetto [Identificatore didati 3]

Un file deve soddisfare [Identificatore di dati 1] e[Identificatore di dati 2] ma non [Identificatore di dati 3].

Ad esempio:

Un file deve essere [un documento Adobe PDF] e devecontenere [un indirizzo e-mail] ma non deve contenere[tutte le parole chiave dell'elenco di parole chiave].

[Identificatore di dati 1] O[Identificatore di dati 2]

Il file deve soddisfare la [Identificatore di dati 1] o[Identificatore di dati 2].

Ad esempio:

Il file deve essere [un documento Adobe PDF] o [undocumento Microsoft Word].

Eccetto [Identificatore didati 1]

Un file non deve soddisfare [Identificatore di dati 1].

Ad esempio:

Un file non deve essere [un file multimediale].

Come indicato nell'ultimo esempio della tabella, il primo identificatore di datinell'istruzione condizionale può avere l'operatore "Eccetto" se un file non devesoddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte deicasi, tuttavia, il primo identificatore di dati non ha un operatore.

Creazione di un modello

Procedura

1. Accedere a Computer collegati in rete > Prevenzione perdita di dati >modelli.




9-30

3. Inserire un nome per il modello. Il nome non deve superare i 100 byte e non devecontenere i seguenti caratteri:

• > < * ^ | & ? \ /


5. Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi".

Durante la selezione delle definizioni:

• Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionaregli identificatori di dati.

• Utilizzare la funzionalità di ricerca per cercare una definizione specifica. Èpossibile immettere il nome completo o una parte del nome dell'identificatoredi dati.

• Ogni modello può comprende al massimo 30 identificatori di dati.

6. Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiunginuova espressione. Configurare le impostazioni dell'espressione nella schermatavisualizzata.

7. Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi suAggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco diattributi di file nella schermata visualizzata.

8. Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi suAggiungere nuova parola chiave. Configurare le impostazioni per l'elenco dellekeyword nella schermata visualizzata.

9. Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde alnumero di volte che un'espressione deve ricorrere prima che OfficeScan la applichia un criterio DLP.

10. Scegliere un operatore logico per ciascuna definizione.


9-31

NotaPrestare attenzione all'uso degli operatori logici durante la configurazione delleistruzioni condizionali. L'uso non corretto genera un'istruzione condizionale noncorretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedereIstruzioni condizionali e operatori logici a pagina 9-28.

11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fareclic sull'icona del cestino.

12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se noncorrisponde all'istruzione desiderata.



15. Nella schermata Modelli DLP, fare clic su Applica a tutti i client.

Importazione di modelli

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienei modelli. È possibile generare il file esportando i modelli dal server OfficeScan a cui si èeffettuato l'accesso oppure da un altro server OfficeScan.

NotaPer importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di datiassociati (precedentemente denominati Definizioni). OfficeScan non è in grado diimportare modelli ai quali non sono associati identificatori di dati.

Procedura

1. Accedere a Computer collegati in rete > Prevenzione perdita di dati >modelli.

2. Fare clic su Importa e individuare il file .dat che contiene i modelli.



9-32

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unmodello da importare esiste già, viene ignorato.


Canali DLP

Gli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScanpuò monitorare i seguenti canali:

• Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocollidi rete, come HTTP e FTP.

• Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesseutilizzando le periferiche e le applicazioni di un computer locale.

Canali di rete

OfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete:

• Client di posta elettronica

• FTP

• HTTP e HTTPS

• Applicazioni di messaggistica istantanea

• Protocollo SMB

• Webmail

Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito dellatrasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato,OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori dellarete locale (LAN). Per ulteriori informazioni sull'ambito della trasmissione, vedereAmbito e destinazioni della trasmissione per i canali di rete a pagina 9-36..


9-33

Client di posta elettronica

OfficeScan controlla la posta elettronica trasmessa attraverso vari client di posta.OfficeScan controlla l'oggetto, il corpo del messaggio e gli allegati per identificareeventuali identificatori di dati. Per un elenco dei client di posta elettronica supportati,vedere:


Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di postaelettronica. Se il messaggio contiene identificatori di dati, OfficeScan autorizza oppureblocca il messaggio e-mail.

È possibile definire i domini di posta elettronica interni monitorati e non monitorati.

• Domini di posta elettronica monitorati: quando OfficeScan rileva postaelettronica trasmessa a un dominio monitorato, verifica l'azione per il criterio. Inbase all'azione, la trasmissione viene consentita o bloccata.

Nota

Se si selezionano client di posta elettronica come canali monitorati, affinché unmessaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Alcontrario, un messaggio e-mail inviato a un dominio di posta elettronica monitoratoviene automaticamente monitorato, anche se non corrisponde ad un criterio.

• Domini di posta elettronica non monitorati: OfficeScan consenteimmediatamente la trasmissione dei messaggi e-mail inviati ai domini nonmonitorati.

Nota

Le trasmissioni di dati ai domini di posta elettronica monitorati e non monitorati incui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita.La sola differenza è che, per i domini di posta elettronica non monitorati, OfficeScannon registra la trasmissione, mentre per i domini di posta elettronica monitorati, latrasmissione viene sempre registrata.

Specificare i domini usando i seguenti formati; usare la virgola per separare più domini:

• Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina



9-34

• Domini di posta elettronica, come example.com

Per i messaggi e-mail inviati tramite il protocollo SMTP, OfficeScan verifica se il serverSMTP di destinazione è presente negli elenchi seguenti:

1. Destinazioni monitorate

2. Destinazioni non monitorate

NotaPer ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultareDefinizione di destinazioni monitorate e non monitorate a pagina 9-39.

3. Domini di posta elettronica monitorati

4. Domini di posta elettronica non monitorati

Questo significa che se un messaggio e-mail viene inviato a un server SMTP presentenell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se ilserver SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScanverifica gli altri elenchi.

Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchiseguenti:

1. Domini di posta elettronica monitorati

2. Domini di posta elettronica non monitorati

FTP

Se OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP,controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è statocaricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca ilcaricamento.

Se si configura un criterio che blocca l'upload di file, ricordare quanto segue:

• Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare dinuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire checarichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è stato


9-35

chiuso il client FTP. Informare gli utenti di questa situazione quando vengonoimplementati i criteri DLP.

• Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTPpotrebbe essere eliminato.

Per un elenco dei client FTP supportati, vedere:


HTTP e HTTPS

OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS,OfficeScan controlla i dati prima che vengano crittografati e trasmessi.

Per un elenco delle applicazioni e dei browser Web supportati, vedere:


Applicazioni di messaggistica istantanea

OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni dimessaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengonocontrollati.

Per un elenco delle applicazioni IM supportate, vedere:


Quando OfficeScan blocca un messaggio o un file inviato tramite AOL InstantMessenger, MSN, Windows Messenger o Windows Live Messenger, chiude anchel'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non rispondee gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessunanotifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazionequando vengono implementati i criteri DLP.

Protocollo SMB

OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server MessageBlock (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire,





9-36

salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file èo contiene identificatori di dati e poi autorizza oppure blocca l'operazione.

Nota

L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, adesempio, Controllo dispositivo non consente lo spostamento di file su unità di retemappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza. Perulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni perdispositivi di archiviazione a pagina 8-3.

Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi,vedere:


Webmail

I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. SeOfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere secontengono identificatori di dati.

Per un elenco dei servizi di posta elettronica basati sul Web supportati, vedere:


Ambito e destinazioni della trasmissione per i canali di rete

L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canalidi rete che OfficeScan deve monitorare. Per le trasmissioni che devono esseremonitorate, OfficeScan verifica la presenza di identificatori di dati prima di consentire obloccare la trasmissione. Per le trasmissioni che non devono essere monitorate,OfficeScan non verifica la presenza di identificatori di dati e consente subito latrasmissione.

Ambito trasmissione: Tutte le trasmissioni

OfficeScan monitora i dati trasmessi all'esterno del computer host.




9-37

Nota

Trend Micro consiglia di scegliere questo ambito per i client esterni.

Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterneal computer host, definire quanto segue:

• Destinazioni non monitorate: OfficeScan non monitora i dati trasmessi a questedestinazioni.

Nota

Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La soladifferenza è che, per le destinazioni non monitorate, OfficeScan non registra latrasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempreregistrata.

• Destinazioni monitorate: destinazioni specifiche nell'ambito delle destinazioninon monitorate che devono essere monitorate. Le destinazioni monitorate sono:

• Facoltative, se sono state definite destinazioni non monitorate.

• Non configurabili, se non sono state definite destinazioni non monitorate.

Ad esempio:

Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda:

• da 10.201.168.1 a 10.201.168.25

Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tuttigli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, ènecessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi:

Opzione 1:

1. Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non monitorate.

2. Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale alledestinazioni monitorate. Si assuma che siano disponibili 3 indirizzi IP,10.201.168.21-10.201.168.23.


9-38

Opzione 2:

Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio legale alledestinazioni non monitorate:

• 10.201.168.1-10.201.168.20

• 10.201.168.24-10.201.168.25

Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,consultare Definizione di destinazioni monitorate e non monitorate a pagina 9-39.

Ambito trasmissione: Solo trasmissioni esterne alla LAN (LocalArea Network)

OfficeScan monitora i dati trasmessi a qualsiasi destinazione esterna alla rete locale(LAN).

NotaTrend Micro consiglia di scegliere questo ambito per i client interni.

Per "Rete" si intende la rete locale di un'azienda. Il termine include la rete attuale(indirizzo IP dell'endpoint e netmask) e i seguenti indirizzi IP privati standard:

• Classe A: da 10.0.0.0 a 10.255.255.255

• Classe B: da 172.16.0.0 a 172.31.255.255

• Classe C: da 192.168.0.0 a 192.168.255.255

Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue:

• Destinazioni non monitorate: definire destinazioni esterne alla LAN consideratesicure e che non devono essere monitorate.


9-39

Nota

Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La soladifferenza è che, per le destinazioni non monitorate, OfficeScan non registra latrasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempreregistrata.

• Destinazioni monitorate: definire le destinazioni della LAN da monitorare.

Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,consultare Definizione di destinazioni monitorate e non monitorate a pagina 9-39.

Definizione di destinazioni monitorate e non monitorate

Seguire queste istruzioni quando si definiscono le destinazioni monitorate e nonmonitorate:

1. Definire ciascuna destinazione in base a:

• Indirizzo IP

• Nome host

• FQDN

• Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32

Nota

Per la subnet mask, OfficeScan supporta solo una porta di tipo CIDR (ClasslessInter-Domain Routing). Questo significa che si dovrà immettere semplicemente unnumero come 32 invece di 255.255.255.0.

2. Per canali specifici, includere i numeri di porta predefiniti o definiti dall'azienda pertali canali. Ad esempio, la porta 21 è in genere assegnata al traffico FTP, la porta 80all'HTTP e la porta 443 all'HTTPS. Separare la destinazione dai numeri di portacon due punti (:).

3. È possibile includere anche intervalli di porte. Per includere tutte le porte, nonspecificare un intervallo di porte.


9-40

Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta eintervalli di porte:

• 10.1.1.1:80

• host:5-20

• host.domain.com:20

• 10.1.1.1/32:20

4. Separare le destinazioni con delle virgole.

Risoluzione dei conflitti

Se le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e ledestinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità,in ordine decrescente:

• Destinazioni monitorate

• Destinazioni non monitorate

• Ambito trasmissione

Canali di applicazioni e sistemi

OfficeScan può monitorare i seguenti canali di applicazioni e sistemi:

• Supporti di registrazione dati (CD/DVD)

• Applicazioni peer-to-peer

• Crittografia PGP

• Stampante

• Dispositivi di archiviazione rimovibili

• Software di sincronizzazione (ActiveSync)

• Appunti di Windows


9-41

Supporti di registrazione dati (CD/DVD)

OfficeScan controlla i dati registrati su CD o DVD. Per un elenco dei software edispositivi di registrazione dei dati supportati, vedere:


Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi osoftware supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione èBlocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati.Se OfficeScan rileva almeno un identificatore di dati, tutti i file, compresi quelli che nonsono né contengono identificatori di dati, non verranno registrati. OfficeScan può ancheimpedire l'espulsione del CD o DVD. Se si verifica questo problema, avvertire gli utentiche devono riavviare il processo del software o il dispositivo.

OfficeScan implementa altre regole di registrazione di CD/DVD:

• Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file:

.bud .dll .gif .gpd .htm .ico .ini

.jpg .lnk .sys .ttf .url .xml

• Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) nonvengono controllati per aumentare le prestazioni.

• OfficeScan non controlla i file nelle seguenti directory:

*:\autoexec.bat *:\Windows

..\Dati applicazioni ..\Cookies

..\Impostazioni locali ..\ProgramData

..\Programmi ..\Users\*\AppData

..\WINNT

• Le immagini ISO create dalle unità e dal software non vengono controllate.

Applicazioni peer-to-peer

OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer.



9-42

Per un elenco delle applicazioni peer-to-peer supportate, vedere:


Crittografia PGP

OfficeScan controlla i dati che devono essere crittografati dal software di crittografiaPGP. OfficeScan controlla i dati prima della crittografia.

Per un elenco dei software di crittografia PGP supportati, vedere:


Stampante

OfficeScan controlla le operazioni della stampante avviate da varie applicazioni.

OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono statisalvati perché a questo punto le informazioni di stampa sono solo state salvate inmemoria.

Per un elenco delle applicazioni supportate che possono avviare operazioni di stampa,vedere:


Dispositivi di archiviazione rimovibili

OfficeScan controlla la trasmissione dei dati su o all'interno dei dispositivi diarchiviazione rimovibili. Attività correlate alla trasmissione dei dati comprendono:

• Creazione di un file nel dispositivo

• Copia di un file dal computer host al dispositivo

• Chiusura di un file modificato nel dispositivo

• Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo

Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppureautorizza la trasmissione.





9-43

NotaL'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, adesempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo diarchiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguitaanche se DLP la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo,vedere Autorizzazioni per dispositivi di archiviazione a pagina 8-3.

Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitanole attività di trasmissione di dati supportati, vedere:


La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è unprocesso semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Wordpotrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il qualel'utente salva il file). Se il file contiene un identificatore di dati che non deve esseretrasmesso, OfficeScan impedisce il salvataggio del file.

Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue prima il backupdel file (se le dimensioni non superano i 75 MB) in %WINDIR%\system32\dgagent\temp prima di elaborarlo. OfficeScan elimina il file di backup se ha autorizzato latrasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile che il filepossa essere stato eliminato nel corso del processo. In questo caso, OfficeScan copia ilfile di backup nella cartella che contiene il file originale.

OfficeScan consente all'utente di definire i dispositivi non monitorati. OfficeScanconsente sempre la trasmissione dei dati su o tra i dispositivi di archiviazione rimovibili.Identificare i dispositivi in base ai fornitori e, facoltativamente, specificare l'ID di serie eil modello dei dispositivi.

SuggerimentoUsare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agli endpoint.Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di serie di ognidispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-54.



9-44

Software di sincronizzazione (ActiveSync)

OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software disincronizzazione.

Per un elenco dei software di sincronizzazione supportati, vedere:


Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso laporta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i datisono identificatori di dati prima di autorizzarne o bloccarne la trasmissione.

Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque esserecreato un file con lo stesso nome contenente caratteri in formato non corretto nellacartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono statecopiate sul dispositivo prima che OfficeScan bloccasse la trasmissione.

Appunti di Windows

OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirneo bloccarne la trasmissione.

OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktopremoto. Il controllo avviene sull'entità con il client OfficeScan. Un client OfficeScan suuna macchina virtuale VMware, ad esempio, può impedire la trasmissione dei dati degliappunti della macchina virtuale al computer host. Allo stesso modo, un computer hostcon un client OfficeScan non può copiare i dati degli appunti su un endpoint a cui siaccede da desktop remoto.

Azioni di Prevenzione perdita di dati

Quando OfficeScan rileva la trasmissione di identificatori di dati, controlla il criterioDLP per gli identificatori di dati rilevati ed esegue l'azione configurata per il criterio.

Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati.



9-45

TABELLA 9-5. Azioni di Prevenzione perdita di dati

AZIONE DESCRIZIONE

Azioni

Ignora OfficeScan consente e registra la trasmissione

Blocca OfficeScan blocca e registra la trasmissione

Ulteriori azioni

Invia una notifica all'utenteclient

OfficeScan visualizza un messaggio di notifica perinformare l'utente della trasmissione di dati e se taleoperazione è stata bloccata o consentita.

Registra dati Indipendentemente dall'azione primaria, OfficeScanregistra le informazioni sensibili nella <Cartella diinstallazione del client>\DLPLite\Forensic.Selezionare questa azione per valutare le informazionisensibili da contrassegnate da Prevenzione perdita didati.

Come misura di sicurezza, i client non invianoinformazioni sensibili registrate al server.

Le informazioni sensibili registrate possono utilizzaretroppo spazio su disco. Quindi, Trend Micro consigliavivamente di scegliere questa opzione solo perinformazioni particolarmente sensibili.

Regole di decompressione

I file inclusi all'interno di file compressi possono essere sottoposti a scansione perindividuare risorse digitali. Per stabilire quali file sottoporre a scansione, OfficeScanapplica le seguenti regole a un file compresso:

• Dimensioni massime di un file decompresso: __ MB (1-512MB)

• Numero massimo di livelli di compressione: __ (1-20)

• Numero massimo di file da sottoporre a scansione: __ (1-2000)


9-46

Regola 1: Dimensioni massime di un file decompresso

Un file compresso, una volta decompresso, deve soddisfare il limite specificato.

Esempio: il limite è impostato a 20 MB.

Scenario 1: se le dimensioni di archive.zip dopo la decompressioni sono di 30 MB,nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole nonvengono verificate.

Scenario 2: se le dimensioni di my_archive.zip dopo la decompressioni sono di 10MB:

• Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 eprocede con la Regola 3.

• Se my_archive.zip contiene file compressi, le dimensioni di tutti i filedecompressi devono essere entro il limite. Ad esempio, se my_archive.zipcontiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip:

my_archive.zip

= 10 MB dopo la decompressione

\AAA.rar = 25 MB dopo la decompressione

\BBB.zip = 3 MB dopo la decompressione

\EEE.zip = 1 MB dopo la decompressione

\222.zip

= 2 MB dopo la decompressione

my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in basealla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20MB. AAA.rar viene ignorato.

Regola 2: Numero massimo di livelli di compressione

I file compresi nel numero specificato di livelli vengono contrassegnati per la scansione.

Ad esempio:


9-47

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Se il limite è impostato su due livelli:

• OfficeScan ignora 333.txt perchè si trova al terzo livello.

• OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3:

• DDD.txt (nel primo livello)

• CCC.xls (nel secondo livello)

• 111.pdf (nel secondo livello)

Regola 3: Numero massimo di file da sottoporre a scansione

OfficeScan esegue la scansione dei file fino al limite specificato. OfficeScan esegue lascansione di file e cartelle prima in ordine numerico e poi alfabetico.

Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziatiper la scansione:

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non vienecontrollata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In talmodo, il numero totale di file da anlizzare diventa 5, come indicato di seguito:


9-48

my_archive.zip

\7Folder \FFF.doc

\7Folder \GGG.ppt

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file:

• FFF.doc

• GGG.ppt

• CCC.xls

• DDD.txt

Nota

Se i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati.

Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i fileincorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file.

Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i fileincorporati (ad esempio, abc.exe) vengono contati come file separati.

Eventi che innescano le regole di decompressione

I seguenti eventi innescano le regole di decompressione:

• Evento 1:

Un file compresso che deve essere trasmesso corrisponde a un criterio e l'azioneper il file compresso è Ignora (trasmetti il file).


9-49

Ad esempio, per monitorare i file .ZIP trasmessi dagli utenti, è stato definito unattributo di file (.ZIP) e aggiunto a un modello, quindi il modello è stato usato inun criterio e l'azione è stata impostata su Ignora.

NotaSe l'azione è Blocca, l'intero file compresso non viene trasmesso e, quindi, non ènecessario eseguire la scansione dei file che questo contiene.

• Evento 2:

Un file compresso che deve essere trasmesso non corrisponde a un criterio.

In questo caso, OfficeScan applica comunque le regole di decompressione al filecompresso per determinare quali file in esso contenuti devono essere sottoposti ascansione per verificare la presenza di risorse digitali e stabilire se l'intero filecompresso deve essere trasmesso o meno.

• Risultato:

Il risultato degli eventi 1 e 2 è uguale. Quando OfficeScan rileva un file compresso:

• Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissionedell'intero file compresso.

• Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre dueregole. OfficeScan consente la trasmissione dell'intero file compresso se:

• Tutti i file sottoposti a scansione non corrispondono a un criterio.

• Tutti i file sottoposti a scansione corrispondono a un criterio e l'azioneIgnora.

La trasmissione dell'intero file compresso viene bloccata se almeno unodei file sottoposti a scansione corrisponde a un criterio e l'azione èBlocca.

Configurazione dei criteri Prevenzione perdita di datiÈ possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configuratogli identificatori di dati e averli organizzati in modelli.


9-50

Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessarioconfigurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri diPrevenzione perdita di dati a pagina 9-11.

Attivazione della Prevenzione perdita di dati

Procedura



3. Fare clic su Impostazioni > Impostazioni DLP.

4. Fare clic sulla scheda Client esterni per configurare un criterio per i client esternioppure sulla scheda Client interni per configurare un criterio per i client interni.

Nota

Configurare le impostazioni della località del client se non sono state già configurate.I client utilizzeranno queste impostazioni per determinare i rispettivi percorsi eapplicare il criterio di Prevenzione perdita di dati corretto. Per i dettagli, consultareLocalità computer a pagina 13-2.

5. Selezionare Attiva Prevenzione perdita di dati.

6. Scegliere una delle seguenti opzioni:

• Nella scheda Client esterni, è possibile applicare tutte le impostazioni diPrevenzione perdita di dati ai client interni selezionando Applica tutte leimpostazioni ai client interni.

• Nella scheda Client interni, è possibile applicare tutte le impostazioni diPrevenzione perdita di dati ai client esterni selezionando Applica tutte leimpostazioni ai client esterni.


• Configurazione delle impostazioni dei modelli a pagina 9-51


9-51

• Configurazione delle impostazioni dei canali a pagina 9-52

• Configurazione delle impostazioni delle azioni a pagina 9-54




Configurazione delle impostazioni dei modelli

Procedura

1. Fare clic sulla scheda Modello.




3. Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi.Quando si selezionano i modelli:

• Selezionare più voci tenendo premuto il tasto CTRL, quindi selezionare imodelli.

• Usare la funzione di ricerca se si pensa a un modello specifico. È possibiledigitare il nome del modello per intero o parziale.


9-52

4. Se il modello che si preferisce utilizzare non si trova nell'elenco Modellidisponibili:

a. Fare clic su Aggiungi nuovo modello. Viene visualizzata la schermataModelli di Prevenzione perdita di dati. Per istruzioni su come aggiunfere imodelli nella schermata Modelli di Prevenzione perdita di dati, vedere Modellidi Prevenzione perdita di dati a pagina 9-27.

b. Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi.

NotaOfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questosignifica che se un file o dei dati corrispondono alla definizione di un modello, OfficeScannon esegue la verifica in altri modelli. La priorità è data dall'ordine dei modelli nell'elenco.

Configurazione delle impostazioni dei canali

Procedura

1. Fare clic sulla scheda Canale.




3. Selezionare i canali per il criterio. Per ulteriori informazioni sui canali, vedere Canalidi rete a pagina 9-32 e Canali di applicazioni e sistemi a pagina 9-40.

4. Se sono stati selezionati dei canali di rete:

a. Selezionare l'ambito della trasmissione.

• Tutte le trasmissioni


9-53

• Solo trasmissioni esterne alla LAN (Local Area Network)

b. Fare clic su Eccezioni.

c. Specificare destinazioni monitorate e non monitorate.

Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 9-36 permaggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazionidipendono dall'ambito della trasmissione e su come definire le destinazionicorrettamente.

5. Se si seleziona Client di posta elettronica:

a. Fare clic su Eccezioni.

b. Specificare domini di posta elettronica interni monitorati e non monitorati.Per maggiori dettagli sui domini di posta elettronica monitorati e nonmonitorati, vedere Client di posta elettronica a pagina 9-33.

6. Se si seleziona Dispositivi di archiviazione rimovibili:

a. Fare clic su Eccezioni.

b. Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarliin base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi.

L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) comecarattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti idispositivi che soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-*inserisce tutti i dispositivi USB del fornitore e modello specificati,indipendentemente dall'ID di serie, nell'elenco approvati.

c. Per aggiungere altri dispositivi, fare clic sull'icona (+).

Suggerimento

Usare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agliendpoint. Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di seriedi ogni dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-54.


9-54

Configurazione delle impostazioni delle azioni

Procedura

1. Fare clic sulla scheda Operazione.




3. Selezionare un'azione primaria ed eventuali azioni aggiuntive. Per ulterioriinformazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati a pagina 9-44.

4. Configurare le impostazioni per le regole di decompressione. Per maggiori dettaglisulle regole di decompressione, vedere Regole di decompressione a pagina 9-45.

Strumento elenco dispositiviEseguire lo Strumento elenco dispositivi localmente su ogni singolo endpoint pereseguire query sui dispositivi esterni collegati all'endpoint. Lo strumento analizza unendpoint alla ricerca di dispositivi esterni, quindi visualizza le informazioni suldispositivo in una finestra del browser. Tali informazioni possono quindi essereutilizzate durante la configurazione delle impostazioni dei dispositivi per la Prevenzioneperdita di dati e il Controllo dispositivo.

Esecuzione dello Strumento elenco dispositivi

Procedura

1. Nel computer server OfficeScan, accedere a \PCCSRV\Admin\Utility\ListDeviceInfo.


9-55

2. Copiare listDeviceInfo.exe nell'endpoint di destinazione.

3. Sull'endpoint, eseguire listDeviceInfo.exe.

4. Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. LaPrevenzione predita di dati e il Controllo dispositivo utilizzano le seguentiinformazioni:

• Fornitore (obbligatorio)

• Modello (facoltativo)

• ID di serie (facoltativo)

Notifiche di Prevenzione perdita di datiOfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informaregli amministratori di OfficeScan e gli utenti client sulle trasmissioni di risorse digitali.

Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche diPrevenzione perdita di dati per gli amministratori a pagina 9-55.

Per ulteriori informazioni sulle notifiche inviate agli utenti client, vedere Notifiche diPrevenzione perdita di dati per gli utenti client a pagina 9-59.

Notifiche di Prevenzione perdita di dati per gliamministratori

Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notificaquando viene rilevata la trasmissione di risorse digitali o quando la trasmissione vienebloccata.

OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informaregli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggidi notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali.


9-56

NotaOfficeScan è in grado di inviare notifiche tramite e-mail, cercapersone, trap SNMP eRegistro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia imessaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notificaamministratore a pagina 12-30.

Configurazione delle notifiche di Prevenzione perdita di datiper gli amministratori

Procedura

1. Accedere a Notifiche > Notifiche per l'amministratore > Notifiche standard.

2. Sulla scheda Criteri:

a. Fare clic sulla sezione Trasmissioni di risorse digitali.

b. Specificare se inviare le notifiche per il rilevamento della trasmissione dellerisorse digitali o solo quando la trasmissione è bloccata.

3. Sulla scheda E-mail:



c. Selezionare Invia notifiche agli utenti con autorizzazioni per i dominidella struttura del client.

Utilizzare l'RBA (Role-based Administration) per assegnare agli utentiautorizzazioni al dominio della struttura client. Se la trasmissione avviene inun client appartenente ad un dominio specifico, il messaggio e-mail vieneinviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. Latabella seguente illustra alcuni esempi:


9-57

TABELLA 9-6. Domini della struttura dei client e autorizzazioni

DOMINIOSTRUTTURA CLIENT

RUOLI CONAUTORIZZAZIONIPER IL DOMINIO

ACCOUNT UTENTECON IL RUOLO

INDIRIZZO E-MAILDELL'ACCOUNT

UTENTE

Dominio A Amministratore(integrato)


Role_01 admin_john [email protected]

admin_chris [email protected]

Dominio B Amministratore(integrato)


Role_02 admin_jane [email protected]

Se un client OfficeScan appartenente al Dominio A rileva una trasmissione dirisorse digitali, il messaggio e-mail viene inviato a [email protected],[email protected] e [email protected].

Se un client appartenente al Dominio B rileva la trasmissione, il messaggio e-mail viene inviato a [email protected] e [email protected].

NotaQuando si attiva questa opzione, tutti gli utenti con autorizzazioni per ildominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-maildi notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gliindirizzi e-mail sono configurati da Amministrazione > Account utente.

d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gliindirizzi e-mail.

e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.Utilizzare le variabili token per rappresentare i dati nei campi Oggetto eMessaggio.


9-58

TABELLA 9-7. Variabili token per notifiche di Prevenzione perdita di dati


%USER% L'utente che accede al computer quando la trasmissioneviene rilevata

%COMPUTER% Computer in cui è stata rilevata la trasmissione

%DOMAIN% Dominio del computer

%DATETIME% Data e ora di rilevamento della trasmissione

%CHANNEL% Il canale attraverso il quale viene rilevata la trasmissione

%TEMPLATE% Il modello di risorse digitali che ha avviato il rilevamento

4. Sulla scheda Cercapersone:




5. Sulla scheda Trap SNMP:



c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token perrappresentare i dati nel campo Messaggio. Per informazioni, vedereTabella 9-7: Variabili token per notifiche di Prevenzione perdita di dati a pagina 9-58.

6. Sulla scheda Registro eventi NT:



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Perinformazioni, vedere Tabella 9-7: Variabili token per notifiche di Prevenzione perditadi dati a pagina 9-58.


9-59


Notifiche di Prevenzione perdita di dati per gli utenti client

OfficeScan è in grado di visualizzare i messaggi di notifica sui computer clientimmediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali.

Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata oconsentita, selezionare l'opzione Invia una notifica all'utente client quando si crea uncriterio di Prevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedereConfigurazione dei criteri Prevenzione perdita di dati a pagina 9-49.

Configurazione delle notifiche di Prevenzione perdita di datiper i client

Procedura


2. Fare clic sulla scheda Trasmissioni di risorse digitali.

3. Accettare o modificare il messaggio predefinito.


Registri di Prevenzione perdita di datiI client registrano le trasmissioni (bloccate e consentite) delle risorse digitali e invianoimmediatamente i registri al server. Se il client non è in grado di inviare i registri, riprovadopo 5 minuti.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.


9-60

Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina12-34.

Visualizzazione dei registri di Prevenzione perdita di dati

Procedura

1. Accedere a Computer collegati in rete > Gestione client o Registri > Registridei computer collegati in rete > Rischi per la sicurezza.

2. Nella struttura dei client, fare clic sull'icona ( ) del dominio principale perincludere tutti i client oppure selezionare domini o client specifici.

3. Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizzaregistri > Registri DLP.



• Data/Ora in cui è stata rilevata la trasmissione di risorse digitali

• Computer in cui è stata rilevata la trasmissione

• Dominio del computer

• Indirizzo IP del computer

• Il processo che ha facilitato la trasmissione di una risorsa digitale. Il processodipende dal canale. Per i dettagli, consultare Processi per canale a pagina 9-61.

• Canale attraverso il quale è stata trasmessa la risorsa digitale

• Azione eseguita sulla trasmissione

• Modello che ha attivato il rilevamento

• Nome utente che ha effettuato l'accesso al computer

• Destinazione alla quale è stata trasmessa la risorsa digitale

• Descrizione che include ulteriori informazioni sulla trasmissione. Per idettagli, consultare Descrizioni a pagina 9-63.


9-61


Processi per canale

La tabella seguente contiene un elenco dei processi che vengono visualizzati nellacolonna Processo dei registri di Prevenzione perdita di dati.

TABELLA 9-8. Processi per canale

CANALE PROCESSO

Software disincronizzazione(ActiveSync)

Il percorso completo e il nome del processo del software disincronizzazione.

Esempio:

C:\Windows\system32\WUDFHost.exe

Supporto diregistrazione dati(CD/DVD)

Percorso completo e nome di processo del supporto diregistrazione dati

Esempio:

C:\Windows\Explorer.exe

Appunti diWindows

Non pertinente

Client di postaelettronica - LotusNotes

Percorso completo e nome di processo di Lotus Notes

Esempio:

C:\Program Files\IBM\Lotus\Notes\nlnotes.exe

Client di postaelettronica -Microsoft Outlook

Percorso completo e nome di processo di Microsoft Outlook

Esempio:

C:\Programmi\Microsoft Office\Office12\ OUTLOOK.EXE


9-62

CANALE PROCESSO

Client di postaelettronica - Tutti iclient che usano ilprotocollo SMTP

Percorso completo e nome di processo del client di postaelettronica

Esempio:

C:\Programmi\Mozilla Thunderbird\thunderbird.exe

Dispositivi diarchiviazionerimovibili

Nome di processo dell'applicazione che ha trasmesso i dati aldispositivo di archiviazione oppure all'interno dello stesso

Esempio:

explorer.exe

FTP Percorso completo e nome di processo del client FTP

Esempio:

D:\Programmi\FileZilla FTP Client\filezilla.exe

HTTP "Applicazione HTTP"

HTTPS Percorso completo e nome di processo del browser odell'applicazione

Esempio:

C:\Programmi\Internet Explorer\iexplore.exe

Applicazione IM Percorso completo e nome di processo dell'applicazione dimessaggistica istantanea

Esempio:

C:\Program Files\Skype\Phone\Skype.exe

Applicazione dimessaggisticaistantanea - MSN

• Percorso completo e nome di processo di MSN

Esempio:

C:\Programmi\Windows Live\Messenger\ msnmsgr.exe

• "Applicazione HTTP" se i dati sono trasmessi da una finestradi chat


9-63

CANALE PROCESSO

Applicazione peer-to-peer

Percorso completo e nome di processo dell'applicazione peer-to-peer

Esempio:

D:\Program Files\BitTorrent\bittorrent.exe

Crittografia PGP Percorso completo e nome di processo del software di crittografiaPGP

Esempio:

C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe

Stampante Percorso completo e nome di processo dell'applicazione che haavviato un'operazione della stampante

Esempio:

C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE

Protocollo SMB Percorso completo e nome di processo dell'applicazione da cui èstato effettuato l'accesso ai file condivisi (copia o creazione di unnuovo file)

Esempio:

C:\Windows\Explorer.exe

Webmail (modalitàHTTP)

"Applicazione HTTP"

Webmail (modalitàHTTPS)

Percorso completo e nome di processo del browser odell'applicazione

Esempio:

C:\Programmi\Mozilla Firefox\firefox.exe

Descrizioni

La colonna Descrizione nei registri Prevenzione perdita di dati contiene ulterioriinformazioni sulla trasmissione delle risorse digitali. I dati sono separati da virgole e


9-64

sono disponibili solo se la trasmissione avviene attraverso determinati canali. Unadescrizione che contiene più di 256 caratteri viene troncata automaticamente.

Nella seguente tabella sono riporta i dati che vengono visualizzati.

TABELLA 9-9. Descrizioni delle trasmissioni di risorse digitali

CANALE DETTAGLI

Client di postaelettronica - LotusNotes

• Indirizzi di posta elettronica dei destinatari nei campiA/Cc/Ccn

Gli indirizzi di posta elettronica sono in formato X.400 oSMTP

• Indirizzo di posta elettronica del mittente

Client di postaelettronica -Microsoft Outlook


Gli indirizzi di posta elettronica sono in formato X.400 oSMTP

• Nome del mittente

Client di postaelettronica - Tutti iclient che usano ilprotocollo SMTP



• Oggetto e-mail

FTP Nome utente usato per accedere al server FTP

HTTP/HTTPS URL di un sito Web o di una pagina Web

Webmail • URL webmail




9-65

Registri di debug Protezione dati

Attivazione del registro di debug per il modulo Protezionedati

Procedura

1. Richiedere il file logger.cfg all'assistenza tecnica.

2. Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: Stringa

• Nome: debugcfg

• Valore: C:\Log\logger.cfg

3. Creare una cartella denominata “Log” nella directory C:\

4. Copiare logger.cfg nella cartella “Log”.

5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivodella console Web per avviare la raccolta dei registri.

Nota

Per disattivare il registro di debug per Protezione dati, eliminare debugcfg nella chiave diregistro e riavviare il computer.

Disinstallazione di Protezione datiSe si disinstalla il modulo Protezione dati da Plug-In Manager:

• Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registrisaranno rimossi dal server OfficeScan.


9-66

• Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dalmodulo Protezione dati vengono rimosse dal server.

• Il modulo Protezione dati viene rimosso dai client. Per rimuovere la Protezionedati completamente, è necessario riavviare i computer client.

• I criteri di Prevenzione perdita di dati non saranno più applicati ai client.

• Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi:

• Porte COM e LPT

• Interfaccia IEEE 1394

• Dispositivi per l'acquisizione di immagini

• Dispositivi a infrarossi

• Modem

• Scheda PCMCIA

• Tasto Stamp

Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione,attivare la licenza con un Codice di attivazione valido.

Disinstallazione di Protezione dati da Plug-In Manager

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Protezione datiOfficeScan e fare clic su Disinstalla.

3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione èpossibile effettuare altre operazioni.


9-67

4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. Protezionedati di OfficeScan è di nuovo disponibile per l'installazione.

10-1

Capitolo 10

Protezione dei computer dalleminacce Web

In questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan perproteggere la rete e i computer dalle minacce Web.


• Minacce Web a pagina 10-2

• Reputazione Web a pagina 10-2

• Criteri di reputazione Web a pagina 10-3

• Proxy per la Reputazione Web a pagina 10-9

• Notifiche di minacce Web per utenti client a pagina 10-9

• Registri di reputazione Web a pagina 10-11


10-2

Minacce WebLe minacce Web comprendono un'ampia gamma di minacce che hanno origine suInternet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano unacombinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori diminacce Web modificano, ad esempio, in modo continuo la versione o la variante di unaminaccia utilizzata. Poiché la minaccia Web viene archiviata in una posizione fissa di unsito Web anziché sulla macchina infetta, il creatore della minaccia modificacontinuamente il suo codice affinché non venga rilevata.

Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spywaresono noti come criminali informatici. Le minacce Web consentono a questi individui diperseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo dilucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità.Il computer infettato può essere utilizzato per un attacco di phishing o per altre attivitàvolte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima diinsicurezza generale nei confronti delle transazioni via Internet e la conseguente perditadi fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo èimpossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro.Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchiDenial-of-Service distribuiti o abuso di annunci "pay-per-click".

Reputazione WebLa tecnologia di reputazione Web tiene traccia della credibilità dei domini Webassegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, icambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisidel comportamento delle minacce informatiche. I siti sono continuamente sottoposti ascansione e l'accesso ai siti infetti viene bloccato.

I client OfficeScan inviano query alle origini Smart Protection per determinare lareputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sitoWeb è correlata al criterio di reputazione Web specifico applicato sul computer. Aseconda del criterio utilizzato, il client OfficeScan blocca o consente l'accesso a un sitoWeb.

Protezione dei computer dalle minacce Web

10-3

NotaPer ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini SmartProtection a pagina 3-24.

Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri opericolosi. Quando un a client OfficeScan rileva un accesso a tali siti Web, consente oblocca automaticamente l'accesso e non invia altre query alle origini Smart Protection.

Criteri di reputazione WebI criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a unsito Web.

È possibile configurare i criteri per i client esterni e interni. Gli amministratoriOfficeScan in genere configurano criteri più rigidi per i client esterni.

I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibileapplicare determinati criteri a gruppi di client o a singoli client. È possibile ancheapplicare un singolo criterio a tutti i client.

Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nellaschermata Località computer (vedere Località computer a pagina 13-2) per determinarnela località e il criterio da applicare. I client cambiano criteri ogni volta che cambia lalocalità.

Configurazione dei Criteri di reputazione Web

Procedura


2. Selezionare le destinazioni nella struttura del client.

• Per configurare un criterio per i client con Windows XP, Vista 7 o 8,selezionare l'icona del dominio principale (root) ( ) oppure specificaredomini o client specifici.


10-4

NotaSe si seleziona il dominio principale o domini specifici, l'impostazione vieneapplicata solo ai client con Windows XP, Vista 7 o 8. L'impostazione non vieneapplicata a client con sistemi Windows Server 2003, Windows Server 2008 oWindows Server 2012 anche se fanno parte dei domini.

• Per configurare un criterio per i client con Windows Server 2003, WindowsServer 2008 o Windows Server 2012, selezionare un client specifico.

3. Fare clic su Impostazioni > Impostazioni di reputazione Web.

4. Fare clic sulla scheda Client esterni per configurare un criterio per i client esternioppure sulla scheda Client interni per configurare un criterio per i client interni.

SuggerimentoConfigurare le impostazioni della località del client se non sono state già configurate.I client useranno queste impostazioni per determinare i rispettivi percorsi e applicareil criterio di reputazione Web corretto. Per i dettagli, consultare Località computer apagina 13-2.

5. Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi. Isistemi operativi elencati nella schermata variano in base alle destinazioniselezionate nel passaggio 1.

SuggerimentoTrend Micro consiglia di disattivare la reputazione Web per i client interni nel caso incui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazioneWeb, come InterScan Web Security Virtual Appliance.

Quando un criterio di reputazione Web è attivato:

• I client esterni inviano query di reputazione Web a Smart Protection Network.

• I client interni inviano query di reputazione Web a:

• Gli Smart Protection Server se l'opzione Invia query a SmartProtection Server è attivata. Per ulteriori informazioni su questaopzione, vedere il passaggio 7.


10-5

• Gli Smart Protection Network se l'opzione Invia query a SmartProtection Server è attivata.

6. Selezionare Attiva valutazione.

Nota

In modalità di valutazione, i client consentono l'accesso a tutti i siti Web, maregistrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazionefosse disattivata. La modalità di valutazione fornita da Trend Micro consente divalutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, adesempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati.

7. Selezionare Verifica URL HTTPS.

Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web.Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro,accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siticompromessi, anche quelli con certificati validi, possono ospitare minacceinformatiche e sottrarre informazioni personali. Inoltre, i certificati sonorelativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione diserver Web dannosi che utilizzano HTTPS.

Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessio dannosi che usano l'HTTPS. OfficeScan è in grado di monitorare il trafficoHTTPS sui seguenti browser:

TABELLA 10-1. Browser supportati per il traffico HTTPS

BROWSER VERSIONE

Microsoft Internet Explorer • 6 con SP2 o successivo

• 7.x

• 8.x

• 9.x

• 10.x

Mozilla Firefox da 3.5 a 16.0


10-6

Importante

• La scansione HTTPS supporta solo le piattaforme Windows 8 o Windows 2012che operano in modalità desktop.

• Dopo aver attivato la scansione HTTPS per la prima volta sui client OfficeScancon Internet Explorer 9 o 10, gli utenti devono attivare il componenteaggiuntivo TmIEPlugInBHO Class nella finestra di popup del prima che lascansione HTTPS sia operativa.

Per informazioni sulla configurazione delle impostazioni di Internet Explorerper la reputazione Web, consultare i seguenti articoli della Knowledge Base:

• http://esupport.trendmicro.com/solution/en-us/1060643.aspx

• http://esupport.trendmicro.com/solution/en-us/1060644.aspx

8. Selezionare Esegui scansione solo delle porte HTTP comuni per limitare lascansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Perimpostazione predefinita, OfficeScan esegue la scansione di tutto il traffico in tuttele porte.

9. Selezionare Invia query a Smart Protection Server se si desidera che i clientinterni inviino query di reputazione Web agli Smart Protection Server.

• Se si attiva questa opzione:

• I client fanno riferimento all'elenco delle origini Smart Protection perdeterminare a quale Smart Protection Server connettersi. Per ulterioriinformazioni sull'elenco delle origini Smart Protection, consultare Elencodelle origini Smart Protection a pagina 3-24..

• Accertarsi che gli Smart Protection Server siano disponibili. Se nessunoSmart Protection Server è disponibile, non inviare query a SmartProtection Network. Le sole origini rimanenti di dati di reputazione Webper i client sono gli elenchi di URL approvati e bloccati (configurati nelpassaggio 10).

• Se si desidera che i client si connettano agli Smart Protection Servertramite un server proxy, specificare le impostazioni del proxy nellascheda Amministrazione > Impostazioni proxy > Proxy interno.

http://esupport.trendmicro.com/solution/en-us/1060643.aspx



10-7

• Aggiornare gli Smart Protection Server regolarmente in modo damantenere aggiornata la protezione.

• I client non bloccano i siti Web non verificati. Negli Smart ProtectionServer non sono memorizzati i dati di reputazione Web per questi sitiWeb.

• Se si disattiva questa opzione:

• I client inviano query di reputazione Web a Smart Protection Network. Icomputer client devono essere dotati di una connessione Internet perpoter inviare query correttamente.

• Se la connessione a Smart Protection Network richiede l'autenticazioneproxy, specificare le credenziali di autenticazione nella schedaAmministrazione > Impostazioni proxy Proxy esterno >Connessione del client con i server Trend Micro.

• I client bloccheranno i siti Web non testati se si seleziona Blocca lepagine che non sono state testate da Trend Micro nel passaggio 9.

10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto,Medio o Basso

NotaI livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a unURL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan bloccasolo gli URL considerati come minaccia Web. Impostando il livello di sicurezza piùelevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità difalsi allarmi.

11. Se è stata disattivata l'opzione Invia query a Smart Protection Server nelpassaggio 7, è possibile selezionare Blocca le pagine che non sono state testateda Trend Micro.

NotaAnche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza,gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove opoco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma siimpedisce anche l'accesso alle pagine sicure.


10-8

12. Configurare gli elenchi approvati e bloccati.

NotaL'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati.Quando un URL corrisponde a una voce nell'elenco degli URL approvati, i clientconsentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degliURL bloccati.

a. Selezionare Attiva elenco approvati/bloccati.

b. Immettere un URL.

È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL.

Ad esempio:

• Se si immette www.trendmicro.com/*, tutte le pagine del sito WebTrend Micro saranno approvate.

• Se si immette *.trendmicro.com/*, tutte le pagine di un qualsiasisottodominio di trendmicro.com saranno approvate.

È possibile immettere URL che contengono indirizzi IP. Se un URL contieneun indirizzo IPv6, racchiudere l'indirizzo tra parentesi.

c. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elencoBloccati.

d. Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

e. Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.

13. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito inValuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di querydella reputazione Web di Trend Micro.

14. Selezionare se consentire che il client OfficeScan invii i registri di reputazione Webal server. Se si desidera analizzare gli URL che vengono bloccati da OfficeScan ed


10-9

eseguire le azioni appropriate per gli URL che si considerano sicuri per l'accesso,consentire ai client di inviare i registri .

15. Se sono stati selezionati domini o client nella struttura client, fare clic su Salva. Se èstata selezionata l'icona del dominio principale, scegliere una delle opzioni riportatedi seguito:



Proxy per la Reputazione WebSe è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed ènecessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali perl'autenticazione del server proxy. OfficeScan utilizza queste credenziali per connettersialle origini di smart protection per determinare se i siti Web a cui gli utenti tentano diaccedere sono sicuri.

Questa versione di OfficeScan supporta solo un gruppo di credenziali di autenticazione.

Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno perclient OfficeScan a pagina 13-51.

Notifiche di minacce Web per utenti clientOfficeScan può visualizzare un messaggio di notifica sul computer client OfficeScansubito dopo aver bloccato un URL che viola un criterio di reputazione Web. Ènecessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto ditale messaggio.


10-10

Attivazione del messaggio di notifica di minacce Web

Procedura




4. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni direputazione Web.

5. Selezionare Visualizza una notifica quando un sito Web viene bloccato.




Modifica del messaggio di notifica di minacce Web

Procedura


2. Fare clic sulla scheda Violazioni della reputazione Web.

3. Modificare il messaggio predefinito nella casella di testo disponibile.


10-11


Registri di reputazione WebConfigurare i client esterni e interni in modo che inviino i registri di reputazione Web alserver. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioniappropriate per gli URL considerati sicuri, consentire tale operazione.


Visualizzazione dei registri di reputazione Web

Procedura

1. Andare a Registri > Registri dei computer collegati in rete > Rischi per lasicurezza o Computer collegati in rete > Gestione client.


3. Fare clic su Visualizza registri > Registri reputazione Web o su Registri >Registri reputazione Web.



• Data e ora in cui OfficeScan ha bloccato gli URL

• Computer dal quale l'utente ha accesso all'URL

• Computer dal quale l'utente ha avuto accesso all'URL

• URL bloccato


10-12

• Livello di rischio dell'URL

• Collegamento al sistema di query della Reputazione Web Trend Micro chefornisce ulteriori informazioni sull'URL bloccato

6. Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungiall'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati/bloccati.


11-1

Capitolo 11

Utilizzo del firewall di OfficeScanIn questo capitolo vengono descritte le configurazioni e le funzioni del firewallOfficeScan.


• Informazioni sul Firewall di OfficeScan a pagina 11-2

• Attivazione o disattivazione del Frewall di OfficeScan a pagina 11-6

• Criteri e profili del firewall a pagina 11-8

• Privilegi firewall a pagina 11-25

• Impostazioni firewall globali a pagina 11-27

• Notifiche di violazione del firewall per utenti client OfficeScan a pagina 11-29

• Registri del firewall a pagina 11-30

• Infezioni da violazione del firewall a pagina 11-32

• Test del firewall OfficeScan a pagina 11-33


11-2

Informazioni sul Firewall di OfficeScanIl firewall di OfficeScan protegge i client e i server della rete grazie a un sistema di"stateful inspection" e alla scansione antivirus della rete ad elevate prestazioni. Con laconsole di gestione centrale, è possibile creare regole per filtrare le connessioni perapplicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole agruppi diversi di utenti.

NotaÈ possibile attivare, configurare e utilizzare il firewall di OfficeScan su computer WindowsXP sui quali è stato attivato il firewall di Windows. Per fare questo, tuttavia, è necessariogestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenererisultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare ladocumentazione Microsoft.

Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito:

• Filtraggio del traffico a pagina 11-2

• Filtro di applicazioni a pagina 11-3

• Elenco software sicuro certificato a pagina 11-3

• Scansione dei virus di rete a pagina 11-4

• Profili e criteri personalizzabili a pagina 11-4

• Stateful Inspection a pagina 11-4

• Sistema di prevenzione intrusioni a pagina 11-4

• Monitoraggio delle infezioni di violazione del firewall a pagina 11-6

• Autorizzazioni firewall per il client OfficeScan a pagina 11-6

Filtraggio del trafficoIl firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità dibloccare alcuni tipi di traffico in base ai seguenti criteri:

Utilizzo del firewall di OfficeScan

11-3

• Direzione (in entrata/in uscita)

• Protocollo (TCP/UDP/ICMP/ICMPv6)

• Porte di destinazione

• Computer di origine e destinazione

Filtro di applicazioni

Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni,consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono daicriteri impostati dall'amministratore.

Nota

OfficeScan non supporta eccezioni di applicazioni specifiche sulle piattaforme Windows 8e Windows Server 2012. OfficeScan consente o impedisce il traffico di tutte le applicazionisui computer con tali piattaforme.

Elenco software sicuro certificato

L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possonoevitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato suMedio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete.

Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce unelenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro.

Nota

Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivarel'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizioprevenzione modifiche non autorizzate e il Servizio Certified Safe Software.


11-4

Scansione dei virus di reteIl firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Permaggiori dettagli, vedere Virus di rete a pagina 6-3.

Profili e criteri personalizzabiliIl firewall di OfficeScan consente di configurare i criteri affinché blocchino oconsentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili,che poi potranno essere implementati nei client OfficeScan specificati. Questocostituisce un metodo molto personalizzabile per l'organizzazione e la configurazionedelle impostazioni di firewall per i client.

Stateful InspectionIl firewall di OfficeScan è di tipo Stateful Inspection: ovvero, monitora tutte leconnessioni al computer client OfficeScan e archivia tutti gli stati di connessione. È ingrado di identificare condizioni specifiche in ogni connessione, prevedere quali azioniseguiranno e individuare le interruzioni in una connessione normale. L'uso efficace delfirewall, quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delleconnessioni e il filtro dei pacchetti che passano attraverso il firewall.

Sistema di prevenzione intrusioniIl firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS).Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete chepossono indicare un attacco al client OfficeScan. Il firewall di OfficeScan consente diprevenire le seguenti intrusioni note:

• Frammento troppo grande: attacco DoS (Denial of Service) in cui un hackerdirige un pacchetto TCP/UDP di dimensioni eccessive sul computer didestinazione. Un'operazione di questo tipo può comportare l'overflow del buffersui computer, causandone il blocco o il riavvio.

• Ping of Death: attacco DoS (Denial of Service) in cui un hacker dirige unpacchetto ICMP/ICMPv6 di dimensioni eccessive sul computer di destinazione.


11-5

Un'operazione di questo tipo può comportare l'overflow del buffer sui computer,causandone il blocco o il riavvio.

• Conflitto ARP: tipo di attacco in cui un hacker invia una richiesta ARP (AddressResolution Protocol) a un computer utilizzando lo stesso indirizzo IP come originee come destinazione. Il computer oggetto dell'attacco, quindi, comincia a inviarecontinuamente una risposta ARP (il suo indirizzo MAC) a se stesso, conconseguente blocco del sistema.

• Flooding SYN: attacco DoS (Denial of Service) in cui un programma invia a uncomputer dei pacchetti di sincronizzazione (SYN) TCP multipli, causando un inviocontinuo di risposte di riconoscimento (SYN/ACK) da parte del computer. Questiinvii possono provocare l'esaurimento della memoria del computer conconseguente blocco del sistema.

• Frammenti sovrapposti: questo attacco DoS (Denial of Service) simile alteardrop, invia a un computer dei frammenti TCP sovrapposti. Questo causa lasovrascrittura delle informazioni di intestazione del primo frammento TCP chepotrebbe così oltrepassare un firewall. Il firewall, a questo punto, potrebbeconsentire l'accesso ai successivi frammenti contenenti il codice malignopermettendo loro di raggiungere il computer di destinazione.

• Teardrop: questo attacco DoS (Denial of Service) simile all'attacco a frammentisovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno delsecondo o di altri frammenti IP può causare il blocco del sistema operativo delcomputer ricevente nel momento in cui tenta di riassemblare i frammenti.

• Attacco con frammenti di dimensioni minime: tipo di attacco in cui unframmento TCP di dimensioni minime forza le informazioni di intestazione delprimo pacchetto TCP all'interno del frammento successivo. I router che filtrano iltraffico ignorano pertanto il frammento successivo, che potrebbe invece conteneredati maligni.

• IGMP frammentato: attacco DoS (Denial of Service) che invia pacchetti IGMPframmentati a un computer di destinazione che non riesce a elaborarlicorrettamente, con conseguente rallentamento o blocco del computer.

• Attacco LAND: tipo di attacco che invia a un computer dei pacchetti disincronizzazione (SYN) IP contenenti lo stesso indirizzo come origine e come


11-6

destinazione; il computer invia pertanto la risposta di riconoscimento (SYN/ACK)a se stesso, con conseguente rallentamento o blocco del computer.

Monitoraggio delle infezioni di violazione del firewall

Quando le violazioni del firewall superano determinate soglie che potrebbero far pensarea un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato aspecifici destinatari.

Autorizzazioni firewall per il client OfficeScan

È possibile concedere agli utenti client OfficeScan le autorizzazioni necessarie pervisualizzare le impostazioni del firewall sulla console del client OfficeScan, nonchéquelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per ilmessaggio di notifica della violazione del firewall.

Attivazione o disattivazione del Frewall diOfficeScan

Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare odisattivare il firewall OfficeScan.

Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulleprestazioni, in particolare sulle piattaforme del server (Windows Server 2003, WindowsServer 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall.

Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo perproteggere un client da intrusioni, leggere prima le istruzioni in Servizi client OfficeScan apagina 13-7.

È possibile attivare o disattivare il firewall su tutti i computer client OfficeScan o solo sualcuni di essi.


11-7

Attivazione o disattivazione del firewall di OfficeScan suicomputer selezionati

Metodo A: Creare un nuovo criterio e applicarlo ai clientOfficeScan.

Procedura

1. Creare un nuovo criterio per attivare o disattivare il firewall. Per istruzioni sullacreazione di un nuovo criterio, vedere Aggiunta o modifica di un criterio firewall a pagina11-11.

2. Applicare il criterio ai client OfficeScan.

Metodo B: Attivare o disattivare il servizio e il driver delfirewall.

Procedura

1. Attivare o disattivare il driver del firewall.

a. Aprire le Proprietà delle Connessioni di rete Windows.

b. Selezionare o deselezionare la casella di controllo Driver comune FirewallTrend Micro nella scheda di rete.

2. Attivare o disattivare il servizio del firewall.

a. Aprire il prompt dei comandi e digitare services.msc.

b. Avviare o interrompere OfficeScan NT Firewall da Microsoft ManagementConsole (MMC).


11-8

Metodo C: Attivare o disattivare il servizio del firewall dallaconsole Web.

Per la procedura dettagliata, vedere Servizi client OfficeScan a pagina 13-7.

Attivazione o disattivazione del firewall di OfficeScan sututti i computer

Procedura

1. Accedere a Amministrazione > Licenza del prodotto.

2. Andare alla sezione Servizi aggiuntivi.

3. Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per i computer collegatiin rete, fare clic su Attiva o Disattiva.

Criteri e profili del firewallIl firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodidi protezione dei computer collegati in rete.

Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente puòcreare, configurare o eliminare i criteri e i profili di domini specifici.

Suggerimento

Installazioni di firewall diversi sullo stesso computer possono produrre risultati inaspettati.Prima di implementare e attivare il firewall di OfficeScan è opportuno disinstallare altrifirewall basati su software presenti sui client OfficeScan.

Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguentioperazioni:


11-9

1. Creare un criterio. Il criterio consente di selezionare un livello di sicurezza cheblocca o consente il traffico sui computer collegati in rete e attiva le funzioni delfirewall.

2. Aggiungere delle eccezioni al criterio. Le eccezioni consentono ai client OfficeScandi ignorare quanto stabilito da un criterio. Grazie alle eccezioni, è possibilespecificare dei client e consentire o bloccare determinati tipi di trafficoindipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. Èpossibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di clienttramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modoche i client possano accedere al server Web.

3. Creare e assegnare dei profili ai client OfficeScan. Un profilo di firewall comprendeuna serie di attributi client ed è associato a un criterio. Quando un clientcorrisponde agli attributi specificati nel profilo, il criterio a esso associato vieneattivato.

Criteri firewallI criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete nonspecificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewallvengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall.

OfficeScan comprende una serie di criteri predefiniti che è possibile modificare oeliminare.

Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente puòcreare, configurare o eliminare i criteri di domini specifici.

Nella tabella seguente è riportato un elenco dei criteri predefiniti del firewall.


11-10

TABELLA 11-1. Criteri del firewall predefiniti

NOME CRITERIOLIVELLO

DISICUREZZA

IMPOSTAZIONI CLIENT

ECCEZIONI USO CONSIGLIATO

Tutti i tipi diaccesso

Basso Attivafirewall

Nessuna Da utilizzare perconsentire ai client unaccesso illimitato allarete

Cisco TrustAgent per CiscoNAC


Tutto il traffico UDPin entrata e in uscitatramite la porta21862

Da utilizzare per iclient sui quali èinstallato Cisco TrustAgent (CTA)

Porte dicomunicazioneper Trend MicroControl Manager


Permette tutto iltraffico TCP/UDP inentrata e in uscitatramite le porte 80 e10319

Da utilizzare per iclient che sui quali èinstallato un MCPAgent

ConsoleScanMail perMicrosoftExchange


Permette tutto iltraffico TCP inentrata e in uscitatramite la porta16372

Da utilizzare quando iclient devonoaccedere alla consoleScanMail

ConsoleInterScanMessagingSecurity Suite(IMSS)


Permette tutto iltraffico TCP inentrata e in uscitatramite la porta 80

Da utilizzare quando iclient devonoaccedere alla consoleIMSS

Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, crearenuovi criteri.

Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri delfirewall nella console Web.


11-11

Configurazione dell'elenco dei criteri del firewall

Procedura

1. Accedere a Computer collegati in rete > Firewall > Criteri.

2. Per aggiungere un nuovo criterio, fare clic su Aggiungi.

Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterioesistente, selezionare il criterio esistente e fare clic su Copia. Per modificare uncriterio esistente, fare clic sul nome del criterio.

Viene visualizzata la schermata per la configurazione del criterio. Per ulterioriinformazioni, consultare Aggiunta o modifica di un criterio firewall a pagina 11-11.

3. Per eliminare un criterio esistente, selezionare la casella di controllo accanto alcriterio e fare clic su Elimina.

4. Per modificare il modello di eccezione del firewall, fare clic su Modifica modellodi eccezione.

Per ulteriori informazioni, consultare Modifica del modello di eccezione del firewall a pagina11-14.

Viene visualizzato l'editor del modello di eccezione.

Aggiunta o modifica di un criterio firewallPer ciascun criterio, configurare le impostazioni riportate di seguito:

• Livello di sicurezza: impostazione generale che blocca o consente tutto il trafficoin entrata e/o in uscita nel computer client OfficeScan.

• Caratteristiche del firewall: specificare se attivare o disattivare il firewall diOfficeScan, il Sistema rilevamento anti-intrusione (IDS) e il messaggio di notifica diviolazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema diprevenzione intrusioni a pagina 11-4.

• Elenco software sicuro certificato: specificare se consentire alle applicazionisicure certificate di connettersi alla rete. Consultare Elenco software sicuro certificato apagina 11-3 per ulteriori informazioni su Elenco software sicuro certificato.


11-12

• Elenco eccezioni al criterio: elenco di eccezioni configurabili che consentono dibloccare o consentire vari tipi di traffico di rete.

Aggiunta di un criterio del firewall

Procedura


2. Per aggiungere un nuovo criterio, fare clic su Aggiungi.

Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente,selezionare il criterio esistente e fare clic su Copia.

3. Inserire un nome per il criterio.

4. Selezionare un livello di sicurezza.

Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametridelle eccezioni ai criteri del firewall.

5. Selezionare le funzioni del firewall da utilizzare per il criterio.

• Quando il firewall blocca un pacchetto in uscita, viene visualizzato unmessaggio di notifica di violazione del firewall. Per modificare il messaggio,vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 11-30.

• L'attivazione di tutte le funzioni del firewall consente agli utenti clientOfficeScan di attivare/disattivare le funzioni e modificare le impostazioni delfirewall nella console del client OfficeScan.

AVVERTENZA!

Non è possibile utilizzare la console Web del server OfficeScan persovrascrivere le impostazioni della console del client OfficeScan configuratedall'utente.

• Se non si attivano queste funzioni, le impostazioni del firewall configuratedalla console Web del server OfficeScan vengono visualizzate in Elencoschede di rete nella console del client OfficeScan.


11-13

• Le informazioni che si trovano in Impostazioni nella scheda Firewall dellaconsole del client OfficeScan corrispondono sempre alle impostazioniconfigurate nella console del client OfficeScan, non a quelle della consoleWeb del server.

6. Attiva l'elenco software sicuro certificato globale o locale.

NotaPrima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzionemodifiche non autorizzate e il Servizio Certified Safe Software.

7. In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteriqui incluse si basano sul modello di eccezione del firewall. Per informazioni, vedereModifica del modello di eccezione del firewall a pagina 11-14.

• Per modificare un'eccezione ai criteri esistente fare clic sul nomedell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata.

NotaL'eccezione modificata si applica solo al criterio da creare. Se si desidera renderepermanente la modifica all'eccezione, è necessario apportare la stessa modificaall'eccezione nel modello di eccezione del firewall.

• Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare leimpostazioni nella pagina che si apre.

NotaAnche l'eccezione ai criteri si applica solo al criterio da creare. Per applicarequesta eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elencodelle eccezioni criteri nel modello di eccezione del firewall.



11-14

Modifica di di un criterio del firewall esistente

Procedura


2. Fare clic su un criterio.

3. Modificare gli elementi riportati di seguito:

• Nome criterio

• Livello di sicurezza

• Funzioni firewall da utilizzare per il criterio

• Stato dell'elenco Servizio Certified Safe Software

• Eccezioni ai criteri del firewall da includere nei criteri

• Modificare un'eccezione esistente (fare clic sul nome dell'eccezione emodificare le impostazioni nella pagina che si apre)

• Fare clic su Aggiungi per creare una nuova eccezione ai criteri.Specificare le impostazioni nella pagina che si apre.

4. Fare clic su Salva per applicare le modifiche ai criteri esistenti.

Modifica del modello di eccezione del firewall

Il modello di eccezioni del firewall contiene eccezioni ai criteri che possono essereconfigurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri diporta dei computer client OfficeScan e agli indirizzi IP. Una volta creata un'eccezione aicriteri, modificare i criteri a cui si applica l'eccezione.

Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione:

• Restrittiva

Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentonotutto il traffico di rete. Un esempio di utilizzo di eccezione restrittiva è il blocco


11-15

delle porte dei client OfficeScan vulnerabili all'attacco, ad esempio le porteutilizzate in genere dai cavalli di Troia.

• Permissiva

Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccanotutto il traffico di rete. Ad esempio, è possibile consentire ai client OfficeScan diaccedere solo al server OfficeScan e a un server Web. In questo caso, è necessarioconsentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con ilserver OfficeScan) e dalla porta che il client OfficeScan utilizza per lacomunicazione HTTP.

Porta di ascolto del client OfficeScan: Computer collegati in rete > Gestioneclient > Stato. Il numero di porta è reperibile in Informazioni di base.

Porta di ascolto del server: Amministrazione > Impostazioni connessione. Ilnumero di porta si trova in Impostazioni di connessione per i computercollegati in rete.

OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che èpossibile modificare o eliminare.

TABELLA 11-2. Eccezioni predefinite ai criteri del firewall

NOMEECCEZIONE

AZIONE PROTOCOLLO PORTA DIREZIONE

DNS Consenti

TCP/UDP 53 In entrata e in uscita

NetBIOS Consenti

TCP/UDP 137, 138,139, 445

In entrata e in uscita

HTTPS Consenti

TCP 443 In entrata e in uscita

HTTP Consenti


Telnet Consenti



11-16

NOMEECCEZIONE

AZIONE PROTOCOLLO PORTA DIREZIONE

SMTP Consenti


FTP Consenti


POP3 Consenti


LDAP Consenti

TCP/UDP 389 In entrata e in uscita

Nota

Le eccezioni predefinite vengono applicate a tutti i client. Per applicare un'eccezionepredefinita soltanto a determinati client, modificare l'eccezione e specificare gli indirizzi IPdei client.

L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versioneprecedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni,aggiungerla manualmente.

Aggiunta di un'eccezione dei criteri del firewall

Procedura


2. Fare clic su Modifica modello di eccezione.


4. Digitare un nome per l'eccezione ai criteri.

5. Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazionioppure specificare il percorso o le chiavi del registro di sistema delle applicazioni.


11-17

NotaVerificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione nonsupporta i caratteri jolly.

6. Selezionare l'azione che OfficeScan deve eseguire sul traffico di rete (bloccare oconsentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione deltraffico (traffico di rete in entrata o in uscita sul computer client OfficeScan).

7. Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6.

8. Specificare le porte del computer client OfficeScan sulle quali effettuare l'azione.

9. Selezionare gli indirizzi IP dei client OfficeScan da includere nell'eccezione. Adesempio, se si sceglie di bloccare tutto il traffico di rete (in entrata e in uscita) e siimmette l'indirizzo IP di un singolo computer della rete, qualsiasi client OfficeScancon questa eccezione tra i criteri non potrà inviare o ricevere dati da quell'indirizzoIP.

• Tutti gli indirizzi IP: include tutti gli indirizzi IP

• Indirizzo IP singolo: immettere un nome host o un indirizzo IPv4 oICMPv6.

• Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 oIPv6.

• Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzoIPv6.

• Maschera subnet: immettere un indirizzo IPv4 e la relativa subnet mask.


Modifica di un'eccezione dei criteri del firewall

Procedura




11-18

3. Fare clic su un criterio di eccezione.


• Nome eccezione ai criteri

• Tipo, nome o percorso dell'applicazione

• Operazione che OfficeScan deve effettuare su traffico di rete e direzione deltraffico

• Tipo di protocollo di rete

• Numeri di porta relativi all'eccezione

• Indirizzi IP del computer client OfficeScan:


Salvataggio delle impostazioni dell'elenco eccezioni al criterio

Procedura



3. Fare clic su una delle opzioni di salvataggio riportate di seguito:

• Salva modifiche al modello: salva il modello di eccezioni con le eccezioni ele impostazioni correnti. Questa opzione applica il modello solo ai critericreati in futuro, non a quelli esistenti.

• Salva e applica ai criteri esistenti: salva il modello eccezioni con leeccezioni e le impostazioni correnti. Questa opzione applica il modello acriteri esistenti e futuri.


11-19

Profili firewallI profili firewall sono flessibili in quanto consentono di scegliere quali attributi un cliento un gruppo di client deve avere affinché il criterio venga applicato. Creare ruoli utenteche permettano di creare, configurare o eliminare i profili di specifici domini.

Gli utenti con account di amministratore predefinito o con le autorizzazioni per lagestione completa possono attivare l'opzione Sovrascrivi livello di sicurezza client/elenco eccezioni per sostituire le impostazioni del profilo client OfficeScan con leimpostazioni del server.

I profili comprendono i seguenti elementi:

• Criterio associato: ogni profilo utilizza un singolo criterio.

• Attributi del client: il criterio associato viene applicato ai client OfficeScan chedispongono di almeno uno degli attributi riportati di seguito:

• Indirizzo IP: un indirizzo IP specifico del client OfficeScan, un indirizzo IPdel client compreso in un determinato intervallo di indirizzi IP o indirizzo IPdel client appartenente a una subnet specifica.

• Dominio: dominio specifico di OfficeScan al quale il client OfficeScanappartiene.

• Computer: nome del computer client OfficeScan specifico.

• Piattaforma: piattaforma specifica utilizzata dal client OfficeScan.

• Nome accesso: i computer client OfficeScan a cui utenti specifici hannoeffettuato l'accesso.

• Descrizione NIC: un computer client OfficeScan con una descrizione diNIC corrispondente.

• Stato connessione client: indica lo stato del client OfficeScan ; può essereonline o offline.

NotaUn client OfficeScan è online se è in grado di connettersi al server OfficeScan oa un server di riferimento, mentre è offline se non è in grado di connettersi adalcun server.


11-20

• Privilegi utente: consente o impedisce agli utenti del client OfficeScan di effettuarele seguenti operazioni:

• modificare il livello di sicurezza specificato in un criterio

• modificare l'elenco di eccezioni associato a un criterio

NotaQuesti privilegi si applicano solamente ai client corrispondenti agli attributispecificati nel profilo. È possibile assegnare altri privilegi firewall a specificiutenti client. Per informazioni, vedere Privilegi firewall a pagina 11-25.

OfficeScan include un profilo predefinito denominato "Profilo Tutti i client" che utilizzail criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questo profilopredefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewall predefiniti ecreati dagli utenti, nonché i criteri associati a ciascun profilo e lo stato attuale del profilo,vengono visualizzati nell'elenco di profili di firewall nella console Web. Gestire l'elencodei profili e implementare tutti i profili sui client OfficeScan. I client OfficeScanmemorizzano tutti i profili del firewall nel computer client.

Configurazione dell'elenco profili del firewall

Procedura

1. Accedere a Computer collegati in rete > Firewall > Profili.

2. Gli utenti che utilizzano l'account di amministratore predefinito o gli utenti con leautorizzazioni per la gestione completa, se lo desiderano, possono attivarel'opzione Sovrascrivi livello di sicurezza client/elenco eccezioni per sostituirele impostazioni del profilo client OfficeScan con le impostazioni del server.

3. Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profiloesistente, selezionare il nome del profilo.

Viene visualizzata la schermata per la configurazione del profilo. Per ulterioriinformazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 11-22.

4. Per eliminare un criterio esistente, selezionare la casella di controllo accanto alcriterio e fare clic su Elimina.


11-21

5. Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controlloaccanto al profilo da spostare e fare clic su Sposta su o Sposta giù.

OfficeScan applica i profili firewall ai client OfficeScan nell'ordine in cui i profilicompaiono nell'elenco dei profili. Ad esempio, se un client corrisponde al primoprofilo, OfficeScan applica al client le operazioni configurate per quel profilo. Perquel client OfficeScan ignora gli altri profili configurati.

SuggerimentoPiù esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare ilcriterio creato per un unico client in cima all'elenco, seguito da quelli relativi a unintervallo di client, a un dominio di rete e a tutti i client.

6. Per gestire i server di riferimento, fare clic su Modifica elenco server diriferimento. Quando si applicano i profili firewall, i server di riferimento sonocomputer che fungono da sostituti per il server OfficeScan. Qualsiasi computerdella rete può fungere da server di riferimento (per ulteriori informazioni,consultare Server di riferimento a pagina 12-28). Quando si attivano i server diriferimento, OfficeScan parte dai seguenti presupposti:

• I client OfficeScan collegati a server di riferimento sono online, anche se nonpossono comunicare con il server OfficeScan.

• I profili firewall applicati ai client OfficeScan online si applicano anche aiclient OfficeScan collegati a server di riferimento.

NotaSolo gli utenti con account di amministratore predefinito o quelli con autorizzazionidi gestione completa possono visualizzare e configurare l'elenco dei server diriferimento.

7. Per salvare le impostazioni correnti e assegnare i profili ai client OfficeScan:

a. Decidere se attivare l'opzione Sovrascrivi livello di sicurezza client/elencoeccezioni. Questa opzione sovrascrive tutte le impostazioni del firewallconfigurate dall'utente.

b. Fare clic su Assegna profilo ai client. OfficeScan assegna tutti i profilidell'elenco dei profili a tutti i client OfficeScan.


11-22

8. Per verificare di aver assegnato i profili ai client OfficeScan:

a. Andare a Computer collegati in rete > Gestione client. Nell'elenco adiscesa disponibile nella visualizzazione della struttura dei client, selezionareVisualizzazione firewall.

b. Verificare che sia presente un segno di spunta verde nella colonna Firewalldella struttura dei client. Se i criteri associati al profilo consentono di utilizzareil sistema IDS (Intrusion Detection System), è presente un segno di spuntaverde anche nella colonna IDS.

c. Controllare che il client abbia applicato i criteri di firewall corretti. I criterisono visualizzati nella colonna Criteri del firewall della struttura dei client.

Aggiunta e modifica di un profilo firewallI computer client OfficeScan possono richiedere livelli diversi di protezione. I profili delfirewall consentono di specificare i client a cui si applica il criterio associato e concederei privilegi agli utenti client per modificare le impostazioni del firewall. In linea dimassima, per ogni criterio in uso è necessario un profilo.

Aggiunta di un profilo di firewall

Procedura



3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare ilprofilo sui client OfficeScan.

4. Inserire un nome per identificare il profilo e una descrizione opzionale.

5. Specificare un criterio per questo profilo.

6. Specificare i computer client a cui OfficeScan deve applicare il criterio. Selezionarei computer in base ai seguenti parametri:

• Indirizzo IP


11-23

• Dominio: Fare clic sul pulsante per aprire e selezionare i domini dalla strutturadei client.

NotaSolo gli utenti con autorizzazioni complete per i domini possono selezionarli.

• Nome computer: fare clic sul pulsante per aprire e selezionare i computerclient OfficeScan dalla struttura client.

• Piattaforma

• Nome accesso

• Descrizione NIC: immettere una descrizione totale o parziale, senza caratterijolly.

SuggerimentoTrend Micro consiglia di immettere il prodottore della scheda NIC perché ledescrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, sesi digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se sidigita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo ledescrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno aquesto criterio.

• Stato connessione client:

7. selezionare se assegnare agli utenti il privilegio di modificare il livello di sicurezzadel firewall o l'elenco configurabile delle eccezioni per consentire i tipi specificati ditraffico.

Consultare Aggiunta o modifica di un criterio firewall a pagina 11-11 per ulterioriinformazioni su queste opzioni.



11-24

Modifica di un profilo di firewall

Procedura


2. Fare clic su un profilo.

3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare ilprofilo sui client OfficeScan. Modificare gli elementi riportati di seguito:

• Nome profilo e descrizione

• Criterio assegnato al profilo

• Computer client OfficeScan, in base ai seguenti parametri:

• Indirizzo IP

• Dominio: fare clic sul pulsante per aprire la struttura dei client eselezionare i domini.

• Nome computer: fare clic sul pulsante per aprire la struttura dei client eselezionare i computer client.

• Piattaforma

• Nome accesso

• Descrizione NIC: immettere una descrizione totale o parziale, senzacaratteri jolly.

Suggerimento

Trend Micro consiglia di immettere il prodottore della scheda NIC perchéle descrizioni NIC in genere iniziano con il nome del produttore. Adesempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questocriterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R)Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100"corrisponderanno a questo criterio.

• Stato connessione client:


11-25

• Privilegi: selezionare se assegnare agli utenti il privilegio di modificare il livellodi sicurezza del firewall o l'elenco configurabile delle eccezioni per consentire itipi specificati di traffico. Consultare Aggiunta o modifica di un criterio firewall apagina 11-11 per ulteriori informazioni su queste opzioni.


Privilegi firewallConsentono agli utenti di configurare le proprie impostazioni del firewall. Leimpostazioni configurate dagli utenti hanno la precedenza sulle impostazioniimplementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistemarilevamento anti-intrusione (IDS, Intrusion Detection System) e nel server OfficeScanIDS viene attivato, IDS rimane disattivato nel computer client OfficeScan.

Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall:

• Visualizza la scheda Firewall nella console del client

Nella scheda Firewall sono visualizzate tutte le impostazioni del firewall nel clientOfficeScan ; tale scheda consente agli utenti con i privilegi per il firewall diconfigurare le proprie impostazioni.

• Consenti agli utenti di attivare/disattivare il firewall, il sistema dirilevamento anti-intrusione e il messaggio di notifica di violazione delfirewall

Il firewall OfficeScan protegge i client e i server della rete grazie a un sistema di"stateful inspection", alla scansione antivirus della rete ad elevate prestazioni eall'eliminazione. Se si concede agli utenti il privilegio di attivare o disattivare ilfirewall e le relative funzioni, occorre avvertirli di non disattivare il firewall per unperiodo di tempo prolungato per evitare di esporre il computer a intrusioni eattacchi di hacker.

Se non si concedono agli utenti tali privilegi, le impostazioni del firewall configuratedalla console Web del server OfficeScan vengono visualizzate in Elenco schede direte nella console del client OfficeScan.

• Consenti ai client di inviare i registri del firewall al server OfficeScan


11-26

Selezionare questa opzione per analizzare il traffico bloccato e consentito dalfirewall OfficeScan. Per ulteriori informazioni sui registri del firewall, consultareRegistri del firewall a pagina 11-30.

Se si seleziona questa opzione, configurare la pianificazione dell'invio del registro inComputer collegati in rete > Impostazioni client globali. Andare alla sezioneImpostazioni firewall. La pianificazione si applica solamente ai client dotati diprivilegio di invio del registro. Per le istruzioni, vedere Impostazioni firewall globali apagina 11-27.

Concessione dei privilegi firewall

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi firewall.


• Visualizza la scheda Firewall nella console del client a pagina 11-25

• Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall a pagina 11-25

• Consenti ai client di inviare i registri del firewall al server OfficeScan a pagina 11-25




11-27


Impostazioni firewall globaliLe impostazioni globali del firewall possono essere applicate ai client OfficeScan indiversi modi.

• Una determinata impostazione del firewall può essere applicata a tutti i client gestitidal server.

• Un'impostazione può essere applicata solo ai client OfficeScan con determinatiprivilegi firewall. Ad esempio, la pianificazione di invio del registro del firewall siapplica solo ai client OfficeScan che hanno il privilegio di inviare registri al server.

Attivare le impostazioni globali seguenti, in base alle necessità.

• Invia i registri del firewall al server

È possibile assegnare a determinati client OfficeScan il privilegio di inviare registrifirewall al server OfficeScan. Configurare la pianificazione per l'invio del registro.Solo i client con privilegi per inviare registri firewall potranno usare questapianificazione.

Per informazioni sui privilegi del firewall disponibili per i client selezionati, vederePrivilegi firewall a pagina 11-25.

• Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema

Attivare il client OfficeScan per aggiornare il Driver comune firewall solo dopo ilriavvio del computer client OfficeScan. Attivare questa opzione per impedire che siverifichino disguidi (ad esempio la disconnessione temporanea dalla rete) per icomputer client durante gli aggiornamenti di Driver comune Firewall durantel'aggiornamento del client.


11-28

Nota

Questa funzione supporta solo i client aggiornati da OfficeScan 8.0 SP1 e versionisuccessive.

• Invia le informazioni del registro firewall al server OfficeScan ogni ora perrilevare possibili violazioni del firewall

Quando viene attivata questa opzione i client OfficeScan inviano i conteggi delregistro del firewall al server OfficeScan a intervalli di un'ora. Per ulterioriinformazioni sui registri del firewall, consultare Registri del firewall a pagina 11-30.

OfficeScan utilizza i conteggi del registro e i criteri delle infezioni da violazione delfirewall per determinare la possibilità di un'infezione da violazione del firewall.OfficeScan invia un messaggio e-mail di notifica agli amministratori OfficeScan sesi verifica un'infezione.

Configurazione delle impostazioni firewall globali

Procedura


2. Andare alla sezione seguente e configurare le impostazioni:

TABELLA 11-3. Impostazioni firewall globali

SEZIONE IMPOSTAZIONI

Impostazioni delfirewall

• Invia i registri del firewall al server a pagina 11-27

• Aggiorna il driver del firewall OfficeScan solo dopoaver riavviato il sistema a pagina 11-27

Conteggio registrofirewall

Invia le informazioni del registro firewall al serverOfficeScan ogni ora per rilevare possibili violazioni delfirewall a pagina 11-28



11-29

Notifiche di violazione del firewall per utenticlient OfficeScan

OfficeScan può visualizzare un messaggio di notifica su un computer client subito dopoche il firewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri delfirewall. Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica.

Nota

È anche possibile attivare la notifica quando si configura un particolare criterio del firewall.Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina11-11.

Concessione agli utenti del privilegio di attivare/disattivare il messaggio di notifica

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi firewall.

5. Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema dirilevamento anti-intrusione e il messaggio di notifica di violazione delfirewall.




11-30



Modifica del contenuto del messaggio di notifica delfirewall

Procedura


2. Fare clic sulla scheda Violazioni del firewall.

3. Modificare i messaggi predefiniti nella casella di testo disponibile.


Registri del firewallI registri del firewall disponibili nel server vengono inviati dai client OfficeScan chedispongono dei privilegi per l'invio dei registri del firewall. Per monitorare e analizzare iltraffico nei computer client che il firewall di OfficeScan blocca, è possibile concederequesto privilegio ad alcuni client specifici.

Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 11-25.



11-31

Visualizzazione dei registri firewall

Procedura



3. Fare clic su Registri > Registri del firewall o su Visualizza registri > Registridel firewall.

4. Per avere a disposizione i registri più recenti, fare clic su Notifica client. Prima diprocedere al passaggio successivo, attendere il tempo necessario per consentire aiclient di inviare i registri del firewall.



• Data e ora del rilevamento della violazione del firewall

• Computer in cui si è verificata la violazione del firewall

• Dominio del computer in cui si è verificata la violazione del firewall

• Indirizzo IP host remoto

• Indirizzo IP host locale

• Protocollo

• Numero di porta

• Direzione: indica se la violazione dei criteri del firewall è stata effettuata daltraffico in entrata (ricezione) o in uscita (invio)

• Processo: il programma eseguibile o il servizio in esecuzione sul computer cheha causato la violazione del firewall

• Descrizione: specifica il rischio alla protezione reale (quali virus di rete oattacchi IDS) o la violazione dei criteri del firewall


11-32


Infezioni da violazione del firewallDefinire i parametri di un'infezione da violazione del firewall in base al numero diviolazioni del firewall e al periodo di rilevamento.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica in base alle diverse esigenze.

NotaOfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica.Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan diinviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina12-30.

Configurazione delle notifiche e dei criteri di infezione daviolazione del firewall

Procedura

1. Accedere a Notifiche > Notifiche per l'amministratore > Notifiche infezione.


a. Andare alla sezione Violazioni del firewall.

b. Selezionare Controlla le violazioni del firewall sui computer collegati inrete.

c. Specificare il numero dei registri di IDS, dei registri di firewall e dei registri deivirus di rete.

d. Specificare un periodo di rilevamento.


11-33

Suggerimento

Trend Micro consiglia di accettare i valori predefiniti di questa schermata.

OfficeScan invia un messaggio di notifica quando il numero di registri vienesuperato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall,100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia lanotifica quando il server riceve 301 registri in 3 ore.


a. Andare alla sezione Infezioni da violazioni del firewall.


c. Specificare i destinatari del messaggio e-mail.

d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare variabili token per rappresentare i dati nel campoOggetto e Messaggio.

TABELLA 11-4. Variabili token per notifiche di infezione da violazione delfirewall


%A Tipo di registro superato

%C Numero di registri di violazione del firewall

%T Totale periodo di durata dei registri di violazione del firewall


Test del firewall OfficeScanPer avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire untest su un client OfficeScan o un gruppo di client OfficeScan.


11-34

AVVERTENZA!Eseguire il test delle impostazioni del programma client OfficeScan solo in un ambientecontrollato. Non eseguire test su computer client collegati alla rete o a Internet. Questaoperazione potrebbe esporre i computer client OfficeScan a virus, attacchi di hacker e altririschi.

Procedura

1. Creare e salvare un criterio per il test. Configurare le impostazioni affinché venganobloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire laconnessione del client OfficeScan a Internet, effettuare le operazioni riportate diseguito:

a. Impostare il livello di sicurezza su Basso (per consentire tutto il traffico inentrata e in uscita).

b. Selezionare Invia una notifica agli utenti quando si verifica unaviolazione del firewall.

c. Creare un'eccezione che blocchi il traffico HTTP (o HTTPS).

2. Creare e salvare un profilo per il test, selezionando i client su cui si desideranocontrollare le funzioni del firewall. Associare i criteri del test al profilo del test.

3. Fare clic su Assegna profilo ai client.

4. Verificare l'implementazione.

a. Fare clic su Computer collegati alla rete > Gestione client.

b. Selezionare il dominio a cui appartiene il client.

c. Selezionare Visualizzazione firewall dalla visualizzazione della struttura deiclient.

d. Verificare che sia presente un segno di spunta verde nella colonna Firewalldella struttura dei client. Se è stato attivato il sistema IDS (Intrusion DetectionSystem) per il client, verificare che sia presente un segno di spunta verdeanche nella colonna IDS.

e. Controllare che il client abbia applicato i criteri di firewall corretti. I criterisono visualizzati nella colonna Criteri del firewall della struttura dei client.


11-35

5. Eseguire il test del firewall nel computer client tentando di inviare o ricevere il tipodi traffico configurato nei criteri.

6. Per eseguire il test di un criterio configurato per evitare che il client acceda aInternet, aprire un browser Web sul computer client. Se OfficeScan è statoconfigurato per visualizzare un messaggio di notifica per le violazioni del firewall, ilmessaggio viene visualizzato sul computer client quando si verifica una violazionedel traffico in uscita.

Parte IIIGestione di server e client

OfficeScan

12-1

Capitolo 12

Gestione del server OfficeScanIn questo capitolo vengono descritte le configurazioni e la gestione del serverOfficeScan.


• Role-based Administration (RBA) a pagina 12-2

• Server di riferimento a pagina 12-28

• Impostazioni notifica amministratore a pagina 12-30

• Registri eventi di sistema a pagina 12-32

• Gestione dei registri a pagina 12-34

• OfficeScan Database Backup a pagina 12-40

• Informazioni sul server Web OfficeScan a pagina 12-42

• Password della console Web a pagina 12-43

• Server Tuner a pagina 12-45

• Smart Feedback a pagina 12-48


12-2

Role-based Administration (RBA)Utilizzare la Role-based Administration per garantire e controllare l'accesso alla consoleWeb OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propriaorganizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegidi console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioninecessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accessoalla strutture client assegnando loro uno o più domini da gestire. Inoltre, è possibileconcedere ai non amministratori l'accesso alla console Web in modalità "sola lettura".

A ciascun utente (amministratore o non amministratore) viene assegnato un ruolospecifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono allaconsole Web utilizzando gli account utente personalizzati o gli account Active Directory.

Role-based Administration comprende le operazioni riportate di seguito:

1. Definire i ruoli utente. Per i dettagli, consultare Ruoli utente a pagina 12-2.

2. Configurare gli account utente e assegnare un ruolo particolare a ciascun accountutente. Per i dettagli, consultare Account utente a pagina 12-18.

Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema.Vengono registrate le attività riportate di seguito:

• Accesso alla console Web

• Modifica della password

• Disconnessione dalla console

• Timeout di sessione (l'utente viene disconnesso automaticamente)

Ruoli utente

Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruoloviene assegnata un'autorizzazione per ciascuna voce di menu.

Assegnare le autorizzazioni per i seguenti elementi:

• Autorizzazioni per le voci di menu a pagina 12-3

Gestione del server OfficeScan

12-3

• Tipi di voci di menu a pagina 12-3

• Voci di menu per server e client a pagina 12-4

• Voci menu per domini gestiti a pagina 12-7

• Voci menu gestione client a pagina 12-8

Autorizzazioni per le voci di menu

Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu.L'autorizzazione per una voce di menu può essere:

• Configura: consente l'accesso completo ad una voce di menu. Gli utenti sono ingrado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzarei dati di una voce di menu.

• Visualizza: consente agli utenti di visualizzare solamente le impostazioni, leoperazioni e i dati di una voce di menu.

• Nessun accesso: la voce di menu viene nascosta.

Tipi di voci di menu

Sono disponibili 3 tipi di voci di menu in OfficeScan.

TABELLA 12-1. Tipi di voci di menu

TIPO AMBITO

Voci menu perserver/client

• Dati, operazioni e impostazioni del server

• Dati, operazioni e impostazioni globali del client

Per un elenco completo delle voci di menu disponibili, vedere Vocidi menu per server e client a pagina 12-4.

Voci menu perdomini gestiti

Dati, operazioni e impostazioni flessibili dei client disponibili al difuori della struttura client

Per un elenco completo delle voci di menu disponibili, vedere Vocimenu per domini gestiti a pagina 12-7.


12-4

TIPO AMBITO

Voci menu Gestioneclient

Dati, operazioni e impostazioni flessibili dei client disponibili nellastruttura client

Per un elenco completo delle voci di menu disponibili, vedere Vocimenu gestione client a pagina 12-8.

Voci di menu per server e client

La seguente tabella elenca le voci di menu per i server/client:

TABELLA 12-2. Voci menu per server/client

VOCE DI MENU PRINCIPALE MENU SECONDARI

Esegui scansione per tutti i domini

NotaSolo chi utilizza i ruoli diamministratore integrati puòaccedere a questa funzione.

Nessuno

Computer collegati in rete • Gestione client

• Raggruppamento client

• Impostazioni client globali

• Località computer


• Identificatori di dati

• Modelli

• Verifica connessione

• Prevenzione delle infezioni virali


12-5


Smart Protection • Origini Smart Protection

• Server integrato

• Smart Feedback

Aggiornamenti • Server

• Aggiornamento pianificato

• Aggiornamento manuale


• Computer collegati in rete

• Aggiornamento automatico


• Rollback

Registri • Registri dei computer collegati in rete

• Rischi per la sicurezza


• Registri aggiornamenti server

• Registri eventi di sistema

• Manutenzione registri

Cisco NAC • Policy Server

• Gestione agente

• Implementazione Agent

• Certificato client

Notifiche • Notifiche per l'amministratore

• Impostazioni generali

• Notifiche infezione

• Notifiche all'utente client


12-6


Amministrazione • Account utente

• Ruoli utente

NotaSolo gli utenti che utilizzanol'account di amministratoreintegrato possono accedere adAccount utente e Ruoli.

• Active Directory

• Active Directory Integration

• Sincronizzazione pianificata

• Impostazioni proxy

• Impostazioni connessione

• Client inattivi

• Gestore della quarantena

• Licenza del prodotto

• Impostazioni Control Manager

• Impostazioni della console Web

• Database Backup

Strumenti • Strumenti amministrativi

• Strumenti client

Plug-in Manager

NotaSolo gli utenti che utilizzanol'account di amministratoreintegrato possono accedere aquesta funzione.

Nessuno


12-7

Voci menu per domini gestiti

La seguente tabella elenca le voci di menu per i domini gestiti:

TABELLA 12-3. Voci menu per domini gestiti


Riepilogo

NotaTutti gli utenti possono accederea questa pagina,indipendentementedall'autorizzazione.

Nessuno

Conformità sicurezza • Valutazione conformità

• Segnalazione conformità

• Segnalazione conformità pianificata

• Gestione server esterni

Computer collegati in rete • Firewall

• Criteri

• Profili

• Installazione client

• Basata su browser

• Remota

Aggiornamenti • Riepilogo

• Computer collegati in rete

• Aggiornamento manuale

Registri • Registri dei computer collegati in rete

• Verifica connessione

• Ripristino spyware/grayware


12-8


Notifiche • Notifiche per l'amministratore

• Notifiche standard

Voci menu gestione client

La seguente tabella elenca le voci di menu della gestione del client:

TABELLA 12-4. Voci menu gestione client


Stato Nessuno

Operazioni • Esegui scansione

• Disinstallazione client

• Ripristino spyware/grayware


12-9


Impostazioni • Impostazioni di scansione

• Metodi di scansione

• Impostazioni scansione manuale

• Impostazioni scansione in temporeale

• Impostazioni scansione pianificata

• Impostazioni funzione Eseguiscansione

• Impostazioni di reputazione Web

• Impostazioni del monitoraggio delcomportamento


• Impostazioni di Prevenzione perdita di dati

• Impostazioni Update Agent



• Elenco Approvati spyware/grayware

• Esporta impostazioni

• Importa impostazioni


12-10


Registri • Registri di virus/minacce informatiche

• Registri di spyware/grayware

• Registri del firewall

• Registri di reputazione Web

• Registri di Monitoraggio delcomportamento

• Registri di controllo dispositivo

• Registri di Prevenzione perdita di dati

• Elimina registri

Gestione struttura client • Aggiungi dominio

• Rinomina dominio

• Sposta client

• Ordina client

• Rimozione di dominio/client

Esporta Nessuno

Ruoli utente integratiOfficeScan comprende una serie di ruoli utente integrati che non possono esseremodificati o eliminati. I ruoli integrati sono riportati di seguito:

TABELLA 12-5. Ruoli utente integrati

NOME RUOLO DESCRIZIONE

Amministratore È possibile concedere questo ruolo agli utenti o amministratori diOfficeScan che hanno una buona conoscenza di OfficeScan.

Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tuttele voci di menu.


12-11

NOME RUOLO DESCRIZIONE

Utente ospite È possibile concedere questo ruolo agli utenti che desideranovisualizzare la console Web per riferimento.

• Gli utenti con questo ruolo non hanno accesso alle voci dimenu seguenti:

• Esegui scansione per tutti i domini

• Plug-in Manager

• Amministrazione > Ruoli utente

• Amministrazione > Account utente

• Gli utenti con accesso di visualizzazione a tutte le altre voci dimenu.

Utente espertoTrend

Questo ruolo è disponibile solamente se si eseguel'aggiornamento della versione da OfficeScan 10.

Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" inOfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione"Configura" per tutti i domini della struttura dei client, ma nonhanno accesso alle nuove funzionalità di questa versione.

Ruoli personalizzati

Se i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruolipersonalizzati.

Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzanol'account principale (root) creato durante l'installazione di OfficeScan possono creareruoli utente personalizzati ed assegnare tali ruoli agli account utente.

Aggiunta di una regola personalizzata

Procedura

1. Accedere a Amministrazione > Ruoli utente.


12-12

2. Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruoloesistente, selezionare il ruolo esistente e fare clic su Copia. Viene visualizzata unanuova schermata.

3. Immettere il nome del ruolo e, se lo si desidera, una descrizione.

4. Definire l'ambito della struttura client.

a. Fare clic su Definire l'ambito della struttura client. Viene visualizzata unanuova schermata.

b. Selezionare l'icona del dominio principale (root) ( ) oppure uno o piùdomini nella struttura client.


NotaNon sarà possibile salvare un ruolo personalizzato se non si definisce l'ambito dellastruttura client.

A questo punto sono stati definiti solo i domini. Il livello di accesso ai dominiselezionati verrà definito nel passaggio 6 e nel passaggio 7.

5. Fare clic sulla scheda Voci menu globali.

6. Fare clic su Voci menu per server/client e specificare l'autorizzazione perciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,vedere Voci di menu per server e client a pagina 12-4.

L'ambito della struttura client configurato nel passaggio 3 determina il livello diautorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione.L'ambito della struttura dei client può essere il dominio principale (tutti i client)oppure i domini specifici della struttura client.


12-13

TABELLA 12-6. Voci menu per server/client e ambito della struttura client

CRITERIAMBITO DELLA STRUTTURA CLIENT

DOMINIO ROOT DOMINI SPECIFICI

Autorizzazioneper le voci dimenu

Configura, Visualizza o Nessunaccesso

Visualizza o Nessun accesso

Destinazione Server OfficeScan e tutti i client

Ad esempio, se ad un ruoloviene concessal'autorizzazione "Configura" pertutte le voci di menu per iserver/client, l'utente è in gradodi:

• Gestire dati, operazioni eimpostazioni del server

• Implementare leimpostazioni client globali

• Avviare le operazioni deiclient globali

• Gestire i dati dei clientglobali

Server OfficeScan e tutti i client

Ad esempio, se ad un ruoloviene concessal'autorizzazione "Configura" pertutte le voci di menu per iserver/client, l'utente è in gradodi:

• Visualizzare dati,operazioni e impostazionidel server

• Visualizzare dati,operazioni e impostazionidei client globali

• Alcune voci di menu non sono disponibili per i ruoli personalizzati. Adesempio, Plug-in Manager, Ruoli utente e Account utente sono disponibilisolo con il ruolo di amministratore integrato.

• Se viene selezionata la casella di controllo in Configura, la casella di controlloin Visualizza viene configurata automaticamente.

• Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessunaccesso".

7. Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione perciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,vedere .


12-14


TABELLA 12-7. Voci menu per domini gestiti e ambito della struttura client






Destinazione Client specifici o tutti i client

Esempi:

• Se un utente haimplementato dei criteri difirewall, i criteri sarannoimplementati su tutti iclient.

• L'utente può avviare unaggiornamento manualedel client su tutti i client osu client specifici.

• Una segnalazione diconformità include tutti iclient o i client specifici.

Client nei domini selezionati

Esempi:

• Se un utente haimplementato dei criteri difirewall, i criteri sarannoimplementati solamentesui client dei dominiselezionati.

• L'utente può avviare unaggiornamento manualedel client solo sui client deidomini selezionati.

• Una segnalazione diconformità includesolamente i client deidomini selezionati.



8. Fare clic sula scheda Voci menu Gestione client e specificare successivamentel'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci dimenu disponibili, vedere .


12-15


TABELLA 12-8. Gestione client Voci menu gestione client e ambito della strutturaclient






Destinazione Dominio root (tutti i client) odomini specifici

È, ad esempio, possibileconcedere ad un ruolol'autorizzazione "Configura" perla voce di menu "Operazioni"della struttura dei client. Se ladestinazione è il dominio root,l'utente può avviare leoperazioni su tutti i client. Se ledestinazioni sono i domini A eB, le operazioni possonoessere avviate solamente suiclient dei domini A e B.

Solo domini selezionati

È, ad esempio, possibileconcedere ad un ruolol'autorizzazione "Configura" perla voce di menu "Impostazioni"della struttura dei client. Ciòsignifica che l'utente puòimplementare le impostazioni,ma solo verso i client neidomini selezionati.

La struttura client verrà visualizzata solo se l'autorizzazione allavoce di menu "Gestione client" in "Voci menu per server/client" è"Visualizza".




12-16

• Se si configurano autorizzazioni per un dominio specifico, è possibile copiarele autorizzazioni su altri domini facendo clic su Copiare le impostazioni deldominio selezionato negli altri domini.

9. Fare clic su Salva. Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente.

Modifica di una regola personalizzata

Procedura


2. Fare clic sul nome del ruolo. Viene visualizzata una nuova schermata.

3. Modificare una delle voci riportate di seguito:

• Descrizione

• Ambito della struttura client

• Autorizzazioni ruolo

• Voci menu per server/client

• Voci menu per domini gestiti

• Voci menu Gestione client


Eliminazione di una regola personalizzata

Procedura


2. Selezionare la casella di controllo accanto al ruolo.

3. Fare clic su Elimina.


12-17

NotaNon è possibile eliminare un ruolo se è assegnato ad almeno un account utente.

Importazione o esportazione di regole personalizzate

Procedura


2. Per esportare i ruoli personalizzati in un file .dat:

a. Selezionare i ruoli e fare clic su Esporta.

b. Salvare il file e.dat. Se si gestisce un altro server OfficeScan, utilizzare ilfile .dat per importare i ruoli personalizzati in quel server.

NotaÈ possibile esportare i ruoli solo tra server con la stessa versione.

3. Per esportare i ruoli personalizzati in un file .csv:

a. Selezionare i ruoli e fare clic su Esporta impostazioni ruolo.

b. Salvare il file .csv. Utilizzare questo file per verificare le informazioni e leautorizzazioni per i ruoli selezionati.

4. Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e sidesidera importarli nel server OfficeScan attuale, fare clic su Importa e individuareil file .dat contenente i ruoli personalizzati.

• Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa unruolo con lo stesso nome.

• È possibile importare i ruoli solo tra server con la stessa versione.

• Ruolo importato da un altro server OfficeScan:

• Conserva le autorizzazioni per le voci di menu per server/client e le vocidi menu per i domini gestiti.


12-18

• Applica le autorizzazioni predefinite per le voci di menu di gestione delclient. Sull'altro server, registrare le autorizzazioni del ruolo per le voci dimenu di gestione del client e successivamente riapplicarle al ruolo che èstato importato.

Account utenteConfigurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruoloutente determina le voci di menu della console Web che un utente può visualizzare oconfigurare.

Durante l'installazione del server OfficeScan, il programma di installazione crea unaccount integrato denominato "root" (account principale). Gli utenti che accedonoutilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non èconsentito eliminare l'account principale (root) ma è possibile modificare i dettaglidell'account quali la password e il nome completo oppure la descrizione dell'account.Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenzatecnica per reimpostarla.

Aggiungere account personalizzati o account Active Directory. Tutti gli account utentevengono visualizzati nell'elenco Account utente della console Web.

Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On".Il Single Sign-On consente agli utenti di accedere alla console Web OfficeScan dallaconsole di Trend Micro Control Manager. Per maggiori dettagli, vedere la procedurariportata di seguito.

Aggiunta di un account personalizzato

Procedura

1. Accedere a Amministrazione > Account utente.


3. Selezionare Account personalizzato.

4. Digitare il nome utente, il nome completo e la password e confermarla.


12-19

5. Digitare un indirizzo e-mail per l'account.

Nota

OfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano ildestinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorsedigitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per lasicurezza per gli amministratori a pagina 6-81 e Notifiche di Prevenzione perdita di dati per gliamministratori a pagina 9-55.

6. Selezionare un ruolo per l'account.


8. Inviare i dettagli dell'account all'utente.

Modifica di un account personalizzato

Procedura


2. Fare sull'account dell'utente.

3. Attivare o disattivare l'account utilizzando la relativa casella di controllo.


• Nome completo

• Password

• Indirizzo e-mail

• Ruolo


6. Inviare i dettagli del nuovo account all'utente.


12-20

Aggiunta di un gruppo o un account Active Directory

Procedura



3. Selezionare Utente o gruppo Active Directory.

4. Specificare il nome dell'account (nome utente o gruppo) e il dominio diappartenenza dell'account.

Aggiungere i nomi completi dell'account e del dominio. OfficeScan non restituiscealcun risultato se i nomi dell'account e del dominio sono incompleti o se è in uso ilgruppo predefinito "Utenti di domini".

Tutti i membri appartenenti a un gruppo ottengono lo stesso ruolo. Se un accountparticolare appartiene ad almeno due gruppi e i ruoli dei due gruppi sono diversi:

• Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configuraun'impostazione particolare e le autorizzazioni entrano in conflitto rispetto atale impostazione, viene applicata l'autorizzazione di livello più alto.

• Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Adesempio l'utente Mario Rossi accede con i ruoli seguenti: Amministratore,Utente ospite".

5. Selezionare un ruolo per l'account.


7. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome didominio e password.

Aggiunta di vari gruppi o account Active Directory

Procedura



12-21

2. Fare clic su Aggiungi da Active Directory.

3. Cercare un account (nome utente o gruppo) specificando il nome utente e ildominio di appartenenza.

NotaPer cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly,specificare il nome di account completo. OfficeScan non restituisce alcun risultato sei nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti didomini".

4. Quando OfficeScan trova un account valido, il nome dell'account vienevisualizzato in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostarel'account in Utenti e gruppi selezionati.

Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a ungruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almenodue gruppi e i ruoli dei due gruppi sono diversi:

• Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configuraun'impostazione particolare e le autorizzazioni entrano in conflitto rispetto atale impostazione, viene applicata l'autorizzazione di livello più alto.

• Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Adesempio l'utente Mario Rossi accede con i ruoli seguenti: Amministratore,Utente esperto".

5. Aggiungere più account o gruppi.

6. Selezionare un ruolo per gli account o gruppi.


8. Chiedere agli utenti di accedere alla console Web utilizzando il proprio nome didominio e password.


12-22

Modifica di un ruolo dell'account Active Directory opersonalizzato

Procedura


2. Selezionare uno o più account Active Directory o personalizzati:

3. Fare clic su Cambia ruolo.

4. Nella schermata successiva selezionare il nuovo ruolo e fare clic su Salva.

Attivazione o disattivazione di un account Active Directory opersonalizzato

Procedura


2. Fare clic sull'icona sotto Attiva.

NotaL'account principale (root) non può essere disattivato.

Utilizzo degli account utente di OfficeScan in ControlManager

Per informazioni sulla procedura dettagliata, fare riferimento alla documentazione diControl Manager.

Procedura

1. Creare un nuovo account utente in Control Manager. Quando si specifica il nomeutente, digitare il nome dell'account visualizzato nella console Web OfficeScan.


12-23

2. Assegnare i diritti di "accesso" e "configurazione" del nuovo account per il serverOfficeScan.

NotaSe un utente di Control Manager ha diritti di "accesso" e "configurazione" aOfficeScan ma non dispone di un account OfficeScan, l'utente non può accedere aOfficeScan. Viene visualizzato un messaggio contenente un collegamento che apre laschermata di accesso della console Web OfficeScan.

Trend Micro Control ManagerTrend Micro Control Manager™ è una console di gestione centralizzata che consente digestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di filee di desktop aziendale. La console di gestione basata su Web di Control Managercostituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete.

Control Manager consente agli amministratori di sistema di monitorare ed emettererapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus.Gli amministratori di sistema possono scaricare e implementare i componenti attraversola rete e così essere sicuri di disporre di una protezione coerente e aggiornata. ControlManager consente aggiornamenti manuali e pianificati e inoltre la possibilità diconfigurare e amministrare i prodotti individualmente o a gruppi per una maggioreflessibilità.

Integrazione di Control Manager in questa release diOfficeScan

Le funzioni e caratteristiche riportate di seguito sono disponibili in questa release diOfficeScan per la gestione dei server OfficeScan da Control Manager:

• Creare, gestire e implementare criteri Antivirus, di Prevenzione perdita di dati eControllo dispositivo per OfficeScan e assegnare i privilegi direttamente ai clientOfficeScan dalla console di Control Manager.

La tabella seguente elenca le configurazioni dei criteri in Control Manager 6.0.


12-24

TABELLA 12-9. Tipi di gestione dei criteri OfficeScan in Control Manager

TIPO DI CRITERIO CARATTERISTICHE

Impostazioni di client e antivirusOfficeScan


• Impostazioni del monitoraggio delcomportamento




• Impostazioni scansione in temporeale


• Metodi di scansione



• Impostazioni Update Agent

• Impostazioni di reputazione Web

Protezione dati Impostazioni dei criteri Prevenzioneperdita di dati

NotaGestione delle autororizzazioni diControllo dispositivo per laProtezione dati nei criteri di clientOfficeScan.

• Replicare le impostazioni riportate di seguito da un server OfficeScan a un altroutilizzando la console di Control Manager:

• Tipi di identificatore di dati a pagina 9-12

• Modelli di Prevenzione perdita di dati a pagina 9-27


12-25

Nota

Se queste impostazioni vengono replicate su un server OfficeScan in cui non è stata attivatala licenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione dellalicenza.

Versioni di Control Manager supportate

Questa versione di OfficeScan supporta Control Manager 6.0, 5.5 SP1, 5.5 e 5.0.

TABELLA 12-10. Versioni di Control Manager supportate

SERVER OFFICESCANVERSIONE DI CONTROL MANAGER

6.0 5.5 SP1 5.5 5.0

Dual-stack Sì Sì Sì Sì

IPv4 puro Sì Sì Sì Sì

IPv6 puro Sì No No No

Nota

Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1.

Per dettagli sugli indirizzi IP che il server OfficeScan e i client OfficeScan segnalano aControl Manager, vedere Schermate che visualizzano gli indirizzi IP a pagina A-7.

Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Managerper consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fixpiù recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Microall'indirizzo seguente:


Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurarele impostazioni per OfficeScan nella console di gestione di Control Manager. Perinformazioni sulla gestione dei server OfficeScan, consultare la documentazione di ControlManager.



12-26

Registrazione di OfficeScan al servizio Control Manager

Procedura

1. Accedere a Amministrazione > Impostazioni Control Manager.

2. Specificare il nome di entità visualizzato, che corrisponde al nome del serverOfficeScan visualizzato in Control Manager.

Per impostazione predefinita il nome di entità visualizzato comprende il nome hostdel computer server e il nome di questo prodotto (ad esempio, Server01_OSCE).

NotaIn Control Manager i server OfficeScan e gli altri prodotti gestiti tramite ControlManager vengono definiti "entità".

3. Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numerodi porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi inmodo più sicuro con HTTPS.

• Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager ol'indirizzo IP (IPv4 o IPv6, se disponibile).

• Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Managero l'indirizzo IPv4.

• Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Managero l'indirizzo IPv6.

NotaSolo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6.

4. Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nomeutente e password.

5. Se si utilizza un server proxy per collegarsi al server Control Manager, specificare leseguenti impostazioni proxy:

• Protocollo proxy


12-27

• FQDN del server o porta e indirizzo IPv4/IPv6

• ID utente e password per l'autenticazione del server proxy

6. Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali obidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta.

7. Per verificare che OfficeScan si colleghi al server Control Manager in base alleimpostazioni specificate, fare clic su Test di connessione.

Se il tentativo di connessione è riuscito, fare clic su Registra.

8. Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clicsu Impostazioni di aggiornamento dopo aver modificato le impostazioni pernotificare le modifiche al server Control Manager.

9. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clicsu Annulla registrazione.

Verifica dello stato di OfficeScan nella console digestione Control Manager

Procedura

1. Aprire la console di gestione Control Manager.

Per aprire la console di Control Manager in qualsiasi computer della rete, aprire unbrowser Web e immettere:

https://<nome server Control Manager>/Webapp/login.aspx

dove <nome server Control Manager> è l'indirizzo IP o il nome host delserver Control Manager

2. Nel menu principale, fare clic su Prodotti.

3. Controllare che venga visualizzata l'icona del server OfficeScan.


12-28

Server di riferimentoUno dei modi con cui il client OfficeScan determina quale criterio o profilo utilizzareconsiste nella verifica dello stato della connessione con il server OfficeScan. Se un clientOfficeScan interno (o un client nella rete aziendale) non riesce a connettersi con ilserver, lo stato del client diventa offline. Il client quindi applica un criterio o un profilodestinato ai client esterni. I server di riferimento risolvono questo problema.

Un client OfficeScan che perde la connessione con il server OfficeScan proverà acollegarsi ai server di riferimento. Se il client riesce a stabilire una connessione con unserver di riferimento, applica il profilo o il criterio per i client interni.

Criteri e profili gestiti dai server di riferimento includono:

• Profili firewall

• Criteri di reputazione Web

• Criteri di protezione dati

• Criteri di controllo dispositivo

È necessario ricordare quanto segue:

• Assegnare come server di riferimento computer con funzionalità server, come unserver Web, un server SQL o un server FTP. È possibile specificare un massimo di32 server di riferimento.

• I client OfficeScan si collegano al primo server dell'elenco dei server di riferimento.Se il collegamento non riesce, il client prova a collegarsi al server successivodell'elenco.

• I client OfficeScan utilizzano i server di riferimento per determinare leimpostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio delcomporamento, Controllo dispositivo, profili di firewall, criterio di reputazioneWeb). I server di riferimento non gestiscono client o implementano aggiornamentie impostazioni client. Il server OfficeScan esegue queste operazioni.

• Un client OfficeScan non è in grado di inviare registri ai server di riferimento outilizzare i server come origini aggiornamenti


12-29

Gestione dell'elenco server di riferimento

Procedura

1. Accedere a Computer collegati in rete > Firewall > Profili o Computercollegati in rete > Località computer.

2. In base alla schermata visualizzata, attenersi alle seguenti istruzioni.

• Sulla schermata Profili firewall per i computer in rete, fare clic su Modificaelenco server di riferimento.

• Sulla schermata Località computer, fare clic su Elenco server di riferimento.

3. Selezionare Attiva l'elenco server di riferimento.

4. Per aggiungere un computer all'elenco, fare clic su Aggiungi.

a. Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully QualifiedDomain Name) del computer, ad esempio:

• computer.nomerete

• 12.10.10.10

• ilmiocomputer.dominio.com

b. Inserire la porta attraverso la quale i client comunicano con il computer.Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul serverdi riferimento.

Nota

Per specificare un altro numero di porta per lo stesso server di riferimento,ripetere i passaggi 2a e 2b. Il client OfficeScan utilizza il primo numero di portadell'elenco e, se la connessione non riesce, passa al numero di porta successivo.


5. Per modificare le impostazioni di un computer dell'elenco, fare clic sul nome delcomputer. Modificare il nome o la porta del computer e fare clic su Salva.


12-30

6. Per rimuovere un computer dall'elenco, selezionare la casella di controllo accanto alnome del computer e fare clic su Elimina.

7. Per consentire ai computer di agire come server di riferimento, fare clic suAssegna ai client.

Impostazioni notifica amministratoreConfigurare le impostazioni di notifica per l'amministratore per consentire a OfficeScandi inviare notifiche mediante messaggio e-mail, cercapersone e trap SNMP. OfficeScan èanche in grado di inviare notifiche tramite il registro eventi di Windows NT, ma perquesto canale di notifica non sono configurate impostazioni.

OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quandorileva:

TABELLA 12-11. Rilevamenti che determinano l'invio di notifiche all'amministratore

RILEVAMENTI

CANALI DI NOTIFICA

E-MAILCERCAPERSON

ETRAP SNMP

REGISTRIEVENTI DI

WINDOWS NT

Virus e minacceinformatiche

Sì Sì Sì Sì

Spyware e grayware Sì Sì Sì Sì

Trasmissioni di risorsedigitali

Sì Sì Sì Sì

Infezioni da spyware eminacce informatiche

Sì Sì Sì Sì

Infezioni da spyware egrayware

Sì Sì Sì Sì

Infezioni da violazionedel firewall

Sì No No No


12-31

RILEVAMENTI

CANALI DI NOTIFICA

E-MAILCERCAPERSON

ETRAP SNMP

REGISTRIEVENTI DI

WINDOWS NT

Infezioni delle sessionidi condivisione dellecartelle

Sì No No No

Configurazione delle impostazioni di notificaall'amministratore

Procedura

1. Accedere a Notifiche > Notifiche per l'amministratore > Impostazionigenerali.

2. Configurare le impostazioni di notifica e-mail

a. Specificare l'indirizzo IPv4/IPv6 o il nome del computer nel campo ServerSMTP.

b. Specificare un numero di porta compreso tra 1 e 65535.

c. Specificare un nome o un indirizzo e-mail.

Se si desidera attivare l'ESMTP nel passaggio successivo, specificare unindirizzo e-mail valido.

d. Facoltativamente, attivare ESMTP.

e. Specificare il nome utente e la password per l'indirizzo e-mail specificato nelcampo Da.

f. Scegliere un metodo per autenticare il client sul server:

• Accesso: la funzione di accesso è una vecchia versione di Mail UserAgent. Il server e il client usano entrambi BASE64 per l'autenticazionedel nome utente e della password.


12-32

• Testo semplice: il testo semplice è il più facile, ma anche il meno sicuroperché il nome utente e la password vengono inviati come una stringa ecodificati come BASE64 prima di essere inviati tramite Internet.

• CRAM-MD5: CRAM-MD5 utilizza una combinazione di unmeccanismo di autenticazione con risposta e di un algoritmo MessageDigest 5 crittografato per scambiare e autenticare le informazioni.

3. Configurare le impostazioni di notifica mediante cercapersone

a. Nel campo Numero cercapersone, sono consentiti i seguenti caratteri:

• da 0 a 9

• #

• *

• ,

b. Specificare una porta COM compresa tra 1 e 16.

4. Configurare le impostazioni di notifica mediante trap SNMP.

a. Specificare l'indirizzo IPv4/IPv6 o il nome del computer nel campoIndirizzo IP del server.

b. Specificare un nome community difficile da indovinare.


Registri eventi di sistemaOfficeScan trascrive nei registri gli eventi correlati al programma server, come adesempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i serviziOfficeScan funzionino correttamente.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.


12-33

Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina12-34.

Visualizzazione dei registri degli eventi di sistema

Procedura

1. Accedere a Registri > Registri eventi di sistema.

2. Nella sezione Descrizione evento, controllare i registri che richiedono un'azione.OfficeScan registra i seguenti eventi:

TABELLA 12-12. Registri eventi di sistema

TIPO DI REGISTRO EVENTI

Servizio principaleOfficeScan e serverdatabase

• Servizio principale avviato

• Servizio principale interrotto correttamente

• Servizio principale interrotto correttamente

Prevenzione delleinfezioni virali

• Prevenzione delle infezioni attivata

• Prevenzione delle infezioni disattivata

• Numero di sessioni di cartelle condivise negli ultimi<numero di minuti>

Database backup • Backup del database riuscito

• Backup del database non riuscito

Accesso alla consoleWeb basato sui ruoli

• Accesso alla console Web

• Modifica della password

• Disconnessione dalla console

• Timeout di sessione (utente automaticamentedisconnesso)



12-34

Gestione dei registriOfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per lasicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare icriteri di protezione della propria organizzazione e di identificare i client OfficeScanesposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre dicontrollare la connessione client-server e di verificare che gli aggiornamenti deicomponenti siano stati completati.

OfficeScan inoltre utilizza un meccanismo centralizzato di verifica dell'orario pergarantire la coerenza temporale tra i client e il server OfficeScan. Tale verifica previenele incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale chepossono generare confusione nell'analisi dei registri.

NotaOfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degliaggiornamenti del server e degli eventi di sistema.

Il server OfficeScan riceve i seguenti registri dai client OfficeScan:

• Visualizzazione dei registri di virus/minacce informatiche a pagina 6-88

• Visualizzazione dei registri di spyware/grayware a pagina 6-95

• Visualizzazione dei registri di ripristino spyware/grayware a pagina 6-98

• Visualizzazione dei registri firewall a pagina 11-31

• Visualizzazione dei registri di reputazione Web a pagina 10-11

• Visualizzazione dei registri di Monitoraggio del comportamento a pagina 7-12

• Visualizzazione dei registri di controllo dispositivo a pagina 8-17

• Visualizzazione dei registri di Prevenzione perdita di dati a pagina 9-60

• Visualizzazione dei registri aggiornamenti client OfficeScan a pagina 5-50

• Visualizzazione dei registri di verifica connessione a pagina 13-45

Il server OfficeScan genera i seguenti registri:


12-35

• Registri di aggiornamento del server OfficeScan a pagina 5-25

• Registri eventi di sistema a pagina 12-32

I seguenti registri sono inoltre disponibili sul server OfficeScan e sui client OfficeScan:

• Registri eventi di Windows a pagina 17-23

• Registri del server OfficeScan a pagina 17-3

• Registri dei client OfficeScan a pagina 17-15

Manutenzione registriPer evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarlidalla console Web.

Eliminazione dei registri in base alla pianificazione

Procedura

1. Accedere a Registri > Manutenzione registri.

2. Selezionare Attiva eliminazione pianificata dei registri.

3. Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, adeccezione dei registri di debug, possono essere eliminati in base ad unapianificazione. Per i registri di debug, disattivare la registrazione di debug perinterrompere la raccolta dei registri.

NotaPer i registri di virus e minacce informatiche, è possibile eliminare i registri generati daalcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware egrayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulterioriinformazioni sui tipi di scansione, vedere Tipi di scansione a pagina 6-14.

4. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelliprecedenti a un certo numero di giorni.


12-36

5. Specificare la frequenza e l'ora di eliminazione dei registri.


Eliminazione manuale dei registri

Procedura



3. Eseguire una delle operazioni riportate di seguito.

• Se si accede alla schermata Registri del rischio per la sicurezza per icomputer in rete, fare clic suElimina registri oppure Visualizza registri >Elimina registri.

• Se si accede alla schermata Gestione client, fare clic Registri > Eliminaregistri.

4. Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo iseguenti registri:

• Registri di virus/minacce informatiche



• Registri di reputazione Web

• Registri di controllo dispositivo

• Registri di Monitoraggio del comportamento

• Registri di Prevenzione perdita di dati


12-37

Nota

Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati daalcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware egrayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulterioriinformazioni sui tipi di scansione, vedere Tipi di scansione a pagina 6-14.

5. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelliprecedenti a un certo numero di giorni.


LicenzeTramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenzaOfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte delservizio antivirus, che comprende anche l'assistenza per Cisco NAC e la prevenzionedelle infezioni.

Nota

Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto VirtualDesktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate egestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza diProtezione dati a pagina 9-4 e Licenza del supporto Virtual Desktop a pagina 13-77.

Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazioneonline Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScandi connettersi al server per la registrazione, è necessario un server proxy dual-stack in gradodi convertire gli indirizzi IP, come ad esempio DeleGate.

Uscire dalla console Web e poi effettuare nuovamente l'accesso nei seguenti casi:

• Dopo aver attivato una licenza per i servizi seguenti:

• Antivirus

• Reputazione Web e anti-spyware


12-38

NotaAccedere di nuovo per attivare la funzionalità completa del servizio.

• Dopo aver attivato o disattivato il firewall OfficeScan. Se si disattiva il firewall dallaconsole Web, OfficeScan nasconde tutte le funzioni del firewall nel server e nelclient.

Visualizzazione delle informazioni sulla Licenza delprodotto

Procedura


2. Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore dellaschermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:

TABELLA 12-13. Promemoria per le licenze

TIPO DI LICENZA PROMEMORIA

Versionecompleta

Durante il periodo di proroga per il prodotto. La durata delperiodo di proroga varia a seconda dell'area geografica.Verificare il periodo di proroga con il rappresentante TrendMicro.

Alla scadenza della licenza e al termine del periodo diproroga. In questo periodo non sarà possibile ottenerel'assistenza tecnica o effettuare l'aggiornamento deicomponenti. I motori di scansione continueranno aeffettuare l'analisi dei computer, ma con componenti nonaggiornati. Tali componenti obsoleti potrebbero nonproteggere in maniera completa dai più recenti rischi perla sicurezza.

Versione di prova Alla scadenza della licenza. In questo periodo OfficeScandisattiva l'aggiornamento dei componenti, la scansione e tuttele funzionalità client.

3. Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenzacontiene le seguenti informazioni:


12-39

• Servizi: comprende tutti i servizi di licenza OfficeScan

• Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto". Se unservizio prevede diverse licenze e almeno una di queste è ancora attiva, lostato di tale servizio sarà "Attivato".

• Versione: indica se la versione è "Completa" o se si tratta di una "Versione diprova". Se si dispone sia della versione completa sia della versione di prova, laversione indicata sarà "Completa".

• Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzatal'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007e 30/06/2008, verrà visualizzata la data 30/06/2008.

Nota

Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà"N.D.".

4. OfficeScan consente di attivare diverse licenze per un servizio di licenza. Pervisualizzare tutte le licenze relative a un servizio (sia quelle attive che quellescadute), fare clic sul nome del servizio stesso.

Attivazione o rinnovo della licenza

Procedura


2. Fare clic sul nome del servizio di licenza.

3. Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic suNuovo codice di attivazione.

4. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic suSalva.


12-40

Nota

Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sullachiave di registrazione e sul codice di attivazione, contattare un rappresentante TrendMicro.

5. Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiornainformazioni per aggiornare la schermata con i nuovi dettagli della licenza e ilnuovo stato del servizio. Questa schermata contiene anche un collegamento al sitoWeb di Trend Micro dove è possibile visualizzare informazioni dettagliate sullapropria licenza.

OfficeScan Database BackupIl database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese leimpostazioni e i privilegi di scansione. Qualora il database del server dovesse subire undanno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manualedel database in qualsiasi momento oppure configurare una pianificazione per il backup.

Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alladeframmentazione del database e ripara eventuali danni al file dell'indice.

Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Perulteriori informazioni, consultare Registri eventi di sistema a pagina 12-32.

Suggerimento

Trend Micro consiglia di configurare una pianificazione per il backup automatico. Siconsiglia di effettuare il backup del database durante ore non di punta quando il traffico delserver è ridotto.

AVVERTENZA!

Non eseguire il backup con altri strumenti o software. Configurare il backup del databasesolo dalla console Web OfficeScan.


12-41

Backup del database OfficeScan

Procedura

1. Accedere a Amministrazione > Database Backup.

2. Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste,selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completodella directory, ad esempio C:\OfficeScan\DatabaseBackup.

Per impostazione predefinita, OfficeScan salva la copia di backup nella seguentedirectory: <Cartella di installazione del server>\DBBackup

NotaOfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartellaindica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS.OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente lecartelle precedenti.

3. Se il percorso di backup è su un computer remoto (con un percorso UNC), inserireun nome account adeguato e la password corrispondente. Accertarsi che l'accountdisponga dei privilegi di scrittura sul computer.

4. Per configurare una pianificazione per il backup:

a. Selezionare Attiva pianificazione di Database Backup.

b. Specificare la frequenza e l'orario del backup.

c. Per eseguire il backup del database e salvare le modifiche apportate, fare clicsu Esegui backup. Per salvare soltanto senza eseguire il backup del database,fare clic su Salva.

Ripristino dei file di backup database

Procedura

1. Interrompere il servizio principale OfficeScan.


12-42

2. Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV\HTTPDB con i file di backup.

3. Riavviare il servizio principale OfficeScan.

Informazioni sul server Web OfficeScanNel corso dell'installazione del server OfficeScan, il programma di installazione impostaautomaticamente un server Web (server IIS o Apache Web) che consente ai computerdella rete di collegarsi al server OfficeScan. Configurare il server Web a cui sicollegheranno i client collegati in rete.

Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla consoledi gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modificamanualmente l'indirizzo IP del server per i computer in rete o se si assegna al server unindirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative alserver.

AVVERTENZA!La modifica delle impostazioni di connessione può determinare la perdita permanente dellaconnessione tra il server e i client e rende necessaria una nuova implementazione dei clientOfficeScan.

Configurazione delle impostazioni di connessione

Procedura

1. Accedere a Amministrazione > Impostazioni connessione.

2. Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta delserver Web.

NotaIl numero di porta è quello della porta affidabile che il server OfficeScan utilizza percomunicare con i client OfficeScan.


12-43


Password della console WebLa schermata per la gestione della password della console Web (o la password perl'account principale (root) creato durante l'installazione del server OfficeScan) èdisponibile solo se il computer server non dispone delle risorse necessarie per utilizzarel'RBA (Role-based Administration). Ad esempio se sul computer server è installatoWindows Server 2003 e Authorization Manager Runtime non è installato, la schermatanon è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata ela password può essere gestita modificando l'account principale (root) nella schermataAccount utente.

Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica perottenere istruzioni su come accedere alla console Web.

Impostazioni della console WebUtilizzare la schermata Impostazioni della console Web per effettuare le operazioniriportate di seguito:

• Configurare il server OfficeScan per l'aggiornamento periodico della dashboardRiepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30secondi. Il numero di secondi deve essere compreso tra 10 e 300.

• Specificare le impostazioni di timeout della console Web. Per impostazionepredefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e60.

Configurazione delle impostazioni della console Web

Procedura

1. Accedere a Amministrazione > Impostazioni della console Web.


12-44

2. Selezionare Attiva aggiornamento automatico e selezionare l'intervallo diaggiornamento.

3. Selezionare Attiva disconnessione automatica dalla console Web e selezionarel'intervallo di timeout.


Gestore della quarantenaQuando il client OfficeScan rileva un rischio per la sicurezza e l'operazione da compiereè la messa in quarantena, il file infetto viene crittografato, spostato nella cartella diquarantena locale in <Cartella di installazione del client>\SUSPECT.

Dopo aver spostato il file nella directory di quarantena locale, il client OfficeScan loinvia alla directory di quarantena designata. Specificare la directory in Computercollegati in rete > Gestione client > Impostazioni > Impostazioni {Tipo discansione} > Azione. I file nella directory di quarantena vengono crittografati perevitare che infettino altri file. Per ulteriori informazioni, consultare Directory di quarantenaa pagina 6-41.

Se la directory di quarantena designata si trova nel computer server OfficeScan,modificare le impostazioni della directory di quarantena dalla console Web. Il servermemorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV\Virus.

NotaSe per qualche motivo (come ad esempio un problema alla connessione) il clientOfficeScan non è in grado di inviare il file crittografato al server OfficeScan, il filecrittografato rimane nella cartella di quarantena del client OfficeScan. Il client OfficeScantenta un nuovo invio del file al successivo collegamento al server OfficeScan.


12-45

Configurazione delle impostazioni della directory diquarantena

Procedura

1. Accedere a Amministrazione > Gestore della quarantena.

2. Accettare o modificare la capacità predefinita della cartella di quarantena e ledimensioni massime di un file infetto che OfficeScan è in grado di mettere inquarantena.

In questa schermata vengono visualizzati i valori predefiniti.

3. Fare clic su Salva impostazioni di quarantena.

4. Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Eliminatutti i file in quarantena.

Server TunerServer Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando deiparametri per le seguenti problematiche prestazionali relative al server:

• Download

Quando il numero di client OfficeScan (compresi i client Update Agent) cherichiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sulserver, il server sposta la richiesta di aggiornamento del client in una coda edelabora le richieste quando le risorse diventano disponibili. Dopo il correttoaggiornamento dei componenti dal server OfficeScan, il client notifica al server ilcompletamento dell'aggiornamento. Impostare il numero massimo di minuti per iquali il server OfficeScan deve attendere la notifica di aggiornamento dal client.Impostare anche il numero massimo di tentativi che il server deve effettuare perrichiedere al client di eseguire un aggiornamento e di applicare le nuoveimpostazioni di configurazione. Il server effettua nuovi tentativi soltanto se nonriceve notifiche dal client.

• Buffer


12-46

Quando il server OfficeScan riceve più richieste dai client OfficeScan come, adesempio, la richiesta di eseguire un aggiornamento, il server elabora il numeromassimo di richieste possibili, spostando le richieste restanti in un buffer. Il serverelabora quindi le richieste salvate nel buffer una per volta, man mano che sirendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi (adesempio le richieste di aggiornamento dei client) e per i report dei registri dei client.

• Traffico di rete

La quantità di traffico della rete varia nel corso della giornata. Per controllare ilflusso del traffico di rete verso il server OfficeScan e verso altre originiaggiornamenti, specificare il numero di client OfficeScan che possono essereaggiornati contemporaneamente in un determinato orario.

Server Tuner richiede il seguente file: SvrTune.exe

Esecuzione di Server Tuner

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SvrTune.

2. Fare doppio clic su SvrTune.exe per avviare Server Tuner.

Si apre la console di Server Tuner.

3. Nella sezione Download modificare le seguenti impostazioni:

• Timeout per client: digitare il numero di minuti per i quali il serverOfficeScan deve attendere una risposta di aggiornamento dai client. Se il clientnon risponde entro questo intervallo, il server OfficeScan non considera ilclient come dotato di componenti aggiornati. Quando si verifica il timeout suun client notificato, si rende disponibile lo spazio per un altro client in attesadi notifica.

• Timeout per Update Agent: digitare il numero di minuti per i quali il serverOfficeScan deve attendere una risposta di aggiornamento da un UpdateAgent. Quando si verifica il timeout su un client notificato, si rendedisponibile lo spazio per un altro client in attesa di notifica.


12-47

• Numero tentativi: digitare il numero massimo di tentativi che il serverOfficeScan deve effettuare per richiedere a un client di eseguire unaggiornamento o di applicare nuove impostazioni di configurazione.

• Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScandeve attendere tra un tentativo di notifica e quello successivo.

4. Nella sezione Buffer, modificare le seguenti impostazioni:

• Buffer eventi: digitare il numero massimo di report eventi client inviati alserver (ad esempio l'aggiornamento dei componenti) che OfficeScan deveconservare nel buffer. Mentre la richiesta del client resta in attesa nel buffer, laconnessione con il client viene interrotta. OfficeScan stabilisce unaconnessione con un client quando elabora il report del client e lo rimuove dalbuffer.

• Buffer registro: digitare il numero massimo di report informativi sui registridei client inviati al server che OfficeScan deve conservare nel buffer. Mentrela richiesta del client resta in attesa nel buffer, la connessione con il clientviene interrotta. OfficeScan stabilisce una connessione con un client quandoelabora il report del client e lo rimuove dal buffer.

Nota

Se il numero di client che inviano segnalazioni al server è elevato, aumentare ledimensioni del buffer. Tuttavia, maggiori dimensioni del buffer comportano unmaggiore utilizzo di memoria sul server.

5. Nella sezione Traffico di rete, modificare le seguenti impostazioni:

• Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentanole ore del giorno in cui il traffico di rete è considerato normale.

• Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentanole ore del giorno in cui il traffico di rete è considerato minimo.

• Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano leore del giorno in cui il traffico di rete è considerato massimo.

• Numero massimo connessioni client: digitare il numero massimo di clientche possono simultaneamente aggiornare i componenti da "altra origine


12-48

aggiornamenti" e dal server OfficeScan. Digitare il numero massimo di clientper ciascuno dei periodi di tempo. Quando viene raggiunto il numeromassimo di connessioni, un client può aggiornare i componenti soltanto dopola chiusura di una connessione client in corso (a causa del completamentodell'aggiornamento o del fatto che la risposta del client ha raggiunto il valoredi timeout specificato nel campo Timeout per client o Timeout perUpdate Agent).

6. Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principaleOfficeScan.

NotaViene riavviato soltanto il servizio, non il computer.

7. Selezionare una delle opzioni di riavvio seguenti:

• fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio.Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio.

• Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare ilservizio. Per fare in modo che le impostazioni abbiano effetto, riavviare ilservizio principale OfficeScan o riavviare il computer su cui è installato ilserver OfficeScan.

Smart FeedbackTrend Micro Smart Feedback condivide le informazioni su minacce anonime con SmartProtection Network, consentendo a Trend Micro di identificare e trattare rapidamente lenuove minacce. È possibile disattivare Smart Feedback in qualsiasi momento tramitequesta console.


12-49

Participazione al programma Smart Feedback

Procedura

1. Accedere a Smart Protection > Smart Feedback.

2. Fare clic su Attiva Trend Micro Smart Feedback.

3. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare unvalore nel campo Settore.

4. Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file deicomputer client, selezionare la casella di controllo Attiva feedback per i file diprogramma sospetti.

NotaI file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati soloper eseguire le analisi delle minacce.

5. Per configurare i criteri per l'invio del feedback, selezionare il numero dirilevamenti effettuati nel periodo di tempo specificato che generano il feedback.

6. Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan perinviare feedback e ridurre le interruzioni della rete.


13-1

Capitolo 13

Gestione del client OfficeScanIn questo capitolo vengono descritte le configurazioni e la gestione del clientOfficeScan.


• Località computer a pagina 13-2

• Gestione programma client OfficeScan a pagina 13-6

• Connessione client-server a pagina 13-25

• Impostazioni proxy client OfficeScan a pagina 13-50

• Visualizzazione delle informazioni dettagliate sul client OfficeScan a pagina 13-54

• Importazione ed esportazione delle impostazioni client a pagina 13-55

• Conformità sicurezza a pagina 13-57

• Supporto Trend Micro Virtual Desktop a pagina 13-74

• Impostazioni client globali a pagina 13-87

• Configurazione dei privilegi del client e altre impostazioni a pagina 13-89


13-2

Località computerOfficeScan fornisce una funzione di Location Awareness in grado di determinare se lalocalità del client OfficeScan è interna o esterna. Location Awareness viene utilizzatanelle seguenti funzioni e servizi di OfficeScan:

TABELLA 13-1. Funzioni e servizi che usano Location Awareness

FUNZIONE/SERVIZIO DESCRIZIONE

Servizi direputazione Web

La località del client OfficeScan determina il criterio di reputazioneWeb applicato dal client OfficeScan. Gli amministratori in genereapplicano criteri più rigidi per i client esterni.

Per ulteriori informazioni sui criteri di reputazione Web, vedereCriteri di reputazione Web a pagina 10-3.

Servizi direputazione file

Per i client che usano Smart Scan, la località del client OfficeScanstabilisce l'origine Smart Protection a cui i client inviano query discansione.

I client esterni inviano query di scansione a Smart ProtectionNetwork mentre i client interni inviano le query alle origini definitenell'elenco delle origini Smart Protection.

Per ulteriori informazioni sulle origini Smart Protection, vedereOrigini Smart Protection a pagina 3-5.

Prevenzioneperdita di dati

La località del client OfficeScan determina il criterio di Prevenzioneperdita di dati applicato dal client. Gli amministratori in genereapplicano criteri più rigidi per i client esterni.

Per ulteriori informazioni sui criteri Prevenzione perdita di dati,vedere Criteri di Prevenzione perdita di dati a pagina 9-11.

Controllodispositivo

La località del client OfficeScan determina il criterio di Controllodispositivo applicato dal client. Gli amministratori in genereapplicano criteri più rigidi per i client esterni.

Per ulteriori informazioni sui criteri di Controllo dispositivo, vedereControllo dispositivo a pagina 8-2.

Gestione del client OfficeScan

13-3

Criteri di località

Specificare se il percorso si basa sull'indirizzo IP del gateway del computer clientOfficeScan o sullo stato della connessione del client OfficeScan con il server OfficeScano un server di riferimento.

• Indirizzo MAC e IP gateway: se l'indirizzo IP del gateway del computer clientOfficeScan corrisponde a uno degli indirizzi IP del gateway specificati nellaschermata Località computer, la località del computer è interna. Altrimenti lalocalità del computer è esterna.

• Stato connessione client: se il client OfficeScan può collegarsi al serverOfficeScan o a uno dei server di riferimento della intranet, la località del computerè interna. Inoltre se un computer al di fuori della rete aziendale è in grado distabilire una connessione al server OfficeScan o al server di riferimento, anchequella località è interna. Se non si applica nessuna di queste condizioni, il percorsodel computer è esterno.

Configurazione delle impostazioni della località

Procedura

1. Accedere a Computer collegati in rete > Località computer.

2. Indicare se il percorso si basa su Stato connessione client o Indirizzo IP e MACdel gateway.

3. Se si sceglie Stato connessione client, occorre decidere se utilizzare un server diriferimento.

Per informazioni, vedere Server di riferimento a pagina 12-28.

a. Se non viene specificato un server di riferimento, il client OfficeScan verificalo stato della connessione con il server OfficeScan se si verificano gli eventiseguenti:

• Il client OfficeScan passa dalla modalità roaming a quella normale(online/offline) e viceversa.


13-4

• Il client OfficeScan passa da un metodo di scansione a un altro. Perinformazioni, vedere Metodi di scansione a pagina 6-7.

• Il client OfficeScan rileva una variazione di indirizzo IP nel computer.

• Il client OfficeScan viene riavviato.

• Il server avvia una verifica della connessione. Per informazioni, vedereIcone del client OfficeScan a pagina 13-26.

• I parametri della località di reputazione Web vengono modificati durantel'applicazione delle impostazioni globali

• I criteri di difesa dalle infezioni non vengono più applicati e vengonoripristinate le impostazioni precedenti all'infezione.

b. Se si specifica un server di riferimento, il client OfficeScan verifica lo statodella connessione prima con il server OfficeScan, poi con il server diriferimento se la connessione al server OfficeScan non riesce. Il clientOfficeScan verifica lo stato della connessione ogni ora e quando si verificanogli eventi sopra citati.

4. Se si seleziona l'indirizzo IP e MAC del gateway:

a. Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo.

b. Inserire l'indirizzo MAC.

c. Fare clic su Aggiungi.

Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizziMAC appartenenti all'indirizzo IP specificato.

d. Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway chesi desidera aggiungere.

e. Utilizzare lo strumento Utilità di importazione impostazioni gateway perimportare un elenco delle impostazioni del gateway.

Per informazioni, vedere Utilità di importazione impostazioni gateway a pagina13-5.


13-5


Utilità di importazione impostazioni gatewayOfficeScan verifica la località del computer per determinare il criterio di reputazioneWeb da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità concui OfficeScan identifica la località è la verifica dell'indirizzo IP e MAC del gateway delcomputer.

Configurare le impostazioni gateway nella schermata Località computer oppureutilizzare lo strumento Utilità di importazione impostazioni gateway per importare unelenco delle impostazioni gateway nella schermata Località computer.

Uso dell'utilità di importazione impostazioni gateway

Procedura

1. Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway.In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo).

Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096.

Ad esempio:

10.1.111.222,00:17:31:06:e6:e7

2001:0db7:85a3:0000:0000:8a2e:0370:7334

10.1.111.224,00:17:31:06:e6:e7

2. Nel computer server accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\GatewaySettingsImporter e fare doppio clic suGSImporter.exe.

NotaNon è possibile eseguire lo strumento Utilità di importazione impostazioni gatewaydai servizi terminal.


13-6

3. Nella schermata Utilità di importazione impostazioni gateway, trovare il filecreato al passaggio 1 e fare clic su Importa.

4. Fare clic su OK.

Le impostazioni gateway vengono visualizzate nella schermata Località computere il server OfficeScan distribuisce le impostazioni ai client OfficeScan.

5. Per eliminare tutte le voci, fare clic su Cancella tutto.

Per rimuovere solo una voce specifica, rimuoverla nella schermata Localitàcomputer.

6. Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare ilnome e il tipo di file.

Gestione programma client OfficeScanI seguenti argomenti illustrano modi per gestire e proteggere il programma clientOfficeScan:

• Servizi client OfficeScan a pagina 13-7

• Riavvio servizio del client OfficeScan a pagina 13-11

• Protezione automatica del client a pagina 13-12

• Protezione del client OfficeScan a pagina 13-16

• Restrizione dell'accesso alla console del client OfficeScan a pagina 13-17

• Rimozione del client OfficeScan a pagina 13-19

• Privilegio di roaming del client OfficeScan a pagina 13-20

• Client Mover a pagina 13-22

• Client OfficeScan inattivi a pagina 13-24


13-7

Servizi client OfficeScan

Il client OfficeScan gestisce i servizi riportati nella tabella seguente. È possibilevisualizzare lo stato di questi servizi da Microsoft Management Console.

TABELLA 13-2. Servizi del client OfficeScan

SERVIZIO FUNZIONI CONTROLLATE

Servizio prevenzionemodifiche non autorizzatedi Trend Micro(TMBMSRV.exe)



• Servizio Certified Safe Software

• Protezione automatica del client OfficeScan

NotaLa protezione automatica del client OfficeScanimpedisce l'interruzione dei servizi del clientOfficeScan quando sono attivi e in esecuzione.

OfficeScan NT Firewall(TmPfw.exe)

Firewall di OfficeScan

Servizio Protezione datiOfficeScan (dsagent.exe)



OfficeScan NT Listener(tmlisten.exe)

Comunicazione tra il client OfficeScan e il serverOfficeScan

OfficeScan NT ProxyService (TmProxy.exe)

• Reputazione Web

• Scansione e-mail POP3

Scansione in tempo realeOfficeScanNT(ntrtscan.exe)

• Scansione in tempo reale

• Scansione pianificata

• Scansione manuale/Esegui scansione

I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllopossono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguonoapplicazioni a elevato utilizzo delle risorse del sistema:


13-8


• OfficeScan NT Firewall (TmPfw.exe)

• Servizio Protezione dati OfficeScan (dsagent.exe)

Per questo motivo, per impostazione predefinita questi servizi sono disattivati sullepiattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server2012). Se si desidera attivare questi servizi:

• Tenere costantemente sotto controllo le prestazioni del sistema e prendere gliopportuni provvedimenti se si nota un calo delle prestazioni.

• Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni aelevato utilizzo delle risorse del sistema dai criteri di monitoraggio delcomportamento. È possibile utilizzare uno strumento di ottimizzazione delleprestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema.Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 13-10.

Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delleprestazioni.

Attivazione o disattivazione dei servizi del client dallaconsole Web

Procedura


2. Per client OfficeScan con sistemi operativi Windows XP, Vista 7 o 8:

a. Nella struttura dei client, fare clic sull'icona del dominio principale ( ) perincludere tutti i client o per selezionare i domini o i client specifici.

NotaSe si seleziona il dominio principale o domini specifici, l'impostazione vieneapplicata solo ai client con Windows XP, Vista 7 o 8. L'impostazione non vieneapplicata a client in esecuzione su qualsiasi piattaforma Windows Server, anchese fanno parte dei domini.


13-9

b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:

• Servizio prevenzione modifiche non autorizzate

• Servizio firewall

• Servizio Protezione dati

d. Fare clic su Salva per applicare le impostazioni ai domini. Se è stataselezionata l'icona del dominio principale, scegliere una delle opzioni riportatedi seguito:

• Applica a tutti i client: applica le impostazioni a tutti i client WindowsXP/Vista/7/8 esistenti e a qualsiasi nuovo client aggiunto a un dominioesistente o futuro. I domini futuri sono i domini non ancora creati almomento della configurazione delle impostazioni.

• Applica soltanto ai domini futuri: applica le impostazioni solo ai clientWindows XP/Vista/7/8 aggiunti ai domini futuri. Questa opzione nonapplica le impostazioni ai nuovi client aggiunti a un dominio esistente.

3. Per client OfficeScan con Windows Server 2003, Windows Server 2008 o WindowsServer 2012:

a. Selezionare un client nella struttura dei client.

b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:

• Servizio prevenzione modifiche non autorizzate

• Servizio firewall

• Servizio Protezione dati

d. Fare clic su Salva.


13-10

Uso di Trend Micro Performance Tuning Tool

Procedura

1. Scaricare Trend Micro Performance Tuning Tool da:


2. Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe.

3. Posizionare TMPerfTool.exe nella <Cartella di installazione del client> o nella stessacartella di TMBMCLI.dll.

4. Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionareEsegui come amministratore.

5. Leggere e accettare il contratto per l'utente finale e fare clic su OK.

6. Fare clic su Analizza.

FIGURA 13-1. Processo a elevato utilizzo delle risorse del sistema evidenziato



13-11

Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. Iprocessi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso.

7. Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sulpulsante Aggiungi a elenco eccezioni (consenti) ( ).

8. Controllare se le prestazioni del sistema o dell'applicazione migliorano.

9. Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsanteRimuovi da elenco eccezioni ( ).

10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito:

a. Prendere nota del nome dell'applicazione.

b. Fare clic su Interrompi.

c. Fare clic sul pulsante Genera segnalazione ( ) e salvare il file .xml.

d. Esaminare le applicazioni identificate come in conflitto e aggiungerleall'elenco eccezioni del monitoraggio del comportamento.

Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina7-6.

Riavvio servizio del client OfficeScanOfficeScan riavvia i servizi client OfficeScan che improvvisamente non rispondonosenza essere stati interrotti da un processo di sistema normale. Per ulteriori informazionisui servizi dei client, vedere Servizi client OfficeScan a pagina 13-7.

Configurare le impostazioni necessarie per consentire il riavvio dei servizi del clientOfficeScan.

Configurazione delle impostazioni del servizio di riavvio

Procedura



13-12

2. Passare alla sezione Riavvia Servizio OfficeScan.

3. Selezionare Riavvia automaticamente il servizio client OfficeScan se vieneinterrotto in modo imprevisto.

4. Configurare gli elementi riportati di seguito.

• Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti)che deve trascorrere prima che OfficeScan riavvii un servizio.

• Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte:specificare il numero massimo di tentativi di riavviare il servizio. Se unservizio rimane interrotto dopo il numero massimo di tentativi di riavvio,riavviarlo manualmente.

• Azzera il conteggio dei riavvii non riusciti dopo __ ore: se un serviziorimane interrotto dopo il numero massimo di tentativi di riavvio, OfficeScanattende alcune ore prima di azzerare il conteggio dei riavvii non riusciti. Se unservizio rimane interrotto dopo il numero di ore specificato, OfficeScanriavvia il servizio.

Protezione automatica del client

La protezione automatica del client OfficeScan fornisce al client OfficeScan i modi perproteggere i processi e le altre risorse ncessario per un funzionamento corretto. Laprotezione automatica del client OfficeScan contribuisce a impedire i tentativi diprogrammi o di utenti di disattivare la protezione contro le minacce informatiche..

La protezione automatica del client OfficeScan fornisce le seguenti opzioni:

• Proteggi i servizi del client OfficeScan a pagina 13-14

• Proteggi i file nella cartella di installazione del client OfficeScan a pagina 13-14

• Proteggi le chiavi di registro del client OfficeScan a pagina 13-15

• Proteggi i processi del client OfficeScan a pagina 13-16


13-13

Per configurare le impostazioni di protezione automatica delclient OfficeScan

Procedura


2. Nella struttura dei client, fare clic sull'icona del dominio principale ( ) oppureselezionare domini o client specifici.


4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Protezioneautomatica del client.

5. Attivare le seguenti opzioni:

• Proteggi i servizi del client OfficeScan a pagina 13-14

• Proteggi i file nella cartella di installazione del client OfficeScan a pagina 13-14

• Proteggi le chiavi di registro del client OfficeScan a pagina 13-15

• Proteggi i processi del client OfficeScan a pagina 13-16

Nota

Per impostazione predefinita, la protezione delle chiavi e dei processi di registroè disattivata sulle piattaforme server Windows.




13-14


Proteggi i servizi del client OfficeScan

OfficeScan blocca tutti i tentativi di terminare i servizi del client OfficeScan riportati diseguito:

• OfficeScan NT Listener (TmListen.exe)

• Scansione in tempo reale OfficeScanNT (NTRtScan.exe)

• OfficeScan NT Proxy Service (TmProxy.exe)

• OfficeScan NT Firewall (TmPfw.exe)

• Servizio Protezione dati OfficeScan (dsagent.exe)


Nota

Se questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti diterzi sugli endpoint. Se si verifica questo problema, è possibile disattivaretemporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi.

Proteggi i file nella cartella di installazione del clientOfficeScan

Per impedire ad altri programmi e anche all'utente di modificare o eliminare i file delclient OfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazione del client>principale:

• Tutti i file con firma digitale con estensione .exe, .dll e .sys

• Alcuni file senza firma digitale, compresi i seguenti:

• bspatch.exe


13-15

• bzip2.exe

• INETWH32.dll

• libcurl.dll

• libeay32.dll

• libMsgUtilExt.mt.dll

• msvcm80.dll

• MSVCP60.DLL

• msvcp80.dll

• msvcr80.dll

• OfceSCV.dll

• OFCESCVPack.exe

• patchbld.dll

• patchw32.dll

• patchw64.dll

• PiReg.exe

• ssleay32.dll

• Tmeng.dll

• TMNotify.dll

• zlibwapi.dll

Proteggi le chiavi di registro del client OfficeScanOfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nellechiavi e sottochiavi di registro riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion


13-16

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\TMCSS

Proteggi i processi del client OfficeScan

OfficeScan blocca tutti i tentativi di terminare i processi riportati di seguito:

• TmListen.exe: Riceve comandi e notifiche dal server OfficeScan e facilita lacomunicazione dal client OfficeScan al server.

• NTRtScan.exe: esegue la scansione in tempo reale, pianificata e manuale suiclient OfficeScan.

• TmProxy.exe: esegue la scansione del traffico di rete prima di passarloall'applicazione di destinazione

• TmPfw.exe: fornisce funzioni di firewall a livello di pacchetti, scansione di virus direte e rilevamento intrusioni

• TMBMSRV.exe: regola l'accesso ai dispositivi di memorizzazione esterni eimpedisce le modiche non autorizzate alle chiavi di registro e ai processi

• DSAgent.exe: effettua il monitoraggio della trasmissione dei dati sensibili econtrolla l'accesso ai dispositivi

Protezione del client OfficeScan

Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utentialla directory di installazione del client OfficeScan e alle impostazioni di registro.

Controllo dell'accesso alla directory di installazione delclient OfficeScan e alle chiavi di registro:

Procedura



13-17



4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni disicurezza del client.

5. Selezionare una delle autorizzazioni di accesso riportate di seguito:

• Alto: la directory di installazione del client OfficeScan eredita i diritti dellacartella Programmi e le voci di registro del client OfficeScan ereditano leautorizzazioni della chiave HKLM\Software. Per la maggior parte delleconfigurazioni Active Directory, questo limita automaticamente gli utenti"normali" (senza privilegi di amministratore) all'accesso in sola lettura.

• Normale: questa autorizzazione concede a tutti gli utenti (gruppo utenti"Tutti") tutti i alla directory di programma del client OfficeScan e alle voci diregistro del client OfficeScan.




Restrizione dell'accesso alla console del clientOfficeScan

Questa impostazione disattiva l'accesso alla console del client OfficeScan dalla barradelle applicazioni o dal menu Start di Windows. Gli utenti possono accedere alla consoledel client OfficeScan soltanto facendo clic su PccNT.exe dalla <Cartella di installazione


13-18

del client>. Dopo aver configurato questa impostazione, affinché abbia effetto caricare dinuovo il client OfficeScan.

Questa impostazione non disattiva il client OfficeScan. Il client OfficeScan è vieneeseguito in background e continua a fornire protezione contro i rischi per la sicurezza.

Restrizione dell'accesso alla console del client OfficeScan

Procedura




4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Restrizione diacceso per console client.

5. Selezionare Impedisce agli utenti di accedere alla console del client dallabarra delle applicazioni o dal menu Start di Windows.





13-19

Rimozione del client OfficeScan

I privilegi di rimozione del client OfficeScan consentono agli utenti di interromperetemporaneamente il client OfficeScan con o senza password.

Assegnazione dei privilegi di rimozione del client

Procedura




4. Nella scheda Privilegi, passare alla sezione Rimozione.

5. Per consentire la rimozione del client senza una password, selezionare Consentiagli utenti di rimuovere il client OfficeScan.

• Se è necessaria una password, selezionare Richiedi una password perrimuovere il client OfficeScan, digitare la password e confermarla.





13-20

Privilegio di roaming del client OfficeScanAssegnare a determinati utenti il privilegio di roaming del client OfficeScan se eventiclient-server interferiscono con le attività degli utenti. Un utente che, ad esempio, faspesso presentazioni può attivare la modalità roaming prima di iniziare unapresentazione per impedire al server OfficeScan di implementare le impostazioni clientOfficeScan e di avviare le scansioni sul client OfficeScan.

Se i client sono in modalità roaming:

• I client OfficeScan non inviano registri al server OfficeScan, neppure se è presenteuna connessione funzionante tra il server e i client.

• Il server OfficeScan non avvia attività né implementa le impostazioni clientOfficeScan sui client, neppure se è presente una connessione funzionante tra ilserver e i client.

• I client OfficeScan aggiornano i componenti se sono in grado collegarsi a una delleloro origini di aggiornamento. Le origini sono il server OfficeScan, gli UpdateAgents oppure un origine di aggiornamento personalizzata.

Gli eventi seguenti attivano un aggiornamento sui client roaming:

• L'utente esegue un aggiornamento manuale.

• Viene eseguito l'aggiornamento automatico del client. È possibile disattivarel'aggiornamento automatico del client sui client roaming. Per ulteriori dettagli,vedere Disattivazione dell'aggiornamento automatico dei client nei client roaming a pagina13-21.

• Viene eseguito l'aggiornamento pianificato. Solo i client con i privilegi richiestipossono eseguire aggiornamenti pianificati. È possibile revocare questoprivilegio in qualsiasi momento. Per ulteriori dettagli, vedere Revoca dei privilegiper l'aggiornamento pianificato nei client OfficeScan in roaming a pagina 13-22.

Assegnazione dei privilegi di roaming del client

Procedura



13-21



4. Nella scheda Privilegi, passare alla sezione Privilegio di roaming.

5. Selezionare Attiva modalità roaming.




Disattivazione dell'aggiornamento automatico dei client neiclient roaming

Procedura

1. Accedere a Aggiornamenti > Computer collegati in rete > Aggiornamentoautomatico.

2. Passare alla sezione Aggiornamento provocato da un evento.

3. Disattivare Includi client in roaming e offline.

NotaQuesta opzione viene disattivata automaticamente se si disabilita Avviarel'aggiornamento dei componenti dei client subito dopo che il serverOfficeScan ha scaricato un nuovo componente.


13-22


Revoca dei privilegi per l'aggiornamento pianificato neiclient OfficeScan in roaming

Procedura




4. Nella scheda Privilegi, passare alla sezione Privilegi aggiornamentocomponenti .

5. Deselezionare l'opzione Attiva aggiornamento pianificato.


Client Mover

Se nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento ClientMover per trasferire i client OfficeScan da un server OfficeScan a un altro. Questostrumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo serverOfficeScan alla rete, si desidera trasferire i client OfficeScan esistenti al nuovo server.

Nota

I due server devono avere la stessa versione di lingua. Se si usa Client Mover per spostareun client OfficeScan con una versione precedente in un server della versione corrente, laversione del client OfficeScan sarà aggiornata automaticamente.

Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questostrumento.


13-23

Esecuzione di Client Mover

Procedura

1. Nel server OfficeScan, andare alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\IpXfer.

2. Copiare IpXfer.exe nel nel computer client OfficeScan. Se il computer clientOfficeScan esegue una piattaforma di tipo x64, copiare invece IpXfer_x64.exe.

3. Nel computer client OfficeScan, aprire un prompt dei comandi e passare allacartella nella quale è stato copiato il file eseguibile.

4. Eseguire Client Mover utilizzando la sintassi riportata di seguito.

<nome file eseguibile> -s <nome server> -p <porta diascolto del server> -c <porta di ascolto del client> -d<dominio o gerarchia di domini>TABELLA 13-3. Parametri Client Mover

PARAMETRO SPIEGAZIONE

<nome fileeseguibile>

IpXfer.exe oppure IpXfer_x64.exe

<nome server> Il nome del server OfficeScan di destinazione (il server incui verrà trasferito il client OfficeScan)

<porta di ascoltodel server>

La porta di ascolto (o porta affidabile) del serverOfficeScan di destinazione. Per visualizzare la porta diascolto della console Web OfficeScan, fare clic suAmministrazione > Impostazioni connessione nelmenu principale.

<porta di ascoltodel client>

Il numero della porta usata dal computer clientOfficeScan per comunicare con il server

<dominio ogerarchia didomini>

Il dominio o sottodominio della struttura dei client in cuiviene raggruppato il client. La gerarchia di domini deveindicare il sottodominio.

Esempi:


13-24

ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro

ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo dilavoro\Gruppo01

5. Per confermare che ora il client OfficeScan invia le notifiche all'altro server,effettuare le seguenti operazioni:

a. Nel computer client OfficeScan, fare clic con il tasto destro del mousesull'icona del programma client OfficeScan nella barra delle applicazioni.

b. Selezionare Console OfficeScan.

c. Fare clic su Guida nel menu e selezionare Informazioni su.

d. Verificare il server OfficeScan a cui fa riferimento il client OfficeScan nelcampo Nome server/porta.

Nota

Se il client OfficeScan non viene visualizzato nella struttura dei client del nuovoserver OfficeScan che lo gestisce, riavviare il servizio principale del server(ofservice.exe).

Client OfficeScan inattivi

Se per rimuovere un client OfficeScan da un computer si utilizza il programma didisinstallazione del client OfficeScan, il programma invia automaticamente una notificaal server. Quando il server riceve questa notifica, l'icona del client OfficeScan vienerimossa dalla struttura client per indicare che il client non esiste più.

Se invece il client OfficeScan viene rimosso mediante altri metodi, ad esempioriformattando il disco rigido del computer oppure eliminando manualmente i file delclient OfficeScan, OfficeScan non rileva la rimozione del client OfficeScan che vienequindi visualizzato come inattivo. Se un utente rimuove o disattiva il client OfficeScanper un periodo di tempo prolungato, anche il server visualizza il client OfficeScan comeinattivo.


13-25

Per fare in modo che la struttura dei client visualizzi soltanto i client attivi, configurareOfficeScan in modo tale che rimuova automaticamente i client inattivi dalla struttura deiclient.

Rimozione automatica dei client inattivi

Procedura

1. Accedere a Amministrazione > Client inattivi.

2. Selezionare Attiva la rimozione automatica dei client inattivi.

3. Selezionare il numero di giorni che devono trascorrere prima che OfficeScanconsideri inattivo un client OfficeScan.


Connessione client-serverIl client OfficeScan deve mantenere una connessione continua al server principale inmodo da poter aggiornare i componenti, ricevere le notifiche e applicaretempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano comecontrollare lo stato della connessione del client OfficeScan e risolvere i problemi diconnessione:

• Indirizzi IP del client a pagina 4-10

• Icone del client OfficeScan a pagina 13-26

• Verifica della connessione client-server a pagina 13-43

• Registri di verifica connessione a pagina 13-44

• Client non raggiungibili a pagina 13-45


13-26

Icone del client OfficeScanL'icona del client OfficeScan sulla barra delle applicazioni offre suggerimenti visivi cheindicano lo stato corrente del client OfficeScan e chiedono agli utenti di eseguiredeterminate azioni. In qualsiasi momento, l'icona mostra una combinazione dei seguentisuggerimenti visivi.


13-27

TABELLA 13-4. Stato del client OfficeScan indicato dall'icona del client OfficeScan

STATOCLIENT

DESCRIZIONE SUGGERIMENTO VISIVO

Connessione del cliental serverOfficeScan

I client online sonoconnessi al serverOfficeScan. Il server puòavviare attività eimplementare impostazionisu questi client

L'icona contiene un simbolo che somiglia aun battito cardiaco (Heartbeat).

Il colore di sfondo è una tonalità di blu orosso, a seconda dello stato del servizioscansione in tempo reale.

I client offline vengonodisconnessi dal serverOfficeScan. Il server non èin grado di gestire questiclient.

L'icona contiene un simbolo che somigliaalla perdita di un battito cardiaco(Hearbeat).


Un client può essere offline anche se èconnesso alla rete. Per ulteriori informazionisu questo problema, vedere Un clientOfficeScan è connesso alla rete ma risultaoffline a pagina 13-41.

I client roaming possonoessere in grado dicomunicare con il serverOfficeScan oppure no.

L'icona contiene i simboli del desktop e delsegnale.


Per ulteriori informazioni sui client roaming,vedere Privilegio di roaming del clientOfficeScan a pagina 13-20.


13-28

STATOCLIENT


Disponibilitàdi originiSmartProtection

Le origini Smart Protectioncomprendono gli SmartProtection Server e TrendMicro Smart ProtectionNetwork.

I client con scansioneconvenzionale si colleganoalle origini Smart Protectionper le query di reputazioneWeb.

I client Smart Scan sicollegano alle origini SmartProtection per le query discansione e reputazioneWeb.

L'icona comprende un segno di spunta se èdisponibile un'origine Smart Protection.

L'icona comprende una barra diavanzamento se non sono disponibili originiSmart Protection e il client sta tentando distabilire la connessione alle origini.

Per ulteriori informazioni su questoproblema, vedere Origini Smart Protectionnon disponibili a pagina 13-42.

Per i client con scansione convenzionale,non viene visualizzato alcun segno dispunta o una barra di avanzamento se lareputazione Web è stata disattivata nelclient.


13-29

STATOCLIENT


Statoservizioscansionein temporeale

OfficeScan utilizza ilservizio di scansione intempo reale non solo per lascansione in tempo reale,ma anche per la scansionemanuale e pianificata.

Il servizio deve esserefunzionante per evitare diesporre il client a rischi perla sicurezza.

Se il servizio scansione in tempo reale èfunzionante, tutta l'icona è ombreggiata dicolore blu. Due tonalità di blu vengonousate per indicare il metodo di scansionedel client.

• Per la scansione convenzionale:

• Per Smart Scan:

Se il servizio scansione in tempo reale èstato disattivato o non è funzionante, l'interaicona è ombreggiata di colore rosso.

Due tonalità di rosso vengono usate perindicare il metodo di scansione del client.

• Per la scansione convenzionale:

• Per Smart Scan:

Per ulteriori informazioni su questoproblema, vedere Il servizio scansione intempo reale è stato disattivato o non èfunzionante a pagina 13-41.


13-30

STATOCLIENT


Statoscansionein temporeale

La scansione in temporeale offre la protezioneproattiva effettuando lascansione dei file peridentificare rischi per lasicurezza mentre vengonocreati, modificati orecuperati.

Non ci sono suggerimenti visivi se èabilitata la scansione in tempo reale.

Se la scansione in tempo reale èdisabilitata, l'intera icona è circondata da uncerchio rosso e contiene una lineadiagonale rossa.

Per ulteriori informazioni su questoproblema, vedere:

• Scansione in tempo reale disattivata apagina 13-41

• Scansione in tempo reale disattivata eclient OfficeScan in modalità roaming apagina 13-41

Statoaggiornamento pattern

I client devono aggiornare ilpattern regolarmente perproteggere il client dalleminacce più recenti.

Non ci sono suggerimenti visivi se il patternè aggiornato o leggermente non aggiornato.

L'icona comprende un punto esclamativo seil pattern è obsoleto. Significa che il patternnon è stato aggiornato recentemente.

Per ulteriori informazioni sulle modalità diaggiornamento dei client, vedereAggiornamenti del client OfficeScan apagina 5-26.

Icone Smart Scan

Quando i client OfficeScan usano Smart Scan, viene visualizzata una delle seguentiicone.


13-31

TABELLA 13-5. Icone Smart Scan

ICONACONNESSIONE AL SERVEROFFICESCAN

DISPONIBILITÀ DI ORIGINISMART PROTECTION

SERVIZIOSCANSIONE INTEMPO REALE

SCANSIONE INTEMPO REALE

Online Disponibili Funzionante Attivato

Online Disponibili Funzionante Disattivato

Online Disponibili Disattivato o nonfunzionante

Disattivato o nonfunzionante

Online Non disponibile, nuovaconnessione alle originiin corso

Funzionante Attivato


Funzionante Disattivato




Offline Disponibili Funzionante Attivato

Offline Disponibili Funzionante Disattivato

Offline Disponibili Disattivato o nonfunzionante


Offline Non disponibile, nuovaconnessione alle originiin corso





13-32

ICONACONNESSIONE AL SERVEROFFICESCAN

DISPONIBILITÀ DI ORIGINISMART PROTECTION






Roaming Disponibili Funzionante Attivato

Roaming Disponibili Funzionante Disattivato

Roaming Disponibili Disattivato o nonfunzionante


Roaming Non disponibile, nuovaconnessione alle originiin corso







Icone scansione convenzionale

Quando i client OfficeScan usano la scansione convenzionale, viene visualizzata unadelle seguenti icone.


13-33

TABELLA 13-6. Icone scansione convenzionale

ICONA

CONNESSIONE AL SERVEROFFICESCAN

SERVIZI DIREPUTAZIONE WEB

FORNITI DALLEORIGINI SMARTPROTECTION



PATTERN DEIVIRUS

Online Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Online Non disponibile,nuovaconnessione alleorigini in corso

Funzionante Attivato Aggiornato oleggermentenonaggiornato

Online Disponibili Funzionante Attivato Obsoleto


Funzionante Attivato Obsoleto

Online Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato


Funzionante Disattivato Aggiornato oleggermentenonaggiornato

Online Disponibili Funzionante Disattivato Obsoleto


Funzionante Disattivato Obsoleto


13-34

ICONA






PATTERN DEIVIRUS

Online Disponibili Disattivato ononfunzionante

Disattivato ononfunzionante

Aggiornato oleggermentenonaggiornato





Online Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto

Offline Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Offline Non disponibile,nuovaconnessione alleorigini in corso


Offline Disponibili Funzionante Attivato Obsoleto




13-35

ICONA






PATTERN DEIVIRUS

Offline Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato



Offline Disponibili Funzionante Disattivato Obsoleto



Offline Disponibili Disattivato ononfunzionante







Offline Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto


13-36

ICONA






PATTERN DEIVIRUS

Roaming Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Roaming Non disponibile,nuovaconnessione alleorigini in corso


Roaming Disponibili Funzionante Attivato Obsoleto



Roaming Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato



Roaming Disponibili Funzionante Disattivato Obsoleto




13-37

ICONA






PATTERN DEIVIRUS

Roaming Disponibili Disattivato ononfunzionante







Roaming Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto

Online Non applicabile(funzione direputazione Webdisattivata sulclient)







13-38

ICONA






PATTERN DEIVIRUS










Obsoleto

Offline Non applicabile(funzione direputazione Webdisattivata sulclient)







13-39

ICONA






PATTERN DEIVIRUS










Obsoleto

Roaming Non applicabile(funzione direputazione Webdisattivata sulclient)







13-40

ICONA






PATTERN DEIVIRUS










Obsoleto

Soluzioni ai problemi indicati nelle icone del clientOfficeScan

Se l'icona del client OfficeScan indica una delle seguenti condizioni, eseguire le azionirichieste:

Il file di pattern non è stato aggiornato recentemente

Gli utenti dei client OfficeScan devono aggiornare i componenti. Dalla console Web,configurare le impostazioni di aggiornamento dei componenti in Aggiornamenti >Computer collegati in rete > Aggiornamento automatico oppure concedere agliutenti i privilegi di aggiornamento in Computer collegati in rete > Gestione client >Impostazioni > Privilegi e altre impostazioni > Privilegi > Privilegiaggiornamento componenti.


13-41

Il servizio scansione in tempo reale è stato disattivato o non èfunzionante

Se Servizio scansione in tempo reale (Scansione in tempo reale OfficeScan NT) è statodisattivato o non è funzionante, gli utenti devono avviare il servizio manualmente daMicrosoft Management Console.

Scansione in tempo reale disattivata

Attivare Scansione in tempo reale dalla console Web (Computer collegati in rete >Gestione client > Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale).

Scansione in tempo reale disattivata e client OfficeScan inmodalità roaming

Gli utenti devono disattivare la modalità roaming. Dopo aver disattivato la modalitàroaming, attivare la scansione in tempo reale dalla console Web.

Un client OfficeScan è connesso alla rete ma risulta offline

Verificare la connessione tramite la console Web (Computer collegati in rete >Verifica connessione) e controllare i registri di verifica della connessione (Registri >Registri dei computer collegati in rete > Verifica connessione).

Se dopo la verifica il client OfficeScan è ancora offline:

1. Se lo stato della connessione è offline sia nel server che nel client OfficeScan,verificare la connessione di rete.

2. Se lo stato della connessione del client OfficeScan è offline ma online sul server, ilnome di dominio del server potrebbe essere stato modificato e il client OfficeScancontinua a collegarsi al server usando il nome di dominio (se è stato selezionatonome di dominio durante l'installazione del server). Registrare il nome di dominiodel server OfficeScan nel server DNS o WINS o aggiungere il nome di dominio ele informazioni IP nei file host della cartella <cartella Windows>\system32\drivers\etc del computer client.


13-42

3. Se lo stato della connessione del client OfficeScan è online ma offline sul server,verificare le impostazioni del firewall OfficeScan. Il firewall potrebbe bloccare lacomunicazione server-client, ma consentire quella client-server.

4. Se lo stato della connessione del client OfficeScan è online ma offline sul server, èpossibile che l'indirizzo IP del client OfficeScan sia stato modificato, ma che il suostato non sia aggiornato sul server (ad esempio, al caricamento del client). Provare aimplementare di nuovo il client OfficeScan.

Origini Smart Protection non disponibili

Se un client perde la connessione alle origini Smart Protection, effettuare questeoperazioni:

1. Nella console Web, passare alla schermata Località computer (Computer collegatiin rete > Località computer) e controllare se sono state configuratecorrettamente le seguenti impostazioni della località computer:

• Server di riferimento e numeri di porta

• Indirizzi IP gateway

2. Nella console Web, passare alla schermata Origine Smart Protection (SmartProtection > Origini Smart Protection), quindi effettuare le seguenti operazioni:

a. Verificare se le impostazioni dello Smart Protection Server nell'elencostandard o personalizzato delle origini sono corrette.

b. Verificare se la connessione ai server riesce.

c. Fare clic su Notifica tutti i client dopo aver configurato l'elenco delle origini.

3. Verificare se i seguenti file di configurazione presenti nello Smart Protection Servere nel client OfficeScan sono sincronizzati.

• sscfg.ini

• ssnotify.ini

4. Aprire l'editor del Registro di sistema e verificare se un client è connesso alla reteaziendale.

Chiave:


13-43

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\iCRC Scan\Scan Server

• Se LocationProfile=1, il client OfficeScan è connesso alla rete edovrebbe potersi collegare a Smart Protection Server.

• Se LocationProfile=2, il client OfficeScan non è connesso alla rete edovrebbe connettersi a Smart Protection Network. Da Internet Explorerverificare se il computer client OfficeScan è in grado di accedere alle pagineWeb su Internet.

5. Verificare le impostazioni del proxy interno ed esterno utilizzate per connettersi aSmart Protection Network e agli Smart Protection Server. Per ulteriori dettagli,vedere Proxy interno per client OfficeScan a pagina 13-50 e Proxy esterno per clientOfficeScan a pagina 13-51.

6. Per i client con Scansione convenzionale, verificare che OfficeScan NT ProxyService (TmProxy.exe) sia in esecuzione. Se questo servizio viene interrotto, iclient non sono in grado di connettersi alle origini Smart Protection per lareputazione Web.

Verifica della connessione client-serverLo stato della connessione del client con il server OfficeScan viene visualizzato nellastruttura dei client della console Web OfficeScan.

FIGURA 13-2. Nella struttura dei client viene visualizzato lo stato della connessionecon il server OfficeScan


13-44

Alcune condizioni potrebbero impedire alla struttura dei client di visualizzarecorrettamente lo stato della connessione del client. Se, ad esempio, il cavo della rete diun computer client viene involontariamente scollegato, il client non sarà in grado dinotificare al server di essere momentaneamente offline. Nella struttura dei client, questoclient verrà visualizzato come ancora online.

Verificare la connessione client-server manualmente o eseguire la verifica pianificatamediante OfficeScan. Non è possibile verificare lo stato di connessione di domini oclient specifici. OfficeScan verifica lo stato di connessione di tutti i client registrati.

Verifica delle connessioni tra server e client

Procedura

1. Accedere a Computer collegati in rete > Verifica connessione.

2. Per verificare la connessione client-server manualmente, accedere alla schedaVerifica manuale e fare clic su Verifica ora.

3. Per verificare la connessione tra client e server automaticamente, accedere allascheda Verifica pianificata.

a. Selezionare Attiva la verifica pianificata.

b. Selezionare la frequenza e l'ora di inizio della verifica.

c. Fare clic su Salva per salvare la pianificazione della verifica.

4. Controllare la struttura dei client per verificare lo stato o visualizzare i registri diverifica della connessione.

Registri di verifica connessione

OfficeScan mantiene i registri di verifica delle connessioni per consentire di determinarese il server OfficeScan può comunicare con tutti i suoi client registrati. OfficeScan creauna voce di registro ogni volta che si verifica una connessione client-server dalla consoleWeb.


13-45


Visualizzazione dei registri di verifica connessione

Procedura

1. Accedere a Computer collegati in rete > Verifica connessione.

2. I risultati della verifica della connessione sono contenuti all'interno della colonnaStato.


Client non raggiungibiliI client OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti di retedietro un gateway NAT, sono quasi sempre offline perché il server non riesce a stabilireuna connessione diretta con i client. Di conseguenza, il server non è in grado di inviarenotifiche ai client per:

• Scaricare la versione più recente dei componenti.

• Applicare le impostazioni del client configurate dalla console Web. Ad esempio,quando si modifica la frequenza della Scansione pianificata dalla console Web, ilserver invia immediatamente una notifica ai client per applicare la nuovaimpostazione.

I client non raggiungibili quindi non sono in grado di eseguire queste attivitàtempestivamente. Eseguono queste attività solo quando si connettono al server, ovveroquando:

• Eseguono la registrazione sul server dopo l'installazione.

• Eseguono il riavvio o il ricaricamento. Questo evento non si verificafrequentemente e in genere richiede l'intervento dell'utente.


13-46

• L'aggiornamento manuale o pianificato viene attivato nell'endpoint. Anche questoevento non si verifica frequentemente.

Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettivitàdei client e li considera online. Tuttavia, poiché il server non è ancora è in grado distabilire una connessione con i client, il server cambia immediatamente lo stato suoffline.

OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere iproblemi riguardanti i client non raggiungibili. Con queste funzioni, il server interrompela notifica ai client degli aggiornamenti dei componenti e delle modifiche delleimpostazioni. Il server assume invece un ruolo passivo, rimanendo in attesa dell'invio diheartbeat o dell'avvio di polling da parte dei client. Quando rileva uno di questi eventi, ilserver considera i client come online.

Nota

Eventi iniziati dai client e non correlati a heartbeat e polling del server, comel'aggiornamento manuale del client e l'invio del registro, non determinano l'aggiornamentodello stato dei client non raggiungibili da parte del server.

Heartbeat

I client OfficeScan inviano messaggi heartbeat per notificare al server che la connessioneclient è funzionante. Quando riceve un messaggio heartbeat, il server considera il clientcome online. Nella struttura dei client, lo stato del client può essere uno dei seguenti:

• Online: per client online normali

• Non raggiungibile/Online: per client online nella rete non raggiungibile

Nota

I OfficeScan client non aggiornano i componenti né applicano nuove impostazioni quandoinviano messaggi di heartbeat. I client normali eseguono queste operazioni durante gliaggiornamenti di routine (vedere Aggiornamenti del client OfficeScan a pagina 5-26). I client nellarete non raggiungibile eseguono queste operazioni durante il polling del server.


13-47

La funzione di heartbeat consente di risolvere il problema dei client OfficeScan nelle retinon raggiungibili che risultano sempre offline, anche quando in realtà sono in grado diconnettersi al server.

Un'impostazione nella console Web controlla la frequenza di invio dei messaggi diheartbeat da parte dei client. Se non riceve heartbeat, il server non consideraimmediatamente il client come offline. Un'altra impostazione controlla il periodo ditempo senza heartbeat che deve trascorrere prima di cambiare lo stato del client su:

• Offline: per client OfficeScan offline normali

• Non raggiungibile/Offline: per client OfficeScan offline nella rete nonraggiungibile

Nella scelta delle impostazioni più idonee per la funzione Heartbeat, è consigliabiletrovare il giusto compromesso tra l'esigenza di visualizzare le informazioni aggiornatedello stato del client e l'impiego delle risorse di sistema. L'impostazione predefinita èadeguata per la maggior parte dei casi. Tuttavia, per la personalizzazionedell'impostazione dell'heartbeat, tenere conto di quanto segue:

TABELLA 13-7. Impostazioni consigliate per Heartbeat

FREQUENZA HEARTBEAT RACCOMANDAZIONE

Intervalli di heartbeatlunghi (maggiori di 60minuti)

Più lungo è l'intervallo tra gli heartbeat, maggiore è il numerodi eventi che possono verificarsi prima che il server rifletta lostato del client sulla console Web.

Intervalli di Heartbeatbrevi (minori di 60minuti)

Intervalli di tempo brevi consentono di mantenere lo stato delclient più aggiornato, ma richiedono un maggiore utilizzodell'ampiezza di banda.

Polling del server

La funzione di polling del server consente di risolvere il problema dei client OfficeScannon raggiungibili che non ricevono tempestivamente le notifiche relative agliaggiornamenti dei componenti e alle modifiche alle impostazioni dei client. Questafunzione è indipendente dalla funzione di heartbeat.

Con la funzione di polling del server:


13-48

• I client OfficeScan avviano automaticamente la connessione con il serverOfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling,considera il client come "Non raggiungibile/Online".

• I client OfficeScan si connettono a una o più delle rispettive origini aggiornamentiper scaricare eventuali componenti aggiornati e applicare nuove impostazioni per iclient. Se l'origine aggiornamenti principale è il server OfficeScan o un UpdateAgent, i client ottengono sia i componenti sia le nuove impostazioni. Se l'origineaggiornamenti non è il server OfficeScan o un Update Agent, i client possonoscaricare solo i componenti aggiornati e devono connettersi al server OfficeScan oall'Update Agent per ottenere le nuove impostazioni.

Configurazione di heartbeat e funzioni di polling del server

Procedura

1. Accedere a Computer collegati in rete > Impostazioni client globali,

2. Passare alla sezione Rete non raggiungibile.

3. Configurare le impostazioni del polling del server.

Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina13-47.

a. Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibiledigitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza.

Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure unprefisso IPv6 e la lunghezza se il server è un IPv6 puro.

Quando l'indirizzo IP di un client corrisponde ad un indirizzo IPdell'intervallo, il client applica le impostazioni relative al polling del server eall'heartbeat e considera il client come appartenente alla rete non raggiungibile.


13-49

Nota

I client con un indirizzo IPv4 possono connettersi a un IPv4 puro o a un serverOfficeScan dual stack.

I client con un indirizzo IPv6 possono connettersi a un IPv6 puro o a un serverOfficeScan dual stack.

I client dual-stack possono connettersi al server OfficeScan dual-stack, IPv4puro o IPv6 puro.

b. In I client eseguono il polling del server per le impostazioni e icomponenti aggiornati ogni __ minuti, specificare la frequenza del pollingdel server. Digitare un valore compreso tra 1 e 129600 minuti.

Suggerimento

Trend Micro consiglia di impostare una frequenza di polling del server almenotre volte superiore alla frequenza di invio di heartbeat.

4. Configurare le impostazioni Heartbeat.

Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 13-46.

a. Selezionare Consenti ai client di inviare heartbeat al server.

b. Selezionare Tutti i client o Solo i client della rete non raggiungibile.

c. In I client inviano heartbeat ogni __ minuti, specificare la frequenza con laquale i client inviano heartbeat. Digitare un valore compreso tra 1 e 129600minuti.

d. In Un client è offline se non c'è heartbeat dopo __ minuti, specificarel'intervallo di tempo che deve trascorrere senza un heartbeat prima che ilserver OfficeScan consideri un client come offline. Digitare un valorecompreso tra 1 e 129600 minuti.



13-50

Impostazioni proxy client OfficeScanConfigurare i client OfficeScan per utilizzare le impostazioni proxy durante laconnessione a server interni ed esterni.

Proxy interno per client OfficeScanI client OfficeScan possono utilizzare le impostazioni del proxy interno per connettersiai server seguito presenti in rete:

• Computer server OfficeScan

Il computer server ospita il server OfficeScan e Integrated Smart Protection Server.I client OfficeScan si collegano al server OfficeScan per aggiornare i componenti,ottenere le impostazioni di configurazione e inviare i registri. I client OfficeScan sicollegano a Integrated Smart Protection Server per inviare query di scansione.

• Smart Protection Server

Gli Smart Protection Server comprendono gli Smart Protection Server standalone eIntegrated Smart Protection Server di altri server OfficeScan. I client OfficeScan sicollegano ai server per inviare query di scansione e di reputazione Web.

Configurazione delle impostazioni del proxy interno

Procedura


2. Fare clic sulla scheda Proxy interno.

3. Passare alla sezione Connessione del client con il computer server OfficeScan.

a. Selezionare Utilizzare le seguenti impostazioni del proxy quando i clientsono collegati al server OfficeScan e all'Integrated Smart ProtectionServer.



13-51

NotaSpecificare un server proxy dual stack identificato tramite il nome host se sihanno client IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti,impostazioni globali. Se si specifica un indirizzo IPv4, i client IPv6 nonpossono collegarsi al server proxy. Lo stesso vale per i client IPv4.


4. Passare alla sezione Connessione del client con i server standalone SmartProtection.

a. Selezionare Utilizzare le seguenti impostazioni del proxy quando i clientsono collegati ai server standalone Smart Protection.




Proxy esterno per client OfficeScanIl server OfficeScan e il client OfficeScan possono utilizzare le impostazioni del proxyesterno durante la connessione ai server ospitati da Trend Micro. In questo argomentovengono illustrate le impostazioni del proxy esterno per i client. Per informazioni sulleimpostazioni del proxy esterno per il server, vedere Proxy per aggiornamenti server OfficeScana pagina 5-17.

Per connettersi a Trend Micro Smart Protection Network, i client OfficeScan possonoutilizzare le impostazioni proxy configurate in Internet Explorer. Se è richiestal'autenticazione del server proxy, i client utilizzano le credenziali di autenticazione delserver proxy (ID utente e password).


13-52

Configurazione delle credenziali di autenticazione del serverproxy

Procedura


2. Fare clic sulla scheda Proxy esterno.

3. Passare alla sezione Connessione del client con i server Trend Micro.

4. Inserire ID utente e password per l'autenticazione del server proxy e confermare lapassword. I protocolli di autenticazione proxy riportati di seguito sono supportati:

• Autenticazione con accesso di base

• Autenticazione con accesso digest

• Autenticazione integrata di Windows


Privilegi configurazione proxy per clientÈ possibile concedere agli utenti client il privilegio di configurare le impostazioni proxy.I client OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo neiseguenti casi:

• Quando il client OfficeScan effettua l'operazione "Aggiorna ora".

• Quando gli utenti disattivano le impostazioni automatiche del proxy oppure ilclient OfficeScan non è in grado di rilevarle. Vedere Impostazioni proxy automatiche peril client OfficeScan a pagina 13-53 per ulteriori informazioni.

AVVERTENZA!

Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi diaggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprieimpostazioni proxy.


13-53

Concessione dei privilegi di configurazione del proxy

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi impostazioni proxy.

5. Selezionare Consenti agli utenti client di configurare le impostazioni proxy.




Impostazioni proxy automatiche per il client OfficeScanLa configurazione manuale delle impostazioni proxy può rivelarsi un'operazionecomplessa per molti utenti finali. Utilizzare impostazioni proxy automatiche pergarantire l'applicazione di impostazioni proxy corrette senza bisogno dell'interventodell'utente.

Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principaliquando i client OfficeScan aggiornano i componenti attraverso l'aggiornamentoautomatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico osu Aggiorna ora, consultare Metodi di aggiornamento del client OfficeScan a pagina 5-35.


13-54

Se i client OfficeScan non riescono a collegarsi utilizzando le impostazioni proxyautomatiche, gli utenti client con il privilegio di configurare le impostazioni proxypossono utilizzare impostazioni proxy configurate dall'utente. Altrimenti, la connessioneattraverso le impostazioni proxy automatiche non riuscirà.

Nota

Autenticazione proxy non supportata.

Configurazione delle impostazioni automatiche del proxy

Procedura

1. Accedere a Computer collegati in rete > Impostazioni client globali,

2. Passare alla sezione Configurazione proxy.

3. Selezionare Rileva automaticamente le impostazioni per consentire aOfficeScan di rilevare automaticamente le impostazioni proxy configuratedall'amministratore tramite DHCP o DNS.

4. Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration)impostato dall'amministratore di rete per rilevare il server proxy appropriato:

a. Selezionare Usa lo script di configurazione automatica.

b. Digitare l'indirizzo dello script PAC.


Visualizzazione delle informazioni dettagliatesul client OfficeScan

La schermata Visualizza stato mostra importanti informazioni sui client OfficeScan,come privilegi, informazioni sul software del client ed eventi di sistema.


13-55

Procedura



3. Fare clic su Stato.

4. Visualizzare le informazioni di stato espandendo il nome del computer client. Sesono stati selezionati più client, fare clic su Espandi tutti per visualizzare leinformazioni di stato di tutti i client selezionati.

5. (Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischiper la sicurezza.

Importazione ed esportazione delleimpostazioni client

OfficeScan consente di esportare le impostazioni della struttura dei client OfficeScanche un client o dominio specifico applica a un file. Il file può quindi essere importato perapplicare le impostazioni ad altri client o domini o a un altro server OfficeScan dellastessa versione.

Verranno esportate tutte le impostazioni della struttura dei client, ad eccezione delleimpostazioni di Update Agent.

Esportazione delle impostazioni del client

Procedura



3. Fare clic su Impostazioni > Esporta impostazioni.


13-56

4. Fare clic su uno dei collegamenti per visualizzare le impostazioni del clientOfficeScan o del dominio selezionato.

5. Fare clic su Esporta per salvare le impostazioni.

Le impostazioni vengono salvate in un file .dat.

6. Fare clic su Salva e specificare la posizione in cui salvare il file .dat.


Importazione delle impostazioni del client

Procedura



3. Fare clic su Impostazioni > Importa impostazioni.

4. Fare clic su Sfoglia per individuare il file .dat nel computer, quindi fare clic suImporta.

Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogodelle impostazioni.

5. Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni discansione o dei privilegi da importare.

6. Importare le impostazioni.

• Se è stata selezionata l'icona del dominio principale, selezionare Applica atutti i domini, quindi fare clic su Applica alla destinazione.

• Se sono stati selezionati i domini, selezionare Applica a tutti i computer cheappartengono ai domini selezionati, quindi fare clic su Applica alladestinazione.


13-57

• Se sono stati selezionati vari client, fare clic su Applica alla destinazione.

Conformità sicurezzaUtilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione emantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempirichiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibrotra sicurezza e funzionalità.

La conformità di sicurezza può essere forzata sui due tipi di computer riportati diseguito:

• Gestiti: computer con client OfficeScan gestiti dal server OfficeScan. Per i dettagli,consultare Conformità sicurezza per i client gestiti a pagina 13-57.

• Non gestiti: comprende i seguenti elementi:

• Client OfficeScan non gestiti dal server OfficeScan

• Computer che non hanno installato il client OfficeScan

• Computer che il server OfficeScan non riesce a raggiungere

• Computer il cui stato di sicurezza non può essere verificato

Per i dettagli, consultare Conformità sicurezza per endpoint non gestiti a pagina13-69.

Conformità sicurezza per i client gestitiConformità sicurezza genera una Segnalazione conformità che facilita la valutazionedello stato di sicurezza dei client OfficeScan gestiti dal server OfficeScan. Conformitàsicurezza genera la segnalazione su richiesta o secondo un programma.

Le segnalazioni su richiesta e pianificate sono disponibili nella schermata Segnalazioneconformità. La schermata contiene le seguenti schede:

• Servizi: usare questa scheda per verificare che i servizi dei client siano funzionali.Per i dettagli, consultare Servizi a pagina 13-59.


13-58

• Componenti: usare questa scheda per verificare che i componenti dei clientOfficeScan siano aggiornati. Per i dettagli, consultare Componenti a pagina 13-60.

• Compatibilità scansione: usare questa scheda per verificare che i clientOfficeScan eseguano le scansioni regolarmente. Per i dettagli, consultareCompatibilità scansione a pagina 13-61.

• Impostazioni: usare questa scheda per verificare che le impostazioni del clientsiano coerenti con quelle del server. Per i dettagli, consultare Impostazioni a pagina13-63.

NotaLa scheda Componenti può visualizzare client OfficeScan con installata la versionecorrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo i clientOfficeScan 10.5, 10.6 o versione successive.

Note su Segnalazione conformità

• Conformità sicurezza verifica lo stato di connessione dei client OfficeScan prima digenerare una Segnalazione conformità. Nella segnalazione, include i client online eoffline ma non i client roaming.

• Per account utente basati sui ruoli:

• Ciascun account utente della console Web dispone di un insiemecompletamente indipendente di impostazioni Segnalazione conformità.Eventuali modifiche alle impostazioni Segnalazione conformità di un accountutente non hanno effetto sulle impostazioni degli altri account utente.

• L'ambito della segnalazione dipende dalle autorizzazioni di dominio del clientper l'account utente. Se, ad esempio, si assegnano a un account utenteautorizzazioni per gestire i domini A e B, le segnalazioni dell'account utentemostrano solo i dati dei client che appartengono ai domini A e B.

Per ulteriori informazioni sugli account utente, vedere Role-based Administration(RBA) a pagina 12-2.


13-59

Servizi

Conformità sicurezza controlla se i seguenti servizi del client OfficeScan sonofunzionanti:

• Antivirus

• Anti-spyware

• Firewall

• Reputazione Web

• Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizioprevenzione modifiche non autorizzate di Trend Micro)

• Protezione dati

Un client non conforme viene contato almeno due volte nella Segnalazione conformità.

FIGURA 13-3. Segnalazione conformità - scheda Servizi


13-60

• Nella categoria Computer con servizi non conformi

• Nella categoria per la quale il client OfficeScan non è conforme. Se, ad esempio, ilservizio Antivirus del client OfficeScan non è funzionante, il client viene contatonella categoria Antivirus. Se più di un servizio non è funzionante, il client vienecontato in ciascuna categoria per la quale non è conforme.

Riavviare i servizi non funzionanti dalla console Web o dal computer client OfficeScan.Se i servizi sono funzionali dopo il riavvio, il client non viene più visualizzato come nonconforme nella valutazione successiva.

Componenti

Conformità sicurezza consente di determinare le incoerenze delle versioni deicomponenti tra il server OfficeScan e i client OfficeScan. In genere le incoerenze siverificano quando i client non riescono a connettersi al server per aggiornare icomponenti. Se il client ottiene un aggiornamento da un'altra origine (ad esempio dalserver ActiveUpdate di Trend Micro), è possibile che la versione di un componente delclient sia più recente rispetto alla versione del server.

Conformità sicurezza controlla i seguenti componenti:

• Smart Scan Agent Pattern

• Pattern dei virus

• Pattern IntelliTrap


• Motore di scansione virus

• Pattern spyware

• Pattern di monitoraggio attivo spyware

• Motore di scansione spyware

• Modello disinfezione virus

• Motore di disinfezione virus

• Pattern comune firewall

• Driver comune Firewall

• Driver monitoraggio delcomportamento

• Servizio principale monitoraggio delcomportamento

• Pattern di configurazione monitoraggiodel comportamento

• Digital Signature Pattern

• Pattern implementazione dei criteri

• Pattern rilevamento monitoraggio delcomportamento

• Versione del programma


13-61


FIGURA 13-4. Segnalazione conformità - scheda Componenti

• Nella categoria Computer con versioni di componenti diverse

• Nella categoria per la quale il client non è conforme. Se, ad esempio, la versione diSmart Scan Agent Pattern del client è diversa da quella del server, il client vienecontato nella categoria Smart Scan Agent Pattern. Se la versione di più di uncomponente non è coerente, il client viene contato in ciascuna categoria per laquale non è conforme.

Per risolvere le differenze nelle versioni dei componenti, aggiornare i componentiobsoleti dei client o del server.

Compatibilità scansioneConformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificatavengono eseguite regolarmente e se vengono completate in tempi ragionevoli.


13-62

NotaConformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansionepianificata è attivata sui client.

Conformità sicurezza usa i seguenti parametri di compatibilità scansione:

• Non è stata eseguita l'opzione Esegui scansione o Scansione pianificatanegli ultimi (x) giorni: un client OfficeScan non è conforme se non ha eseguitoEsegui scansione o Scansione pianificata nell'arco del numero di giorni specificato.

• Durata di Esegui scansione o Scansione pianificata superata (x) ore: unclient OfficeScan non è conforme se l'ultima operazione Esegui scansione oScansione pianificata è durata oltre il numero di ore specificato.


FIGURA 13-5. Segnalazione conformità - scheda Compatibilità scansione

• Nella categoria Computer con funzioni di scansione non aggiornate


13-63

• Nella categoria per la quale il client non è conforme. Se, ad esempio, l'ultimaScansione pianificata è durata più del numero di ore specificato, il client vienecontato nella categoria Durata di Esegui scansione o Scansione pianificatasuperata <x> ore. Se il client soddisfa più di un parametro di compatibilitàscansione, viene contato in ciascuna categoria per la quale non è conforme.

Eseguire le funzioni Esegui scansione o Scansione pianificata su client che non hannoeseguito operazioni di scansione o che non sono stati in grado di portare a termine lascansione.

Impostazioni

Conformità sicurezza consente di determinare se i client e i relativi domini principalinella struttura dei client hanno le stesse impostazioni. Le impostazioni potrebbero esserediverse se si trasferisce un client a un altro dominio che applica un insieme diimpostazioni diverso oppure se un utente client con privilegi particolari configuramanualmente le impostazioni nella console dei client OfficeScan.

OfficeScan verifica le impostazioni riportate di seguito:

• Metodo di scansione


• Impostazioni scansione in tempo reale





• Reputazione Web




• Impostazioni di Prevenzione perdita didati


13-64


FIGURA 13-6. Segnalazione conformità - scheda Impostazioni

• Nella categoria Computer con impostazioni di configurazione non conformi

• Nella categoria per la quale il client non è conforme. Se, ad esempio, leimpostazioni del metodo di scansione nel client e nel relativo dominio principalenon sono coerenti, il client viene contato nella categoria Metodo di scansione. Sepiù di un insieme di impostazioni non è coerente, il client viene contato in ciascunacategoria per la quale non è conforme.

Per risolvere le differenze di impostazioni, applicare al client le impostazioni deldominio.


13-65

Segnalazioni conformità su richiestaConformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazionifacilitano la valutazione dello stato di sicurezza dei client OfficeScan gestiti dal serverOfficeScan.

Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per iclient gestiti a pagina 13-57.

Generazione di una segnalazione di conformità su richiesta

Procedura

1. Accedere a Conformità sicurezza > Valutazione conformità > Segnalazioneconformità.

2. Passare alla sezione Ambito della struttura client .

3. Selezionare il dominio principale oppure un dominio e fare clic su Valuta.

4. Visualizzare la Segnalazione conformità per i servizi dei client.

Per ulteriori informazioni sui servizi dei client, vedere Servizi a pagina 13-59.

a. Fare clic sulla scheda Servizi.

b. In Computer con servizi non conformi, selezionare il numero di client conservizi non conformi.

c. Fare clic su un collegamento numerato per visualizzare tutti i client interessatinella struttura dei client.

d. Selezionare i client nei risultati della query.

e. Fare clic su Riavvia client OfficeScan per riavviare il servizio.

Nota

Se dopo un'altra valutazione il client risulta ancora non conforme, riavviaremanualmente il servizio sul computer client.


13-66

f. Per salvare l'elenco dei client in un file, fare clic su Esporta.

5. Visualizzare la Segnalazione conformità per i componenti dei client.

Per ulteriori informazioni sui componenti dei client, vedere Componenti a pagina13-60.

a. Fare clic sulla scheda Componenti.

b. In Computer con versioni di componenti diverse, selezionare il numero diclient con versioni di componenti diverse da quelle sul server.


NotaSe almeno in un client è presente un componente più aggiornato rispetto alserver OfficeScan, aggiornare il server OfficeScan manualmente.


e. Fare clic su Aggiorna ora per forzare il download dei componenti nei client.

Nota

• Per fare in modo che i client possano aggiornare la versione delprogramma client, disattivare l'opzione I client possono aggiornare icomponenti ma non possono aggiornare il programma client néimplementare le hot fix. in Computer collegati in rete > Gestioneclient > Impostazioni > Privilegi e altre impostazioni.

• Per aggiornare Driver comune Firewall, riavviare il computer anziché fareclic su Aggiorna ora.


6. Visualizzare la Segnalazione conformità per le scansioni.

Per ulteriori informazioni sulle scansioni, vedere Compatibilità scansione a pagina13-61.

a. Fare clic sulla scheda Compatibilità scansione.


13-67

b. In Computer con funzioni di scansione non aggiornate, configurare iseguenti elementi:

• Numero di giorni durante i quali il client non ha eseguito l'opzioneEsegui scansione o Scansione pianificata.

• Numero di ore di Esegui scansione o Scansione pianificata in esecuzione

Nota

Se il numero dei giorni o delle ore viene superato, il client vieneconsiderato non conforme.

c. Fare clic su Valuta accanto alla sezione Ambito della struttura client.

d. In Computer con funzioni di scansione non aggiornate, selezionare ilnumero di client che soddisfano i parametri di scansione.

e. Fare clic su un collegamento numerato per visualizzare tutti i client interessatinella struttura dei client.

f. Selezionare i client nei risultati della query.

g. Fare clic su Esegui scansione per avviare la scansione immediata sui client.

Nota

Per evitare di ripetere la scansione, l'opzione Esegui scansione sarà disattivatase l'operazione ha impiegato più tempo rispetto al numero di ore specificate.

h. Per salvare l'elenco dei client in un file, fare clic su Esporta.

7. Visualizzare la Segnalazione conformità per le impostazioni.

Per ulteriori informazioni sulle impostazioni, vedere Impostazioni a pagina 13-63.

a. Fare clic sulla scheda Impostazioni.

b. In Computer con impostazioni di configurazione non conformi,selezionare il numero di client con impostazioni non conformi alleimpostazioni del dominio della struttura dei client.


13-68



e. Fare clic su Applica impostazioni dominio.


Segnalazioni conformità pianificateConformità sicurezza può generare segnalazioni di conformità in base a un programma.Le segnalazioni facilitano la valutazione dello stato di sicurezza dei client OfficeScangestiti dal server OfficeScan.

Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per iclient gestiti a pagina 13-57.

Configurazione delle impostazioni per le segnalazioni diconformità pianificate

Procedura

1. Accedere a Conformità sicurezza > Valutazione conformità > Segnalazioneconformità pianificata.

2. Selezionare Abilita segnalazioni pianificate.

3. Specificare un titolo per questa segnalazione.

4. Selezionare tutte o una delle voci elencate di seguito:

• Servizi a pagina 13-59

• Componenti a pagina 13-60

• Compatibilità scansione a pagina 13-61

• Impostazioni a pagina 13-63


13-69

5. Specificare gli indirizzi e-mail destinatari delle notifiche sulle Segnalazioniconformità pianificate.

NotaConfigurare le impostazioni delle notifiche e-mail per assicurare il corretto invio dellenotifiche. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 12-30.

6. Specificare la pianificazione.


Conformità sicurezza per endpoint non gestitiConformità sicurezza può eseguire query sugli endpoint non gestiti nella rete alla qualeappartiene il server OfficeScan. Utilizzare Active Directory e gli indirizzi IP per eseguirequery sugli endpoint.

La sicurezza degli endpoint non gestiti può avere uno degli stati riportati di seguito:

TABELLA 13-8. Stato sicurezza degli endpoint non gestiti

STATO DESCRIZIONE

Gestito da un altroserver OfficeScan

I client OfficeScan installati nei computer sono gestiti da unaltro server OfficeScan. I client OfficeScan sono online edeseguono questa versione di OfficeScan oppure una versioneprecedente.

Nessun clientOfficeScan installato

Il client OfficeScan non è stato installato sul computer.

Non raggiungibile Il server OfficeScan non è in grado di connettersi al computerper determinare lo stato di sicurezza.


13-70

STATO DESCRIZIONE

Valutazione di ActiveDirectory non risolta

Il computer appartiene a un dominio Active Directory ma ilserver OfficeScan non è in grado di determinarne lo stato disicurezza.

NotaIl database del server OfficeScan contiene un elenco deiclient gestiti dal server. Il server invia query ad ActiveDirectory per richiedere i GUID dei computer e poi liconfronta con i GUID memorizzati nel database. Se unGUID non è nel database, il computer viene assegnatoalla categoria Valutazione di Active Directory non risolta.

Per eseguire una valutazione di sicurezza, effettuare le operazioni riportate di seguito:

1. Definire l'ambito della query. Per i dettagli, consultare Definizione di ambito ActiveDirectory/indirizzo IP e query. a pagina 13-70.

2. Selezionare i computer non protetti dal risultato della query. Per i dettagli,consultare Visualizzazione dei risultati della query a pagina 13-73.

3. Installare il Client OfficeScan Per i dettagli, consultare Installazione con Conformitàsicurezza a pagina 4-64.

4. Configurare le query pianificate. Per i dettagli, consultare Configurazione dellavalutazione di query pianificate a pagina 13-74.

Definizione di ambito Active Directory/indirizzo IP e query.Quando si esegue una query per la prima volta, definire l'Ambito Active Directory/indirizzo IP che comprende gli oggetti Active Directory e gli indirizzi IP a cui il serverOfficeScan deve inviare le query su richiesta o periodicamente. Dopo aver definitol'ambito, avviare l'elaborazione delle query.

NotaPer definire un ambito Active Directory, è necessario che OfficeScan sia prima integratocon Active Directory. Per ulteriori informazioni sull'integrazione, vedere Active DirectoryIntegration a pagina 2-28.


13-71

Procedura


2. Nella sezione Ambito Active Directory/indirizzo IP, fare clic su Definisci.Viene visualizzata una nuova schermata.

3. Per definire un ambito Active Directory:

a. Passare alla sezione Ambito Active Directory.

b. Selezionare Utilizza valutazione su richiesta per eseguire query in temporeale al fine di ottenere risultati più precisi. Se si disattiva questa opzione,OfficeScan esegue le query sul database anziché su ogni singolo clientOfficeScan. L'esecuzione delle query solo sul database può risultare più rapidama è meno precisa.

c. Selezionare gli oggetti sui quali eseguire la query. Se è la prima volta che vieneinviata una query, selezionare un oggetto con meno di 1.000 account eprendere nota del tempo impiegato per completare la query. Utilizzare questidati per il confronto delle prestazioni.

4. Per definire un ambito dell'indirizzo IP:

a. Passare alla sezione Ambito indirizzo IP.

b. Selezionare Attiva ambito indirizzo IP.

c. Specificare un intervallo di indirizzi IP. Fare clic sul pulsante con il segno piùo meno per aggiungere o eliminare gli intervalli di indirizzi IP.

• Per un server OfficeScan IPv4 puro, digitare un intervallo di indirizzi IPv4.

• Per un server OfficeScan IPv6 puro, digitare un prefisso IPv6 e la lunghezza.

• Per un server OfficeScan dual stack, digitare un intervallo di indirizzi IPv4 e/oil prefisso IPv6 e la lunghezza.

L'intervallo di indirizzi IPv6 ha un limite di 16 bit, simile al limite per gliintervalli di indirizzi IPv4. La lunghezza del prefisso deve essere compresapertanto tra 112 e 128.


13-72

TABELLA 13-9. Lunghezza dei prefissi e numero di indirizzi IPv6

LUNGHEZZA NUMERO DI INDIRIZZI IPV6

128 2

124 16

120 256

116 4,096

112 65,536

5. In Impostazione avanzata specificare le porte utilizzate dai server OfficeScan percomunicare con i client. Il programma genera i numeri di porta in modo casualedurante l'installazione del server OfficeScan.

Per visualizzare la porta di comunicazione utilizzata dal server OfficeScan, andare aComputer collegati in rete > Gestione client e selezionare un dominio. La portaviene visualizzata accanto alla colonna degli indirizzi IP. Trend Micro consiglia ditenere traccia dei numeri di porta per riferimento futuro.

a. Fare clic su Specifica porte.

b. Digitare il numero di porta e fare clic su Aggiungi. Ripetere questo passaggioper aggiungere tutti i numeri di porta necessari.


6. Per verificare la connettività di un computer usando un numero di portaparticolare, selezionare Segnala che un computer non è raggiungibile dopo laverifica della relativa porta <x>. Quando non è possibile stabilire unaconnessione, OfficeScan considera subito il computer irraggiungibile. Il numero diporta predefinito è 135.

Attivare questa impostazione velocizza la query. Quando non è possibile stabilireuna connessione, il server OfficeScan non deve più eseguire le altre operazioni diverifica della connessione prima di considerare il computer irraggiungibile.

7. Per salvare l'ambito e avviare la query, fare clic su Salva e rivaluta. Per salvare solole impostazioni, fare clic su Salva soltanto. Il risultato della query vienevisualizzato nella schermata Gestione server esterni.


13-73

NotaLa query potrebbe richiedere molto tempo, soprattutto se l'ambito della query èampio. Non eseguire un'altra query fino a quando il risultato non viene visualizzatonella schermata Gestione server esterni. In caso contrario la sessione di query attualeviene interrotta e l'elaborazione della query inizia di nuovo.

Visualizzazione dei risultati della queryIl risultato della query viene visualizzato nella sezione Stato protezione. Un endpointnon gestito avrà uno degli stati seguenti:

• Gestito da un altro server OfficeScan

• Nessun client OfficeScan installato

• Non raggiungibile

• Valutazione di Active Directory non risolta

Operazioni consigliate

1. Nella sezione Stato protezione, fare clic su un collegamento numerato pervisualizzare tutti i computer interessati.

2. Utilizzare le funzioni di ricerca e ricerca avanzata per eseguire la ricerca evisualizzare solo i computer che corrispondono ai criteri selezionati.

Se si utilizza la funzione di ricerca avanzata, specificare le opzioni riportate diseguito:

• Intervallo di indirizzi IPv4

• Prefisso IPv6 e lunghezza (il prefisso deve essere compreso tra 112 e 128)

• Nome computer

• Nome server OfficeScan

• Struttura Active Directory

• Stato della sicurezza


13-74

OfficeScan non restituisce un risultato se il nome è incompleto. Se non si è sicuridel nome completo, utilizzare un carattere jolly (*).

3. Per salvare l'elenco dei computer in un file, fare clic su Esporta.

4. Per i client OfficeScan gestiti da un altro server OfficeScan, utilizzare lo strumentoClient Mover per fare in modo che i client OfficeScan siano gestiti dal serverOfficeScan attuale. Per ulteriori informazioni su questo strumento, vedere ClientMover a pagina 13-22.

Configurazione della valutazione di query pianificateConfigurare il server OfficeScan in modo da eseguire periodicamente query su ActiveDirectory e sugli indirizzi IP e garantire in tal modo che le linee guida di sicurezza sianoimplementate.

Procedura


2. Fare clic su Impostazioni nella parte superiore della struttura dei client.

3. Attivare la query pianificata.

4. Specificare la pianificazione.


Supporto Trend Micro Virtual DesktopIl supporto Trend Micro Virtual Desktop consente di ottimizzare la protezione deldesktop virtuale. Questa funzione consente di controllare le operazioni sui clientOfficeScan che risiedono sullo stesso server virtuale.

L'esecuzione di vari desktop sullo stesso server e di scansioni su richiesta o diaggiornamenti di componenti utilizza una quantità notevole di risorse di sistema. Questafunzione è utile per impedire ai client di eseguire scansioni e aggiornare i componenticontemporaneamente.


13-75

Se, ad esempio, un server VMware vCenter dispone di tre desktop virtuali che eseguonoclient OfficeScan, OfficeScan può avviare Esegui scansione e implementare gliaggiornamenti sui tre client contemporaneamente. Il supporto Virtual Desktop è ingrado di rilevare che i client sono sullo stesso server fisico. Il supporto Virtual Desktopconsente di eseguire un'operazione sul primo client e di attendere che sia terminataprima di eseguire la stessa operazione sugli altri due client.

Il supporto Virtual Desktop può essere utilizzato sulle seguenti piattaforme:

• VMware vCenter™ (VMware View™)

• Citrix™ XenServer™ (Citrix XenDesktop™)

• Microsoft Hyper-V™ Server

Per ulteriori informazioni su queste piattaforme, fare riferimento ai siti Web di VMwareView, Citrix XenDesktop o Microsoft Hyper-V.

Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScanper ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base ogolden.

Installazione del supporto Virtual DesktopIl supporto Virtual Desktop è una funzione OfficeScan nativa ma concessa in licenzaseparatamente. Dopo l'installazione del server OfficeScan, questa funzione è disponibilema non è funzionante. L'installazione della funzione prevede il download di un file dalserver ActiveUpdate (o da un'origine di aggiornamento personalizzata, se configurata).Una volta incorporato il file nel server OfficeScan, è possibile attivare il supporto VirtualDesktop per attivare la funzionalità completa. L'installazione e l'attivazione vengonoeseguite da Plug-In Manager.

NotaIl supporto Virtual Desktop non è supportato completamente negli ambienti IPv6 puri. Peri dettagli, consultare Limitazioni del server IPv6 puro a pagina A-3.

http://www.vmware.com/products/view/overview.html

http://www.vmware.com/products/view/overview.html

http://www.citrix.com/virtualization/desktop/xendesktop.html

http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx


13-76

Installazione del supporto Virtual Desktop

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend MicroVirtual Desktop e fare clic su Download.

La dimensione del pacchetto viene visualizzata accanto al pulsante Download.

Plug-In Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

NotaSe Plug-In Manager non è in grado di scaricare il file, proverà a scaricarloautomaticamente dopo 24 ore. Per effettuare manualmente il download del pacchettoda parte di Plug-In Manager, riavviare il servizio OfficeScan Plug-In Manager daMicrosoft Management Console.

3. Monitorare l'avanzamento del download. Nel corso del download è possibileeffettuare altre operazioni.

Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto,controllare i registri di aggiornamento server sulla console del prodotto OfficeScan.Nel menu principale fare clic su Registri > Registri aggiornamenti server.

Dopo che Plug-In Manager ha scaricato il file, il supporto Virtual Desktop vienevisualizzato in una nuova schermata.

NotaSe il supporto Virtual Desktop non viene visualizzato, vedere le cause e le soluzioni inRisoluzione dei problemi di Plug-In Manager a pagina 14-10.

4. Per installare il supporto Virtual Desktop immediatamente, fare clic su Installaora. Per eseguire l'installazione in un secondo momento:

a. Fare clic su Installa in un secondo momento.


13-77

b. Aprire la schermata Plug-in Manager.

c. Andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic suInstalla.

5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.

L'installazione viene avviata.

6. Monitorare lo stato di avanzamento dell'installazione. Al termine dell'installazione,viene visualizzata la versione del supporto Virtual Desktop.

Licenza del supporto Virtual DesktopVisualizzare, attivare e rinnovare la licenza del supporto Virtual Desktop da Plug-InManager.

Richiedere il codice di attivazione a Trend Micro e utilizzarlo per attivare la funzionalitàcompleta del supporto Virtual Desktop.

Attivazione o rinnovo del supporto Virtual Desktop

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend MicroVirtual Desktop e fare clic su Gestione programma.


4. Nella schermata Dettagli della licenza del prodotto, fare clic su Nuovo codicedi attivazione.

5. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic suSalva.

6. Quando riappare la schermata Dettagli della licenza del prodotto, fare clic suAggiorna informazioni per aggiornare la schermata con i nuovi dettagli della


13-78

licenza e il nuovo stato della funzione. Questa schermata contiene anche uncollegamento al sito Web di Trend Micro dove è possibile visualizzare informazionidettagliate sulla propria licenza.

Visualizzazione delle informazioni sulla licenza del supportoVirtual Desktop

Procedura

1. Aprire la console Web OfficeScan e fare clic su Plug-in Manager > Gestioneprogramma [Trend Micro Virtual Desktop Support] nel menu principale.


3. Visualizzare le informazioni sulla licenza nella schermata.

La sezione Dettagli licenza per supporto Virtual Desktop contiene le seguentiinformazioni:

• Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

• Versione: indica se la versione è "Completa" o se si tratta di una "Versione diprova". Se si dispone sia della versione completa sia della versione di prova, laversione indicata sarà "Completa".

• Data di scadenza: se il supporto Virtual Desktop prevede più licenze, verràvisualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono31/12/2010 e 30/06/2010, verrà visualizzata la data 31/12/2010.

• Postazioni: viene visualizzato il numero di client OfficeScan che possonoutilizzare il supporto Virtual Desktop

• Codice di attivazione: visualizza il codice di attivazione

Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:

Se si dispone di una licenza per la versione completa:

• Durante il periodo di proroga del prodotto. La durata del periodo di prorogavaria a seconda dell'area geografica. Verificare il periodo di proroga con ilrappresentante Trend Micro.


13-79

• Alla scadenza della licenza e al termine del periodo di proroga. In questoperiodo non sarà possibile ottenere l'assistenza tecnica.

Se si dispone di una licenza per versione di valutazione

• Alla scadenza della licenza. In questo periodo non sarà possibile ottenerel'assistenza tecnica.

4. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza sul sito Web di Trend Micro.

5. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic suAggiorna informazioni.

Connessioni al server virtualeOttimizzare la scansione su richiesta o gli aggiornamenti dei componenti aggiungendoVMware vCenter 4 (VMware View 4), Citrix XenServer 5.5 (Citrix XenDesktop 4) o ilserver Microsoft Hyper-V. I server OfficeScan comunicano con i server virtualispecificati per determinare quali client OfficeScan si trovano sullo stesso server fisico.

Aggiunta delle connessioni server

Procedura


2. Selezionare VMware vCenter Server, Citrix XenServer oMicrosoft Hyper-V.

3. Attivare la connessione al server.

4. Inserire le seguenti informazioni:

• Per i server VMware vCenter e Citrix XenServer:

• Indirizzo IP

• Porta


13-80

• Protocollo di connessione (HTTP or HTTPS)

• Nome utente

• Password

• Per i server Microsoft Hyper-V:

• Nome host o indirizzo IP

• Dominio\nome utente

NotaL'account di accesso deve essere un account di dominio del gruppoAmministratori.

• Password

5. Facoltativamente, attivare la connessione del proxy per VMware vCenter o CitrixXenServer.

a. Specificare il nome o l'indirizzo IP e la porta del server proxy.

b. Se il server proxy richiede l'autenticazione, specificare il nome utente e lapassword.

6. Fare clic su Test di connessione per verificare che il server OfficeScan sia ingrado di connettersi al server.

NotaPer informazioni sulla risoluzione dei problemi per la connessioni Microsoft Hyper-V, consultare Risoluzione dei problemi delle connessioni di Microsoft Hyper-V a pagina 13-81.



13-81

Aggiunta di connessioni server aggiuntive

Procedura


2. Fare clic su Aggiungi nuova connessione vCenter, Aggiungi nuovaconnessione XenServer o Aggiungi nuova connessione Hyper-V.

3. Ripetere la procedura per fornire le informazioni del server corrette.


Eliminazione dell'impostazione della connessione

Procedura

1. Aprire la console Web OfficeScan e accedere a Plug-in Manager > Gestioneprogramma [Trend Micro Virtual Desktop Support] nel menu principale.

2. Fare clic su Elimina connessione.

3. Fare clic su Ok per confermare l'eliminazione dell'impostazione.


Risoluzione dei problemi delle connessioni di MicrosoftHyper-V

La connessione Microsoft Hyper-V usa Strumentazione gestione Windows (WMI) eDCOM per le comunicazioni client-server. I criteri del firewall possono bloccare questecomunicazioni, impedendo la connessione al server Hyper-V.

La porta di ascolto predefinita del server Hyper-V è la porta 135 e, per altrecomunicazioni, viene scelta una porta configurata casualmente. Se il firewall blocca iltraffico WMI o una di queste due porte, la comunicazione con il server non riesce. Gli


13-82

amministratori possono modificare i criteri del firewall per consentire la comunicazionecon il server Hyper-V.

Verificare che tutte le impostazioni per la connessione, inclusi indirizzo IP, dominio\nome utente e password siano corrette prima di effettuare le modifiche seguenti nelfirewall.

Comunicazione di WMI tramite il Windows Firewall

Procedura

1. Sul server Hyper-V, aprire la schermata Programmi consentiti di WindowsFirewall .

Sui sistemi Windows 2008 R2, andare a Panello di controllo > Sistema esicurezza > Windows Firewall > Consenti programma con WindowsFirewall.

2. Selezionare Strumenti di gestione Windows (WMI).


13-83

FIGURA 13-7. Schermata Consenti ai programmi di comunicare con WindowsFirewall


4. Verificare di nuovo la connessione di Hyper-V.

Apertura della comunicazione delle porte tramite WindowsFirewall o un firewall di terze parti

Procedura

1. Sul server the Hyper-V, assicurarsi che il firewall consenta la comunicazionetramite la porta 135 e provare di nuovo la connessione di Hyper-V.

Per informazioni sull'apertura delle porte, consultare la documentazione delfirewall.


13-84

2. Se non è possibile stabilire la connessione al server Hyper-V, configurare WMI perusare una porta fissa.

Per informazioni sull'Impostazione di una porta fissa per WMI, consultare:

http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447(v=vs.85).aspx

3. Apre le porte 135 e la nuova porta (24158) per le comunicazioni attraverso ilfirewall.

4. Verificare di nuovo la connessione di Hyper-V.

Strumento di generazione del modello di prescansioneVDI

Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScanper ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base ogolden. Questo strumento esegue la scansione dell'immagine di base o golden e lacertifica. Durante la scansione dei duplicati di questa immagine, OfficeScan controllasolo le parti che sono cambiate. In tal modo il tempo di scansione viene ridotto.

Suggerimento

Trend Micro consiglia di generare il modello di prescansione dopo aver applicato unaggiornamento di Windows o dopo aver installato una nuova applicazione.

Creazione di un modello di prescansione

Procedura

1. Nel computer server OfficeScan, aprire il percorso <Cartella di installazione delserver>\PCCSRV\Admin\Utility\TCacheGen.

2. Scegliere una versione dello Strumento di generazione del modello di prescansioneVDI. Sono disponibili le versioni riportate di seguito:




13-85

TABELLA 13-10. Versioni dello Strumento di generazione del modello diprescansione VDI

NOME FILE ISTRUZIONI

TCacheGen.exe Scegliere questo file se si desideraeseguire lo strumento direttamente suuna piattaforma a 32 bit.

TCacheGen_x64.exe Scegliere questo file se si desideraeseguire lo strumento direttamente suuna piattaforma a 64 bit.

TCacheGenCli.exe Scegliere questo file se si desideraeseguire lo strumento direttamente dallariga di comando di una piattaforma a 32bit.

TCacheGenCli_x64.exe Scegliere questo file se si desideraeseguire lo strumento direttamente dallariga di comando di una piattaforma a 64bit.

3. Copiare la versione dello strumento scelta nel passaggio precedente nella <Cartelladi installazione del client> dell'immagine di base.

4. Eseguire lo strumento.

• Per eseguire lo strumento direttamente:

a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe.

b. Fare clic su Genera modello di prescansione.

• Per eseguire lo strumento dell'interfaccia della riga di comando:

a. Aprire il prompt dei comandi e passare alla directory <Cartella diinstallazione del client>.

b. Digitare i seguenti comandi:

TCacheGenCli Generate_TemplateO

TcacheGenCli_x64 Generate_Template


13-86

Nota

Lo strumento esegue la scansione dell'immagine per rilevare minacce alla sicurezza prima digenerare il modello di prescansione e rimuovere il GUID.

Dopo aver generato il modello di prescansione, lo strumento rimuove il client OfficeScan.Non ricaricare il client OfficeScan. Se il client OfficeScan viene ricaricato, sarà necessariocreare di nuovo un modello di prescansione.

Rimozione di GUID dai modelli

Procedura

1. Nel computer server OfficeScan, aprire il percorso <Cartella di installazione delserver>\PCCSRV\Admin\Utility\TCacheGen.

2. Scegliere una versione dello Strumento di generazione del modello di prescansioneVDI. Sono disponibili le versioni riportate di seguito:

TABELLA 13-11. Versioni dello Strumento di generazione del modello diprescansione VDI

NOME FILE ISTRUZIONI

TCacheGen.exe Scegliere questo file se si desideraeseguire lo strumento direttamente suuna piattaforma a 32 bit.

TCacheGen_x64.exe Scegliere questo file se si desideraeseguire lo strumento direttamente suuna piattaforma a 64 bit.

TCacheGenCli.exe Scegliere questo file se si desideraeseguire lo strumento direttamente dallariga di comando di una piattaforma a 32bit.

TCacheGenCli_x64.exe Scegliere questo file se si desideraeseguire lo strumento direttamente dallariga di comando di una piattaforma a 64bit.


13-87

3. Copiare la versione dello strumento scelta nel passaggio precedente nella <Cartelladi installazione del client> dell'immagine di base.

4. Eseguire lo strumento.

• Per eseguire lo strumento direttamente:

a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe.

b. Fare clic su Rimuovi modello da GUID.

• Per eseguire lo strumento dell'interfaccia della riga di comando:

a. Aprire il prompt dei comandi e passare alla directory <Cartella diinstallazione del client>.

b. Digitare i seguenti comandi:

TCacheGenCli Remove GUID

O

TcacheGenCli_x64 Remove GUID

Impostazioni client globaliOfficeScan applica le impostazioni client globali a tutti i client o solo ai client condeterminati privilegi.

Procedura



TABELLA 13-12. Impostazioni client globali

IMPOSTAZIONE RIFERIMENTO

Impostazioni di scansione Impostazioni globali di scansione a pagina 6-70


13-88


Impostazioni scansionepianificata

Impostazioni globali di scansione a pagina 6-70

Impostazioni di banda delregistro virus/minacceinformatiche

Impostazioni globali di scansione a pagina 6-70

Impostazioni del firewall Impostazioni firewall globali a pagina 11-27

Conteggio registro firewall Impostazioni firewall globali a pagina 11-27

Impostazioni delmonitoraggio delcomportamento

Monitoraggio del comportamento a pagina 7-2

Aggiornamenti Server ActiveUpdate come origine diaggiornamento del client OfficeScan a pagina 5-34

Spazio su disco riservato Configurazione dello spazio su disco riservato pergli aggiornamenti dei client OfficeScan a pagina5-47

Rete non raggiungibile Client non raggiungibili a pagina 13-45

Impostazioni avvisi Configurazione notifiche di aggiornamento del clientOfficeScan a pagina 5-49

Riavvia Servizio OfficeScan Riavvio servizio del client OfficeScan a pagina13-11

Configurazione proxy Impostazioni proxy automatiche per il clientOfficeScan a pagina 13-53

Indirizzo IP preferito Indirizzi IP del client a pagina 4-10



13-89

Configurazione dei privilegi del client e altreimpostazioni

Concedere agli utenti i privilegi necessari per modificare determinate impostazioni edeffettuare operazioni di livello elevato sulla console del client OfficeScan.

Nota

Le impostazioni antivirus vengono visualizzate solo dopo l'attivazione della funzioneantivirus OfficeScan.

Suggerimento

Per implementare impostazioni e criteri uniformi nell'organizzazione, concedere privilegilimitati agli utenti.

Procedura

1. Accedere a Computer collegati in rete > Gestione client o Computer collegatiin rete > Gestione client.



4. Nella scheda Privilegi, configurare i seguenti privilegi per gli utenti:

TABELLA 13-13. Privilegi client

PRIVILEGI CLIENT RIFERIMENTO

Privilegio di roaming Privilegio di roaming del client OfficeScan apagina 13-20

Privilegi scansione Privilegi tipo di scansione a pagina 6-54

Privilegi scansione pianificata Privilegi scansione pianificata e altreimpostazioni a pagina 6-57


13-90

PRIVILEGI CLIENT RIFERIMENTO

Privilegi firewall Privilegi firewall a pagina 11-25

Privilegi di monitoraggio delcomportamento

Privilegi di monitoraggio del comportamento apagina 7-9

Privilegi scansione e-mail Privilegi scansione e-mail e altre impostazionia pagina 6-62

Privilegi di Strumenti di utilità Concessione agli utenti dei privilegi pervisualizzare la scheda Strumenti di utilità apagina 16-7

Privilegi impostazioni proxy Privilegi configurazione proxy per client apagina 13-52

Privilegi aggiornamentocomponenti

Privilegi di aggiornamento e altre impostazioniper i client OfficeScan a pagina 5-45

Disinstallazione Assegnazione dei privilegi di disinstallazionedel client OfficeScan a pagina 4-75

Rimozione Assegnazione dei privilegi di rimozione delclient a pagina 13-19

5. Fare clic sulla scheda Altre impostazioni e configurare le impostazioni riportate diseguito:

TABELLA 13-14. Altre impostazioni del client


Aggiorna impostazioni Privilegi di aggiornamento e altreimpostazioni per i client OfficeScan a pagina5-45

Impostazioni di reputazione Web Notifiche di minacce Web per utenti client apagina 10-9

Impostazioni del monitoraggio delcomportamento

Privilegi di monitoraggio del comportamento apagina 7-9

Protezione automatica del client Protezione automatica del client a pagina13-12


13-91


Impostazioni cache per lescansioni

Impostazioni cache per le scansioni a pagina6-66

Impostazioni scansione pianificata Concessione privilegi scansione pianificata evisualizzazione notifica dei privilegi a pagina6-58

Impostazioni di sicurezza del client Protezione del client OfficeScan a pagina13-16

Impostazioni POP3 Mail Scan Concessione dei privilegi scansione e-mail eattivazione di POP3 Mail Scan a pagina 6-65

Restrizione di accesso per consoleclient

Restrizione dell'accesso alla console delclient OfficeScan a pagina 13-17

Riavvia notifica Notifiche dei rischi per la sicurezza per gliutenti client OfficeScan a pagina 6-84




Parte IVProtezione aggiuntiva

14-1

Capitolo 14

Uso di Plug-In ManagerQuesto capitolo descrive come impostare Plug-In Manager e fornisce una panoramicadelle soluzioni plug-in disponibili con Plug-In Manager.


• Informazioni su Plug-In Manager a pagina 14-2

• Installazione di Plug-In Manager a pagina 14-3

• Gestione delle funzioni native di OfficeScan a pagina 14-4

• Gestione dei programmi plug-in a pagina 14-4

• Disinstallazione di Plug-In Manager a pagina 14-9

• Risoluzione dei problemi di Plug-In Manager a pagina 14-10


14-2

Informazioni su Plug-In ManagerOfficeScan include una struttura denominata Plug-In Manager che integra nuovesoluzioni nell'ambiente OfficeScan esistente. Per semplificare la gestione di questesoluzioni, Plug-In Manager fornisce dati immediati per le soluzioni sotto forma diwidget.

NotaAttualmente, nessuna delle soluzioni plug-in supporta Pv6. Il server è in grado di scaricaretali soluzioni, ma non di implementarle sui client OfficeScan IPv6 puri o sugli host IPv6puri.

Plug-In Manager fornisce due tipi di soluzioni:

• Funzioni OfficeScan native

Alcune funzioni OfficeScan native vengono fornite con licenze separate e attivatetramite Plug-In Manager. In questa versione, due funzioni rientrano in talecategoria: Supporto Trend Micro Virtual Desktop e Protezione datiOfficeScan.

• Programmi plug-in

I programmi plug-in non fanno parte del programma OfficeScan. Tali programmihanno licenze proprie e sono gestiti principalmente dalle rispettive console digestione, alle quali è possibile accedere dalla console Web OfficeScan. Esempi diprogrammi plug-in sono: Firewall di difesa dalle intrusioni, Trend MicroSecurity (per Mac) e Trend Micro Mobile Security.

Il presente documento fornisce una panoramica generale sull'installazione e la gestionedei programmi plug-in e illustra i dati dei programmi plug-in disponibili nei widget. Perinformazioni dettagliate sulla configurazione e la gestione di un programma plug-inspecifico, consultare la relativa documentazione.

Plug-in Manager e agenti lato clientAlcuni programmi plug-in (come Intrusion Defense Firewall) dispongono di un agentelato client che viene installato sui sistemi operativi Windows. Gli agenti lato client

Uso di Plug-In Manager

14-3

possono essere gestiti attraverso il Plug-in Manager per client che viene eseguito con ilnome di processo CNTAoSMgr.exe.

Per l'installazione di CNTAoSMgr.exe sono necessari gli stessi requisiti di sistemarichiesti dal client OfficeScan. L'unico requisito aggiuntivo per CNTAoSMgr.exe èMicrosoft XML Parser (MSXML) versione 3.0 o successiva.

Nota

Altri agenti lato client non sono installati sui sistemi operativi Windows e, quindi, non sonogestiti dal Plug-in Manager del client. Il client Trend Micro Security (per Mac) e MobileDevice Agent per Trend Micro Mobile Security sono esempi di questi agenti.

Widget

Usare i widget per visualizzare dati immediati per le singole soluzioni plug-inimplementate. Questi widget sono disponibili sulla dashboard Riepilogo del serverOfficeScan. Uno speciale widget, denominato OfficeScan and Plug-ins Mashup,combina i dati dei client OfficeScan e delle soluzioni plug-in e li visualizza in unastruttura client.

In questa Guida per l'amministratore viene fornita una panoramica sui widget e sullesoluzioni che li supportano.

Installazione di Plug-In ManagerNelle versioni precedenti di Plug-In Manager, era possibile scaricare il pacchetto diinstallazione di Plug-In Manager dal server ActiveUpdate di Trend Micro e installarlosullo stesso computer del server OfficeScan. In questa versione, il pacchetto è inclusonel pacchetto di installazione del server OfficeScan.

Una volta eseguito il pacchetto e completata l'installazione, i nuovi utenti di OfficeScanavranno a disposizione il server OfficeScan e Plug-In Manager. Gli utenti che eseguonol'aggiornamento a questa versione di OfficeScan e che hanno usato Plug-In Manager inprecedenza dovranno interrompere il servizio Plug-In Manager prima di eseguire ilpacchetto di installazione.


14-4

Operazioni post-installazioneEffettuare la procedura seguente dopo l'installazione di Plug-In Manager:

Procedura

1. Accedere alla console Web di Plug-In Manager facendo clic su Plug-in Managernel menu principale della console Web OfficeScan.

2. Gestire le soluzioni plug-in.

3. Accedere alla dashboard Riepilogo sulla console Web OfficeScan per gestire iwidget per le soluzioni plug-in.

Gestione delle funzioni native di OfficeScanLe funzioni native di OfficeScan vengono installate con OfficeScan e attivate da Plug-InManager. Alcune funzioni, come il Supporto Trend Micro Virtual Desktop, sono gestiteda Plug-In Manager, mentre altre, come Protezione dati OfficeScan, sono gestite dallaconsole Web OfficeScan.

Gestione dei programmi plug-inInstallare e attivare programmi plug-in in modo indipendente da OfficeScan. Ogni plug-in di fornisce la propria console per la gestione del prodotto. Le console di gestionesono accessibili dalla console Web OfficeScan.

Installazione di un programma plug-inUn programma plug-in viene visualizzato nella console Plug-In Manager Utilizzare laconsole per scaricare, installare e gestire il programma. Plug-In Manager scarica ilpacchetto di installazione per un programma plug-in dal server ActiveUpdate di TrendMicro o da un'origine aggiornamenti personalizzata, se ne è stata impostata una in modo


14-5

corretto. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria unaconnessione Internet.

Quando Plug-In Manager scarica il pacchetto di installazione o avvia l'aggiornamento,Plug-In Manager disattiva temporaneamente le altre funzioni del programma plug-in,quali download, installazioni e aggiornamenti.

Plug-In Manager non supporta l'installazione o la gestione di un programma plug-intramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager.

Aggiornamento di un programma plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fareclic su Download. La dimensione del pacchetto del programma plug-in vienevisualizzata a lato del pulsante Download. Plug-in Manager archivia il pacchettoscaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

3. Monitorare l'avanzamento del download. Nel corso del download è possibileeffettuare altre operazioni.

FIGURA 14-1. Avanzamento del download per un programma plug-in

Una volta completato il download del pacchetto da parte di Plug-in Manager, ilprogramma plug-in viene visualizzato in una nuova schermata.


14-6

Nota

Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto,controllare i registri di aggiornamento server sulla console del prodotto OfficeScan.Nel menu principale fare clic su Registri > Registri aggiornamenti server.

4. Fare clic su Installa ora o Installa in un secondo momento.

• Se è stata selezionata l'opzione Installa ora, controllare l'avanzamentodell'installazione.

• Se è stata selezionata l'opzione Installa in un secondo momento, accederealla schermata Plug-in Manager, nella sezione del programma plug-in, fare clicsu Installa e controllare l'avanzamento dell'installazione.

Al termine dell'installazione, viene visualizzata la versione attuale del programma plug-in.È possibile, quindi, iniziare a gestire il programma plug-in.

Gestione di un programma plug-in

Configurare le impostazioni ed eseguire le operazioni relative al programma dallaconsole di gestione del programma plug-in, accessibile dalla console Web OfficeScan. Leoperazioni comprendono l'attivazione del programma e l'implementazione degli agentilato client sugli endpoint. Per informazioni dettagliate sulla configurazione e la gestionedi un programma plug-in specifico, consultare la relativa documentazione.

Gestione di un programma plug-in

Procedura

1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager.

2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Gestione programma.


14-7

FIGURA 14-2. Pulsante Gestione programma per un programma plug-in

Aggiornamenti delle versioni di un programma plug-in

Una nuova versione di un programma plug-in installato viene visualizzato nella consoledi Plug-In Manager. Nella console, è possibile scaricare il pacchetto di aggiornamento eaggiornare la versione del programma. Plug-In Manager scarica il pacchetto dal serverActiveUpdate di Trend Micro o da una origine aggiornamenti personalizzata, se ne èstata impostata una in modo adeguato. Per scaricare il pacchetto dal serverActiveUpdate, è necessaria una connessione Internet.

Quando Plug-In Manager scarica il pacchetto di installazione o avvia l'aggiornamento,Plug-In Manager disattiva temporaneamente le altre funzioni del programma plug-in,quali download, installazioni e aggiornamenti.

Plug-In Manager non supporta l'aggiornamento della versione di un programma plug-intramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager.

Aggiornamento di un programma plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Download. La dimensione del pacchetto di aggiornamento vienevisualizzata a lato del pulsante Download.

3. Monitorare l'avanzamento del download. Uscendo dalla schermata durante ildownload non si condiziona l'aggiornamento.


14-8

Nota

Se si riscontrano problemi nel corso del download del pacchetto, controllare i registridi aggiornamento del server sulla console Web OfficeScan. Nel menu principale fareclic su Registri > Registri aggiornamenti server.

4. Una volta completato il download di Plug-In Manager, viene visualizzata una nuovaschermata:

5. Fare clic su Aggiorna ora o Aggiorna in un secondo momento.

• Se è stata selezionata l'opzione Aggiorna subito, controllare l'avanzamentodell'installazione.

• Se è stata selezionata l'opzione Aggiorna in un secondo momento, accederealla schermata Plug-in Manager, nella sezione dei programmi plug-in, fareclic su Aggiorna e controllare l'avanzamento dell'installazione.

Al termine dell'aggiornamento, potrebbe essere necessario riavviare il servizio Plug-InManager; la schermata di Plug-In Manager potrebbe, pertanto, essere momentaneamentenon disponibile. Quando la schermata torna a essere disponibile, viene visualizzata laversione corrente del programma plug-in.

Disinstallazione di un programma plug-in

Esistono diversi metodi per disinstallazione un programma plug-in.

• Disinstallare un programma plug-in dalla console Plug-In Manager

• Disinstallare il server OfficeScan, che disinstalla Plug-In Manager e tutti iprogrammi plug-in installati. Per istruzioni sulla disinstallazione del serverOfficeScan, consultare la Guida all'installazione e all'aggiornamento di OfficeScan.

Per i programmi plug-in con agenti lato client:

• Per verificare se la disinstallazione di un programma plug-in determina ladisinstallazione dell'agente lato client, consultare la documentazione del programmaplug-in.


14-9

• Per gli agenti lato client installati sullo stesso computer del client OfficeScan, ladisinstallazione del client OfficeScan disinstalla gli agenti lato client e Plug-inManager per client (CNTAoSMgr.exe).

Disinstallazione di un progarmma plug-in dalla consolePlug-In Manager

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Disinstalla.

FIGURA 14-3. Pulsante Disinstalla per un programma plug-in

3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione èpossibile effettuare altre operazioni.

4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. Ilprogramma plug-in è di nuovo disponibile per l'installazione.

Disinstallazione di Plug-In ManagerDisinstallare il server OfficeScan per disinstallare Plug-In Manager e tutti i programmiplug-in installati. Per istruzioni sulla disinstallazione del server OfficeScan, consultare laGuida all'installazione e all'aggiornamento di OfficeScan.


14-10

Risoluzione dei problemi di Plug-In ManagerControllare i registri di debug del server OfficeScan e del client OfficeScan per leinformazioni di debug su Plug-In Manager e sui programmi plug-in.

Il programma plug-in non viene visualizzato nella consoledi Plug-in Manager

Un programma plug-in disponibile per il download e l'installazione potrebbe non esserevisualizzato nella console di Plug-In Manager per i seguenti motivi:

Procedura

1. Plug-In Manager sta ancora eseguendo il download del programma plug-in, chepotrebbe richiedere un po' di tempo se il pacchetto del programma è di dimensionielevate. Controllare la schermata ogni tanto per verificare se il programma vienevisualizzato.

NotaSe Plug-In Manager non è in grado di scaricare un programma plug-in, tenteràautomaticamente di scaricarlo di nuovo dopo 24 ore. Per avviare manualmente ildownload del programma plug-in da parte di Plug-In Manager, riavviare il servizioOfficeScan Plug-In Manager.

2. Il server non riesce a collegarsi a Internet. Se il computer server si collega a Internettramite un server proxy, assicurarsi che la connessione a Internet possa esserestabilita utilizzando le impostazioni proxy.

3. L'origine degli aggiornamenti di OfficeScan non è il server ActiveUpdate.All'interno della console Web OfficeScan, passare a Aggiornamenti > Server >Origine aggiornamenti e verificare l'origine degli aggiornamenti. Se l'origine degliaggiornamenti non è il server ActiveUpdate, sono disponibili le opzioni seguenti:

• Selezionare il server ActiveUpdate come origine degli aggiornamenti.

• Se si seleziona Altra fonte di aggiornamenti, selezionare la prima vocenell'elenco Altra fonte di aggiornamenti come origine aggiornamenti e


14-11

verificare che la connessione al server ActiveUpdate avvenga correttamente.Plug-In Manager supporta solo la prima voce dell'elenco.

• Se si seleziona Percorso Intranet contenente una copia del file corrente,controllare che il computer nella rete Intranet possa connettersi anche alserver ActiveUpdate.

Problemi relativi all'installazione e alla visualizzazionedell'agente lato client

È possibile che l'installazione dell'agente lato client di un programma plug-in può nonriesca oppure che l'agente non sia visualizzato sulla console del client OfficeScan per iseguenti motivi:

Procedura

1. Plug-in Manager per client (CNTAosMgr.exe) non viene eseguito. Nel computerclient OfficeScan, aprire Gestione attività di Windows ed eseguire il processoCNTAosMgr.exe.

2. Il pacchetto di installazione dell'agente lato client non è stato scaricato nella cartelladel computer client OfficeScan situata in <Cartella di installazione delclient>\AU_Data\AU_Temp\{xxx}AU_Down\Product. Controllare il fileTmudump.txt nel percorso \AU_Data\AU_Log\ verificare eventuali errori didownload.

Nota

Se un agente è installato correttamente, le relative informazioni sono disponibili in<Cartella di installazione del client>\AOSSvcInfo.xml

3. L'installazione dell'agente non è riuscita o richiede ulteriori azioni. È possibileverificare lo stato dell'installazione dalla console di gestione del programma plug-ined eseguire ulteriori azioni come, ad esempio, riavviare il computer clientOfficeScan dopo l'installazione o installare le patch necessarie del sistema operativoprima dell'installazione.


14-12

La versione del server Web di Apache non è supportata

Plug-In Manager gestisce alcune richieste Web utilizzando un'interfaccia Internet ServerApplication Programming Interface (ISAPI). ISAPI non è compatibile con le seguentiversioni del server Apache Web: da 2.0.56 a 2.0.59 e da 2.2.3 a 2.2.4.

Se la versione del server Apache Web non è compatibile, è possibile sostituirla con laversione 2.0.63, ovvero la versione utilizzata da OfficeScan e Plug-In Manager. Questaversione è compatibile anche con ISAPI.

Procedura

1. Aggiornare la versione del server OfficeScan alla versione corrente.

2. Effettuare un back-up dei seguenti file della cartella Apache2 nella <cartella diinstallazione del server>:

• httpd.conf

• httpd.conf.tmbackup

• httpd.default.conf

3. Disinstallare la versione del server Web Apache non compatibile utilizzando laschermata Installazione applicazioni.

4. Installare il server Apache Web 2.0.63.

a. Avviare apache.msi dalla <Cartella di installazione delserver>\Admin\Utility\Apache.

b. Nella schermata Informazioni server, immettere le informazioni richieste.

c. Nella schermata Cartella di destinazione, cambiare la cartella di destinazionefacendo clic su Modifica e selezionando la <Cartella diinstallazione del serverr>.

d. Completare l'installazione.

5. Copiare nuovamente i file di backup nella cartella Apache2.


14-13

6. Riavviare il servizio server Apache Web.

Non è possibile avviare un agente lato client se leimpostazioni dello script di configurazione automatica diInternet Explorer reindirizzano a un server proxy

Plug-in Manager per client (CNTAosMgr.exe) non è in grado di avviare l'agente latoclient perché il comando di avvio dell'agente reindirizza a un server proxy. Questoproblema si verifica solamente se le impostazioni proxy reindirizzano il traffico HTTPdell'utente all'indirizzo 127.0.0.1.

Per risolvere il problema, utilizzare dei criteri relativi al server proxy ben definiti. Adesempio non reindirizzare il traffico HTTP all'indirizzo 127.0.0.1.

Se si ha la necessità di utilizzare la configurazione proxy in modo che controlli lerichieste HTTP 127.0.0.1, effettuare le seguenti azioni:

Procedura

1. Configurare il firewall di OfficeScan nella console Web OfficeScan.

NotaEseguire questo passaggio se si abilita il firewall OfficeScan sui client OfficeScan.

a. Nella console Web, andare su Computer collegati in rete > Firewall >Criteri e fare clic su Modifica modello di eccezione.

b. Sulla schermata Modifica modello di eccezione fare clic su Aggiungi.

c. Usare le seguenti informazioni:

• Nome: inserire un nome

• Operazione: Consenti il traffico di rete

• Direzione: In entrata

• Protocollo: TCP


14-14

• Porta/e: un numero compreso tra 5000 e 49151

d. Indirizzo/i IP: Selezionare Indirizzo IP singolo e specificare l'indirizzo IPdel server proxy (consigliato) o selezionare Tutti gli indirizzi IP.

e. Fare clic su Salva.

f. Sulla schermata Modifica modello di eccezione fare clic su Salva e Applica aicriteri esistenti.

g. Andare a Computer collegati in rete > Firewall > Profili e fare clic suAssegna profilo ai client.

Se non è presente alcun profilo firewall, crearne uno facendo clic su Aggiungi.Usare le seguenti impostazioni:

• Nome: inserire un nome

• Descrizione: inserire una descrizione

• Criterio: Tutti i tipi di accesso

Dopo aver salvato il nuovo profilo, fare clic su Assegna profilo ai client.

2. Modificare il file ofcscan.ini.

a. Aprire il file ofcscan.ini nella <Cartella di installazione>utilizzando un editor di testo.

b. Cercare [Global Setting] e aggiungere FWPortNum=21212 nella rigasuccessiva. Sostituire il valore "21212" con il numero di porta specificato nelpassaggio c sopra.

Ad esempio:

[Global Setting]

FWPortNum=5000

c. Salvare il file.

3. Nella console Web, andare a Computer collegati in rete > Impostazioni clientglobali e fare clic su Salva.


14-15

Si è verificato un errore nel sistema, nel modulo diaggiornamento o nel programma Plug-in Manager e ilmessaggio di errore contiene un determinato codice dierrore

Plug-In Manager può visualizzare uno qualsiasi dei seguenti codici di errore in unmessaggio di errore. Se non è possibile risolvere il problema dopo aver consultato lesoluzioni proposte nella tabella seguente, contattare l'assistenza tecnica.

TABELLA 14-1. Codici di errore di Plug-In Manager

CODICE

ERRORE

MESSAGGIO, CAUSA E SOLUZIONE

001 Si è verificato un errore nel programma Plug-In Manager.

Il modulo di aggiornamento di Plug-In Manager non risponde quando si verifical'avanzamento di un aggiornamento. È possibile che il modulo o il gestore deicomandi non sia stato inizializzato.

Riavviare il servizio OfficeScan Plug-In Manager ed eseguire nuovamentel'azione.

002 Si è verificato un errore di sistema.

Il modulo di aggiornamento di Plug-In Manager non è in grado di aprire lachiave di registro SOFTWARE\TrendMicro\OfficeScan\service\AoS in quantopotrebbe essere stata eliminata.

Attenersi alla procedura riportata di seguito:

1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a1.0.1000.

2. Riavviare il servizio OfficeScan Plug-In Manager.

3. Scaricare/disinstallare il programma plug-in.


14-16

CODICE

ERRORE


028 Si è verificato un errore di aggiornamento.

Cause possibili:

• Il modulo di aggiornamento di Plug-In Manager non è stato in grado discaricare un programma plug-in. Verificare che la connessione di retefunzioni correttamente e riprovare.

• Il modulo di aggiornamento di Plug-In Manager non è in grado di installareil programma plug-in perché l'agente patch AU ha restituito un errore.L’agente patch AU è il programma che lancia l’installazione di nuoviprogrammi plug-in. Per determinare la causa esatta dell'errore, controllareil registro di debug del modulo ActiveUpdate "TmuDump.txt" in \PCCSRV\Web\Service\AU_Data\AU_Log.


1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a1.0.1000.

2. Eliminare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_ADDON_xxxx relativa alprogramma plug-in.


4. Scaricare e installare un programma plug-in.

170 Si è verificato un errore di sistema.

Il modulo di aggiornamento di Plug-In Manager non è in grado di elaborarel’operazione richiesta perché al momento sta gestendo un’altra operazione.

Eseguire l'operazione in un secondo momento.


14-17

CODICE

ERRORE



Il programma Plug-In Manager non è in grado di gestire un'operazione inesecuzione nella console Web.

Aggiornare la console Web o aggiornare Plug-In Manager, se è disponibile unaggiornamento per il programma.


Il programma Plug-In Manager ha rilevato un errore di comunicazione tra iprocessi (IPC) nel tentativo di comunicare con i servizi backend di Plug-InManager.

Riavviare il servizio OfficeScan Plug-In Manager ed eseguire nuovamentel'azione.

Altricodicidierrore:

Si è verificato un errore di sistema.

Quando si scarica un nuovo programma plug-in, Plug-In Manager verifical'elenco dei programmi plug-in nel server ActiveUpdate. Plug-In Manager non èstato in grado di ottenere l'elenco.


1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore su1.0.1000.


3. Scaricare e installare un programma plug-in.

15-1

Capitolo 15

Utilizzo di Policy Server per CiscoNAC

Il capitolo contiene le istruzioni di base per impostare e configurare Policy Server perCisco NAC. Per ulteriori informazioni sulla configurazione e sull'amministrazione deiserver Cisco Secure ACS e di altri prodotti Cisco, consultare la documentazione Ciscopiù recente disponibile al seguente sito Web:

http://www.cisco.com/univercd/home/home.htm


• Informazioni su Policy Server per Cisco NAC a pagina 15-3

• Componenti e termini a pagina 15-3

• Architettura Cisco NAC a pagina 15-7

• La sequenza di convalida client a pagina 15-8

• Policy Server a pagina 15-10

• Requisiti di sistema per Policy Server a pagina 15-21

• Requisiti per Cisco Trust Agent (CTA) a pagina 15-23

• Piattaforme compatibili e requisiti a pagina 15-23

http://www.cisco.com/univercd/home/home.htm


15-2

• Implementazione di Policy Server per NAC a pagina 15-25

Utilizzo di Policy Server per Cisco NAC

15-3

Informazioni su Policy Server per Cisco NACTrend Micro Policy Server per Cisco Network Admission Control (NAC) valuta lo statodei componenti antivirus sui client OfficeScan. Le opzioni di configurazione di PolicyServer consentono di configurare le impostazioni per effettuare operazioni sui client arischio e adeguarli alla strategia di un'organizzazione.

Queste operazioni comprendono:

• Impostazione dei computer client OfficeScan in modo che aggiornino icomponenti dei rispettivi client OfficeScan.

• Attivazione della scansione in tempo reale

• Effettuare l'operazione Esegui scansione

• Visualizzare un messaggio di notifica sui computer client OfficeScan per informaregli utenti della violazione dei criteri antivirus

Per ulteriori informazioni sulla tecnologia Cisco NAC, consultare il sito Web Cisco:

http://www.cisco.com/go/nac

Componenti e terminiDi seguito è riportato un elenco dei vari componenti e degli importanti termini chel'utente deve conoscere per comprendere e utilizzare Policy Server per Cisco NAC.

ComponentiGli elementi riportati di seguito sono necessari nell'implementazione Trend Micro PolicyServer per Cisco NAC:

http://www.cisco.com/go/nac


15-4

TABELLA 15-1. Componenti di Policy Server per Cisco NAC

COMPONENTE DESCRIZIONE

Cisco Trust Agent(CTA)

Programma installato su un computer client che consente lacomunicazione tra il client stesso e altri componenti Cisco NAC.

Computer clientOfficeScan

Computer sul quale è installato il programma client OfficeScan.Per funzionare con Cisco NAC, sul computer client OfficeScandeve essere presente il Cisco Trust Agent.

Dispositivo di accessoalla rete

Dispositivo di rete compatibile con le funzionalità di Cisco NAC.Tra i dispositivi di accesso alla rete compatibili sono disponibilidiversi router, firewall e access point Cisco e dispositivi diproduttori terzi con i protocolli Terminal Access ControllerAccess Control System (TACACS+) o Remote Dial-In UserService (RADIUS).

Per un elenco dei dispositivi supportati, consultare Piattaformecompatibili e requisiti a pagina 15-23.

Server di controllo diaccesso (ACS) CiscoSecure

Server che riceve i dati antivirus dal client OfficeScan attraversoun dispositivo di accesso alla rete e li trasmette a un databaseutenti esterno per la valutazione. Successivamente, il serverACS trasmette i risultati della valutazione, che possonocontenere anche istruzioni per il client OfficeScan, al dispositivodi accesso alla rete.

Policy Server Programma che riceve e valuta i dati antivirus del clientOfficeScan. Dopo aver effettuato la valutazione, il Policy Serverdetermina le azioni che il client OfficeScan deve compiere e letrasmette al client OfficeScan in modo che possa effettuarle.

Server OfficeScan Trasmette le informazioni sulle versioni del pattern antivirus edel motore di scansione virus attualmente in uso al PolicyServer, il quale utilizza tali dati per valutare lo stato diprotezione antivirus dei client OfficeScan.

TerminiÈ necessario conoscere i termini riportati di seguito legati a Policy Server per CiscoNAC:


15-5

TABELLA 15-2. Termini di Policy Server per Cisco NAC

TERMINE DEFINIZIONE

Stato diprotezione

Indica la presenza e il livello di aggiornamento del software antivirussu un client OfficeScan. In questa versione, lo stato della protezioneindica se il programma client OfficeScan è presente sui computerclient, lo stato di alcune impostazioni del client OfficeScan e se ilmotore di scansione virus e il pattern antivirus sono aggiornati.

Indicazionesullo stato

Viene creata dal Policy Server dopo la convalida del client OfficeScan.Contiene informazioni che comunicano al client OfficeScan dieffettuare una serie di operazioni specificate come attivare lascansione in tempo reale o aggiornare i componenti antivirus.

Convalida client Indica il processo di valutazione dello stato di protezione del client el'invio dell'indicazione sullo stato al client OfficeScan.

Regola diPolicy Server

Linea guida contenente parametri configurabili che il Policy Serverutilizza per determinare lo stato di protezione dei client OfficeScan.Una regola contiene anche azioni che il client OfficeScan e il PolicyServer devono effettuare nel caso in cui le informazioni sullo statodella protezione corrispondano ai parametri contenuti nella regola (perinformazioni dettagliate, consultare Criteri e regole di Policy Server apagina 15-11).

Criteri di PolicyServer

Gruppo di regole utilizzato dal Policy Server per misurare lo stato diprotezione dei client OfficeScan. I criteri contengono anche operazioniche il client OfficeScan e il Policy Server devono effettuare nel caso incui i parametri contenuti nelle regole associate ai criteri noncorrispondano allo stato della protezione (per informazioni dettagliate,vedere Criteri e regole di Policy Server a pagina 15-11).

Autenticazione,autorizzazionee contabilità(AAA)

Sono i tre principali servizi utilizzati per controllare l'accesso dei clientOfficeScan degli utenti finali alle risorse del computer. L'autenticazioneserve per identificare un client, solitamente tramite l'inserimento daparte di un utente del nome utente e della password. L'autorizzazioneindica i privilegi di cui l'utente dispone per eseguire determinaticomandi. La contabilità indica le risorse utilizzate nel corso di unasessione, solitamente tramite registri. Il server di controllo di accesso(ACS) Cisco Secure è l'implementazione Cisco di un server AAA.

CertificateAuthority (CA)

È un'authority in rete che distribuisce i certificati digitali allo scopo dieffettuare l'autenticazione e garantire la connessione tra i computere/o i server.


15-6

TERMINE DEFINIZIONE

Certificatidigitali

Sono degli allegati utilizzati per la sicurezza. Nella loro forma piùcomune, i certificati autenticano i client presso i server (ad esempio,un server Web) e contengono i seguenti elementi: le informazionisull'identità dell'utente, una chiave pubblica (utilizzata per lacrittografia) e una firma digitale di una Certificate Authority (CA) cheverifichi la validità del certificato.

RemoteAuthenticationDial-In UserService(RADIUS)

È un sistema di autenticazione che richiede ai client di inserire unnome utente e una password. I server Cisco Secure ACS sonocompatibili con RADIUS.

TerminalAccessControllerAccess ControlSystem(TACACS+)

È un protocollo di protezione attivato tramite comandi AAA utilizzatoper autenticare i client degli utenti finali. I server ACS di Cisco sonocompatibili con il protocollo TACACS+.


15-7

Architettura Cisco NACLo schema riportato di seguito rappresenta un'architettura Cisco NAC di base.

FIGURA 15-1. Architettura Cisco NAC di base

Il client OfficeScan nella figura dispone di un'installazione CTA ed è in grado diaccedere alla rete soltanto attraverso un dispositivo di accesso alla rete che supportaCisco NAC. Il dispositivo di accesso alla rete si trova tra il client e gli altri componentiCisco NAC.

Nota

L'architettura della rete può variare in base alla presenza di server proxy, router o firewall.


15-8

La sequenza di convalida clientLa convalida del client OfficeScan fa riferimento al processo di valutazione dello stato diprotezione di un client OfficeScan e di invio al client OfficeScan delle istruzioni daseguire qualora il Policy Server consideri il client a rischio. Il Policy Server convalida unclient OfficeScan utilizzando regole e criteri configurabili.

Di seguito viene illustrata la sequenza degli eventi che si verificano quando un clientOfficeScan tenta di accedere alla rete:

1. Il dispositivo di accesso alla rete Cisco avvia la sequenza di convalida richiedendolo stato di protezione del client quando questi tenta di accedere alla rete.

2. Il dispositivo trasmette quindi lo stato di protezione al server ACS.

3. Il server ACS comunica lo stato di protezione al Policy Server, il quale esegue lavalutazione.

4. Con un processo separato, il Policy Server controlla le informazioni del patternantivirus e del motore di scansione virus del server OfficeScan in modo damantenere aggiornati i dati attuali. Quindi utilizza un criterio configurato dall'utenteper confrontare queste informazioni con i dati sullo stato di protezione clientOfficeScan.

5. Successivamente, il Policy Server crea un'indicazione sullo stato e la trasmettenuovamente al client OfficeScan.


15-9

6. Il client OfficeScan esegue le azioni configurate nell'indicazione sullo stato.

FIGURA 15-2. Sequenza di convalida dell'accesso alla rete


15-10

Policy ServerIl Policy Server è responsabile della valutazione dello stato della protezione del clientOfficeScan e della creazione dell'indicazione sullo stato. Confronta lo stato di protezionecon le più recenti versioni del Pattern antivirus e del Motore di scansione virus ricevutedal server OfficeScan a cui appartiene il client OfficeScan. Il Policy Server inviaun'indicazione sullo stato al server Cisco Secure ACS, che a sua volta la trasmette alclient OfficeScan tramite il Dispositivo di accesso alla rete Cisco.

L'installazione di altri Policy Server su una sola rete contribuisce a migliorare leprestazioni quando un elevato numero di client tenta contemporaneamente di accederealla rete. Questi Policy Server possono anche fungere da backup qualora un PolicyServer diventi inutilizzabile. Se su una rete sono presenti più server OfficeScan, il PolicyServer gestisce le richieste di tutti i server OfficeScan registrati. Analogamente, piùPolicy Server possono gestire le richieste di un solo server OfficeScan registrato in tutti iPolicy Server. La figura riportata di seguito illustra la relazione tra più server OfficeScane Policy Server.

FIGURA 15-3. Relazione tra diversi Policy Server e il server OfficeScan


15-11

È anche possibile installare il Policy Server sullo stesso computer sotto forma di serverOfficeScan.

Criteri e regole di Policy ServerI Policy Server utilizzano le regole e i criteri configurabili per favorire l'implementazionedelle linee guida sulla sicurezza dell'organizzazione.

Le regole comprendono i parametri specifici che i Policy Server utilizzano per ilconfronto con lo stato di protezione dei client OfficeScan. Se lo stato di protezione delclient corrisponde ai parametri configurati per una regola, il client e il server possonoeffettuare determinate operazioni specificate dall'utente per tale regola (consultareOperazioni di client OfficeScan e Policy Server a pagina 15-13).

I criteri comprendono una o più regole. È opportuno assegnare un criterio a ogni serverOfficeScan registrato nella rete sia per la modalità di infezione che per la modalitànormale (per ulteriori informazioni sulle modalità della rete, vedere Rischi per la sicurezza apagina 6-100).

Se lo stato di protezione del client OfficeScan corrisponde ai parametri di una regolaappartenente al criterio, il client OfficeScan effettua le operazioni configurate per taleregola. Tuttavia, se lo stato di protezione del client OfficeScan non corrisponde a nessunparametro di nessuna regola associata al criterio, è possibile configurare operazionipredefinite che il server e il client OfficeScan effettueranno (consultare Operazioni di clientOfficeScan e Policy Server a pagina 15-13).

SuggerimentoPer fare in modo che determinati client OfficeScan di un dominio OfficeScan abbianocriteri diversi per la modalità infezione e normale rispetto ad altri client OfficeScan dellostesso dominio, Trend Micro consiglia di strutturare i domini in gruppi di client OfficeScancon requisiti simili (consultare Domini OfficeScan a pagina 2-45).


15-12

Composizione delle regole

Le regole comprendono i parametri dello stato di protezione, le risposte predefiniteassociate ai client OfficeScan e le azioni effettuate dal client OfficeScan e dal PolicyServer.

Parametri per lo stato di protezione

Le regole comprendono i seguenti parametri per lo stato di protezione:

• Stato del computer client: il client OfficeScan determina se il computer client è infase di avvio o meno.

• Stato della Scansione in tempo reale del client: indica se la Scansione in temporeale è attiva o disattiva.

• Stato della versione del motore di scansione del client: indica se il Motore discansione virus è aggiornato.

• Stato del file del pattern antivirus del client: specifica lo stato di aggiornamentodel pattern antivirus. Il Policy Server determina lo stato controllando una delleseguenti opzioni:

• Se il pattern antivirus appartiene a un numero specifico di versioni precedentialla versione del Policy Server

• Se il pattern antivirus è stato reso disponibile un determinato numero di giorniprima della convalida

Risposte predefinite per le regole

Le risposte consentono di comprendere lo stato dei client OfficeScan nella rete quandoviene effettuata la convalida dei client OfficeScan. Le risposte, visualizzate nei registri diconvalida dei client Policy Server, corrispondono alle indicazioni sullo stato. Scegliere trale seguenti risposte predefinite:

• In salute: il computer client OfficeScan è conforme ai criteri per la sicurezza e nonrisulta infetto.

• Controllo: è necessario aggiornare i componenti antivirus del client OfficeScan.


15-13

• Infetto: il computer client OfficeScan è infetto o a rischio di infezione.

• Transizione: il computer client OfficeScan è in fase di inizializzazione.

• Quarantena: il computer client OfficeScan è a elevato rischio di infezione e deveessere messo in quarantena.

• Sconosciuto: qualsiasi altra condizione.

Nota

Non è possibile aggiungere, eliminare o modificare le risposte.

Operazioni di client OfficeScan e Policy Server

Se lo stato di protezione del client OfficeScan corrisponde ai parametri della regola, ilPolicy Server è in grado di creare una voce nel registro di convalida del client di PolicyServer (vedere Registri di convalida dei client a pagina 15-46 per ulteriori informazioni).

Se lo stato della protezione del client OfficeScan corrisponde ai parametri della regola, ilclient OfficeScan è in grado di eseguire le seguenti azioni:

• Attivare la scansione in tempo reale affinché il client OfficeScan possa effettuare lascansione di tutti i file aperti o salvati (per ulteriori informazioni, consultareScansione in tempo reale a pagina 6-15)

• Aggiornare tutti i componenti OfficeScan (per ulteriori informazioni, consultareProgrammi e componenti di OfficeScan a pagina 5-2)

• Effettuare la scansione (Esegui scansione) del client OfficeScan dopo aver attivatola Scansione in tempo reale o dopo un aggiornamento.

• Visualizzazione di un messaggio di notifica sul computer client OfficeScan

Regole predefinite

Policy Server dispone di regole predefinite che costituiscono una base dalla quale partireper la configurazione delle impostazioni. Le regole riguardano le condizioni di sicurezzae le azioni consigliate. Per impostazione predefinita, sono disponibili le seguenti regole:


15-14

TABELLA 15-3. Regole predefinite

NOMEREGOLA

CRITERI DASODDISFARE

RISPOSTA SEI CRITERIVENGONO

SODDISFATTI

AZIONEDEL

SERVERAZIONE CLIENT OFFICESCAN

In salute Lo statoScansione intempo reale èattivato e ilmotore discansione viruse il patternantivirusvengonoaggiornati.

In salute nessuna nessuna


15-15

NOMEREGOLA



SODDISFATTI

AZIONEDEL


Controllo La versione delpattern antivirusè più vecchia dialmeno unaversione rispettoalla versionepresente sulserverOfficeScanpresso il quale ilclientOfficeScan èregistrato.

Controllo Creazionedi unavoce nelregistro diconvalidadel client

• Aggiornamento deicomponenti

• Attivazione automaticadell'azione Eseguidisinfezione sul clientOfficeScan dopol'attivazione diScansione in temporeale o dopol'aggiornamento

• Visualizzazione di unmessaggio di notificasul computer clientOfficeScan

SuggerimentoSe si utilizza questaregola, utilizzarel'implementazioneautomatica. Questoassicura che il clientOfficeScan disponedel più recentepattern antivirus nonappena OfficeScanscarica i nuovicomponenti.

Transizione Il computerclientOfficeScan è infase diinizializzazione.

Transizione Nessuna Nessuna


15-16

NOMEREGOLA



SODDISFATTI

AZIONEDEL


Metti inquarantena

La versione delPattern antivirusè più vecchia dialmeno cinqueversioni rispettoalla versionepresente sulserverOfficeScan sullquale il clientOfficeScan èregistrato.

Metti inquarantena

Creazionedi unavoce nelregistro diconvalidadel client

• Aggiornamento deicomponenti

• Attivazione automaticadelle azioni Eseguidisinfezione ed Eseguiscansione sulOfficeScan dopol'attivazione dellaScansione in temporeale o dopol'aggiornamento


Nonprotetto

Scansione intempo reale èdisattivata.

Infetto Creazionedi unavoce nelregistro diconvalidadel client

• Attivazione dellaScansione in temporeale sul clientOfficeScan


Composizione dei criteriI criteri comprendono un numero qualsiasi di regole e risposte e operazioni predefinite.

• Implementazione delle regole

Policy Server implementa le regole secondo un ordine specifico; questo consente diassegnare delle priorità alle regole. È possibile modificare l'ordine delle regole,aggiungerne di nuove e rimuovere quelle esistenti da un criterio.

• Risposte predefinite per i criteri


15-17

Come le regole, anche i criteri sono dotati di risposte predefinite che consentono dicomprendere lo stato dei client OfficeScan in rete quando viene effettuata laconvalida dei client. Tuttavia, le risposte predefinite vengono associate ai client soloquando il loro stato di protezione NON corrisponde a nessuna regola del criterio.

Le risposte per i criteri sono uguali a quelle per le regole (per l'elenco delle risposte,consultare Risposte predefinite per le regole a pagina 15-12).

• Azioni del client OfficeScan e del Policy Server

Il Policy Server applica le regole nei client sottoponendo le informazioni sullo statodel client OfficeScan a ciascuna regola associata al criterio. Le regole vengonoapplicate dall'alto verso il basso in base alle regole in uso specificate nella consoleWeb. Se lo stato del client OfficeScan corrisponde a una regola, l'azionecorrispondente alla regola viene implementata nel client OfficeScan. Se noncorrisponde a nessuna regola, viene applicata la regola predefinita e nel client vieneimplementata l'azione ad essa corrispondente.

I criteri predefiniti per la modalità infezione valutano i client OfficeScan attraversola regola "In salute". Forza tutti i client OfficeScan che non corrispondono a questaregola a implementare immediatamente le azioni previste dalla risposta "Infetto".

I criteri predefiniti per la modalità normale valutano i client OfficeScan utilizzandotutte le regole diverse da "In salute" (Transizione, Non protetto, Quarantena,Controllo). Classificano tutti i client OfficeScan che non corrispondono a nessunadi queste regole come "in salute" e applicano le azioni legate alla regola "In salute".

Criteri predefiniti

Policy Server fornisce criteri predefiniti che costituiscono una base dalla quale partire perla configurazione delle impostazioni. Sono disponibili due criteri predefiniti: uno per lamodalità Normale e uno per la modalità Infezione.


15-18

TABELLA 15-4. Criteri predefiniti

NOME CRITERIO DESCRIZIONE

Criteri predefiniti perla modalità normale

• Regole predefinite associate al criterio: Transizione, Nonprotetto, Quarantena e Controllo

• Risposta nel caso in cui non ci sia corrispondenza connessuna regola: In salute

• Azione del server: nessuna

• Azione client OfficeScan: nessuna

Criteri predefiniti perla modalità infezione

• Regole predefinite associate al criterio: In salute

• Risposta nel caso in cui non ci sia corrispondenza connessuna regola: Infetto

• Azione del server: creazione di una voce nel registro diconvalida del client

• Azione client OfficeScan:

• Attivazione della scansione in tempo reale sul client


• Attivazione dell'azione Esegui disinfezione sul clientOfficeScan dopo l'attivazione della Scansione in temporeale o dopo l'aggiornamento

• Visualizzazione di un messaggio di notifica sulcomputer client OfficeScan

SincronizzazioneSincronizzare regolarmente il Policy Server con i server OfficeScan registrati per fare inmodo che le versioni di Policy Server del pattern antivirus, del motore di scansione viruse dello stato delle infezioni del server (modalità normale o infezione) siano aggiornate inbase a quelle del server OfficeScan. Per effettuare la sincronizzazione, utilizzare iseguenti metodi:

• Manuale: per eseguire la sincronizzazione in qualsiasi momento tramite laschermata Riepilogo (consultare Informazioni riepilogative di un Policy Server a pagina15-43).


15-19

• Pianificata: per impostare una sincronizzazione pianificata (vedere Operazioni diamministrazione a pagina 15-47).

CertificatiLa tecnologia Cisco NAC utilizza i seguenti certificati digitali per stabilire uncollegamento corretto tra i vari componenti:

TABELLA 15-5. Certificati Cisco NAC

CERTIFICATO DESCRIZIONE

Certificato ACS Stabilisce una comunicazione affidabile tra il server ACS e ilserver della Certificate Authority (CA). Il server della CertificateAuthority firma il certificato ACS e lo salva sul server ACS.

Certificato CA Autentica il client OfficeScan presso il server ACS di Cisco. Ilserver OfficeScan implementa il certificato CA sia sul server ACSche sui client OfficeScan (nello stesso pacchetto di Cisco TrustAgent).

Certificato SSL diPolicy Server

Stabilisce una comunicazione HTTPS sicura tra il Policy Server eil server ACS. Il programma di installazione di Policy Servergenera automaticamente il certificato SSL di Policy Serverdurante l'installazione di Policy Server.

Il certificato SSL di Policy Server è facoltativo. Tuttavia, èpreferibile utilizzarlo per garantire che siano trasmessi soltanto idati crittografati tra Policy Server e il server ACS.


15-20

La figura seguente illustra i passaggi per la creazione e l'implementazione dei certificatiACS e CA:

FIGURA 15-4. Creazione e implementazione del certificato ACS e CA

1. Dopo l'emissione di una richiesta di firma del certificato da parte del server ACS alserver CA, CA emette un certificato chiamato certificato ACS. Il certificato ACSinstalla quindi il server ACS. Per ulteriori informazioni, consultare Iscrizione del serverCisco Secure ACS a pagina 15-26.

2. Un certificato CA viene esportato dal server CA e installato nel server ACS. Peristruzioni dettagliate, consultare Installazione di un certificato CA a pagina 15-26.

3. Nel server OfficeScan viene salvata una copia dello stesso certificato CA.


15-21

4. Il server OfficeScan implementa il certificato CA sui client OfficeScan dotati diCTA. Per istruzioni dettagliate, consultare Implementazione di Cisco Trust Agent apagina 15-29.

Certificato CAI client OfficeScan con installazioni CTA effettuano l'autenticazione con il server ACSprima di comunicare lo stato di protezione client. Sono disponibili più metodi pereffettuare l'autenticazione (per i dettagli, consultare la documentazione di Cisco SecureACS). Ad esempio, potrebbe essere già stata attivata l'autenticazione del computer perCisco Secure ACS mediante Windows Active Directory, che può essere configurata inmodo da fornire un certificato client per l'utente finale all'aggiunta di un nuovocomputer nella Active Directory. Per istruzioni, consultare Microsoft Knowledge BaseArticle 313407, HOW TO: Creare richieste di certificato automatiche utilizzando iCriteri di gruppo in Windows.

Per gli utenti che dispongono di un proprio server Certificate Authority (CA), ma i cuiclient per utenti finali non hanno alcun certificato, OfficeScan fornisce un sistema per ladistribuzione di un certificato root ai client OfficeScan. Distribuire il certificato durantel'installazione di OfficeScan o dalla console Web di OfficeScan. OfficeScan distribuisceil certificato quando implementa Cisco Trust Agent nei client OfficeScan (consultareImplementazione di Cisco Trust Agent a pagina 15-29).

NotaSe già si dispone di un certificato da una Certificate Authority o ne è stato prodotto unoproprio e distribuito ai client OfficeScan per utenti finali, non è necessario ripetere questaoperazione.

Prima di distribuire il certificato ai client OfficeScan, iscrivere il server ACS con il serverCA e preparare il certificato (per maggiori dettagli, consultare Iscrizione del server CiscoSecure ACS a pagina 15-26).

Requisiti di sistema per Policy ServerPrima di installare il Policy Server, verificare che il computer risponda ai seguentirequisiti:


15-22

TABELLA 15-6. Requisiti di sistema per Policy Server

HARDWARE /SOFTWARE

REQUISITI

Sistema operativo • Windows 2000 Professional con Service Pack 4

• Windows 2000 Server con Service Pack 4

• Windows 2000 Advanced Server con Service Pack 4

• Windows XP Professional con Service Pack 3 o versionisuccessive, a 32 bit e a 64 bit

• Windows Server 2003 (Standard e Enterprise Edition) conService Pack 2 o versioni successive, a 32 bit e a 64 bit

Hardware • Processore Intel Pentium II da 300 MHz o equivalente

• 128 MB di RAM

• 300 MB di spazio su disco disponibile

• Monitor che supporti la risoluzione 800x600 a 256 colori osuperiore

Server Web • Microsoft Internet Information Server (IIS) versione 5.0 o 6.0

• Server Web Apache 2.0 o successivo (solo per Windows2000/XP/Server 2003)

Console Web Per utilizzare la console Web OfficeScan sono necessari iseguenti requisiti:

• Processore Intel Pentium a 133 MHz o equivalente

• 64 MB di RAM

• 30 MB di spazio su disco disponibile

• Monitor che supporti la risoluzione 800x600 a 256 colori osuperiore

• Microsoft Internet Explorer versione 5.5 o successiva


15-23

Requisiti per Cisco Trust Agent (CTA)Prima di implementare Cisco Trust Agent nei computer client, controllare che icomputer rispondano ai seguenti requisiti:

NotaCisco Trust Agent non supporta IPv6. Non è possibile implementare l'agent su endpointIPv6 puri.

TABELLA 15-7. Requisiti per Cisco Trust Agent (CTA)

HARDWARE /SOFTWARE

REQUISITI

Sistema operativo • Windows 2000 Professional e Server con Service Pack 4

• Windows XP Professional con Service Pack 3 o versionisuccessive a 32 bit

• Windows Server 2003 (Standard ed Enterprise Edition) conService Pack 2 o versioni successive, a 32 bit

Hardware • Processore Intel Pentium singolo o multiplo da 200 MHz

• 128 MB di RAM per Windows 2000

• 256 MB di RAM per Windows XP e Windows Server 2003

• 5 MB di spazio su disco disponibile (20 MB consigliati)

Altro • Windows Installer 2.0 o successivo

Piattaforme compatibili e requisitiLe seguenti piattaforme supportano la funzionalità Cisco NAC:


15-24

TABELLA 15-8. Piattaforme compatibili e requisiti

PIATTAFORMASUPPORTATA

MODELLI IMMAGINI IOS MEMORIA MINIMA /FLASH

Router

Cisco serie 830,870

831, 836, 837 IOS 12.3(8) osuccessiva

48 MB/8 MB

Cisco serie 1700 1701, 1711, 1712,1721, 1751, 1751-V,1760

IOS 12.3(8) osuccessiva

64 MB/16 MB

Cisco serie 1800 1841 IOS 12.3(8) osuccessiva

128 MB/32 MB

Cisco serie 2600 2600XM, 2691 IOS 12.3(8) osuccessiva

96 MB/32 MB

Cisco serie 2800 2801, 2811, 2821,2851


128 MB/64 MB

Cisco serie 3600 3640/3640A, serie3660-ENT


48 MB/16 MB

Cisco serie 3700 3745, 3725 IOS 12.3(8) osuccessiva

128 MB/32 MB

Cisco serie 3800 3845, 3825 IOS 12.3(8) osuccessiva

256 MB/64 MB

Cisco serie 7200 720x, 75xx IOS 12.3(8) osuccessiva

128 MB/48 MB

Concentratori VPN

Cisco VPN serie3000

3005 - 3080 V4.7 o successiva N.D.

Switch

Cisco Catalyst 2900 2950, 2970 IOS 12.1(22)EA5 N.D.

Cisco Catalyst 3x00 3550, 3560, 3750 IOS 12.2(25)SEC N.D.


15-25

PIATTAFORMASUPPORTATA

MODELLI IMMAGINI IOS MEMORIA MINIMA /FLASH

Cisco Catalyst 4x00 Supervisor 2+ osuperiore

IOS 12.2(25)EWA N.D.

Cisco Catalyst 6500 6503, 6509,Supervisor 2 osuperiore

CatOS 8.5 osuccessiva

Sup2 - 128 MBSup32 - 256 MBSup720 - 512 MB

Access Point wireless

Cisco serie AP1200 1230 N.D. N.D.

Implementazione di Policy Server per NACLe seguenti procedure vengono fornite solo come riferimento e possono essere soggettea modifica a seconda degli aggiornamenti alle interfacce Microsoft e/o Cisco.

Prima di effettuare altre operazioni, verificare che i dispositivi di accesso alla rete in usosiano compatibili con Cisco NAC (vedere Piattaforme compatibili e requisiti a pagina 15-23).Per indicazioni sull'installazione e la configurazione, fare riferimento alladocumentazione fornita con i dispositivi. Installare, inoltre, il server ACS sulla rete. Peristruzioni consultare la documentazione di Cisco Secure ACS.

1. Installare il server OfficeScan sulla rete (consultare la Guida all'installazione eall'aggiornamento).

2. Installare il programma client OfficeScan su tutti i client per i quali si desidera chePolicy Server effettui la valutazione.

3. Effettuare l'iscrizione del server Cisco Secure ACS. Stabilire un collegamentoaffidabile tra il server ACS e un server Certificate Authority (CA) in modo che ilserver ACS emetta una richiesta di firma del certificato. Quindi, salvare il certificatoCA firmato (denominato Certificato ACS) sul server ACS (per maggioriinformazioni, vedere Iscrizione del server Cisco Secure ACS a pagina 15-26).

4. Esportare il certificato CA sul server ACS e archiviarne una copia sul serverOfficeScan. Questo passaggio è necessario solo nel caso in cui non si implementi


15-26

un certificato sui client e sul server ACS (consultare Installazione di un certificato CA apagina 15-26).

5. Implementare Cisco Trust Agent e il certificato CA su tutti i client OfficeScan inmodo che i client possano inviare le informazioni sullo stato della protezione alPolicy Server (vedere Implementazione di Cisco Trust Agent a pagina 15-29).

6. Installare Policy Server per Cisco NAC per gestire le richieste da parte del serverACS (vedere Installazione di Policy Server per Cisco NAC a pagina 15-34).

7. Esportare un certificato SSL dal Policy Server al server Cisco ACS per stabilire unacomunicazione SSL protetta tra i due server (vedere Installazione di Policy Server perCisco NAC a pagina 15-34).

8. Configurare il server ACS per inoltrare richieste di convalida dello stato al PolicyServer (vedere Configurazione del server ACS a pagina 15-41).

9. Configurare Policy Server per NAC. Creare e modificare regole e criteri per attivarela strategia di protezione della propria organizzazione sui client OfficeScan (vedereConfigurazione di Policy Server per Cisco NAC a pagina 15-41).

Iscrizione del server Cisco Secure ACSEffettuare l'iscrizione del server Cisco Secure ACS con il server Certificate Authority(CA) per stabilire una connessione affidabile tra i due server. La seguente procedura èvalida per gli utenti che eseguono un server Windows Certification Authority per lagestione dei certificati sulla rete. Consultare la documentazione del fornitore se si utilizzaun'applicazione CA diversa e consultare la documentazione del server ACS per istruzionisu come eseguire l'iscrizione di un certificato.

Installazione di un certificato CAIl client OfficeScan esegue l'autenticazione mediante un server ACS prima di inviare idati sullo stato di protezione. Ai fini di tale autenticazione, il certificato CA è necessario.Innanzitutto, esportare il certificato CA dal server CA ai server ACS e OfficeScan,quindi creare il pacchetto di implementazione dell'agente CTA. Il pacchetto comprendeil certificato CA (consultare Certificato CA a pagina 15-21 e Implementazione di Cisco TrustAgent a pagina 15-29).


15-27

Eseguire l'esportazione e l'installazione del certificato CA:

• Esportare il certificato CA dal server Certificate Authority

• Installarlo nel server Cisco Secure ACS

• Memorizzarne una copia sul server OfficeScan

NotaLa seguente procedura è valida per gli utenti che eseguono un server Windows CertificationAuthority per la gestione dei certificati sulla rete. Consultare la documentazione delfornitore se si utilizza un'applicazione o un servizio Certification Authority diversi.

Esportazione e installazione del certificato CA per ladistribuzione

Procedura

1. Esportare il certificato dal server Certification Authority (CA).

a. Sul server CA, fare clic su Avvio > Esegui.

Si apre la schermata Esegui.

b. Digitare mmc nella casella Apri .

Si apre una nuova schermata della console di gestione.

c. Fare clic su File > Aggiungi/Rimuovi snap-in.

Viene visualizzata la schermata Aggiungi/Rimuovi snap-in.

d. Fare clic su Certificati e poi su Aggiungi.

Si apre la schermata Certificati snap-in.

e. Fare clic su Account computer e fare clic su Avanti.

Si apre la schermata Seleziona computer.

f. Fare clic su Computer locale e quindi su Fine.


15-28

g. Fare clic su Chiudi per chiudere la schermata Aggiungi snap-in autonomo.

h. Fare clic su OK per chiudere la schermata Aggiungi/Rimuovi snap-in.

i. Nella visualizzazione della struttura della console, fare clic su Certificati >Origine affidabile > Certificati.

j. Selezionare il certificato da distribuire ai client e al server ACS dall'elenco.

k. Fare clic su Azione > Tutte le operazioni > Esporta....

Si apre la procedura guidata di esportazione dei certificati.

l. Fare clic su Avanti.

m. Fare clic su DER encoded binary x.509, quindi su Avanti.

n. Immettere un nome file e specificare la directory nella quale esportare ilcertificato.

o. Fare clic su Avanti.

p. Fare clic su Fine.

Viene visualizzata una finestra di conferma.

q. Fare clic su OK.

2. Installare il certificato su Cisco Secure ACS.

a. Fare clic su Configurazione di sistema > Impostazione certificato ACS >Impostazione ACS Certification Authority.

b. Digitare il percorso completo e il nome file del certificato nel campo Filecertificato CA.

c. Fare clic su Invia. Cisco Secure ACS richiede il riavvio del servizio.

d. Fare clic su Configurazione di sistema > Controllo servizio.

e. Fare clic su Avvio. Cisco Secure ACS viene riavviato.

f. Fare clic su Configurazione di sistema > Gestione certificati ACS >Modifica elenco certificati affidabili. Viene visualizzata la schermataModifica elenco certificati affidabili.


15-29

g. Selezionare la casella di controllo corrispondente al certificato importato nelpassaggio b e fare clic su Invia. Cisco Secure ACS richiede il riavvio delservizio.

h. Fare clic su Configurazione di sistema > Controllo servizio.

i. Fare clic su Avvio. Cisco Secure ACS viene riavviato.

3. Copiare il certificato (file .cer) nel computer server OfficeScan per implementarlonel client con CTA (per ulteriori informazioni, vedere ).

Nota

Memorizzare il certificato in una unità locale e non sulle unità collegate.

Implementazione di Cisco Trust Agent

Cisco Trust Agent (CTA) è un programma in hosting all'interno del server OfficeScaninstallato sui client che consente ai client OfficeScan di trasmettere le informazioniantivirus a Cisco ACS.

Nota

Cisco Trust Agent non supporta IPv6. Non è possibile implementare l'agent su endpointIPv6 puri.

Implementazione del CTA durante l'installazione del serverOfficeScan

Se è già stato preparato un certificato CA prima dell'installazione del server OfficeScan,implementare il CTA durante l'installazione del server OfficeScan. L'opzione diimplementazione del CTA si trova nella schermata Installazione di altri programmiOfficeScan dell'Installazione. Per istruzioni sull'installazione del server OfficeScan,consultare la Guida all'installazione e all'aggiornamento.


15-30

Procedura

1. Nella schermata Installazione di altri programmi OfficeScan, selezionare CiscoTrust Agent per Cisco NAC.

2. Se i certificati sono già stati distribuiti ai client degli utenti finali di Cisco SecureNAC, fare clic su Avanti, altrimenti seguire la procedura indicata di seguito perdistribuire i certificati:

a. Fare clic su Importa certificato.

b. Individuare e selezionare il certificato preparato e fare clic su Ok.

Per istruzioni sulla preparazione di un file di certificato, consultare Installazionedi un certificato CA a pagina 15-26.

c. Fare clic su Avanti.

3. Continuare con l'installazione del server OfficeScan.

Implementazione di CTA dalla console Web OfficeScan

Se invece l'opzione non è stata selezionata durante l'installazione del server, è possibilefarlo dalla console Web. Prima di installare/aggiornare CTA, è necessario implementareil certificato client sui client OfficeScan.

Nota

Il file del certificato client viene generato da un server Certificate Authority (CA). Il file delcertificato può essere richiesto al rappresentante Trend Micro.

Quando si è pronti per installare/aggiornare, verificare la versione di CTA da installarein Cisco NAC > Gestione Agent, quindi installare CTA sui client OfficeScan in CiscoNAC > Implementazione Agent. La schermata di implementazione dell'agent prevedeanche un'opzione per disinstallare CTA.

Prima di implementare CTA, installare Windows Installer 2.0 per NT 4.0 sui clientOfficeScan con Windows 2000/XP.


15-31

Importazione del certificato del client

Il certificato del client (o CA) autentica i client OfficeScan dell'utente finale nel serverCisco ACS. Il server OfficeScan implementa il certificato CA sui client OfficeScan conCisco Trust Agent (CTA). Quindi, importare il certificato nel server OfficeScan prima diimplementa il CTA.

Procedura

1. Aprire la console Web del server OfficeScan e fare clic su Cisco NAC >Certificato client.

2. Digitare il percorso esatto del file del certificato.

3. Digitare il percorso completo e il nome file del certificato CA preparato che sitrova sul server (ad esempio: C:\CiscoNAC\certificate.cer). Per istruzionisulla preparazione di un certificato CA, consultare Installazione di un certificato CA apagina 15-26.

4. Fare clic su Importa.

Per vuotare il campo, fare clic su Reimposta.

Versione di Cisco Trust Agent

Prima di installare CTA sui client, controllare la versione CTA (Cisco Trust Agent oCisco Trust Agent Supplicant) da installare. L'unica differenza tra queste due versioni èche il pacchetto Supplicant fornisce 2 livelli di autenticazione, uno per il computer el'altro per l'utente finale.

Se si dispone di Cisco NAC Access Control Server (ACS) versione 4.0 o successiva,aggiornare Cisco Trust Agent alla versione 2.0 o successiva sui client.

Verifica della versione di CTA

Procedura

1. Aprire la console Web del server OfficeScan e fare clic su Cisco NAC > Gestioneagente.


15-32

2. Fare clic su Usa <versione CTA>.

Il server OfficeScan inizia ad utilizzare la nuova versione.

Sostituzione manuale del pacchetto CTA

Se si desidera utilizzare una versione specifica, sostituire manualmente il pacchetto CTAsul server OfficeScan.

Procedura

1. Nella versione CTA da utilizzare, copiare il file .msi di CTA nella cartellaseguente:

• <Cartella di installazione del server>\PCCSRV\Admin\Utility\CTA\CTA-Package

• <Cartella di installazione del server>\PCCSRV\Admin\Utility\CTA\ CTA-Supplicant-Package

2. Copiare i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin\Utility\CTA\PosturePlugin: TmabPP.dll, tmabpp.infe TmAbPpAct.exe.

3. Nella console Web, accedere a Cisco NAC > Gestione agente e fare clic su Usa<versione CTA>.

Dopo l'aggiornamento dell'agente, i file verranno compressi in PostureAgent.zip comeun pacchetto di implementazione CTA in <Cartella di installazione delserver>\PCCSRV\download\Product.

Implementazione di Cisco Trust Agent

Implementare Cisco Trust Agent per attivare il client OfficeScan per la segnalazione diinformazioni antivirus al server ACS Cisco.

Procedura

1. Accedere a Cisco NAC > Implementazione Agent.


15-33


3. Fare clic su Implementa agente.

4. Se durante l'installazione del server OfficeScan non sono stati accettati i termini delcontratto di licenza Cisco, vengono visualizzate le informazioni relative alla licenza.Leggere il contratto di licenza e fare clic su Sì per accettare i termini.

5. Selezionare Installa/Aggiorna Cisco Trust Agent.

6. (Facoltativo) Selezionare Disinstalla Cisco Trust Agent quando si disinstalla ilClient OfficeScan.

NotaUtilizzare questa schermata anche per disinstallare o conservare lo stato CTA neiclient.

Preservare lo stato di CTA significa impedire che un'installazione sovrascriva uneventuale CTA già installato. Usare questa opzione, a meno che non si stia eseguendoun aggiornamento o si sia certi di non avere mai installato il CTA su nessuno deiclient selezionati, altrimenti il server reinstallerà il CTA e le impostazioni esistentiandranno perdute.





15-34

NotaSe il client OfficeScan nel quale si implementa l'agente non è online quando si fa clicsu Installa Cisco Trust Agent, OfficeScan risponderà automaticamente alla richiestaquando il client OfficeScan sarà online.

Verifica dell'installazione di Cisco Trust Agent

Dopo avere implementato CTA sui client OfficeScan, verificare che l'installazione siastata completata correttamente visualizzando la struttura dei client. La struttura dei clientcontiene una colonna chiamata Programma CTA che può essere consultata nellevisualizzazioni Aggiorna, Visualizza tutto o Antivirus. Le installazioni CTA eseguitecorrettamente contengono un numero di versione del programma CTA.

Verificare inoltre se i processi riportati di seguito sono in funzione nel computer client:

• ctapsd.exe

• ctaEoU.exe

• ctatransapt.exe

• ctalogd.exe

Installazione di Policy Server per Cisco NACSono disponibili i seguenti due metodi di installazione di Policy Server:

• Il programma di installazione di Policy Server presente nel DVD Enterprise

• Il programma di installazione principale del server OfficeScan (consente diinstallare sia il server OfficeScan che il Policy Server sullo stesso computer)


15-35

NotaIl programma di installazione principale installa sia il server OfficeScan sia la console Webdi Policy Server sul server IIS o sul server Apache Web specificato dall'utente. Se ilprogramma di installazione non individua un server Apache sul sistema o se il serverApache attualmente installato non è la versione 2.0, il programma di installazione installaautomaticamente Apache versione 2.0.

Il server ACS, Policy Server e il server OfficeScan devono trovarsi sullo stesso segmento direte per ottenere una comunicazione efficace.

Prima di procedere all'installazione del server Apache Web, fare riferimento al seguentesito Apache Web per ottenere le informazioni più recenti su aggiornamenti, patch eproblemi di sicurezza:

http://www.apache.org

Installazione di Policy Server con il programma diinstallazione di Policy Server

Procedura

1. Accedere al computer sul quale si vuole installare Policy Server per Cisco NAC.

2. Individuare il pacchetto di installazione di Policy Server per Cisco NAC nel CDEnterprise.

3. Fare doppio clic su setup.exe per avviare il pacchetto di installazione.

4. Seguire le istruzioni d'installazione.

È possibile installare il Policy Server nel computer del server OfficeScan.

http://www.apache.org


15-36

Installazione del Policy Server per Cisco NAC dalprogramma di installazione principale del server OfficeScan

Procedura

1. Nella schermata Installazione di altri programmi OfficeScan del programma diinstallazione principale del server OfficeScan, selezionare Policy Server per CiscoNAC.


3. Proseguire con l'installazione del server OfficeScan fino a quando viene visualizzatala schermata Benvenuto di Trend Micro Policy Server per Cisco NAC.


Viene visualizzata la schermata del Contratto di licenza di Policy Server perCisco NAC.

5. Leggere il contratto e fare clic su Sì per proseguire.

Viene visualizzata la schermata Seleziona la posizione di destinazione.

6. Se necessario, modificare la posizione di destinazione predefinita: fare clic suSfoglia... e selezionare una nuova destinazione per l'installazione di Policy Server.


Viene visualizzata la schermata Server Web.

8. Scegliere il server Web da utilizzare per Policy Server:

• Server IIS: fare clic per installare in una installazione server Web IIS esistente

• Server Web Apache 2.0: fare clic per installare in un server Web Apache 2.0


Viene visualizzata la schermata Configurazione del Server Web.

10. Configurare le seguenti informazioni:

a. Se si decide di installare Policy Server su un server IIS, selezionare una delleopzioni riportate di seguito.


15-37

• Sito Web predefinito IIS: fare clic per installare come sito Webpredefinito IIS.

• Sito Web virtuale IIS: fare clic per installare come sito Web virtuale IIS.

b. Specificare la Porta da usare come porta di ascolto del server.

Quando Policy Server e il server OfficeScan si trovano sullo stesso computere utilizzano lo stesso server Web, i numeri delle porte sono i seguenti:

• Server Web Apache/Server Web IIS sul sito Web predefinito: PolicyServer e il server OfficeScan condividono la stessa porta

• Entrambi sul server Web IIS sul sito Web virtuale: la porta di ascoltopredefinita di Policy Server è 8081 e la porta SSL è 4344. La porta diascolto predefinita del server OfficeScan è 8080 e la porta SSL è 4343.

c. Se si decide di installare Policy Server su un server IIS, è possibile utilizzareSecured Socket Layer (SSL). Digitare il numero della porta SSL e il numero dianni di validità del certificato SSL (il numero di anni predefinito è 3).

Se SSL viene attivato, il relativo numero di porta corrisponderà a quello dellaporta di ascolto del server. L'indirizzo di Policy Server verrà visualizzato nelseguente modo:

• http://<nome Policy Server>:<numero porta>

• https://<nome Policy Server>:<numero porta> (se si attivaSSL)


12. Specificare la password della console di Policy Server e fare clic su Avanti.

13. Specificare la password di autenticazione del server ACS e fare clic su Avanti.

14. Revisionare le impostazioni di installazione. Se le impostazioni sono corrette, fareclic su Avanti per avviare l'installazione. In alternativa, fare clic su Indietro peraccedere alle schermate precedenti.

15. Una volta terminata l'installazione, fare clic su Fine.


15-38

Il programma di installazione principale del server OfficeScan proseguel'installazione del server OfficeScan.

Preparazione del certificato SSL di Policy ServerPer stabilire una connessione SSL sicura tra il server ACS e Policy Server, preparare uncertificato da utilizzare soprattutto con SSL. Il certificato SSL viene generatoautomaticamente dal programma di installazione.

Preparazione del certificato SSL di Policy Server IIS

Procedura

1. Esportare il certificato da Archivio certificati su mmc.

a. In Policy Server, fare clic su Avvio > Esegui.

Si apre la schermata Esegui.

b. Digitare mmc nella casella Apri .

Si apre una nuova schermata della console di gestione.

c. Fare clic su Console > Aggiungi/Rimuovi snap-in.

Viene visualizzata la schermata Aggiungi/Rimuovi snap-in.

d. Fare clic su Aggiungi.

Viene visualizzata la schermata Aggiungi snap-in autonomi.

e. Fare clic su Certificati e poi su Aggiungi.

Si apre la schermata Certificati snap-in.

f. Fare clic su Account computer e fare clic su Avanti.

Si apre la schermata Seleziona computer.

g. Fare clic su Computer locale e quindi su Fine.


15-39

h. Fare clic su Chiudi per chiudere la schermata Aggiungi snap-in autonomo.

i. Fare clic su OK per chiudere la schermata Aggiungi/Rimuovi snap-in.

j. Nella visualizzazione della struttura della console, fare clic su Certificati(computer locale) > Origine affidabile Certification Authorities >Certificati.

k. Selezionare il certificato dall'elenco.

NotaControllare l'identificazione personale del certificato facendo doppio clic sulcertificato e selezionando Proprietà. L'identificazione personale dovrebbecorrispondere a quella del certificato che si trova nella console IIS.

Per verificare questo particolare, aprire la console IIS e fare clic con il tastodestro del mouse sul sito Web virtuale o sulsito Web predefinito (in base alsito Web su cui è stato installato il Policy Server) e selezionare Proprietà. Fareclic su Protezione directory, quindi su Visualizza certificato per visualizzare idettagli del certificato, compresa l'identificazione personale.

l. Fare clic su Azione > Tutte le operazioni > Esporta.... Si apre laprocedura guidata di esportazione dei certificati.

m. Fare clic su Avanti.

n. Fare clic su DER encoded binary x.509 o Base 64 encoded X.509 quindisu Avanti.

o. Immettere un nome file e specificare la directory nella quale esportare ilcertificato.

p. Fare clic su Avanti.

q. Fare clic su Fine. Viene visualizzata una finestra di conferma.

r. Fare clic su OK.


a. Nella console Web ACS, fare clic su Configurazione di sistema >Impostazione certificato ACS > Impostazione ACS CertificationAuthority.


15-40


c. Fare clic su Invia. Cisco Secure ACS richiede il riavvio del servizio.


e. Fare clic su Avvio. Cisco Secure ACS viene riavviato.

Preparazione del certificato SSL di Policy Server Apache

Procedura

1. Esportare il certificato da Archivio certificati su mmc.

a. Ottenere il file del certificato server.cer. La posizione del file dipende daquale server, OfficeScan o Policy Server, è stato installato per primo:

• Se il server OfficeScan è stato installato prima di Policy Server, il file sitrova nella seguente directory: <Cartella di installazione del server>\PCCSRV\Private\certificate

• Se Policy Server è stato installato prima del server OfficeScan, il file sitrova nella seguente directory: <Cartella di installazione delserver>\PolicyServer\Private\certificate

b. Copiare il file del certificato nel server ACS.


a. Nella console Web ACS, fare clic su Configurazione di sistema >Impostazione certificato ACS > Impostazione ACS CertificationAuthority.


c. Fare clic su Invia.

Cisco Secure ACS richiede il riavvio del servizio.



15-41

e. Fare clic su Avvio.

Cisco Secure ACS viene riavviato.

Configurazione del server ACSPer consentire a Cisco Secure ACS di trasmettere le richieste di autenticazione a PolicyServer per Cisco NAC, aggiungere Policy Server per Cisco NAC nei Criteri esterni deldatabase utente esterno da utilizzare per l'autenticazione. Per le istruzioni su comeaggiungere il Policy Server a un nuovo criterio esterno, consultare la documentazione delserver ACS.

NotaÈ possibile configurare il server ACS per eseguire funzioni come il blocco dell'accesso deiclient alla rete. Queste funzioni ACS vanno oltre l'ambito dell'implementazione di TrendMicro Policy Server per Cisco NAC, pertanto non vengono illustrate nel presentedocumento. Per i dettagli sulla configurazione di altre funzioni ACS, consultare ladocumentazione ACS.

Configurazione di Policy Server per Cisco NACAl termine dell'installazione di OfficeScan e di Policy Server e dopo avere implementatosia il client OfficeScan che il Cisco Trust Agent, è necessario configurare Policy Serverper Cisco NAC. Per configurare un Policy Server, aprire la console Web di Policy Serverdalla console Web di OfficeScan; a tal fine accedere a Cisco NAC > Policy Server efare clic sul collegamento Policy Server.

Questa sezione descrive i seguenti aspetti della configurazione di Policy Server:

• Configurazione di Policy Server da OfficeScan a pagina 15-42 descrive come gestire iPolicy Server sulla console Web di OfficeScan.

• Informazioni riepilogative di un Policy Server a pagina 15-43 mostra come ottenere unapanoramica dei Policy Server installati sulla rete.

• Registrazione di Policy Server a pagina 15-45 rappresenta il primo passaggio nellaprocedura di configurazione dei Policy Server.


15-42

• Regole a pagina 15-46 mostra come creare e modificare le regole che compongono icriteri.

• Criteri a pagina 15-46 mostra come creare e modificare i criteri che determinanodefinitivamente in che modo Policy Server definisce lo stato di protezione deiclient.

• Registri di convalida dei client a pagina 15-46 offre una panoramica di come utilizzare iregistri per comprendere lo stato di protezione dei client sulla rete.

• Manutenzione registri client a pagina 15-47 fornisce una panoramica sulla gestione delledimensioni dei registri di convalida dei client.

• Operazioni di amministrazione a pagina 15-47 descrive come modificare la password diPolicy Server e come impostare una pianificazione per la sincronizzazione.

Configurazione di Policy Server da OfficeScan

Il primo passaggio nella configurazione dei Policy Server consiste nell'aggiunta dei PolicyServer installati al server OfficeScan. Questo consente di aprire la console Web di PolicyServer dalla console Web di OfficeScan.

Aggiunta di un Policy Server a OfficeScan

Procedura

1. Nel menu principale della console Web OfficeScan, fare clic su Cisco NAC >Policy Server.

Si apre la schermata Policy Server la quale contiene un elenco di tutti i PolicyServer.


Viene visualizzata la schermata Policy Server.

3. Inserire l'indirizzo completo del Policy Server e il numero di porta che il serverutilizza per la comunicazione HTTPS (ad esempio: https://policy-server:4343/). Se lo si desidera, inserire anche una descrizione del server.


15-43

4. Inserire una password da utilizzare per accedere alla console Web del Policy Server.


Eliminazione di un Policy Server da OfficeScan

Procedura


Si apre la schermata Policy Server con un elenco di tutti i Policy Server.

2. Selezionare la casella di controllo accanto al Policy Server da eliminare.


Nota

Per convalidare tutti i client della rete, aggiungere tutti i server OfficeScan ad almenoun Policy Server.

Informazioni riepilogative di un Policy Server

La schermata Riepilogo contiene informazioni sul Policy Server, tra cui le impostazionidi configurazione dei criteri e delle regole, i registri di conferma dei client e i serverOfficeScan registrati in un Policy Server.

L'indirizzo IP e il numero di porta del Policy Server per Cisco NAC vengono visualizzatinella parte superiore della schermata Riepilogo.

La tabella Riepilogo configurazione visualizza il numero dei server OfficeScanregistrati nel Policy Server, i criteri Policy Server e le regole che compongono i criteri.


15-44

Visualizzazione e modifica dei dettagli del riepilogo dellaconfigurazione per un Policy Server

Procedura


Si apre la schermata Policy Server con un elenco di tutti i Policy Server.

2. Fare clic sul nome del server di Policy Server di cui si desidera visualizzare idettagli.

Viene visualizzata la schermata Riepilogo che mostra la tabella Riepilogoconfigurazione.

3. Fare clic sul collegamento accanto all'elemento di cui si desidera visualizzare leimpostazioni di configurazione:

• Server OfficeScan registrato/i: indica i server OfficeScan attualmentepresenti sulla rete

• Criteri: indica i criteri di Policy Server che i server OfficeScan registratipossono utilizzare.

• Regola/e: indica le regole di Policy Server che comprendono i criteri.

SuggerimentoPer fare in modo che più Policy Server presenti sulla rete abbiano le stesse impostazioni,compresi gli stessi criteri e regole, esportare e importare le impostazioni da un serverall'altro. Trend Micro consiglia di configurare allo stesso modo le impostazioni di tutti iPolicy Server presenti nella rete così da avere dei criteri antivirus coerenti.


15-45

Sincronizzazione di Policy con i server OfficeScan registrati

Procedura

1. Nella schermata Riepilogo, fare clic su Sincronizza con OfficeScan. Si apre laschermata Riepilogo - Risultati sincronizzazione la quale mostra le seguentiinformazioni in sola lettura:

• nome server OfficeScan: il nome host o l'indirizzo IP e il numero di portadei server OfficeScan registrati.

• Risultato sincronizzazione: indica se la sincronizzazione è stata completatacorrettamente o meno.

• Ultima sincronizzazione: la data dell'ultima sincronizzazione completata.

Per ulteriori informazioni sulla sincronizzazione, consultare Sincronizzazione a pagina15-18.

Registrazione di Policy Server

Registrare il Policy Server con almeno un server OfficeScan, affinché Policy Serverpossa ottenere informazioni sulla versione relative al pattern dei virus e al motore discansione virus. Per informazioni sul ruolo del server OfficeScan nel processo diconvalida, vedere La sequenza di convalida client a pagina 15-8.

Nota

Per fare in modo che Policy Server convalidi tutti i client della rete, aggiungere tutti i serverOfficeScan ad almeno un Policy Server.

Aggiungere un nuovo server OfficeScan o modificare le impostazioni di uno giàesistente dalla schermata dei server OfficeScan; per accedere a questa schermata, aprirela console Web di Policy Server e fare clic su Configurazioni > Server OfficeScan.


15-46

Regole

Le regole costituiscono e contemporaneamente comprendono i criteri. La fasesuccessiva della configurazione di Policy Server prevede la configurazione delle regole.Per ulteriori informazioni, consultare Composizione delle regole a pagina 15-12.

Per aprire le schermate della console Web per le regole Cisco ACS, accedere alla consoleWeb di Policy Server e fare clic su Configurazioni > Regole nel menu principale.

Criteri

Dopo aver configurato nuove regole o aver verificato che le regole predefinite sianoidonee alle proprie esigenze di sicurezza, configurare i criteri che i server OfficeScanregistrati utilizzeranno. Per ulteriori informazioni, consultare Composizione dei criteri apagina 15-16.

Aggiungere un nuovo criterio Cisco NAC o modificarne uno già esistente perdeterminare le regole attualmente in vigore e per eseguire le operazioni sui client quandolo stato di protezione del client non corrisponde alle regole.

Per aprire le schermate della console Web per i criteri Cisco ACS, accedere alla consoleWeb di Policy Server e fare clic su Configurazioni > Criteri nel menu principale.

Registri di convalida dei client

I registri di convalida dei client vengono utilizzati per visualizzare informazionidettagliate sui client nel momento in cui sono stati convalidati da Policy Server. Laconvalida si verifica quando il server ACS recupera i dati sullo stato di protezione delclient e li invia al Policy Server che confronta tali dati con i criteri e le regole (consultareLa sequenza di convalida client a pagina 15-8).

Nota

Per generare i registi di convalida dei client, in caso di aggiunta o modifica di una nuovaregola o criterio, selezionare la casella di controllo in Operazioni lato server.


15-47

Per aprire le schermate della console Web per i registri Cisco ACS, accedere alla consoleWeb di Policy Server e fare clic su Registri > Visualizza registri di convalida clientnel menu principale.

Manutenzione registri client

Policy Server memorizza i registri di convalida dei client al raggiungimento delladimensione specificata. Elimina anche i file di registro quando si accumula un numerospecificato di file di registro. Per specificare come Policy Server gestisce i registri diconvalida client, fare clic su Registri > Manutenzione registri nella console Web diPolicy Server.

Operazioni di amministrazione

Eseguire le operazioni amministrative sui Policy Server:

• Modifica password: modificare la password configurata durante l'aggiunta diPolicy Server (consultare Configurazione di Policy Server da OfficeScan a pagina 15-42)

• Configurazione di una pianificazione di sincronizzazione: Policy Server deveottenere periodicamente la versione del pattern antivirus e del motore di scansionevirus dal server OfficeScan per valutare lo stato di protezione del client OfficeScan.Pertanto, non è possibile attivare o disattivare la sincronizzazione pianificata. Perimpostazione predefinita, il Policy Server si sincronizza con i server OfficeScanogni cinque minuti (per ulteriori informazioni, consultare Sincronizzazione a pagina15-18).

Nota

Sincronizzare manualmente il Policy Server con il server OfficeScan in qualsiasimomento nella schermata Riepilogo (vedere Informazioni riepilogative di un Policy Server apagina 15-43).

Per accedere alle schermate della console Web per le operazioni di amministrazione diCisco ACS, andare alla console Web di Policy Server e fare clic su Amministrazione nelmenu principale.

16-1

Capitolo 16

Configurazione di OfficeScan consoftware di terze parti

In questo capitolo viene descritta l'integrazione di OfficeScan con software di terze parti.


• Panoramica e configurazione dell'architettura Check Point a pagina 16-2

• Configurazione del file Secure Configuration Verification per OfficeScan a pagina 16-4

• Installazione supporto SecureClient a pagina 16-6


16-2

Panoramica e configurazione dell'architetturaCheck Point

Utilizzando Secure Configuration Verification (SCV) all'interno della struttura dellapiattaforma aperta per la sicurezza OPSEC (Open Platform for Security), è possibileintegrare le installazioni OfficeScan con Check Point™ SecureClient™. Prima diprocedere alla lettura di questa sezione, consultare la documentazione OPSEC (CheckPoint SecureClient). La documentazione OPSEC è disponibile alla pagina:

http://www.opsec.com

Check Point SecureClient è in grado di confermare la configurazione di sicurezza deicomputer connessi alla rete utilizzando i controlli SCV (Secure ConfigurationVerification). I controlli SCV sono un gruppo di condizioni che definiscono la sicurezzadella configurazione di un sistema client. Il software di terzi può comunicare il valore ditali condizioni a Check Point SecureClient. A questo punto, Check Point SecureClientconfronta tali condizioni con le condizioni nel file SCV per determinare se è possibileconsiderare il client sicuro.

I controlli SCV vengono effettuati regolarmente per garantire che la connessione allarete venga effettuata solo dai sistemi con una configurazione sicura.

SecureClient utilizza Policy Server per effettuare i controlli SCV su tutti i client registratiall'interno del sistema. L'amministratore può impostare i controlli SCV sui Policy Servertramite l'editor SCV.

L'editor SCV è uno strumento di Check Point che consente di modificare i file SCV perla propagazione sull'installazione dei file. Per utilizzare l'editor SCV, individuare eavviare il file SCVeditor.exe sul Policy Server. All'interno dell'editor SCV, aprire ilfile local.scv situato nella cartella C:\FW1\NG\Conf (dove C:\FW1 indica ilpercorso di installazione predefinito del firewall Check Point).

Per istruzioni specifiche sull'apertura e la modifica di un file SCV utilizzando l'editorSCV, consultare Integrazione di OfficeScan a pagina 16-3.

http://www.opsec.com

Configurazione di OfficeScan con software di terze parti

16-3

Integrazione di OfficeScanIl client OfficeScan trasmette periodicamente il numero del pattern antivirus e il numerodel Motore di scansione virus a SecureClient per la verifica. SecureClient confrontaquesti valori con i valori contenuti sul client in local.scv.

Se lo si apre con un editor di testo, il file local.scv si presenta nel seguente modo:

(SCVObject

:SCVNames (

: (OfceSCV

:type (plugin)

:parameters (

:CheckType (OfceVersionCheck)

:LatestPatternVersion (701)

:LatestEngineVersion (7.1)

:PatternCompareOp (">=")

:EngineCompareOp (">=")

)

)

)

:SCVPolicy (

: (OfceSCV)

)

:SCVGlobalParams (

:block_connections_on_unverified (true)

:scv_policy_timeout_hours (24)


16-4

)

)

In questo esempio, il controllo SCV consente la connessione attraverso il firewall se laversione del file di pattern è 701 o successiva e se il numero del motore di scansione è7.1 o successivo. Se il motore di scansione o la versione del file di pattern sono obsoleti,tutte le connessioni attraverso il firewall Check Point verranno bloccate. È possibilemodificare questi valori utilizzando l'editor SCV sul file local.scv situato sul PolicyServer.

Nota

Check Point non aggiorna automaticamente i numeri di versione del file di pattern e delmotore di scansione all'interno del file SCV. Ogniqualvolta OfficeScan aggiorna il motore discansione o il file di pattern, è necessario modificare manualmente il valore delle condizioniall'interno del file local.scv. Se non si aggiornano i numeri di versione del motore discansione e del file di pattern, Check Point autorizzerà il traffico dai client con file dipattern e motori di scansione obsoleti, con il rischio di permettere a virus recenti diinfiltrarsi nel sistema.

Configurazione del file Secure ConfigurationVerification per OfficeScan

Per modificare il file local.scv, è necessario scaricare e avviare l'editor SCV(SCVeditor.exe).

Procedura

1. Scaricare SCVeditor.exe dalla pagina di download di Check Point.

L'editor SCV fa parte del pacchetto OPSEC SDK.

2. Avviare SCVeditor.exe sul Policy Server.

Viene visualizzata la console dell'editor SCV.

3. Espandere la cartella Prodotti e selezionare user_policy_scv.


16-5

4. Fare clic su Modifica > Prodotto > Modifica, quindi digitare OfceSCV nellacasella Modifica. Fare clic su OK.

NotaSe il file local.scv contiene già i criteri di prodotto per altri software di terze parti,creare un nuovo criterio facendo clic Modifica > Prodotto > Aggiungi, quindidigitare OfceSCV nella casella Aggiungi.

5. Aggiungere un parametro facendo clic su Modifica > Parametri > Aggiungi,quindi digitare nelle caselle un Nome e Valore.

La tabella riportata di seguito comprende un elenco dei nomi e dei valori. Per inomi e i valori dei parametri si applica la distinzione tra maiuscole e minuscole.Digitare i dati nell'ordine specificato nella tabella.

TABELLA 16-1. Nomi e valori dei parametri del file SCV

NOME VALORE

CheckType OfceVersionCheck

LatestPatternVersion <numero del file di pattern attuale>

LatestEngineVersion <numero del motore di scansioneattuale>

LatestPatternDate <data di rilascio del file di patternattuale>

PatternCompareOp >=

EngineCompareOp >=

PatternMismatchMessage

EngineMismatchMessage

Immettere il numero di versione del file di pattern e del motore di scansione piùrecenti al posto del testo compreso tra parentesi graffe. Per visualizzare la versionedel pattern dei virus e del motore di scansione attualmente in uso, fare clic suAggiornamento & aggiornamento versione nel menu principale della consoleWeb OfficeScan. Il numero della versione del pattern si trova a destra deldiagramma a torta che rappresenta la percentuale di client OfficeScan protetti.


16-6

6. Selezionare Blocca la connessione di SCV non verificati.

7. Fare clic su Modifica > Prodotto > Implementa.

8. Per creare il file, fare clic su File > Genera file criterio. Per sovrascrivere il filelocal.scv esistente, fare clic su di esso.

Installazione supporto SecureClientSe gli utenti si connettono alla rete aziendale da reti private virtuali (Virtual PrivateNetwork, VPN) sui cui computer sono installati sia Check Point SecureClient che ilclient OfficeScan, richiedere loro di installare il supporto SecureClient. Questo moduloconsente a SecureClient di effettuare dei controlli SCV sui client VPN, garantendo che laconnessione alla rete sia autorizzata solo a sistemi configurati in modo sicuro. Gli utentipossono verificare se Check Point SecureClient è installato nei loro computer tramitel'icona ( ) nella barra delle applicazioni. Gli utenti possono inoltre verificare lapresenza della voce Check Point SecureClient nella schermata Installazioneapplicazioni di Windows.

Gli utenti avviano l'installazione dalla scheda Casella strumenti della console del clientOfficeScan. Questa scheda viene visualizzata solo se gli utenti hanno i privilegi necessari


16-7

e il sistema operativo del computer client OfficeScan è Windows XP o Windows Server2003.

FIGURA 16-1. Scheda Casella strumenti nella console del client OfficeScan

Concessione agli utenti dei privilegi per visualizzare lascheda Strumenti di utilità

Procedura



NotaIl supporto Check Point SecureClient non supporta IPv6 Non è possibileimplementare questo modulo su endpoint IPv6 puri.


16-8


4. Nella scheda Privilegi, andare alla sezione Privilegi casella strumenti.

5. Selezionare Visualizza la scheda Casella strumenti nella console del client econsenti agli utenti di installare il supporto Check Point SecureClient.




Installazione del supporto SecureClient

Procedura

1. Aprire la console del client OfficeScan

2. Fare clic sulla scheda Casella degli strumenti.

3. In Supporto Check Point SecureClient fare clic su Installa/Aggiorna ilsupporto SecureClient.

Viene visualizzata una schermata di conferma.

4. Fare clic su Sì.

Il client OfficeScan si collega al server e scarica il modulo. Quando il download ècompleto, in OfficeScan viene visualizzato un messaggio.

5. Fare clic su OK.

17-1

Capitolo 17

Visualizzazione della guidaIn questo capitolo viene descritto come risolvere i problemi che possono insorgere ecome contattare l'assistenza tecnica.


• Risorse per la risoluzione dei problemi a pagina 17-2

• Come contattare l'assistenza tecnica a pagina 17-25


17-2

Risorse per la risoluzione dei problemiQuesta sezione contiene un elenco di risorse utilizzabili per risolvere eventuali problemiriscontrati sui client OfficeScan e sui server OfficeScan.

• Sistema di supporto intelligente a pagina 17-2

• Case Diagnostic Tool a pagina 17-2


• Registri dei client OfficeScan a pagina 17-15

Sistema di supporto intelligenteIl Sistema di supporto intelligente è una pagina nella quale è possibile inviare facilmentefile da analizzare a Trend Micro. Questo sistema determina il GUID del serverOfficeScan e invia tale informazione con il file inviato. Il GUID consente a Trend Microdi inviare feedback riguardo ai file inviati per la valutazione.

Case Diagnostic ToolQuando si verifica un problema, Trend Micro Case Diagnostic Tool (CDT) raccoglie leinformazioni di debugging necessarie dal prodotto del cliente. Attiva e disattivaautomaticamente lo stato di debug del prodotto e raccoglie i file necessari a secondadella categoria del problema. Queste informazioni vengono utilizzate da Trend Microper risolvere i problemi legati al prodotto.

Eseguire lo strumento su tutte le piattaforme supportate da OfficeScan. Per ottenerequesto strumento e la relativa documentazione, contattare il centro di assistenza piùvicino.

Trend Micro Performance Tuning ToolTrend Micro fornisce uno strumento standalone di ottimizzazione delle prestazioni perindividuare le applicazioni che potrebbero provocare problemi alle prestazioni. TrendMicro Performance Tuning Tool, disponibile nella Knowledge Base di Trend Micro,

Visualizzazione della guida

17-3

deve essere eseguito in un'immagine di workstation standard e/o in altre workstation inun processo pilota volto a prevenire problemi di prestazioni nell'implementazioneattuale di Monitoraggio del comportamento e Controllo dispositivo.

Per informazioni dettagliate, visitare http://esupport.trendmicro.com/solution/en-us/1056425.aspx.

Registri del server OfficeScan

Oltre ai registri disponibili nella console Web, per risolvere i problemi del prodotto, èpossibile utilizzare altri registri (come i registri di debug).

AVVERTENZA!

I registri di debug possono influenzare le prestazioni del server e occupare una significativaquantità di spazio su disco. Attivare i registri di debug solo quando è necessario edisattivarli immediatamente quando i dati di debug non sono più necessari. Per liberarespazio su disco, rimuovere il file di registro.

Registri di debug del server tramite LogServer.exe

Utilizzare LogServer.exe per raccogliere i registri di debug per quanto segue:

• Registri di base del server OfficeScan

• Trend Micro Vulnerability Scanner

• Registri di Active Directory Integration

• Registri raggruppamento client

• Registri di conformità della sicurezza

• Role-based Administration (RBA)

• Smart Scan

• Policy Server




17-4

Attivazione del registro di debug

Procedura

1. Accedere alla console Web.

2. Sul banner della console Web, fare clic sulla prima "O" di "OfficeScan".

3. Specificare le impostazioni del registro di debug.


5. Controllare il file di registro (ofcdebug.log) nella cartella predefinita: <Cartella diinstallazione del server>\PCCSRV\Log.

Disattivazione del registro di debug

Procedura

1. Accedere alla console Web.

2. Sul banner della console Web, fare clic sulla prima "O" di "OfficeScan".

3. Deselezionare Attiva registro di debug.


Attivazione del registro di debug per l'installazione el'aggiornamento del server

Attivare i registri di debug prima di effettuare le seguenti operazioni:

• Disinstallare e reinstallare il server.

• Aggiornare OfficeScan a una nuova versione.

• Effettuare l'installazione o l'aggiornamento remoti (i registri di debug vengonoattivati sul computer sul quale è stato avviato il programma di installazione e nonsul computer remoto).


17-5

Procedura

1. Copiare la cartella LogServer situata in <Cartella di installazione del server>\PCCSRV\Private in C:\.

2. Creare un file denominarlo ofcdebug.ini con il seguente contenuto:

[debug]

debuglevel=9

debuglog=c:\LogServer\ofcdebug.log

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

3. Salvare il file ofcdebug.ini in C:\LogServer.

4. Effettuare l'operazione per la quale si desidera il debug (cioè l'installazione o lareinstallazione del server, l'aggiornamento a una nuova versione, l'installazioneremota o l'aggiornamento remoto).

5. Controllare ofcdebug.log in C:\LogServer.

Registri di installazione

• Registri di aggiornamento/installazione locali

Nome file: OFCMAS.LOG

Percorso: %windir%

• Registri di aggiornamento/installazione remoti

• Sul computer sul quale è stato avviato il programma di installazione:

Nome file: ofcmasr.log


17-6

Percorso: %windir%

• Sul computer di destinazione:

Nome file: OFCMAS.LOG

Percorso: %windir%

Registri di Active Directory

• Nome file: ofcdebug.log

• Nome file: ofcserver.ini

Percorso: <Cartella di installazione del server>\PCCSRV\Private\

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

• dbADPredefinedScope.cdx

• dbADPredefinedScope.dbf

• dbCredential.cdx

• dbCredential.dbf

Percorso: <Cartella di installazione del server>\PCCSRV\HTTPDB\

Registri di Role-based Administration

Per ottenere le informazioni su Role-Based Administration, effettuare una delleoperazioni riportate di seguito:

• Eseguire Trend Micro Case Diagnostics Tool. Per informazioni, vedere CaseDiagnostic Tool a pagina 17-2.

• Raccogliere i registri riportati di seguito:


17-7

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Private\AuthorStore.


Registri raggruppamento client OfficeScan• Nome file: ofcdebug.log



• Nome file: SortingRule.xml

Percorso: <Cartella di installazione del server>\PCCSRV\Private\SortingRuleStore\

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

Percorso: <Cartella di installazione del server>\HTTPDB\

Registri di aggiornamento dei componentiNome file: TmuDump.txt

Percorso: <Cartella di installazione del server>\PCCSRV\Web\Service\AU_Data\AU_Log

Come ottenere informazioni dettagliate sull'aggiornamento delserver

Procedura

1. Creare un file nominato aucfg.ini con il seguente contenuto:

[Debug]


17-8

level=-1

[Downloader]

ProxyCache=0

2. Salvare il file in <Cartella di installazione del server>\PCCSRV\Web\Service.


Interruzione della raccolta delle informazioni dettagliatesull'aggiornamento del server

Procedura

1. Eliminare il file aucfg.ini.


Registri del server Apache

Nomi dei file:

• install.log

• error.log

• access.log

Percorso: <Cartella di installazione del server>\PCCSRV\Apache2


17-9

Registri di Client Packager

Attivazione del registro per la creazione Client Packager

Procedura

1. Modificare ClnExtor.ini in <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager nel modo seguente:

[Common]

DebugMode=1

2. Controllare ClnPack.log in C:\.

Disattivazione del registro per la creazione Client Packager

Procedura

1. Aprire ClnExtor.ini.

2. Modificare il valore "DebugMode" da 1 a 0.

Registri di segnalazioni della conformità sicurezza

Per ottenere informazioni dettagliate sulla conformità di sicurezza, raccogliere leinformazioni seguenti:

• Nome file: RBAUserProfile.ini

Percorso: <Cartella di installazione del server>\PCCSRV\Private\AuthorStore\

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Log\Security Compliance Report.



17-10

Registri di gestione server esterni

• Nome file: ofcdebug.log



• Tutti i file in <Cartella di installazione del server>\PCCSRV\Log\Outside Server Management Report\.

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

• dbClientInfo.cdx

• dbclientInfo.dbf


Registri di eccezioni di Controllo dispositivo

Per ottenere informazioni dettagliate sulle eccezioni di Controllo dispositivo, raccoglierele informazioni seguenti:

• Nome file: ofcscan.ini

Percorso: <Cartella di installazione del server>\

• Nome file: dbClientExtra.dbf


• Elenco di eccezioni di Controllo dispositivo della console Web OfficeScan.

Registri di reputazione Web

Nome file: diagnostic.log


17-11

Percorso: <Cartella di installazione del server>\PCCSRV\LWCS\

Registri dello Strumento di migrazione di server normaliServerProtect

Per attivare il registro di debug per lo strumento di migrazionedel server normale ServerProtect

Procedura

1. Creare un file con il seguente contenuto e denominarlo ofcdebug.ini:

[Debug]

DebugLog=C:\ofcdebug.log

DebugLevel=9

2. Salvare il file in C:\.

3. Controllare ofcdebug.log in C:\.

NotaPer disattivare il registro di debug, eliminare il file ofcdebug.ini.

Registri VSEncrypt

OfficeScan crea automaticamente il registro di debug (VSEncrypt.log) nella cartellatemporanea dell'account dell'utente. Ad esempio, C:\Documents and Settings\<Nome utente>\Impostazioni locali\Temp.

Registri di MCP Agent di Control Manager

Eseguire il debug dei file in <Cartella di installazione del server>\PCCSRV\CMAgent.

• Agent.ini


17-12

• Product.ini

• Schermata della pagina di impostazioni Control Manager

• ProductUI.zip

Attivazione del registro di debug per l'MCP Agent

Procedura

1. Modificare product.ini in <Cartella di installazione del server>\PCCSRV\CmAgentnel modo seguente:

[Debug]

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Riavviare il servizio OfficeScan Control Manager Agent da Microsoft ManagementConsole.

3. Controllare CMAgent_debug.log in C:\.

Disattivazione del registro di debug per l'MCP Agent

Procedura

1. Aprire il file product.ini ed eliminare le seguenti righe:

debugmode = 3

debuglevel= 3

debugtype = 0


17-13

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Riavviare il servizio Control Manager di OfficeScan.

Registri del Motore di scansione virus

Attivazione del registro di debug per il Motore di scansione virus

Procedura

1. Aprire l'editor del Registro di sistema (regedit.exe).

2. Accedere a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMFilter\Parameters.

3. Impostare il valore di "DebugLogFlags" su "00003eff".

4. Rieffettuare i passaggi che hanno condotto al problema di scansione riscontrato.

5. Controllare TMFilter.log in %windir%.

Nota

Disattivare il registro di debug reimpostando il valore di "DebugLogFlags" su"00000000".

Registri di virus/minacce informatiche

Nome file:

• dbVirusLog.dbf

• dbVirusLog.cdx



17-14

Registri di spyware/grayware

Nome file:

• dbSpywareLog.dbf

• dbSpywareLog.cdx


Registri infezioni

Registri delle infezioni da violazione del firewall attuali

Nome file: Cfw_Outbreak_Current.log

Percorso: <Cartella di installazione del server>\PCCSRV\Log\

Registri delle ultime infezioni da violazione del firewall

Nome file: Cfw_Outbreak_Last.log


Registri delle infezioni da virus/minacce informatiche attuali

Nome file: Outbreak_Current.log


Registri delle ultime infezioni da virus/minacce informatiche

Nome file: Outbreak_Last.log


Registri delle infezioni dovute a spyware/grayware attuali

Nome file: Spyware_Outbreak_Current.log


17-15


Registri delle ultime infezioni dovute a spyware/grayware

Nome file: Spyware_Outbreak_Last.log


Registri del supporto Virtual Desktop

• Nome file: vdi_list.ini

Percorso: <Cartella di installazione del server>\PCCSRV\TEMP\

• Nome file: vdi.ini


• Nome file: ofcdebug.txt

Percorso: <Cartella di installazione del server>\PCCSRV\

Per generare ofcdebug.txt, attivare il registro di debug. Per istruzioni su comeattivare il registro di debug, vedere Attivazione del registro di debug a pagina 17-4.

Registri dei client OfficeScan

Utilizzare i registri dei client OfficeScan (ad esempio i registri di debug) per risolvere iproblemi relativi ai client OfficeScan.

AVVERTENZA!

I registri di debug possono influenzare le prestazioni del client e occupare una significativaquantità di spazio su disco. Attivare i registri di debug solo quando è necessario edisattivarli immediatamente quando i dati di debug non sono più necessari. Quando ladimensione del file di registro diventa notevole, è opportuno eliminare tale file.


17-16

Registri di debug del client OfficeScan con LogServer.exe

Attivazione del registro di debug per il client OfficeScan

Procedura

1. Creare un file con il seguente contenuto e denominarlo ofcdebug.ini:

[Debug]

Debuglog=C:\ofcdebug.log

debuglevel=9

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

2. Inviare il file ofcdebug.ini agli utenti dei client e indicare che deve esseresalvato in C:\.

NotaLogServer.exe viene eseguito automaticamente a ogni avvio del computer clientOfficeScan. L'utente NON deve chiudere la finestra di comando LogServer.exe che siapre all'avvio del computer; in caso contrario OfficeScan interromperà laregistrazione del debug. Nel caso in cui l'utente abbia chiuso la finestra di comando,può riavviare la registrazione del debug avviando LogServer.exe situato in<Cartella di installazione del client>.

3. Per ogni computer client OfficeScan, controllare il file ofcdebug.log in C:\.

NotaPer disattivare il registro di debug per il client OfficeScan, è sufficiente eliminare il fileofcdebug.ini.


17-17

Registri installazioni da zero

Nome file: OFCNT.LOG

Percorsi:

• %windir% per tutti i metodi di installazione utilizzati eccetto che per il pacchettoMSI

• %temp% per il metodo di installazione con il pacchetto MSI

Registri aggiornamenti e hot fix

Nome file: upgrade_yyyymmddhhmmss.log

Percorso: <Cartella di installazione del client>

Registri Damage Cleanup Services

Attivazione del registro di debug per Damage Cleanup Services

Procedura

1. Aprire TSC.ini in <Cartella di installazione del client>.

2. Modificare la seguenti linea nel modo seguente:

DebugInfoLevel=3

3. Controllare TSCDebug.log in <Cartella di installazione delclient>\debug.

Disattivazione del registro di debug per Damage CleanupServices

Aprire TSC.ini e modificare il valore "DebugInfoLevel" da 3 a 0.


17-18

Registro di disinfezione

Nome file: yyyymmdd.log

Percorso: <Cartella di installazione del client>\report\

Registri della scansione e-mail

Nome file: SmolDbg.txt


Registri ActiveUpdate

• Nome file: Update.ini


• Nome file: TmuDump.txt

Percorso: <Cartella di installazione del client>\AU_Log\

Registri delle connessioni client OfficeScan

Nome file: Conn_AAAAMMGG.log

Percorso: <Cartella di installazione del client>\ConnLog

Registri aggiornamenti client OfficeScan

Nome file: Tmudump.txt

Percorso: <Cartella di installazione del client>\AU_Data\AU_Log


17-19

Come ottenere informazioni dettagliate sull'aggiornamento delclient OfficeScan

Procedura

1. Creare un file nominato aucfg.ini con il seguente contenuto:

[Debug]

level=-1

[Downloader]

ProxyCache=0

2. Salvare il file in <Cartella di installazione del client>.

3. Ricaricare il client OfficeScan.

Nota

Per interrompere la raccolta delle informazioni di aggiornamento del client dettagliate,eliminare il file aucfg.ini ricaricando il client OfficeScan.

Registri prevenzione delle infezioni

Nome file: OPPLogs.log

Percorso: <Cartella di installazione del client>\OppLog

Registro di ripristino della prevenzione delle infezioni

Nomi dei file:

• TmOPP.ini

• TmOPPRestore.ini

Percorso: <Cartella di installazione del client>\


17-20

Log del firewall OfficeScan

Attivazione del registro di debug per il Driver comune Firewallsui computer con Windows Vista/Server 2008/7/Server 2012/8

Procedura

1. Modificare i seguenti valori del registro:

CHIAVE DI REGISTRO VALORI

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmwfp\Parameters

Tipo: valore DWORD (REG_DWORD)

Nome: DebugCtrl

Valore: 0x00001111

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmlwf\Parameters

Tipo: valore DWORD (REG_DWORD)

Nome: DebugCtrl

Valore: 0x00001111

2. Riavviare il computer.

3. Controllare i file wfp_log.txt e lwf_log.txt in C:\.

Attivazione del registro di debug per il Driver comune Firewallsui computer con Windows XP e Windows Server 2003

Procedura

1. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmcfw\Parameters:

• Tipo: valore DWORD (REG_DWORD)

• Nome: DebugCtrl

• Valore: 0x00001111


17-21


3. Controllare cfw_log.txt in C:\.

Disattivazione del registro di debug per il Driver comune firewall(tutti i sistemi operativi)

Procedura

1. Eliminare il valore "DebugCtrl" nella chiave di registro.


Attivazione del registro di debug per il servizio firewal NTOfficeScan

Procedura

1. Modificare TmPfw.ini nella <Cartella di installazione del client> nel modo seguente:

[ServiceSession]

Enable=1

2. Ricaricare il client.

3. Controllare ddmmyyyy_NSC_TmPfw.log in C:\temp.

Disattivazione del registro di debug per il servizio firewal NTOfficeScan

Procedura

1. Aprire TmPfw.ini e modificare il valore "Attiva" da 1 a 0.


17-22


Registri della reputazione Web e della scansione e-mailPOP3

Per attivare il registro di debug per la funzionalità di ReputazioneWeb e scansione e-mail POP3

Procedura

1. Modificare TmProxy.ini in <Cartella di installazione del client> come segue:

[ServiceSession]

Enable=1

LogFolder=C:\temp


3. Controllare ddmmyyyy_NSC_TmProxy.log in C:\temp.

Per disattivare il registro di debug per la funzionalità di Reputazione Web escansione e-mail POP3

Procedura

1. Aprire TmProxy.ini e modificare il valore "Enable" da 1 a 0.


Registri di elenchi di eccezioni di Controllo dispositivo

Nome file: DAC_ELIST

Percorso: <Cartella di installazione del client>\


17-23

Registri di debug Protezione dati

Attivazione del registro di debug per il modulo Protezione dati

Procedura

1. Richiedere il file logger.cfg all'assistenza tecnica.

2. Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: Stringa

• Nome: debugcfg

• Valore: C:\Log\logger.cfg

3. Creare una cartella denominata “Log” nella directory C:\

4. Copiare logger.cfg nella cartella “Log”.

5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivodella console Web per avviare la raccolta dei registri.

Nota

Per disattivare il registro di debug per Protezione dati, eliminare debugcfg nella chiave diregistro e riavviare il computer.

Registri eventi di Windows

Visualizzatore eventi di Windows registra gli eventi delle applicazioni riusciti, ad esempiol'accesso o la modifica delle impostazioni dell'account.

Procedura

1. Effettuare una delle seguenti operazioni.


17-24

• Fare clic su Avvia > Pannello di controllol > Prestazioni e manutenzione> Strumenti amministrativi > Gestione computer.

• Aprire la MMC contenente lo snap-in Visualizzatore eventi.

2. Fare clic su Visualizzatore eventi.

Registri di Transport Driver Interface (TDI)

Attivazione del registro di debug per TDI

Procedura

1. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\tmtdi\Parameters:

PARAMETRO VALORI

Chiave 1 Tipo: valore DWORD (REG_DWORD)

Nome: Debug

Valore: 1111 (Esadecimale)

Chiave 2 Tipo: Valore stringa (REG_SZ)

Nome: LogFile

Valore: C:\tmtdi.log


3. Controllare tmtdi.log in C:\.

Nota

Per disattivare il registro di debug per TDI, eliminare Debug e LogFile nella chiave diregistro e riavviare il computer.


17-25

Come contattare l'assistenza tecnicaTrend Micro fornisce a tutti gli utenti registrati assistenza tecnica, pattern diaggiornamento e aggiornamenti del programma per un periodo di un anno, trascorso ilquale è necessario acquistare un rinnovo di manutenzione. Per assistenza o domande,contattare il supporto tecnico. Qualsiasi commento dell'utente è gradito.

Uffici di assistenza nel mondo:

http://www.trendmicro.com/support

Documentazione dei prodotti Trend Micro

http://docs.trendmicro.com/it-it/home.aspx

ContattiIn Italia è possibile contattare gli addetti di Trend Micro via telefono, fax o e-mail:

Trend Micro, Inc. 10101 North De Anza Blvd., Cupertino, CA 95014

Telefono: +1 (800) 228-5651 (vendite) casella vocale: +1 (408) 257-1500 (centralino)Fax: +1 (408) 257-2003

Sito Web: www.trendmicro-europe.com

E-mail: [email protected]

Semplificazione della chiamata all'assistenza tecnicaQuando si contatta l'assistenza tecnica, per accelerare la risoluzione del problemaassicurarsi di avere a disposizione i dettagli riportati di seguito:

• Versioni di Microsoft Windows e Service Pack

• Tipo di rete

• Marca e modello del computer ed eventuale hardware aggiuntivo collegato al PC

• Quantità di memoria e di spazio libero su disco disponibili sul computer

http://www.trendmicro.com/support

http://docs.trendmicro.com/it-it/home.aspx


17-26

• Descrizione dettagliata dell'ambiente di installazione

• Testo esatto di eventuali messaggi di errore visualizzati

• Passaggi che hanno causato il problema

Knowledge Base di Trend MicroLa Knowledge Base presente sul sito Web di Trend Micro contiene le risposte piùaggiornate alle domande degli utenti sul prodotto. Se non si riesce a trovare una rispostanella documentazione fornita con il prodotto, è possibile utilizzare la Knowledge Baseper inviare domande specifiche. Per accedere alla Knowledge Base utilizzare l'indirizzo:

http://esupport.trendmicro.com/en-us/enterprise/default.aspx

Trend Micro aggiorna costantemente i contenuti della Knowledge Base e aggiungequotidianamente nuove soluzioni. Se non si riesce a trovare una risposta, è possibiledescrivere il problema in un messaggio e-mail e spedirlo direttamente all'assistenzatecnica di Trend Micro per consentire ulteriori indagini e ricevere una rispostatempestiva.

TrendLabs

TrendLabsSM è il centro globale per la ricerca antivirus e l'assistenza di Trend Micro.Distribuito su tre continenti, TrendLabs è composto da oltre 250 ricercatori e tecnici chesono impegnati 24 ore su 24 per fornire a tutti i clienti Trend Micro l'assistenzanecessaria.

TrendLabs offre i seguenti servizi post vendita:

• Aggiornamenti regolari dei virus pattern per tutti i virus e codici maligni dalaboratorio o in circolazione conosciuti.

• Assistenza di emergenza per le infezioni virali.

• Accesso via e-mail ai tecnici antivirus.

• Knowledge Base, il database online di Trend Micro per l'assistenza tecnica.

TrendLabs ha ottenuto la certificazione di qualità ISO 9002.

http://esupport.trendmicro.com/en-us/enterprise/default.aspx


17-27

Centro informazioni sulla sicurezzaIl sito Web di Trend Micro contiene informazioni approfondite sulla sicurezza:

• Elenco di virus e codici mobili dannosi attualmente attivi e in circolazione

• Messaggi burla sulla presenza di virus

• Avvisi sulle minacce Internet

• Rapporto settimanale sui virus

• Enciclopedia dei virus di Trend Micro, contenente un elenco completo dei nomi edei sintomi dei virus noti e del codice mobile dannoso.

• Glossario

• http://www.trendmicro.com/vinfo/it/virusencyclo/default.asp

Riscontri sulla documentazioneTrend Micro si impegna continuamente a migliorare la propria documentazione. Perdomande, commenti o suggerimenti riguardanti questo o qualsiasi documento TrendMicro, visitare il seguente sito:




A-1

Appendice A

Supporto IPv6 in OfficeScanLa lettura di questa appendice è necessaria per gli utenti che intendono implementareOfficeScan in un ambiente che supporta l'indirizzamento IPv6. Questa appendicecontiene informazioni sull'entità del supporto IPv6 in OfficeScan.

Trend Micro presume che il lettore conosca bene i concetti IPv6 e le attività richieste perimpostare una rete che supporta l'indirizzamento IPv6.


A-2

Supporto IPv6 per server OfficeScan e clientIl supporto IPv6 per OfficeScan è stato introdotto nella versione 10.6. Nelle versioniprecedenti di OfficeScan, l'indirizzamento IPv6 non era supportato. Il supporto IPv6viene attivato automaticamente dopo l'installazione o l'aggiornamento della versione delserver OfficeScan e dei client OfficeScan che soddisfano i requisiti IPv6.

Requisiti del server OfficeScan

Di seguito sono elencati i requisiti IPv6 per il server OfficeScan:

• Il server deve essere installato su Windows Server 2008 o Windows Server 2012.Non è possibile installarlo su Windows Server 2003 in quanto tale sistemaoperativo supporta solo parzialmente l'indirizzamento IPv6.

• Il server deve usare un server Web IIS. Il server Apache Web non supportal'indirizzamento IPv6.

• Se il server deve gestire client OfficeScan IPv4 e IPv6, deve disporre siadell'indirizzo IPv4 che IPv6 e deve essere identificato tramite il nome host. Se ilserver viene identificato tramite il suo indirizzo IPv4, i client OfficeScan IPv6 nonpossono collegarsi al server. Lo stesso problema si verifica se client IPv4 puri sicollegano a un server identificato tramite il suo indirizzo IPv6.

• Se il server deve gestire solo client IPv6, il requisito minimo è un indirizzo IPv6. Ilserver può essere identificato tramite il nome host o l'indirizzo IPv6. Se il serverviene identificato tramite il nome host, è preferibile utilizzare il suo nome didominio completo (FQDN). Infatti, in un ambiente IPv6 puro, un server WINSnon può tradurre un nome host nel suo corrispondente indirizzo IPv6.

Nota

Il nome di dominio completamente qualificato (FQDN) può essere specificato soloquando si esegue un'installazione locale del server. Non è supportato sulleinstallazioni remote.

Supporto IPv6 in OfficeScan

A-3

Requisiti del client OfficeScanIl client OfficeScan deve essere installato su:

• Windows 7

• Windows Server 2008

• Windows Vista

• Windows 8

• Windows Server 2012

Non è possibile installarlo su Windows Server 2003 e Windows XP, in quanto talisistemi operativi supportano solo parzialmente l'indirizzamento IPv6.

Preferibilmente, un client OfficeScan dovrebbe disporre di indirizzi IPv4 e IPv6, inquanto alcune delle entità alle quale si connette supportano solo l'indirizzamento IPv4.

Limitazioni del server IPv6 puroLa tabella seguente elenca le limitazioni che si applicano ai server OfficeScan dotati solodi indirizzo IPv6.

TABELLA A-1. Limitazioni del server IPv6 puro

ELEMENTO LIMITAZIONE

Gestione client Un server IPv6 puro non è in grado di:

• Implementare i client OfficeScan negli endpoint IPv4 puri.

• Gestire i client OfficeScan IPv4 puri.


A-4


Aggiornamenti egestionecentralizzata

Un server IPv6 puro non è in grado di eseguire l'aggiornamento daorigini IPv4 pure, come:




NotaIl supporto IPv6 per Control Manager è stato introdottonella versione 5.5 SP1.


Registrazione delprodotti,attivazione erinnovo

Un server IPv6 puro non è in grado di connettersi al server per laregistrazione online di Trend Micro per registrare il prodotto, ottenerela licenza e attivare o rinnovare la licenza.

Connessioneproxy

Un server IPv6 puro non è in grado di stabilire la connessioneattraverso un server proxy IPv4 puro.

Soluzioni plug-in Un server IPv6 puro dispone di Plug-In Manager, ma non è in gradodi implementare le soluzioni plug-in su:

• Client OfficeScan IPv4 puri o host IPv4 puri (a causadell'assenza di una connessione diretta).

• I client OfficeScan IPv6 puri o gli host IPv6 puri in quantonessuna delle soluzioni plug-in supporta IPv6.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate).Posizionare il server proxy tra il server OfficeScan e le entità alle quali si connette o cheserve.

Limitazioni del client OfficeScan IPv6 puroLa tabella seguente elenca le limitazioni che si applicano a un client OfficeScan dotatosolo di indirizzo IPv6.


A-5

TABELLA A-2. Limitazioni del client OfficeScan IPv6 puro


Server OfficeScanprincipale

I client OfficeScan IPv6 puri non possono essere gestiti da unserver OfficeScan IPv4 puro.

Aggiornamenti Un client OfficeScan IPv6 puro non è in grado di eseguirel'aggiornamento da origini IPv4 pure, come:



• Un Update Agent IPv4 puro

• Qualsiasi origine aggiornamenti personalizzata IPv4pura

Query di scansione,query di reputazioneWeb e Smart Feedback

Un client OfficeScan IPv6 puro non è in grado di inviarequery a origini Smart Protection, come:


NotaIl supporto IPv6 per Smart Protection Server èstato introdotto nella versione 2.5.

• Trend Micro Smart Protection Network (anche per SmartFeedback)

Sicurezza del software I client OfficeScan IPv6 puri non sono in grado di connettersial Servizio Certified Safe Software di Trend Micro.

Soluzioni plug-in I client OfficeScan IPv6 puri non sono in grado di installare lesoluzioni plug-in, in quanto nessuna di queste supporta IPv6.

Programmi I client OfficeScan IPv6 puri non sono in grado di installare iseguenti programmi, in quanto questi non supportano IPv6:

• Cisco Trust Agent

• Supporto Check Point SecureClient

Connessione proxy Un client OfficeScan IPv6 puro non è in grado di stabilire laconnessione attraverso un server proxy IPv4 puro.


A-6

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate).Posizionare il server proxy tra i client OfficeScan e le entità alle quali si connettono.

Configurazione indirizzi IPv6La console Web consente di configurare un indirizzi IPv6 o un intervallo di indirizziIPv6. Di seguito sono riportate alcune istruzioni per la configurazione.

• OfficeScan accetta presentazioni di indirizzi IPv6 standard.

Ad esempio:

2001:0db7:85a3:0000:0000:8a2e:0370:7334

2001:db7:85a3:0:0:8a2e:370:7334

2001:db7:85a3::8a2e:370:7334

::ffff:192.0.2.128

• OfficeScan accetta inoltre indirizzi IPv6 con collegamento locale, come:

fe80::210:5aff:feaa:20a2

AVVERTENZA!

Quando si specifica un indirizzo IPv6 con collegamento locale è necessario essereprudenti in quanto, anche se OfficeScan accetta l'indirizzo, potrebbe non funzionarecome previsto in determinate circostanze. Ad esempio, non è possibile aggiornare iclient OfficeScan dall'origine aggiornamenti se l'origine si trova in un altro segmentodi rete ed è identificata dal corrispondente indirizzo IPv6 con collegamento locale.

• Quando l'indirizzo IPv6 è incluso in un URL, racchiuderlo tra parentesi quadre ([]).

• Per gli intervalli di indirizzi IPv6, generalmente sono necessari un prefisso e unalunghezza di prefisso. Per le configurazioni in cui il server esegue query degliindirizzi IP, si applicano le limitazioni della lunghezza del prefisso per evitare che siverifichino problemi di prestazioni quando il server esegue query su un numeroelevato di indirizzi IP. Ad esempio, per la funzione Gestione server esterni, la


A-7

lunghezza del prefisso deve essere compresa tra 112 (65.536 indirizzi IP) e 128 (2indirizzi IP).

• Alcune impostazioni relative agli indirizzi o agli intervalli di indirizzi IPv6 vengonoimplementate sui client OfficeScan, ma i client OfficeScan le ignorano. Adesempio, se è stato configurato l'elenco delle origini Smart Protection ed è inclusouno Smart Protection Server identificato da corrispondente indirizzo IPv6, i clientOfficeScan IPv4 puri ignoreranno il server e si collegheranno alle altre originiSmart Protection.

Schermate che visualizzano gli indirizzi IPIn questa argomento sono enumerate le posizioni della console Web in cui sonovisualizzati gli indirizzi IP.

• Struttura client

Nella struttura client, gli indirizzi IPv6 dei client OfficeScan IPv6 puri sonovisualizzati sotto la colonna Indirizzo IP. Per i client OfficeScan dual-stack, gliindirizzi IPv6 sono visualizzati se sono stati utilizzati per effettuare la registrazioneal server.

NotaÈ possibile controllare l'indirizzo IP utilizzato dai client OfficeScan dual-stack per laregistrazione al server da Computer collegati in rete > Impostazioni clientglobali > Indirizzo IP preferito.

Quando si esportano le impostazioni della struttura client in un file, gli indirizziIPv6 sono presenti anche nel file esportato.

• Stato client

Informazioni dettagliate sul client sono disponibili accedendo a Computercollegati in rete > Gestione client > Stato. In questa schermata, sonovisualizzati gli indirizzi IPv6 dei client OfficeScan IPv6 puri e dei client OfficeScandual-stack che hanno usato gli indirizzi IPv6 per la registrazione al server.

• Registri


A-8

Gli indirizzi IPv6 dei client OfficeScan dual-stack e IPv6 puri sono visualizzati neiseguenti registri:

• Registri di virus/minacce informatiche



• Registri di verifica connessione

• Console di Control Manager

Nella tabella seguente sono indicati quali indirizzi IP dei client OfficeScan e delserver OfficeScan sono visualizzati sulla console di Control Manager.

TABELLA A-3. Indirizzi IP del client OfficeScan e del server OfficeScanvisualizzati sulla console di Control Manager

OFFICESCANCONTROLLO MANAGERVERSION

5.5 SP1 5.5 5.0

Server dual-stack IPv4 e IPv6 IPv4 IPv4

Server IPv4 puro IPv4 IPv4 IPv4

Server IPv6 puro IPv6 Non supportato Non supportato

Client OfficeScandual-stack

L'indirizzo IPutilizzato per laregistrazione delclient OfficeScanal serverOfficeScan



Client OfficeScanIPv4 puro

IPv4 IPv4 IPv4

Client OfficeScanIPv4 puro

IPv6 IPv6 IPv6

B-1

Appendice B

Supporto per Windows Server Core2008/2012

In questa appendice sono riportate le informazioni relative al supporto di OfficeScan perWindows Server Core 2008/2012.


B-2

Supporto per Windows Server Core 2008/2012Windows Server Core 2008/2012 rappresentano installazioni "minime" di WindowsServer 2008/2012. In un Server Core:

• Molte delle opzioni e delle funzioni di Windows Server 2008/2012 sono rimosse.

• Il server esegue una versione del sistema operativo sensibilmente più ridotta.

• Le operazioni sono eseguite principalmente dall'interfaccia della riga di comando.

• Il sistema operativo esegue un numero inferiore di servizi e richiede meno risorsedurante l'avvio.

Il client OfficeScan supporta Server Core. Questa sezione contiene informazionisull'entità del supporto per Server Core.

Il server OfficeScan non supporta Server Core.

Metodi di installazione per Windows ServerCore

I metodi di installazione riportati di seguito non sono supportati o sono supportati soloparzialmente:

• Pagina di installazione sul Web: questo metodo non è supportato poiché ServerCore non dispone di Internet Explorer.

• Trend Micro Vulnerability Scanner: lo strumento Vulnerability Scanner non puòessere eseguito localmente su Server Core. Eseguire lo strumento dal serverOfficeScan o da un altro computer.

Sono supportati i seguenti metodi di installazione:

• Installazione remota. Per i dettagli, consultare Installazione remota dalla console WebOfficeScan a pagina 4-20.

• Impostazione script di accesso

Supporto per Windows Server Core 2008/2012

B-3

• Client Packager

Installazione del client OfficeScan usando Impostazionescript di accesso

Procedura

1. Aprire il prompt dei comandi.

2. Mappare il percorso del file AutoPcc.exe digitando il seguente comando:

net use <lettera unità mappata> \<nome host del serverOfficeScan o indirizzo IP>\ofcscan

Ad esempio:

net use P: \\10.1.1.1\ofcscan

Se il percorso di AutoPcc.exe è stato mappato correttamente, viene visualizzato unmessaggio di notifica.

3. Cambiare il percorso di AutoPcc.exe digitando la lettera dell'unità mappata e duepunti (:). Ad esempio:

P:

4. Per avviare l'installazione, digitare quanto segue:

AutoPcc.exe


B-4

L'immagine seguente mostra i comandi e i risultati sul prompt dei comandi.

FIGURA B-1. Prompt dei comandi che mostra come installare il client OfficeScanusando Impostazione script di accesso

Installazione del client OfficeScan usando il pacchettoclient OfficeScan

Procedura

1. Creare il pacchetto.

Per i dettagli, consultare Installazione con Client Packager a pagina 4-25.

2. Aprire il prompt dei comandi.

3. Mappare il percorso del pacchetto client OfficeScan digitando il seguentecomando:

net use <lettera unità mappata> \\<Percorso del pacchettoclient>

Ad esempio:


B-5

net use P: \\10.1.1.1\Package

Se il percorso del pacchetto client OfficeScan è stato mappato correttamente, vienevisualizzato un messaggio di notifica.

4. Cambiare il percorso del pacchetto client OfficeScan digitando la lettera dell'unitàmappata e due punti (:). Ad esempio:

P:

5. Copiare il pacchetto client OfficeScan in una directory locale sul computer ServerCore digitando il seguente comando:

copy <nome file pacchetto ><directory del computer ServerCore in cui si desidera copiare il pacchetto>

Ad esempio:

copy officescan.msi C:\Pacchetto client

Se il pacchetto client OfficeScan è stato copiato correttamente, viene visualizzatoun messaggio di notifica.

6. Cambiare la directory locale. Ad esempio:

C:

cd C:\Pacchetto client

7. Per avviare l'installazione, digitare il nome file del pacchetto: Ad esempio:

officescan.msi


B-6

L'immagine seguente mostra i comandi e i risultati sul prompt dei comandi.

FIGURA B-2. Prompt dei comandi che mostra come installare il client OfficeScanusando un pacchetto client

Funzioni del client OfficeScan su WindowsServer Core

La maggior parte delle funzioni del client OfficeScan disponibili su Windows Server2008/2012 funziona su Server Core. L'unica funzione non supportata è la modalitàroaming.

Per un elenco delle funzioni disponibili su Windows Server 2008/2012, vedere Funzionidel client OfficeScan a pagina 4-3.

La console del client OfficeScan è accessibile solo dall'interfaccia della riga di comando.

Nota

Alcune schermate della console client OfficeScan comprendono un pulsante Guida su cuifare clic per aprire una guida in formato HTML sensibile al contesto. Poiché WindowsServer Core 2008/2012 non dispone di browser, la Guida non sarà disponibile per l'utente.Per visualizzarla, l'utente deve installare un browser.


B-7

Comandi di Windows Server CoreAvviare la console del client OfficeScan e altre operazioni del client OfficeScan inviandoi comandi dall'interfaccia della riga di comando.

Per eseguire i comandi, accedere alla posizione di PccNTMon.exe. Questo processo èresponsabile dell'avvio della console del client OfficeScan. Il processo si trova in<Cartella di installazione del client>.

La tabella riportata di seguito comprende un elenco dei comandi disponibili.

TABELLA B-1. Comandi di Windows Server Core

COMANDO AZIONE

pccntmon Apre la console del client OfficeScan

pccnt

pccnt <percorsocartella o unità>

Esegue la scansione dell'unità o della cartella specificata perverificare la presenza di rischi per la sicurezza

Linee guida:

• Se il percorso della cartella contiene spazi, racchiuderel'intero percorso tra virgolette.

• Scansione di file singoli non supportata.

Comandi corretti:

• pccnt C:\

• pccnt D:\Files

• pccnt "C:\Documents and Settings"

Comandi non corretti:

• pccnt C:\Documents and Settings

• pccnt D:\Files\esempio.doc

pccntmon -r Apre il Monitoraggio in tempo reale

pccntmon -v Apre una schermata contenente un elenco dei componenti delclient e le rispettive versioni


B-8

COMANDO AZIONE

pccntmon -u Apre una schermata dalla quale avviare "Aggiorna ora"(aggiornamento manuale del client).

Se non è possibile avviare "Aggiorna ora", nel prompt deicomandi viene visualizzato il seguente messaggio:

Disattivato o non funzionante

pccntmon -n Apre una finestra a comparsa nella quale viene specificata unapassword per rimuovere il client

Se non è necessaria una password per rimuovere il clientOfficeScan, il processo di rimozione del client OfficeScan vieneavviato.

Per caricare nuovamente il client OfficeScan, digitare ilcomando seguente:

pccntmon

pccntmon -m Apre una finestra a comparsa nella quale viene specificata unapassword per disinstallare il client OfficeScan

Se non è necessaria una password per rimuovere il clientOfficeScan, il processo di disinstallazione del client OfficeScanviene avviato.


B-9

COMANDO AZIONE

pccntmon -c Mostra le seguenti informazioni nella riga di comando:

• Metodo di scansione

• Smart scan

• Scansione convenzionale

• Stato del pattern

• Aggiornato

• Non aggiornato

• Servizio Scansione in tempo reale

• Funzionante

• Disattivato o non funzionante

• Stato connessione client

• Online

• Roaming

• Offline

• Servizi di reputazione Web

• Disponibili

• Riconnessione

• Servizi di reputazione file

• Disponibili

• Riconnessione

pccntmon -h Mostra tutti i comandi disponibili

C-1

Appendice C

Supporto per Windows 8 e WindowsServer 2012

In questa appendice viene descritto il supporto di OfficeScan per Windows 8 eWindows Server 2012.


C-2

Informazioni su Windows 8 e Windows Server2012

Windows 8 e Windows Server 2012 offrono agli utenti due modalità operative: modalitàdesktop e modalità interfaccia utente di Windows. La modalità desktop è simile allaschermata classica di Windows con il pulsante Start.

La modalità interfaccia utente di Windows presenta un'interfaccia grafica totalmentenuova, adatta per essere utilizzata sui cellulari e sui dispositivi mobili Windows. Tra lenuove funzionalità vi sono l'interfaccia touch screen a scorrimento, i riquadri e lenotifiche di tipo avviso popup.

TABELLA C-1. Riquadri e notifiche di tipo avviso popup

CONTROLLO DESCRIZIONE

Riquadri I riquadri sono simili alle icone sul desktop utilizzate nelleversioni precedenti di Windows. L'utente seleziona unriquadro per avviare l'applicazione a esso associata.

I riquadri animati forniscono agli utenti informazioni specifichedell'applicazione che si aggiornano dinamicamente. Leapplicazioni possono pubblicare informazioni nei riquadrianche quando esse non sono in esecuzione.

Notifiche di tipo avvisopopup

Le notifiche di tipo avviso popup sono simili ai messaggipopup. Queste notifiche forniscono informazioni sensibili alivello temporale sugli eventi che si verificano durantel'esecuzione di un'applicazione. Le notifiche di tipo avvisopopup appaiono in primo piano quando Windows è in modalitàdesktop, quando viene visualizzata la schermata di blocco oquando viene eseguita un'altra applicazione.

NotaA seconda dell'applicazione, le notifiche di tipo avvisopopup potrebbero non essere visualizzate su tutte leschermate o in tutte le modalità.

Supporto per Windows 8 e Windows Server 2012

C-3

OfficeScan in modalità interfaccia utente di Windows

Nella tabella che segue viene dettagliato il supporto di OfficeScan per le funzionalitàriquadri e notifiche di tipo avviso popup nella modalità interfaccia utente di Windows.

TABELLA C-2. Supporto di OfficeScan per riquadri e notifiche di tipo avviso popup

CONTROLLO SUPPORTO DI OFFICESCAN

Riquadri OfficeScan dispone di un collegamento per gli utenti alprogramma client OfficeScan. Quando l'utente fa clic sulcollegamento, Windows passa dalla modalità desktop allavisualizzazione del programma client OfficeScan.

NotaOfficeScan non supporta i riquadri animati.

Notifiche di tipo avvisopopup

OfficeScan offre le seguenti notifiche di tipo avviso popup:

• Rilevati programmi sospetti

• Scansione pianificata

• Minaccia risolta

• È necessario riavviare il computer

• Dispositivo di archiviazione USB rilevato

• Infezione rilevata

NotaOfficeScan visualizza le notifiche di tipo avviso popupsolo nella modalità interfaccia utente di Windows.

Attivazione delle notifiche di tipo avviso popup

Gli utenti possono scegliere di ricevere notifiche di tipo avviso popup modificando leimpostazioni del PC sul computer client di OfficeScan. OfficeScan richiede chel'utente attivi manualmente le notifiche di tipo avviso popup.


C-4

Procedura

1. Spostare il puntatore del mouse sull'angolo in basso a destra dello schermo pervisualizzare la barra di accesso.

2. Fare clic su Impostazioni > Modifica impostazioni PC.

Viene visualizzata la schermata Impostazioni PC.

3. Fare clic su Notifiche.

4. Nella sezione Notifiche, impostare le seguenti opzioni su On:

• Mostra notifiche delle app

• Mostra le notifiche delle app nella schermata di blocco (facoltativo)

• Riproduci suoni delle notifiche (facoltativo)

Internet Explorer 10Internet Explorer (IE) 10 è il browser predefinito in Windows 8 e Windows Server2012. Internet Explorer 10 è disponibile in due versioni differenti: una per la nuovainterfaccia utente di Windows e una adatta alla modalità desktop.

In Internet Explorer 10 per interfaccia utente di Windows, la navigazione avviene inassenza di plug-in. I programmi plug-in utilizzati in precedenza per la navigazione Webnon si attengono ad alcuno standard prestabilito. Ne consegue che esiste una grandediversità di qualità del codice impiegato nei plug-in stessi. I plug-in inoltre richiedonouna quantità maggiore di risorse di sistema e aumentano il rischio di infezioni daminacce informatiche.

Microsoft ha sviluppato la versione di Internet Explorer 10 per interfaccia utente diWindows con l'intento di seguire le nuove tecnologie basate su standard e sostituire lesoluzioni con plug-in utilizzate precedentemente. Nella tabella seguente sono elencate letecnologie utilizzate da Internet Explorer 10 che consentono di sostituire la vecchiatecnologia a plug-in.

Supporto per Windows 8 e Windows Server 2012

C-5

TABELLA C-3. Confronto tra tecnologie basate su standard e programmi plug-in

FUNZIONALITÀTECNOLOGIA STANDARD

WORLD WIDE WEB (W3C)PLUG-IN EQUIVALENTI DI

ESEMPIO

Video e audio Video e audio HTML5 • Flash

• Apple QuickTime

• Silverlight

Grafica • Canvas HTML5

• SVG (Scalable VectorGraphics)

• Transizioni eanimazioni CSS3(Cascading Style SheetLevel 3)

• Trasformazioni CSS

• Flash

• Apple QuickTime

• Silverlight

• Applet Java

Archiviazione offline • Sistema diarchiviazione Web.

• API di file

• IndexedDB

• API Application Cache

• Flash

• Applet Java

• Google Gears

Comunicazione di rete,condivisione delle risorse,caricamento di file

• Messaggistica WebHTML

• CORS (Cross-OriginResource Sharing)

• Flash

• Applet Java

Microsoft ha sviluppato anche una versione di Internet Explorer 10 compatibile con iplug-in e destinata unicamente alla modalità desktop. Se un utente della versione per lamodalità interfaccia utente di Windows si imbatte in un sito Web che richiede l'uso di unprogramma plug-in aggiuntivo, Internet Explorer 10 visualizza una notifica che richiedeall'utente di passare alla modalità desktop. Una volta passati in modalità desktop, l'utentepuò visualizzare il sito Web che richiede l'uso o l'installazione del programma plug-in diterze parti.


C-6

Supporto della funzione OfficeScan in Internet Explorer10

La modalità che l'utente impiega per lavorare con Windows 8 o Windows Server 2012influisce sulla versione di Internet Explorer 10 utilizzata, e pertanto sul livello disupporto offerto dalle diverse funzionalità di OfficeScan. Nella tabella seguente èdettagliato il livello di supporto per le diverse funzionalità di OfficeScan nella modalitàdesktop e nella modalità interfaccia utente di Windows.

NotaLe funzionalità non elencate offrono il supporto completo in entrambe le modalitàoperative di Windows.

TABELLA C-4. Supporto della funzione OfficeScan con la modalità interfaccia utente

FUNZIONE MODALITÀ DESKTOPMODALITÀ INTERFACCIA

UTENTE DI WINDOWS

Console server Web Supporto completo Non supportato

Reputazione Web Supporto completo Supporto limitato

• Scansione del trafficoHTTPS disattivata

Firewall Supporto completo Supporto limitato

• Filtro di applicazionidisattivato

D-1

Appendice D

GlossarioI termini contenuti in questo glossario forniscono ulteriori informazioni sui terminiinformatici più comuni e sui prodotti e le tecnologie Trend Micro.


D-2

ActiveUpdateActiveUpdate è una funzione condivisa da molti prodotti Trend Micro. Collegandosi alsito Web degli aggiornamenti di Trend Micro, ActiveUpdate consente di scaricare viaInternet le versioni più recenti dei file di pattern, dei motori di scansione e dei file diprogramma.

File compressoSingolo file contenente uno o più file separati e le informazioni necessarie perl'estrazione mediante un apposito programma, come ad esempio WinZip.

CookieMeccanismo per memorizzare le informazioni relative un utente di Internet, quali ilnome, le preferenze e gli interessi; tali informazioni sono memorizzate nel browser Webper essere utilizzate successivamente. Quando un utente accede a un sito Web per ilquale nel browser è presente un cookie, il browser invia il cookie al server Web equest'ultimo lo utilizza per presentare all'utente pagine Web personalizzate. L'utente, adesempio, può ricevere un messaggio di benvenuto personalizzato contenente il proprionome.

Attacco DoS (Denial of Service)Un attacco DoS (Denial of Service) a un computer o una rete provoca una perdita di"servizio", cioè della connessione di rete. In genere, gli attacchi DoS hanno effettinegativi sull'ampiezza di banda della rete o provocano un sovraccarico delle risorse delsistema, ad esempio della memoria del computer.

Glossario

D-3

DHCPIl protocollo DHCP (Dynamic Host Control Protocol) serve ad assegnare gli indirizzi IPdinamici ai dispositivi della rete. A causa dell'assegnazione dinamica degli indirizzi, ognivolta che un dispositivo si connette alla rete può avere un indirizzo IP diverso. In alcunisistemi l'indirizzo IP del dispositivo cambia anche durante la connessione. Il protocolloDHCP supporta una combinazione di indirizzi IP statici e dinamici.

DNSIl DNS (Domain Name System) è un servizio di query di dati generico utilizzatoprincipalmente in Internet per convertire i nomi degli host in indirizzi IP.

Il termine risoluzione indica il processo secondo il quale un client DNS richiede a unserver DNS i dati relativi all'indirizzo e al nome dell'host. La configurazione DNS dibase prevede che un server esegua la risoluzione predefinita. Si prenda come esempio unserver remoto che invia a un server una query per ottenere i dati relativi a una macchinanella zona corrente. Il software client nel server remoto invia la query al resolver, cherisponde alla richiesta utilizzando i file del proprio database.

Nome dominioIl nome completo di un sistema, formato dal nome host logico e dal nome di dominio,ad esempio tellsitall.com. Un nome di dominio in genere è sufficiente perdeterminare l'indirizzo univoco di qualsiasi host presente su Internet. Questa procedura,detta "risoluzione del nome", utilizza il Domain Name System (DNS).

Indirizzo IP dinamicoUn indirizzo IP dinamico è un indirizzo IP assegnato da un server DHCP. L'indirizzoMAC di un computer non cambia ma al computer può venire assegnato un nuovoindirizzo IP dal server DHCP in base alla disponibilità.


D-4

ESMTPESMTP (Enhanced Simple Mail Transport Protocol) include la sicurezza,l'autenticazione e altri dispositivi per risparmiare l'ampiezza di banda e proteggere iserver.

Contratto di licenza per l'utente finaleIl Contratto di licenza è il contratto legale tra un produttore di software e un utente disoftware. Di solito contiene limitazioni sull'uso del prodotto da parte dell'utente; perrifiutare il contratto, non fare clic su "Accetto" durante l'installazione. Se si fa clic su"Non accetto" l'installazione del prodotto software non viene completata.

Molti utenti accettano inavvertitamente l'installazione di spyware e altri tipi di graywaresui computer quando fanno clic su "Accetto" alle richieste EULA visualizzate durantel'installazione di alcuni software gratuiti.

Falso allarmeUn falso allarme si verifica quando un software di protezione considera infetto un fileche in realtà non lo è.

FTPFTP (File Transfer Protocol) è un protocollo standard utilizzato per il trasferimento difile da un server a un client tramite Internet. Per ulteriori informazioni, consultare ildocumento RFC 959 del Network Working Group.

GeneriCleanGeneriClean, conosciuta anche come disinfezione dei riferimenti, è una nuovatecnologia per la disinfezione dei virus e delle minacce che funziona anche in assenza dei

Glossario

D-5

componenti di disinfezione virale. Utilizzando un file rilevato come base, GeneriCleandetermina se al file rilevato corrispondono un processo/servizio in memoria e una vocedi registro e li rimuove direttamente.

Hot fixUna hot fix è un accorgimento o una soluzione a un problema specifico riscontrato dagliutenti. Le hot fix sono specifiche per determinati problemi e pertanto non vengonodistribuiti a tutti i clienti. Le hot fix Windows comprendono un programma diinstallazione a differenza delle hot fix non Windows che non lo comprendono (di solitoè necessario interrompere i daemon, copiare il file per sovrascriverne la contropartenell'installazione personale e riavviare i daemon).

Per impostazione predefinita, i client OfficeScan sono in grado di installare le hot fix. Senon si desidera che i client OfficeScan installino le hotfix, modificare le impostazioni diaggiornamento del client tramite la console Web, da Computer collegati in rete >Gestione client, Impostazioni > Privilegi e altre impostazioni > Altreimpostazioni.

Se non si riesce a implementare correttamente una hot fix nel server OfficeScan,utilizzare Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questoconsente a OfficeScan di interpretare il file hot fix come nuovo elemento per cui ilserver tenta nuovamente di implementarlo automaticamente. Per maggiori dettagli suquesto strumento, vedere Esecuzione di Touch Tool per le hot fix del client OfficeScan a pagina5-52.

HTTPHTTP (HyperText Transfer Protocol) è un protocollo standard utilizzato per iltrasferimento di pagine Web (inclusi grafica e contenuti multimediali) da un server a unclient tramite Internet.


D-6

HTTPSSi riferisce al protocollo HTTP (Hypertext Transfer Protocol) che utilizza il protocollodi sicurezza SSL (Secure Socket Layer). Il protocollo HTTPS è una variante delprotocollo HTTP utilizzata per gestire le transazioni sicure.

ICMPTalvolta un gateway o un host di destinazione utilizza il protocollo ICMP (InternetControl Message Protocol) per comunicare con un host di origine, ad esempio persegnalare un errore nell'elaborazione dei datagrammi. Il protocollo ICMP utilizza ilsupporto di base IP come se si trattasse di un protocollo di livello superiore; di fattoICMP è parte integrante del protocollo IP e viene implementato da tutti i moduli IP. Imessaggi ICMP vengono inviati in diverse situazioni: ad esempio, quando undatagramma non è in grado di raggiungere la propria destinazione, quando il gatewaynon dispone di una capacità di memorizzazione nel buffer sufficiente ad inoltrare undatagramma e quando il gateway può indirizzare l'host affinché invii il trafficoutilizzando un percorso più breve. Il protocollo IP non è progettato per essereinteramente affidabile. Lo scopo di questi messaggi di controllo consiste nel fornire unriscontro sui problemi relativi all'ambiente di comunicazione e non nel rendere l'IPaffidabile.

IntelliScanIntelliScan è un metodo di identificazione dei file da analizzare. Per i file eseguibili (adesempio .exe), il tipo di file effettivo viene determinato in base al suo contenuto. Per ifile non eseguibili (ad esempio .txt), il tipo di file effettivo viene determinato in baseall'intestazione del file.

L'utilizzo di IntelliScan offre i vantaggi illustrati di seguito.

• Ottimizzazione delle prestazioni: IntelliScan non influisce sulle applicazioni delclient perché utilizza risorse di sistema minime.

• Periodo di scansione più breve: IntelliScan utilizza l'identificazione del tipo di fileeffettivo; sottopone a scansione solo i file che sono vulnerabili alle infezioni. Il

Glossario

D-7

tempo di scansione risulta quindi sensibilmente ridotto rispetto alla scansione ditutti i file.

IntelliTrapGli sviluppatori di virus spesso cercano di aggirare i filtri antivirus utilizzando algoritmidi compressione in tempo reale. IntelliTrap contribuisce a ridurre il rischio che tali viruspenetrino nelle reti bloccando i file contenenti file eseguibili compressi in tempo reale eabbinandoli alle caratteristiche di altre minacce informatiche. Poiché IntelliTrapidentifica i file come rischi per la sicurezza e potrebbe erroneamente bloccare file sicuri,è opportuno mettere in quarantena (non eliminare né disinfettare) i file quando si attivaIntelliTrap. Se gli utenti si scambiano regolarmente file eseguibili compressi in temporeale, occorre disattivare IntelliTrap.

IntelliTrap utilizza i seguenti componenti:

• Motore di scansione virus

• Pattern IntelliTrap


IP"Il protocollo IP (Internet Protocol) provvede alla trasmissione di blocchi di datichiamati datagrammi dall'origine alla destinazione, laddove per origine e destinazione siintendono host identificati da indirizzi di lunghezza fissa." (RFC 791)

File JavaJava è un linguaggio di programmazione di uso generico sviluppato da SunMicrosystems. Un file Java è un file che contiene codice Java. Il linguaggio Java supportala programmazione per Internet attraverso le "applet" Java indipendenti dallapiattaforma. Un'applet Java è un programma scritto in linguaggio Java e che può essereincluso in una pagina HTML. Quando si utilizza un browser compatibile con tecnologia


D-8

Java per visualizzare una pagina contenente un'applet, l'applet trasferisce il codice alcomputer e la Java Virtual Machine del browser esegue l'applet.

LDAPIl protocollo LDAP (Lightweight Directory Access Protocol) è un protocollo diapplicazione per inviare query e modificare i servizi di directory utilizzando TCP/IP.

Porta di ascoltoLa porta di ascolto è utilizzata per le richieste di connessione ai client al fine discambiare dati.

MCP AgentTrend Micro Management Communication Protocol (MCP) è l'agent di prossimagenerazione di Trend Micro per i prodotti gestiti. MCP sostituisce Trend MicroManagement Infrastructure (TMI) per la comunicazione tra Control Manager eOfficeScan. MCP ha diverse nuove funzioni:

• Carico di rete e dimensioni pacchetti ridotti

• Supporto traversale NAT e firewall

• Supporto HTTPS

• Supporto di comunicazione a una via e a due vie

• Supporto SSO (Single Sign-On)

• Supporto nodo cluster

Glossario

D-9

Minaccia di tipo mistoLe minacce di tipo misto sfruttano vari punti di accesso e vulnerabilità delle retiaziendali. Alcuni esempi di questo tipo di minacce sono "Nimda" e "CodeRed".

NATNAT (Network Address Translation) è uno standard per convertire gli indirizzi IP sicuriin indirizzi IP registrati, esterni e temporanei di un pool di indirizzi. Ciò consente allereti affidabili con indirizzi IP assegnati privatamente di avere accesso a Internet. Diconseguenza non è necessario ottenere un indirizzo IP registrato per ogni macchinadella rete.

NetBIOSNetBIOS (Network Basic Input Output System) è un'API che aggiunge funzionalitàquali capacità di rete al BIOS del DOS.

Comunicazione unidirezionaleL'attraversamento NAT è diventato un problema sempre più significativo nell'odiernarealtà degli ambienti di rete. Per risolvere questo problema, MCP utilizza unacomunicazione unidirezionale. La comunicazione a una via si realizza tramite l'MCPAgent che da una parte avvia la connessione al server e dall'altra effettua il polling deicomandi sempre dal server. Ogni richiesta è una query di comando di tipo CGI o unatrasmissione di registro. Per ridurre l'impatto sulla rete, l'MCP Agent mantiene attiva laconnessione e la apre al massimo. Una richiesta successiva utilizza una connessioneaperta esistente. Se la connessione si interrompe, tutte le connessioni SSL dello stessohost utilizzeranno la cache dell'ID di sessione e questo ridurrà i tempi di riconnessione.


D-10

PatchLa patch è un gruppo di hot fix e patch di protezione che risolve vari problemi di unprogramma. Trend Micro rende disponibili le patch regolarmente. Le patch Windowsincludono un programma di installazione al contrario delle patch non Windows che disolito dispongono di uno script di installazione.

Attacco di phishingIl phishing è una forma di frode in rapida ascesa che consiste nell'ingannare gli utentiWeb spingendoli a divulgare informazioni riservate tramite siti Web falsi che imitano sitilegittimi.

In una situazione tipo, l'utente ignaro riceve un messaggio e-mail urgente (dall'aspettoufficiale) che lo informa di un problema verificatosi con il suo account, da risolvereimmediatamente pena la chiusura dell'account stesso. Il messaggio e-mail comprende unURL di un sito Web simile a quello autentico. Il messaggio ingannevole viene realizzatocopiando un indirizzo e-mail ed un sito Web autentico e cambiando il back-end chericeve i dati raccolti.

Il messaggio invita l'utente ad accedere al sito e a confermare alcune informazionirelative all'account. In questo modo, l'hacker che ha creato il falso sito ricevedirettamente i dati inseriti dall'utente come il suo nome utente, la password, il numerodella carta di credito o il codice fiscale.

Il phishing è rapido, economico e facile da realizzare. Potenzialmente, è anche alquantoredditizio per i criminali che lo praticano. Rilevare il phishing è difficile anche per gliutenti più esperti. È difficile rintracciarlo anche per le forze dell'ordine. E per di più èquasi impossibile perseguirlo per legge.

È possibile segnalare a Trend Micro eventuali siti Web che si sospetta siano siti diphishing.

Glossario

D-11

PingPing è un'utilità che invia una richiesta echo ICMP a un indirizzo IP e attende unarisposta. L'utilità ping può determinare se il computer con l'indirizzo IP specificato èonline.

POP3POP3 (Post Office Protocol) è un protocollo standard utilizzato per la memorizzazionee il trasferimento di messaggi e-mail da un server a un'applicazione client di postaelettronica.

Server proxyUn server proxy è un server World Wide Web che accetta URL dotati di un appositoprefisso, utilizzato per recuperare documenti da una cache locale o da un server remotoe per ritrasmettere l'URL al richiedente.

RPCRPC (Remote Procedure Call) è un protocollo di rete che consente di eseguire unprogramma su un host per fare in modo che il codice sia eseguito su un altro host.

Patch di protezioneUna patch di protezione risolve i problemi di sicurezza e può essere implementata sututti i clienti. Le patch di protezione Windows includono un programma di installazioneal contrario delle patch non Windows che di solito dispongono di uno script diinstallazione.


D-12

Service PackUn service pack è un consolidamento di hot fix, patch e miglioramenti alle funzioni ed èsignificativo al punto da rappresentare un aggiornamento del prodotto. Sia i service packWindows che non Windows includono un programma di installazione e uno script diinstallazione.

SMTPSMTP (Simple Mail Transport Protocol) è un protocollo standard utilizzato per iltrasferimento di messaggi e-mail tra server e tra client e server, tramite Internet.

SNMPSNMP (Simple Network Management Protocol) è un protocollo che supporta ilmonitoraggio dei dispositivi collegati a una rete a fini amministrativi.

Trap SNMPUn trap SNMP (Small Network Management Protocol) è un metodo di invio dellenotifiche agli amministratori di rete che utilizzano console di gestione con supporto perquesto protocollo.

OfficeScan può memorizzare la notifica nelle MIB (Management Information Bases).Per visualizzare la notifica del trap SNMP, si può utilizzare il browser MIB.

SOCKS 4SOCKS 4 è un protocollo TCP utilizzato dai server proxy per stabilire una connessionetra i client della rete interna o della LAN e i computer o i server non appartenenti alla

Glossario

D-13

LAN. Il protocollo SOCKS 4 invia richieste di connessione, imposta circuiti proxy einoltra i dati al livello applicazioni del modello OSI.

SSLSSL (Secure Socket Layer) è un protocollo progettato da Netscape per offrire lasicurezza dei dati tra i protocolli applicativi (come HTTP, Telnet or FTP) e TCP/IP.Questo protocollo di sicurezza fornisce crittografia dei dati, autenticazione del server,integrità dei messaggi e autenticazione del client facoltativa per la connessione TCP/IP.

Certificato SSLQuesto certificato digitale stabilisce una comunicazione HTTPS sicura.

TCPTCP (Transmission Control Protocol) è un protocollo end-to-end affidabile e orientatoalle connessioni, progettato per essere idoneo a una gerarchia a più livelli di protocolliche supporta applicazioni multi-rete. Per la risoluzione degli indirizzi, TCP si affida aidatagrammi IP. Per ulteriori informazioni, consultare il documento RFC 793 delDARPA Internet Program.

TelnetTelnet è un metodo standard di comunicazione tra dispositivi terminali tramite TCPmediante la creazione di un terminale virtuale di rete (NVT, Network Virtual Terminal).Per ulteriori informazioni, consultare il documento RFC 854 del Network WorkingGroup.


D-14

Porta dei cavalli di TroiaLe porte dei cavalli di Troia sono normalmente utilizzate dagli omonimi programmi perconnettersi a un computer. Durante un'infezione OfficeScan blocca le porte chepossono essere utilizzate dai programmi cavalli di Troia e contrassegnate dai numeririportati di seguito:

TABELLA D-1. Porte dei cavalli di Troia

NUMERO DI PORTAPROGRAMMA

CAVALLO DI TROIANUMERO DI PORTA

PROGRAMMACAVALLO DI TROIA

23432 Asylum 31338 Net Spy

31337 Back Orifice 31339 Net Spy

18006 Back Orifice 2000 139 Nuker

12349 Bionet 44444 Prosiak

6667 Bionet 8012 Ptakks

80 Codered 7597 Qaz

21 DarkFTP 4000 RA

3150 Deep Throat 666 Ripper

2140 Deep Throat 1026 RSM

10048 Delf 64666 RSM

23 EliteWrap 22222 Rux

6969 GateCrash 11000 Senna Spy

7626 Gdoor 113 Shiver

10100 Gift 1001 Silencer

21544 Girl Friend 3131 SubSari

7777 GodMsg 1243 Sub Seven

6267 GW Girl 6711 Sub Seven

Glossario

D-15

NUMERO DI PORTAPROGRAMMA

CAVALLO DI TROIANUMERO DI PORTA

PROGRAMMACAVALLO DI TROIA

25 Jesrto 6776 Sub Seven

25685 Moon Pie 27374 Sub Seven

68 Mspy 6400 Thing

1120 Net Bus 12345 Valvo line

7300 Net Spy 1234 Valvo line

Porta affidabilePer comunicare, il server e il client OfficeScan utilizzano delle porte affidabili.

Se si bloccano le porte affidabili e si ripristinano le normali impostazioni di rete dopoun'infezione, i client OfficeScan non possono riprendere immediatamente lacomunicazione con il server. La comunicazione client-server viene ripristinata soltanto alraggiungimento del numero di ore specificato nella schermata Impostazioni diprevenzione delle infezioni.

OfficeScan utilizza la porta HTTP (impostazione predefinita: 8080) come portaaffidabile sul server. Nel corso dell'installazione, è possibile immettere un numero diporta diverso. Per bloccare questa porta affidabile e la porta affidabile sul clientOfficeScan, selezionare la casella di controllo Blocca porta affidabile nella schermataBlocco delle porte.

Nel corso dell'installazione, il programma di installazione principale genera dei numeri diporta affidabili causali per il client OfficeScan.

Determinazione delle porte affidabili

Procedura

1. Accedere a <Cartella di installazione del server>\PCCSRV.



D-16

3. Per determinare la porta affidabile sul server, individuare la stringa"Master_DomainPort" e controllare il valore posto accanto alla stessa.

Se, ad esempio, la stringa è Master_DomainPort=80, la porta affidabile sulserver corrisponde alla numero 80.

4. Per determinare la porta affidabile sul client, individuare la stringa"Client_LocalServer_Port" e controllare il valore posto accanto alla stessa.

Se, ad esempio, la stringa è Client_LocalServer_Port=41375, la portaaffidabile sul client corrisponde alla numero 41375.

Comunicazione bidirezionaleLa comunicazione bidirezionale è un'alternativa alla comunicazione unidirezionale. Lacomunicazione a due vie si basa sulla comunicazione a una via, ma ha un canale basatosu HTTP extra che riceve le notifiche dal server; in tal modo è in grado di migliorarel'invio e l'esecuzione dei comandi dal server all'MCP Agent.

UDPUDP (User Datagram Protocol) è un protocollo non orientato alla connessione,utilizzato insieme al protocollo IP per consentire ai programmi applicativi di inviaremessaggi ad altri programmi. Per ulteriori informazioni, consultare il documento RFC768 del DARPA Internet Program.

File non disinfettabileIl motore di scansione virus non è in grado di disinfettare i seguenti file:

• File infettati da cavalli di Troia

• File infettati da worm

• File infetti protetti da scrittura

Glossario

D-17

• File protetti tramite password

• File di backup

• File infetti presenti nel Cestino

• File infetti contenuti nella cartella Temp di Windows o nella cartella dei filetemporanei di Internet Explorer

File infettati da cavalli di Troia

I cavalli di Troia sono dei programmi che eseguono operazioni non previste o nonautorizzate in genere con intenti dannosi, come visualizzare messaggi, eliminare file eformattare dischi. I cavalli di Troia non infettano i file, quindi non è necessario eseguirela disinfezione.

Soluzione: per rimuovere i cavalli di Troia, OfficeScan utilizza il motore di disinfezionevirus e il modello disinfezione virus.

File infettati da worm

Un worm è un programma (o gruppo di programmi) autonomo in grado di diffonderecopie funzionanti di se stesso o di suoi segmenti ad altri sistemi. La propagazioneavviene in genere mediante le connessioni alla rete o gli allegati e-mail. I worm nonpossono essere disinfettati dal momento che ciascun file è un programma autonomo.

Soluzione: Trend Micro consiglia di eliminare i worm.

File infetti protetti da scrittura

Soluzione: rimuovere la protezione per consentire a OfficeScan di disinfettare il file.

File protetti tramite password

Si tratta di file compressi protetti da password oppure file di Microsoft Office protetti dapassword.


D-18

Soluzione: rimuovere la password per consentire a OfficeScan di disinfettare i file.

File di backup

I file con l'estensione RB0~RB9 sono copie di backup dei file infetti. OfficeScaneffettua il backup dei file infetti per disporre di una copia del file originale qualoravenisse danneggiato nel corso della disinfezione.

Soluzione: se OfficeScan è riuscito a disinfettare i file correttamente, non è necessarioconservare le copie di backup. Se il funzionamento del computer non presenta problemi,è possibile eliminare i file di backup.

IN-1

IndiceAaccount utente, 2-5

dashboard Riepilogo, 2-5ActiveAction, 6-39Active Directory, 2-28–2-31, 2-46, 2-51, 4-14, 4-32

ambito e query, 13-70credenziali, 2-30gestione server esterni, 2-29integrazione, 2-28personalizza gruppi di client, 2-29raggruppamento client, 2-46role-based administration (RBA), 2-29sincronizzazione, 2-31struttura duplicata, 2-51

ActiveSync, 9-44aggiornamenti, 3-20, 3-21

client, 5-26implementazione, 5-51Integrated Smart Protection Server,3-20, 3-21Server OfficeScan, 5-14Update Agent, 5-53

AggiornamentoSmart Protection Server, 5-13, 5-26

aggiornamento clientaggiornamento pianificato, 5-38, 5-45aggiornamento pianificato con NAT,5-40automatici, 5-35dal server ActiveUpdate., 5-45disattiva, 5-46manuale, 5-43origine personalizzata, 5-30origine standard, 5-28

privilegi, 5-45provocato da evento, 5-36

aggiornamento OfficeScan, 5-12aggiornamento server

aggiornamento manuale, 5-24aggiornamento pianificato, 5-25duplicazione dei componenti, 5-19impostazioni proxy, 5-17metodi di aggiornamento, 5-24registri, 5-25

Aggiorna ora, 5-45Applicazioni IM, 9-35Appunti di Windows, 9-44assistenza tecnica, 17-25Attacco frammento minuscolo, 11-5Attacco LAND, 11-5attributi di file, 9-12, 9-18–9-20

caratteri jolly, 9-19creazione, 9-19importazione in corso, 9-20

Autenticazione, autorizzazione e contabilità(AAA), 15-5AutoPcc.exe, 4-12, 4-13, 4-22, 4-23autorizzazioni

avanzate, 8-11dispositivi di archiviazione, 8-3dispositivi non di archiviazione, 8-10nome e percorso del programma, 8-8

autorizzazioni avanzateconfigurazione, 8-11dispositivi di archiviazione, 8-5, 8-6

azione per eventi di sistema controllati, 7-4azioni

Prevenzione perdita di dati, 9-44


IN-2

azioni di scansione, 6-37spyware/grayware, 6-49virus/minacce informatiche, 6-73

BBlocco del comportamento malware, 7-2blocco delle porte, 6-107

Ccache della firma digitale, 6-66canali di applicazioni e sistemi, 9-32, 9-40–9-42,9-44

Appunti di Windows, 9-44CD/DVD, 9-41dispositivi di archiviazione rimovibili,9-42peer-to-peer (P2P), 9-41sincronizzazione software, 9-44stampante, 9-42

canali di rete, 9-32–9-36, 9-38–9-40ambito trasmissione, 9-40

conflitti, 9-40trasmissioni esterne, 9-38tutte le trasmissioni, 9-36

Applicazioni IM, 9-35client di posta elettronica, 9-33destinazioni e ambito dellatrasmissione, 9-36destinazioni monitorate, 9-39, 9-40destinazioni non monitorate, 9-39, 9-40FTP, 9-34HTTP e HTTPS, 9-35Protocollo SMB, 9-35webmail, 9-36

caratteri jolly, 9-19attributi di file, 9-19controllo dispositivo, 8-9

Case Diagnostic Tool, 17-2Centro informazioni sulla sicurezza, 17-27Certificate Authority (CA), 15-5certificati, 15-19

CA, 15-21SSL, 15-38, 15-40

certificati digitali, 15-6Certificato ACS, 15-19Certificato CA, 15-19, 15-21Certificato SSL, 15-38, 15-40Check Point SecureClient, 4-32Cisco NAC

architettura, 15-7componenti e termini, 15-3implementazione di policy server, 15-25

Cisco Trust Agent, 5-9, 15-4client, 2-46, 2-54–2-56, 3-31, 3-32, 4-2

caratteristiche, 4-3connessione, 3-31eliminazione, 2-54impostazioni proxy, 3-31installazione, 4-2località, 3-32ordinamento, 2-56raggruppamento, 2-46spostamento, 2-55

client inattivi, 13-24client mover, 13-22client non raggiungibili, 13-45Client OfficeScan

chiavi di registro, 13-15client inattivi, 13-24Connessione al server OfficeScan, 13-26,13-41connessione a Smart Protection Server,13-42

Indice

IN-3

disinstallazione, 4-73file, 13-14importazione ed esportazione delleimpostazioni, 13-55informazioni dettagliate sui client, 13-54metodi di installazione, 4-11processi, 13-16spazio su disco riservato, 5-47

Client Packager, 4-14, 4-25, 4-26, 4-32, 4-34deployment, 4-27impostazioni, 4-28

Client roaming, 4-5, 4-8codice dannoso ActiveX, 6-3codice dannoso Java, 6-3Componenti, 2-20, 4-72, 5-2

nel client, 5-26privilegi e impostazioni diaggiornamento, 5-45riepilogo aggiornamenti, 5-62sul server OfficeScan, 5-14su Update Agent, 5-53

Conflitto ARP, 11-5Conformità sicurezza, 13-57

Componenti, 13-60gestione server esterni, 2-29, 13-69implementazione, 13-70implementazione dell'aggiornamento,5-51impostazioni, 13-63installazione, 4-64registri, 17-9scansione, 13-61servizi, 13-59valutazioni pianificate, 13-68

console clientlimitazione accesso, 13-17

console Web, 1-11, 2-2–2-4

account di accesso, 2-3

banner, 2-4

informazioni, 2-2

password, 2-3

requisiti, 2-2

URL, 2-3

contatti, 17-25–17-27

assistenza tecnica, 17-25

Knowledge Base, 17-26

riscontri sulla documentazione, 17-27

Trend Micro, 17-25–17-27

conteggio registro firewall, 11-27

continuità della protezione, 3-11

contratto di licenza per l'utente finale (oEULA, End User License Agreement), D-4

controllo dispositivo, 8-2, 8-3, 8-5–8-13

autorizzazioni, 8-3, 8-5, 8-6, 8-8, 8-10

nome e percorso del programma,8-8

autorizzazioni avanzate, 8-11

configurazione, 8-11

caratteri jolly, 8-9

dispositivi di archiviazione, 8-3, 8-5, 8-6

dispositivi esterni, 8-10, 8-13

dispositivi non di archiviazione, 8-10

Dispositivi USB, 8-12

elenco approvati, 8-12

gestione accesso, 8-10, 8-13

Provider della firma digitale, 8-7

requisiti, 8-2

Controllo dispositivo, 1-13

notifiche, 8-16

registri, 8-16, 17-10


IN-4

controllo dispositivo;elenco controllodispositivo;elenco controllodispositivo:aggiunta di programmi, 8-14controllo prestazioni, 6-31Controllo risorse digitali

widget, 2-23, 2-24Control Manager

integrazione con OfficeScan, 12-23Registri di MCP Agent, 17-11

convalida client, 15-5criteri

espressioni personalizzate, 9-15firewall, 11-4, 11-9parole chiave, 9-23, 9-24Prevenzione perdita di dati, 9-49reputazione Web, 10-3

criteri di difesa dalle infezioniBlocco delle porte, 6-107impedire accesso in scrittura, 6-108limita/impedisci l'accesso alle cartellecondivise, 6-106

criteri infezione, 6-100, 11-32criterio, 9-11

DDamage Cleanup Services, 1-12, 4-3, 4-6dashboard

Riepilogo, 2-5–2-7, 2-10dashboard riepilogo

componenti e programmi, 2-20dashboard Riepilogo, 2-5–2-7, 2-10

account utente, 2-5schede, 2-7schede predefinite, 2-10stato della licenza del prodotto, 2-6widget, 2-7widget predefiniti, 2-10

database backup, 12-40destinazioni monitorate, 9-37, 9-39destinazioni non monitorate, 9-37, 9-38Digital Signature Pattern, 5-9, 6-66directory di quarantena, 6-41, 6-46disinstallazione, 4-73

dalla console Web, 4-74Plug-in Manager, 14-9Protezione dati, 9-65uso del programma di disinstallazione,4-75

disinstallazione client, 4-73dispositivi di archiviazione

autorizzazioni, 8-3autorizzazioni avanzate, 8-5, 8-6

dispositivi esternigestione accesso, 8-10, 8-13

dispositivi non di archiviazioneautorizzazioni, 8-10

Dispositivi USBelenco approvati, 8-12

configurazione, 8-12Dispositivo di accesso alla rete, 15-4documentazione, xdomini, 2-45, 2-46, 2-53–2-55

aggiunta, 2-53eliminazione, 2-54raggruppamento client, 2-46ridenominazione, 2-55

domini di posta elettronica monitorati, 9-33domini di posta elettronica non monitorati,9-33Driver comune Firewall, 5-7, 17-20Driver monitoraggio del comportamento, 5-8Driver scansione dei virus, 5-4DSP, 8-7

Indice

IN-5

duplicazione dei componenti, 5-19, 5-60

EEditor SCV, 16-2elenco approvati, 6-50elenco eccezioni, 7-6

Monitoraggio del comportamento, 7-6elenco programmi approvati, 7-6elenco programmi bloccati, 7-6Elenco siti Web bloccati, 3-9, 3-21Elenco software sicuro certificato, 11-3Enciclopedia dei virus, 6-2esclusioni scansione, 6-32, 6-33

directory, 6-34estensioni dei file, 6-36file, 6-36

Esegui scansione, 6-23esporta impostazioni, 13-55espressioni, 9-12, 9-13

personalizzata, 9-14, 9-17criteri, 9-15

predefinito, 9-13espressioni personalizzate, 9-14, 9-15, 9-17

criteri, 9-15importazione in corso, 9-17

espressioni predefinite, 9-13visualizzazione, 9-13

eventi di sistema controllati, 7-3

FFalso antivirus, 6-44file COM infettante, 6-3file compressi, 6-30, 6-71, 6-73file crittografati, 6-45file EXE infettante, 6-3file pattern

Elenco siti Web bloccati, 3-9

Smart Protection, 3-8Smart Scan Agent Pattern, 3-8Smart Scan Pattern, 3-9

filtro di applicazioni, 11-3firewall, 4-4, 4-6, 11-2

criteri, 11-9disattivazione, 11-6eccezioni al criterio, 11-14eccezioni predefinite ai criteri, 11-15,11-16monitoraggio infezioni, 11-6operazioni, 11-8privilegi, 11-6, 11-25profili, 11-4, 11-19vantaggi, 11-2verifica, 11-33

Flooding SYN, 11-5Frammenti sovrapposti, 11-5Frammento troppo grande, 11-4FTP, 9-34

Ggestione server esterni, 2-29, 13-69

query pianificata, 13-74registri, 17-10risultati query, 13-73

gestore della quarantena, 12-44

Hhot fix, 5-9, 5-52HTTP e HTTPS, 9-35

Iidentificatore di dati, 9-12

attributi di file, 9-12espressioni, 9-12parole chiave, 9-12


IN-6

IDS, 11-4IGMP frammentato, 11-5immagine disco del client, 4-14, 4-39importa impostazioni, 13-55impostazione cache scansione su richiesta,6-67Impostazione script di accesso, 4-12, 4-13, 4-22,4-23Impostazioni aggiuntive del servizio, 13-6,13-7impostazioni cache per le scansioni, 6-66Impostazioni DHCP, 4-48impostazioni proxy, 3-31

client, 3-31impostazioni proxy automatiche, 13-53per connessione esterna, 13-51per connessione interna, 13-50per l'aggiornamento dei componentidel server, 5-17per reputazione Web, 10-9privilegi, 13-52

indicazione sullo stato, 15-5indirizzo IP gateway, 13-3Indirizzo MAC, 13-3informazioni sul server Web, 12-42installazione, 4-2

client, 4-2Conformità sicurezza, 4-64Plug-in Manager, 14-3Policy Server, 15-34programma plug-in, 14-4Protezione dati, 9-2

installazione client, 4-2, 4-22basato su browser, 4-18Client Packager, 4-25dalla console Web, 4-20

dalla pagina installazione Web, 4-16Impostazione script di accesso, 4-22post-installazione, 4-70requisiti di sistema, 4-2uso di Conformità sicurezza, 4-64utilizzando l'immagine disco del client,4-39Utilizzo di Vulnerability Scanner, 4-40

installazione remota, 4-13Integrated Smart Protection Server, 3-19

Aggiornamento, 3-20, 3-21Componenti, 3-21

Elenco siti Web bloccati, 3-21ptngrowth.ini, 3-19

IntelliScan, 6-29Intranet, 3-13IPv6, 3-24

Assistenza, 3-24IpXfer.exe, 13-22istruzioni condizionali, 9-28

KKnowledge Base, 17-26

Llicenze, 12-37

Protezione dati, 9-4stato, 2-6

livello sicurezza client, 13-16località, 3-32

awareness, 3-32location Awareness, 13-2LogServer.exe, 17-3, 17-16

Mmetodi di aggiornamento

client, 5-35

Indice

IN-7

Server OfficeScan, 5-24Update Agent, 5-61

metodo di scansione, 4-28predefinito, 6-8

Microsoft SMS, 4-14, 4-34migrazione

dal server normale ServerProtect, 4-67da software di protezione di terzi, 4-66

minacce Web, 10-2modalità di valutazione, 6-76modelli, 9-27–9-29, 9-31

istruzioni condizionali, 9-28operatori logici, 9-28personalizzata, 9-28, 9-29, 9-31predefinito, 9-28

modelli personalizzati, 9-28creazione, 9-29importazione in corso, 9-31

modelli predefiniti, 9-28Modello disinfezione virus, 5-6Monitoraggio degli eventi, 7-3Monitoraggio del comportamento, 7-12

azione per eventi di sistema, 7-4elenco eccezioni, 7-6registri, 7-12

Motore di disinfezione virus, 5-5Motore di scansione spyware, 5-6Motore di scansione virus, 5-4Motore Filtro URL, 5-7

NNetBIOS, 2-46Network VirusWall Enforcer, 3-32notifiche

aggiornamento client, 5-49Controllo dispositivo, 8-16infezioni, 6-100, 11-32

Pattern dei virus non aggiornato, 5-49per gli amministratori, 9-55, 12-30per gli utenti dei client, 6-84, 9-59riavvio computer, 5-50rilevamento delle minacce Web, 10-9rilevamento spyware/grayware, 6-50violazioni del firewall, 11-29virus/minacce informatiche, 6-45

nuove caratteristiche, 1-2, 1-4

OOfficeScan

aggiornamento dei componenti, 4-72client, 1-15Componenti, 2-20, 5-2console Web, 2-2database backup, 12-40documentazione, xinformazioni, 1-2Integrazione SecureClient, 16-3licenze, 12-37principali funzioni e vantaggi, 1-10programmi, 2-20registri, 12-34scansione database, 6-72server Web, 12-42servizi client, 13-11terminologia, xii

operatori logici, 9-28operazioni pre-installazione, 4-17, 4-20, 4-64origine aggiornamenti

client, 5-28Server OfficeScan, 5-16Update Agent, 5-56

PPacchetto MSI, 4-14, 4-32, 4-34


IN-8

packer, 6-4pagina di installazione sul Web, 4-11, 4-12, 4-16parametri di scansione

attività utente sui file, 6-28compressione dei file, 6-30file da esaminare, 6-29pianificazione, 6-31Uso della CPU, 6-31

parole chiave, 9-12, 9-21personalizzata, 9-23, 9-24, 9-26predefinito, 9-21, 9-22

parole chiave personalizzate, 9-23criteri, 9-23, 9-24importazione in corso, 9-26

parole chiave predefinitedistanza, 9-22numero di parole chiave, 9-22

password, 12-43patch, 5-9patch di protezione, 5-9Pattern comune firewall, 6-3Pattern dei virus, 5-3, 5-49, 5-51Pattern di configurazione monitoraggio delcomportamento, 5-8Pattern di monitoraggio attivo spyware, 5-6Pattern eccezioni IntelliTrap, 5-5Pattern implementazione dei criteri, 5-9pattern incrementale, 5-19Pattern IntelliTrap, 5-5Pattern rilevamento monitoraggio delcomportamento, 5-8Pattern spyware, 5-6PCRE, 9-14Performance Tuning Tool, 17-2Perl Compatible Regular Expressions, 9-14personalizza gruppi di client, 2-29, 2-46

phishing, D-10Ping of Death, 11-4Plug-in Manager, 1-11, 4-5, 4-8, 14-2

disinstallazione, 14-9gestione delle funzioni OfficeScannative, 14-4installazione, 14-3risoluzione dei problemi, 14-10

Policy Server per Cisco NAC, 15-4certificati, 15-19Certificato CA, 15-21Certificato SSL, 15-19composizione dei criteri, 15-16composizione delle regole, 15-12criteri, 15-46criteri e regole, 15-11criteri predefiniti, 15-17Installazione di Policy Server, 15-34introduzione all'implementazione, 15-25processo di convalida client, 15-8regole, 15-46regole predefinite, 15-13requisiti di sistema, 15-21sincronizzazione, 15-47

Prevenzione delle infezioni virali, 2-18criteri, 6-105disattivazione, 6-109

Prevenzione perdita di dati, 9-9–9-12attributi di file, 9-18–9-20azioni, 9-44canali, 9-32canali di applicazioni e sistemi,9-40–9-42, 9-44canali di rete, 9-32–9-36, 9-38–9-40criteri, 9-49criterio, 9-11

Indice

IN-9

espressioni, 9-13–9-15, 9-17identificatore di dati, 9-12modelli, 9-27–9-29, 9-31parole chiave, 9-21–9-24, 9-26

Prevenzione perdita di dati:canali diapplicazioni e sistemi;canali di applicazioni esistemi;canali di applicazioni esistemi:crittografia PGP, 9-42Prevenzione perdita di dati:regole didecompressione;regole didecompressione;file compressi:regole didecompressione, 9-45privilegi

privilegi configurazione proxy, 13-52privilegi firewall, 11-25, 11-27privilegio di rimozione, 13-19privilegio di roaming, 13-20privilegi scansione, 6-54privilegi scansione e-mail, 6-62Privilegi scansione pianificata, 6-57

privilegi scansione, 6-53probabile virus/minaccia informatica, 6-2,6-91Programma cavallo di Troia, 1-12, 5-5, 6-3programma Joke, 6-2programma plug-in

installazione, 14-4programmi, 2-20, 5-2protezione automatica del client, 13-12Protezione dati

deployment, 9-6disinstallazione, 9-65installazione, 9-2licenza, 9-4stato, 9-8

protezione dispositivi esterni, 5-8

Protocollo SMB, 9-35Provider della firma digitale, 8-7

specifica, 8-7ptngrowth.ini, 3-19

Rraggruppamento automatico dei client, 2-46,2-47raggruppamento client, 2-46, 2-47, 2-50, 2-51,2-53–2-56

Active Directory, 2-46, 2-50aggiunta di un dominio, 2-53automatici, 2-47automatico, 2-46DNS, 2-46eliminazione di un dominio o di unclient, 2-54gruppi personalizzati, 2-46Indirizzi IP, 2-51manuale, 2-46metodi, 2-46NetBIOS, 2-46operazioni, 2-53ordinamento dei client, 2-56ridenominazione di un dominio, 2-55spostamento di un client, 2-55

raggruppamento client manuale, 2-46registri, 12-34

informazioni, 12-34Monitoraggio del comportamento, 7-12registri aggiornamenti client, 5-50registri dei rischi per la sicurezza, 6-88registri del firewall, 11-26, 11-27, 11-30Registri di controllo dispositivo, 8-16registri di reputazione Web, 10-11registri di ripristino spyware/grayware,6-98


IN-10

registri di scansione, 6-99registri di spyware/grayware, 6-95registri di verifica connessione, 13-44registri di virus/minacce informatiche,6-80, 6-88registri eventi di sistema, 12-32

registri dei clientRegistri ActiveUpdate, 17-18registri aggiornamenti client, 17-18registri aggiornamenti e hot fix, 17-17Registri Damage Cleanup Services,17-17Registri della scansione e-mail, 17-18registri delle connessioni client, 17-18registri di debug, 17-16Registri di debug del firewallOfficeScan, 17-20Registri di debug della prevenzionedelle infezioni virali, 17-19registri di debug della reputazione Web,17-22Registri di debug di Protezione dati,9-65, 17-23registri di debug di TDI, 17-24registri installazioni da zero, 17-17

registri di debugclient, 17-15server, 17-3

registri serverRegistri del server Apache, 17-8Registri del supporto Virtual Desktop,17-15Registri di Active Directory, 17-6registri di aggiornamento deicomponenti, 17-7Registri di Client Packager, 17-9

Registri di conformità della sicurezza,17-9Registri di controllo dispositivo, 17-10registri di debug, 17-3Registri di debug dello strumento dimigrazione ServerProtect, 17-11Registri di debug del motore discansione virus, 17-13Registri di debug VSEncrypt, 17-11registri di gestione server esterni, 17-10registri di installazione/aggiornamentolocale, 17-5registri di installazione/aggiornamentoremoto, 17-5Registri di MCP Agent di ControlManager, 17-11registri di reputazione Web, 17-10registri di role-based administration(RBA), 17-6registri raggruppamento client, 17-7

Remote Authentication Dial-In User Service(RADIUS), 15-6reputazione file, 3-3reputazione Web, 1-12, 3-3, 3-4, 4-3, 4-6, 10-2

criteri, 10-3registri, 17-10

requisiti di sistemaPolicy Server, 15-21Update Agent, 5-54

riavvio servizio, 13-11Riepilogo

aggiornamenti, 5-62dashboard, 2-5–2-7, 2-10

rilevamento rootkit, 5-8rischi per la sicurezza, 6-2, 6-4–6-6

attacchi di phishing, D-10

Indice

IN-11

protezione da, 1-11spyware/grayware, 6-4–6-6

riscontri sulla documentazione, 17-27risoluzione dei problemi

Plug-in Manager, 14-10risorse per la risoluzione dei problemi, 17-2role-based administration (RBA), 2-29, 12-2

account utente, 12-18ruoli utente, 12-2

ruolo utenteamministratore, 12-10Utente esperto Trend, 12-11utente ospite, 12-11

Sscansione cache, 6-66scansione convenzionale, 6-9, 6-10

passaggio a Smart scan, 6-10scansione database, 6-72scansione dei cookie, 6-77scansione di Microsoft Exchange Server, 6-73scansione di prova, 4-72scansione di virus/minacce informatiche

impostazioni globali, 6-70risultati, 6-90

scansione e-mail, 4-5, 4-8, 4-31, 6-62Scansione in tempo reale, 6-15Scansione manuale, 6-18

collegamento, 6-72Scansione pianificata, 6-20

avvia e interrompi, 6-58, 6-79interrompi automaticamente, 6-79promemoria, 6-78rimanda, 6-78riprendi, 6-79

scansione spyware/graywareazioni, 6-49

elenco approvati, 6-50risultati, 6-97

schede, 2-7schede predefinite, 2-10script di prova EICAR, 6-4Script di prova EICAR, 4-72SecureClient, 4-5, 4-8, 16-2

Editor SCV, 16-2integrazione con OfficeScan, 16-3Policy Server, 16-2

Secure Configuration Verification, 16-2Segnalazione conformità, 13-57Server di controllo di accesso (ACS), 15-4server di riferimento, 12-28server integrato, 3-7Server OfficeScan, 1-13

funzioni, 1-13ServerProtect, 4-67Server standalone, 3-7Server Tuner, 12-45Servizio Certified Safe Software, 7-8Servizio principale monitoraggio delcomportamento, 5-8Servizio Scansione in tempo reale, 13-40sincronizzazione, 15-47Sistema di prevenzione intrusioni, 11-4Sistema di supporto intelligente, 2-5, 17-2Smart Feedback, 3-3Smart Protection, 3-3, 3-4, 3-6–3-10, 3-13, 3-24

ambiente, 3-13file pattern, 3-8–3-10

Elenco siti Web bloccati, 3-9processo di aggiornamento, 3-10Smart Scan Agent Pattern, 3-8Smart Scan Pattern, 3-9

origine, 3-7, 3-8


IN-12

origini, 3-24confronto, 3-7località, 3-24protocolli, 3-8Supporto IPv6, 3-24

Servizi di reputazione file, 3-3Servizi di reputazione Web, 3-3, 3-4Smart Feedback, 3-3Smart Protection Network, 3-6Smart Protection Server, 3-7volume delle minacce, 3-3

Smart Protection Network, 1-2, 3-6Smart Protection Server, 3-7, 3-14, 3-18–3-21

Aggiornamento, 5-13, 5-26installazione, 3-14integrato, 3-7, 3-19–3-21migliori pratiche, 3-18standalone, 3-7, 3-19

Smart Protection Server standalone, 3-19ptngrowth.ini, 3-19

smart Scan, 5-3, 6-9, 6-10passaggio da Scansione convenzionale,6-10

Smart Scan Agent Pattern, 3-8, 5-3Smart Scan Pattern, 3-9, 5-3software di protezione di terzi, 4-65spyware/grayware, 6-4–6-6

adware, 6-5applicazioni per decifratura password,6-5dialer, 6-5potenziali minacce, 6-5programmi Joke, 6-5protezione da, 6-6ripristino, 6-52spyware, 6-4

strumenti di accesso remoto, 6-5strumenti per hacker, 6-5

Statistiche sui primi 10 rischi per lasicurezza, 2-18stato di protezione, 15-5Strumento di generazione del modello diprescansione VDI, 13-84Strumento elenco dispositivi, 9-54struttura client, 2-32, 2-34–2-37, 2-40–2-43, 2-45

filtri, 2-35informazioni, 2-32operazione generali, 2-34operazioni specifiche, 2-37, 2-40–2-43, 2-45

aggiornamenti componentirollback, 2-42aggiornamenti manualicomponenti, 2-41gestione client, 2-37Implementazione agent CiscoNAC, 2-45Prevenzione delle infezioni virali,2-40registri dei rischi per la sicurezza,2-43

ricerca avanzata, 2-35, 2-36visualizzazioni, 2-35

Supporto IPv6, A-2limitazioni, A-3, A-4visualizzazione indirizzi IPv6, A-7

Supporto Virtual Desktop, 13-74

TTeardrop, 11-5Terminal Access Controller Access ControlSystem (TACACS+), 15-6tipi di scansione, 4-3, 4-6, 6-14TMPerftool, 17-2

Indice

IN-13

TMTouch.exe, 5-52touch tool, 5-52TrendLabs, 17-26Trend Micro

Centro informazioni sulla sicurezza,17-27informazioni di contatto, 17-25Knowledge Base, 17-26TrendLabs, 17-26

UUpdate Agent, 4-3, 4-6, 4-30, 5-53

assegnazione, 5-54duplicazione dei componenti, 5-60metodi di aggiornamento, 5-61origine di aggiornamento standard, 5-56requisiti di sistema, 5-54segnalazione analitica, 5-61

Uso della CPU, 6-31utilità di importazione impostazioni gateway,13-5

Vvalutazioni pianificate, 13-68variabile token, 6-103VDI, 13-74

registri, 17-15verifica connessione, 13-43versione di prova, 12-37virus/minacce informatiche, 6-2–6-4

codice dannoso ActiveX, 6-3codice dannoso Java, 6-3file COM ed EXE infettante, 6-3packer, 6-4probabile virus/minaccia informatica,6-2Programma cavallo di Troia, 6-3

programma Joke, 6-2tipi, 6-2–6-4virus da macro, 6-3virus del settore boot, 6-3virus di prova, 6-4virus VBScript, JavaScript o HTML, 6-4worm, 6-4

virus da macro, 6-3virus del settore boot, 6-3virus di prova, 6-4virus di rete, 6-3, 11-4virus HTML, 6-4virus JavaScript, 6-4virus VBScript, 6-4Vulnerability Scanner, 4-15, 4-40

efficacia, 4-40Impostazioni DHCP, 4-48impostazioni ping, 4-61protocolli supportati, 4-56query prodotto, 4-54recupero descrizione del computer, 4-58

Wwebmail, 9-36widget, 2-7, 2-11, 2-13, 2-17, 2-18, 2-20, 2-21,2-23–2-27, 14-3

Aggiornamenti client, 2-20Connettività client, 2-13Controllo risorse digitali - Rilevamentiper periodo di tempo, 2-24Controllo risorse digitali - Rilevamentiprincipali, 2-23disponibili, 2-11Infezioni, 2-18Mappa delle minacce della reputazionefile, 2-27OfficeScan e Plug-ins Mashup, 2-21


IN-14

Origini delle minacce principali dellareputazione Web, 2-25Principali utenti minacciati dellareputazione Web, 2-26Rilevamenti dei rischi per la sicurezza,2-17

widget predefiniti, 2-10Windows Server Core, B-2

comandi, B-7funzioni del client disponibili, B-6metodi di installazione supportati, B-2

worm, 6-4