Guida per l'amministratore - Trend Micro · Questo documento contiene le informazioni introduttive...

Guida per l'amministratorePer medie e grandi aziende

Trend Micro Incorporated si riserva il diritto di apportare modifiche a questadocumentazione e al prodotto in essa descritto senza alcun obbligo di notifica. Prima diinstallare e utilizzare il prodotto, leggere con attenzione i file readme, le note sullaversione e/o l'ultima edizione della documentazione appropriata, disponibili sul sito WebTrend Micro all'indirizzo:

http://docs.trendmicro.com/it-it/enterprise/officescan.aspx

Trend Micro, the Trend Micro t-ball logo, OfficeScan, Control Manager, DamageCleanup Services, eManager, InterScan, Network VirusWall, ScanMail, ServerProtect,and TrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti glialtri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettiviproprietari.

Copyright © 2018. Trend Micro Incorporated. Tutti i diritti riservati.

Codice documento: OSEMXG7952/170822

Data di pubblicazione: Gennaio 2018

Protetto da brevetto U.S.: 5,951,698


Questa documentazione illustra le caratteristiche principali del prodotto e/o fornisce leistruzioni per l'installazione in un ambiente di produzione. Prima installare o utilizzare ilprodotto, leggere attentamente la documentazione.

Informazioni dettagliate sull'utilizzo di caratteristiche specifiche del prodotto sonodisponibili nella guida in linea di Trend Micro e nella Knowledge Base di Trend Micro.

Trend Micro si impegna continuamente a migliorare la propria documentazione. Perdomande, commenti o suggerimenti riguardanti questo o qualsiasi documento TrendMicro, scrivere all'indirizzo [email protected].

È possibile esprimere un giudizio sulla documentazione al seguente indirizzo:

http://www.trendmicro.com/download/documentation/rating.asp

mailto:%[email protected]


i

SommarioPrefazione

Prefazione ........................................................................................................... xi

Documentazione di OfficeScan ..................................................................... xii

Destinatari ........................................................................................................ xiii

Convenzioni utilizzate nella documentazione ............................................. xiii

Terminologia .................................................................................................... xiv

Parte I: Introduzione e informazioni preliminariCapitolo 1: Introduzione di OfficeScan

Informazioni su OfficeScan .......................................................................... 1-2

Novità di OfficeScan XG Service Pack 1 ................................................... 1-2

Principali funzioni e vantaggi ........................................................................ 1-7

Il server OfficeScan ...................................................................................... 1-10

L'agente OfficeScan ..................................................................................... 1-11

Integrazione con i prodotti e i servizi Trend Micro ................................ 1-12

Capitolo 2: Informazioni preliminari su OfficeScanLa console Web ............................................................................................... 2-2

Dashboard ....................................................................................................... 2-5

Active Directory Integration ....................................................................... 2-35

Struttura dell'agente OfficeScan ................................................................. 2-39

Domini OfficeScan ...................................................................................... 2-52

Guida per l'amministratore di OfficeScan XG Service Pack 1

ii

Capitolo 3: Informazioni preliminari su Protezione datiInstallazione di Protezione dati .................................................................... 3-2

Licenza di Protezione dati ............................................................................. 3-4

Implementazione di Protezione dati negli agenti OfficeScan .................. 3-6

Cartella dati forensi e database DLP ........................................................... 3-9

Disinstallazione di Protezione dati ............................................................. 3-15

Parte II: Protezione degli Agenti OfficeScanCapitolo 4: Utilizzo di Trend Micro Smart Protection

Informazioni su Trend Micro Smart Protection ........................................ 4-2

Servizi Smart Protection ................................................................................ 4-3

Origini Smart Protection ............................................................................... 4-6

File Smart Protection Pattern ....................................................................... 4-8

Impostazione dei servizi Smart Protection .............................................. 4-13

Utilizzo dei servizi Smart Protection ......................................................... 4-32

Capitolo 5: Installazione dell'agente OfficeScanInstallazioni da zero dell'agent OfficeScan ................................................. 5-2

Considerazioni sull'installazione ................................................................... 5-2

Considerazioni sull'implementazione ........................................................ 5-12

Migrazione all'agente OfficeScan ............................................................... 5-64

Post-installazione .......................................................................................... 5-68

Disinstallazione del Agente OfficeScan .................................................... 5-71

Capitolo 6: Come mantenere la protezione aggiornataProgrammi e componenti di OfficeScan .................................................... 6-2

Panoramica sugli aggiornamenti ................................................................. 6-12

Sommario

iii

Aggiornamenti server OfficeScan .............................................................. 6-16

Aggiornamenti di Integrated Smart Protection Server ........................... 6-29

Aggiornamenti dell'agente OfficeScan ...................................................... 6-29

Update Agent ................................................................................................ 6-58

Riepilogo aggiornamento componenti ..................................................... 6-68

Capitolo 7: Analisi dei rischi per la sicurezzaInformazioni sui rischi per la sicurezza ....................................................... 7-2

Tipi di metodi di scansione ........................................................................... 7-8

Tipi di scansione ........................................................................................... 7-15

Impostazioni comuni a tutti i tipi di scansione ........................................ 7-28

Privilegi scansione e altre impostazioni ..................................................... 7-59

Impostazioni globali di scansione .............................................................. 7-75

Notifiche sui Rischi per la sicurezza .......................................................... 7-87

Registri dei rischi per la sicurezza ............................................................... 7-97

Rischi per la sicurezza ................................................................................ 7-113

Capitolo 8: Protezione da minacce sconosciuteIntelligenza computazionale predittiva ........................................................ 8-2

Servizio di connessione sospetta .................................................................. 8-6

Invio campione ............................................................................................. 8-10

Registri delle minacce sconosciute ............................................................. 8-12

Capitolo 9: Uso di Monitoraggio del comportamentoMonitoraggio del comportamento ............................................................... 9-2

Configurazione delle impostazioni del monitoraggio del comportamentoglobale ............................................................................................................ 9-18

Privilegi di monitoraggio del comportamento ......................................... 9-19


iv

Notifiche di Monitoraggio del comportamento per gli utenti degli agentiOfficeScan ..................................................................................................... 9-22

Registri di Monitoraggio del comportamento .......................................... 9-23

Capitolo 10: Utilizzo di Controllo dispositivoControllo dispositivo .................................................................................... 10-2

Autorizzazioni per dispositivi di archiviazione ........................................ 10-4

Autorizzazioni per dispositivi non di archiviazione .............................. 10-11

Gestione dell'accesso ai dispositivi esterni (Protezione dati attivata) . 10-11

Gestione dell'accesso ai dispositivi esterni (Protezione dati non attivata) ........................................................................................................................ 10-15

Modifica delle notifiche di controllo dispositivo ................................... 10-18

Registri di controllo dispositivo ................................................................ 10-19

Capitolo 11: Utilizzo di Prevenzione perdita di datiPrevenzione perdita di dati (DLP) ............................................................. 11-2

Criteri di Prevenzione perdita di dati ......................................................... 11-3

Tipi di identificatore di dati ......................................................................... 11-5

Modelli di Prevenzione perdita di dati .................................................... 11-20

Canali DLP .................................................................................................. 11-25

Azioni di Prevenzione perdita di dati ...................................................... 11-39

Eccezioni di Prevenzione perdita di dati ................................................ 11-42

Configurazione dei criteri Prevenzione perdita di dati ......................... 11-48

Notifiche di Prevenzione perdita di dati ................................................. 11-54

Registri di Prevenzione perdita di dati ..................................................... 11-58

Capitolo 12: Utilizzo di Web ReputationMinacce Web ................................................................................................. 12-2

Servizi di avvisi contatti Command & Control ........................................ 12-2

Sommario

v

Reputazione Web .......................................................................................... 12-4

Criteri di reputazione Web .......................................................................... 12-5

Notifiche di minacce Web per utenti agente .......................................... 12-14

Notifiche di callback C&C per gli amministratori ................................. 12-15

Notifiche di avvisi contatti C&C per gli utenti degli agenti ................. 12-19

Infezioni dei callback C&C ....................................................................... 12-20

Registri delle minacce Web ........................................................................ 12-23

Capitolo 13: Utilizzo del firewall di OfficeScanInformazioni sul firewall di OfficeScan .................................................... 13-2

Attivazione o disattivazione del Frewall di OfficeScan .......................... 13-6

Criteri e profili del firewall .......................................................................... 13-8

Privilegi firewall ........................................................................................... 13-24

Impostazioni firewall globali ..................................................................... 13-27

Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan ........................................................................................................................ 13-29

Registri del firewall ..................................................................................... 13-30

Infezioni da violazione del firewall .......................................................... 13-32

Test del firewall OfficeScan ...................................................................... 13-34

Parte III: Gestione degli agenti e del serverOfficeScan

Capitolo 14: Gestione del server OfficeScanRole-based Administration (RBA) ............................................................. 14-3

Trend Micro Control Manager ................................................................. 14-23

Strumento di esportazione delle impostazioni di OfficeScan ............. 14-30

Impostazioni elenco oggetti sospetti ....................................................... 14-36


vi

Server di riferimento .................................................................................. 14-38

Impostazioni notifica amministratore ..................................................... 14-40

Registri eventi di sistema ........................................................................... 14-43

Gestione dei registri ................................................................................... 14-44

Licenze ......................................................................................................... 14-48

OfficeScan Database Backup ................................................................... 14-51

Strumento di migrazione SQL Server ..................................................... 14-53

Impostazioni connessione agente/server Web OfficeScan ................. 14-57

Comunicazione agente server ................................................................... 14-58

Password della console Web ..................................................................... 14-64

Configurazione delle impostazioni della console Web ......................... 14-64

Gestore della quarantena ........................................................................... 14-65

Server Tuner ................................................................................................ 14-66

Smart Feedback ........................................................................................... 14-69

Capitolo 15: Gestione dell'agente OfficeScanPosizione dispositivo .................................................................................... 15-2

Gestione del programma agente OfficeScan ........................................... 15-6

Connessione agente server ........................................................................ 15-28

Impostazioni proxy dell'Agente OfficeScan ........................................... 15-52

Visualizzazione delle informazioni sull'agente OfficeScan .................. 15-59

Importazione ed esportazione delle impostazioni degli agenti ........... 15-59

Conformità sicurezza ................................................................................. 15-61

Supporto Trend Micro Virtual Desktop ................................................. 15-79

Impostazioni globali agente ...................................................................... 15-93

Configurazione dei privilegi dell'agente e altre impostazioni .............. 15-95

Parte IV: Protezione aggiuntiva

Sommario

vii

Capitolo 16: Protezione degli agenti fuori sedeServer Edge Relay ......................................................................................... 16-2

Requisiti di sistema del server Edge Relay ................................................ 16-3

Installazione del server Edge Relay ........................................................... 16-4

Connessione al server Edge Relay ........................................................... 16-13

Gestione della connessione al server Edge Relay .................................. 16-14

Gestione dei certificati del server Edge Relay ........................................ 16-16

Capitolo 17: Uso di Plug-in ManagerInformazioni su Plug-in Manager .............................................................. 17-2

Installazione di Plug-in Manager ................................................................ 17-3

Gestione delle funzioni native di OfficeScan ........................................... 17-4

Gestione dei Programmi plug-in ................................................................ 17-4

Disinstallazione di Plug-in Manager ........................................................ 17-12

Risoluzione dei problemi di Plug-in Manager ........................................ 17-12

Capitolo 18: Risorse per la risoluzione dei problemiSistema di supporto intelligente ................................................................. 18-2

Case Diagnostic Tool ................................................................................... 18-2

Trend Micro Performance Tuning Tool .................................................... 18-2

Registri del server OfficeScan ..................................................................... 18-3

Registri dell'agente OfficeScan ................................................................. 18-15

Capitolo 19: Assistenza tecnicaRisorse per la risoluzione dei problemi ..................................................... 19-2

Come contattare Trend Micro .................................................................... 19-3

Invio di contenuti sospetti a Trend Micro ................................................ 19-4

Altre risorse ................................................................................................... 19-5


viii

AppendiciAppendice A: Supporto dell'IPv6 in OfficeScan

Supporto IPv6 per server OfficeScan e agenti ......................................... A-2

Configurazione indirizzi IPv6 ...................................................................... A-5

Schermate che visualizzano gli indirizzi IP ................................................ A-6

Appendice B: Supporto per Windows Server CoreSupporto per Windows Server Core ........................................................... B-2

Metodi di installazione per Windows Server Core ................................... B-2

Funzioni dell'agente OfficeScan su Windows Server Core ..................... B-6

Comandi di Windows Server Core .............................................................. B-7

Appendice C: Supporto per Windows 8/8.1/10 e WindowsServer 2012/2016

Informazioni su Windows 8/8.1/10 e Windows Server 2012/2016 ..... C-2

Supporto della funzione OfficeScan con la modalità interfaccia utente ............................................................................................................................ C-5

Internet Explorer 10/11 e Microsoft Edge ............................................... C-6

Appendice D: Rollback di OfficeScanRollback del server OfficeScan e degli Agenti OfficeScan tramite ilpacchetto di backup del server .................................................................... D-2

Appendice E: GlossarioActiveUpdate .................................................................................................. E-2

File compresso ............................................................................................... E-2

Cookie .............................................................................................................. E-2

Attacco DoS (Denial of Service) ................................................................. E-2

DHCP .............................................................................................................. E-3

Sommario

ix

DNS ................................................................................................................. E-3

Nome dominio ............................................................................................... E-3

Indirizzo IP dinamico ................................................................................... E-3

ESMTP ............................................................................................................ E-4

Contratto di licenza per l'utente finale ........................................................ E-4

Falso allarme ................................................................................................... E-4

FTP .................................................................................................................. E-4

GeneriClean .................................................................................................... E-4

Hotfix ............................................................................................................... E-5

HTTP ............................................................................................................... E-5

HTTPS ............................................................................................................ E-6

ICMP ............................................................................................................... E-6

IntelliScan ........................................................................................................ E-6

IntelliTrap ........................................................................................................ E-7

IP ...................................................................................................................... E-7

File Java ........................................................................................................... E-7

LDAP ............................................................................................................... E-8

Porta di ascolto ............................................................................................... E-8

MCP Agent ..................................................................................................... E-8

Minaccia di tipo misto ................................................................................... E-9

NAT ................................................................................................................. E-9

NetBIOS ......................................................................................................... E-9

Comunicazione unidirezionale ..................................................................... E-9

Patch .............................................................................................................. E-10

Attacco di phishing ...................................................................................... E-10

Ping ................................................................................................................ E-11

POP3 ............................................................................................................. E-11


x

Server proxy .................................................................................................. E-11

RPC ................................................................................................................ E-11

Patch di protezione ...................................................................................... E-11

Service Pack .................................................................................................. E-12

SMTP ............................................................................................................. E-12

SNMP ............................................................................................................ E-12

Trap SNMP ................................................................................................... E-12

SSL ................................................................................................................. E-12

Certificato SSL ............................................................................................. E-13

TCP ................................................................................................................ E-13

Telnet ............................................................................................................. E-13

Porta dei cavalli di Troia ............................................................................. E-13

Porta affidabile ............................................................................................. E-15

Comunicazione bidirezionale ..................................................................... E-16

UDP ............................................................................................................... E-16

File non disinfettabili ................................................................................... E-16

IndiceIndice ............................................................................................................. IN-1

xi

Prefazione

PrefazioneQuesto documento contiene le informazioni introduttive e illustra le procedure perl'installazione dell'agente e di gestione del server OfficeScan e dell'agente.

Di seguito sono riportati gli argomenti trattati:

• Documentazione di OfficeScan a pagina xii

• Destinatari a pagina xiii

• Convenzioni utilizzate nella documentazione a pagina xiii

• Terminologia a pagina xiv


xii

Documentazione di OfficeScanLa documentazione di OfficeScan comprende quanto segue:

Tabella 1. Documentazione di OfficeScan

Documentazione Descrizione

Guidaall'installazione eall'aggiornamento

Un documento PDF in cui vengono illustrati i requisiti e le procedureper l'installazione del server OfficeScan e l'aggiornamento del servere degli agenti

NotaLa Guida all'installazione e all'aggiornamento potrebbe nonessere disponibile per il rilascio di versioni minori, servicepack o patch.

Requisiti disistema

Un documento PDF in cui vengono indicati i requisiti di sistemaminimi e consigliati per l'installazione del server OfficeScan el'aggiornamento del server e degli agenti

Guida perl'amministratore

Un documento PDF contenente informazioni introduttive e procedureper l'installazione dell'Agente OfficeScan e la gestione del server edell'agente OfficeScan

Guida File HTML compilati in formato WebHelp o CHM che fornisconoprocedure, consigli di utilizzo e informazioni specifiche. È possibileaccedere alla Guida dalle console del server e dell'agenteOfficeScan, nonché dall'installazione principale di OfficeScan.

File Readme Contiene un elenco di problemi noti e la procedura di base perl'installazione. Contiene inoltre le informazioni più recenti sulprodotto che non è stato possibile inserire nella documentazione nelsoftware né in quella stampata.

Knowledge Base Un database online contenente informazioni utili per la risoluzionedei problemi. Fornisce le informazioni più recenti sui problemi notiriscontrati nell'utilizzo dei prodotti. Per accedere alla KnowledgeBase, visitare il seguente sito Web:

http://esupport.trendmicro.com


Prefazione

xiii

Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per ildownload alla pagina seguente:


DestinatariLa documentazione di OfficeScan è destinata agli utenti seguenti:

• Amministratori OfficeScan: responsabili della gestione di OfficeScan, comprese leattività di gestione e installazione del server OfficeScan e dell'Agente OfficeScan. Sipresuppone che questi utenti abbiano conoscenze avanzate di reti e gestione deiserver.

• Utenti finali: gli utenti con l'Agente OfficeScan installato sui dispositivi. Il livello diconoscenza del dispositivo di questi utenti varia da principiante a utente esperto.

Convenzioni utilizzate nella documentazioneNella presente documentazione vengono usate le seguenti convenzioni didenominazione.

Tabella 2. Convenzioni utilizzate nella documentazione

Convenzione Descrizione

MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tastidella tastiera.

Grassetto Menu e comandi dei menu, pulsanti dei comandi, schedee opzioni

Corsivo Riferimenti ad altri documenti

Carattere a spaziaturafissa

Righe di comando di esempio, codice del programma,URL Web, nomi di file e output programmi



xiv

Convenzione Descrizione

Percorso > navigazione Percorso di navigazione per raggiungere una determinataschermata.

Ad esempio, l'istruzione File > Salva significa che,all'interno dell'interfaccia, bisogna fare clic su File equindi su Salva.

Nota Note alla configurazione

Suggerimento Raccomandazioni o consigli

Importante Informazioni riguardanti le limitazioni del prodotto e leimpostazioni di configurazione predefinite o obbligatorie

AVVERTENZA! Azioni fondamentali e opzioni di configurazione

TerminologiaLa tabella riportata di seguito contiene la terminologia ufficiale utilizzata nelladocumentazione di OfficeScan:

Tabella 3. Terminologia di OfficeScan

Terminologia Descrizione

Agente OfficeScan Il programma agente OfficeScan

Dispositivo dell'agente Il dispositivo su cui è installato l'Agente OfficeScan

Utente dell'agente (o utente) La persona che gestisce l'Agente OfficeScan neldispositivo dell'agente

Server Il programma server OfficeScan

Prefazione

xv


Computer server Il dispositivo su cui è installato il server OfficeScan

Amministratore (oamministratore OfficeScan)

La persona che gestisce il server OfficeScan

Console L'interfaccia utente per configurare e gestire leimpostazioni del server OfficeScan e dell'agente

La console per il programma server OfficeScan èdenominata "console Web", mentre la console delprogramma Agente OfficeScan è denominata "consoledell'agente".

Rischio per la sicurezza Termine collettivo per virus/minacce informatiche,spyware/grayware e minacce Web

Servizio licenza Comprende Antivirus, Damage Cleanup Services,Reputazione Web e Anti-spyware, —tutti attivati durantel'installazione del server OfficeScan

Servizio OfficeScan Servizi gestiti tramite Console di gestione Microsoft(MMC). Ad esempio, ofcservice.exe, l'OfficeScanMaster Service.

Programma Comprende l'Agente OfficeScan e Plug-in Manager

Componenti Consentono di analizzare, individuare ed eseguireoperazioni contro i rischi per la sicurezza

Cartella diinstallazionedell'agente

La cartella del dispositivo che contiene i file dell'AgenteOfficeScan. Se durante l'installazione si accettano leimpostazioni predefinite, la cartella di installazione sitrova nei percorsi seguenti:

C:\Programmi\Trend Micro\OfficeScan Client

C:\Programmi (x86)\Trend Micro\OfficeScanClient


xvi


Cartella diinstallazione delserver

La cartella del dispositivo che contiene i file del server diOfficeScan. Se durante l'installazione si accettano leimpostazioni predefinite, la cartella di installazione sitrova nei percorsi seguenti:

C:\Programmi\Trend Micro\OfficeScan

C:\Programmi (x86)\Trend Micro\OfficeScan

Ad esempio, se un file specifico si trova in \PCCSRV nellacartella di installazione del server, il percorso completodel file è:

C:\Programmi\Trend Micro\OfficeScan\PCCSRV\<nome_file>.

Agente Smart Scan Qualsiasi Agente OfficeScan configurato per utilizzareSmart Scan

Agente scansioneconvenzionale

Qualsiasi Agente OfficeScan configurato per utilizzare lascansione convenzionale

Dual-stack Entità con indirizzi IPv4 e IPv6.

Ad esempio:

• Dispositivi con indirizzi IPv4 e IPv6

• Agenti OfficeScan installati su dispositivi dual-stack

• Update Agent che distribuiscono gli aggiornamentiagli agenti

• Un server proxy dual-stack, come DeleGate, è ingrado di convertire un indirizzo IPv4 in IPv6 eviceversa

IPv4 puro Un'entità che ha solo un indirizzo IPv4

IPv6 puro Un'entità che ha solo un indirizzo IPv6

Soluzioni plug-in Programmi plug-in e funzioni di OfficeScan disponibiliattraverso Plug-in Manager

Parte IIntroduzione e informazioni

preliminari

1-1

Capitolo 1

Introduzione di OfficeScanIn questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche diTrend Micro™ OfficeScan™.


• Informazioni su OfficeScan a pagina 1-2

• Novità di OfficeScan XG Service Pack 1 a pagina 1-2

• Principali funzioni e vantaggi a pagina 1-7

• Il server OfficeScan a pagina 1-10

• L'agente OfficeScan a pagina 1-11

• Integrazione con i prodotti e i servizi Trend Micro a pagina 1-12


1-2

Informazioni su OfficeScanTrend Micro™ OfficeScan™ protegge le reti aziendali da malware, virus di rete,minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è una soluzioneintegrata che comprende un programma Agente OfficeScan che risiede nel dispositivo eun programma server che gestisce tutti gli agenti. L'Agente OfficeScan controllal'dispositivo e ne segnala lo stato di sicurezza al server. Il server, attraverso la console digestione basata sul Web, permette di impostare criteri di sicurezza coordinati e diimplementare gli aggiornamenti in ciascun agente.

OfficeScan utilizza Trend Micro Smart Protection Network™, un'infrastruttura clientcloud di prossima generazione che fornisce soluzioni per la sicurezza migliori rispettoagli approcci tradizionali. La tecnologia "in-the-cloud" unica e un agente leggeroconsentono di ridurre la dipendenza dai download dei pattern convenzionali e dieliminare i ritardi normalmente associati agli aggiornamenti dei desktop. Le aziendepossono godere dei vantaggi offerti dalla maggiore ampiezza di banda della rete, dallariduzione delle risorse necessarie e dei risparmi sui costi associati. Gli utenti sfruttanol'accesso immediato alla protezione più recente disponibile da qualsiasi località di accessoalla rete: all'interno della rete aziendale, a casa o in viaggio.

Novità di OfficeScan XG Service Pack 1Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti.

Funzione Descrizione

Rilevamenti degliscript “fileless”migliorati

• Il Monitoraggio del comportamento è stato migliorato, inmodo da rilevare gli script dannosi eseguiti da programmiWindows legittimi per proteggere i dispositivi dai malwarenascosti nei vettori di attacchi fileless.

• L'Intelligenza computazionale predittiva e il Monitoraggio delcomportamento sono anche in grado di determinare il realepercorso del payload dei file degli script eseguiti da DLLWindows legittime.

Introduzione di OfficeScan

1-3


Connessioni aUpdate Agent

È possibile configurare gli Agenti OfficeScan per usare ilprotocollo HTTPS quando si usa un Update Agent come origineaggiornamento.

Per ulteriori informazioni, consultare Configurazione delle originiaggiornamenti personalizzate degli agenti OfficeScan a pagina6-35.

Elenco eccezioniMonitoraggio delcomportamento

Con i miglioramenti, l'elenco eccezioni supporta l'uso dei caratterijolly.

Per ulteriori informazioni, consultare Supporto dei caratteri jollynell'elenco eccezioni a pagina 9-10.

Intelligenzacomputazionalepredittiva

L'Intelligenza computazionale predittiva è stata migliorata perrilevare l'esecuzione degli script dannosi.

Per ulteriori informazioni, consultare Intelligenza computazionalepredittiva a pagina 8-2.

Canale disincronizzazionecloud per irilevamenti deiransomware

Gli Agenti OfficeScan rilevano i ransomware scaricati tramite icanali di sincronizzazione cloud supportati

Per ulteriori informazioni, consultare Widget Riepilogoransomware a pagina 2-16.

Miglioramento delleimpostazioni proxy

Tutte le impostazioni proxy per il server OfficeScan e per gliAgenti OfficeScan sono state consolidate nella stessa posizione.

Per ulteriori informazioni, consultare Proxy per gli aggiornamentidel server OfficeScan a pagina 6-20 e Impostazioni proxydell'Agente OfficeScan a pagina 15-52.

Elenchi oggettisospetti

OfficeScan supporta il rilevamento degli oggetti di dominiosospetti grazie all'integrazione con Control Manager.

Per ulteriori informazioni, consultare Impostazioni elenco oggettisospetti a pagina 14-36.

Novità di OfficeScan XG

Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti.


1-4


Miglioramenti dellaprotezioneransomware

La protezione dagli attacchi ransomware è stata ulteriormentemigliorata consentendo agli Agenti OfficeScan di recuperare i filecrittografati con minacce ransomware, bloccare i processiassociati a ransomware e impedire ai file eseguibili compromessidi infettare la rete.

Per ulteriori informazioni, consultare Protezione ransomware apagina 9-3.

Miglioramentorelativo allaprotezione dei nuoviprogrammi rilevati

Per semplificare l'ottimizzazione dei criteri di sicurezza per laprotezione dalle minacce ransomware su singoli agenti, lafunzionalità di rilevamento dei nuovi programmi è stata spostatanella schermata delle impostazioni di monitoraggio delcomportamento.

Per ulteriori informazioni, consultare Protezione Nuovoprogramma rilevato a pagina 9-6.

È anche possibile personalizzare il messaggio che vienevisualizzato sui dispositivi agente dopo che un utente scarica edesegue un programma appena rilevato.

Per ulteriori informazioni, consultare Modifica del contenuto delmessaggio di notifica a pagina 9-23.


Il motore di Intelligenza computazionale predittiva può proteggerela rete da minacce nuove, non precedentemente identificate osconosciute tramite una funzionalità di analisi avanzata dei file e ilmonitoraggio del processo euristico. La Intelligenzacomputazionale predittiva può determinare la probabilitàdell'esistenza di una minaccia in un file o in un processo e il tipodi minaccia possibile, proteggendo l'utente da attacchi di tipozero-day.


1-5


Server Edge Relaydi OfficeScan

Il server Edge Relay di OfficeScan assicura una maggiorevisibilità e protezione per i dispositivi che escono dall'intranetlocale grazie alle seguenti funzionalità:

• Sincronizzazione degli elenchi di oggetti sospetti

• Invio campione

• Invio di registri

• Invio di informazioni sullo stato degli agenti, ad esempiopattern e versioni correnti dei componenti

Per ulteriori informazioni, consultare Server Edge Relay a pagina16-2.

Invio campioni di filesospetti

Per migliorare ulteriormente l'integrazione con un Deep DiscoveryVirtual Analyzer, gli Agenti OfficeScan ora possono rilevare einviare i file sospetti, che potrebbero contenere minacceprecedentemente sconosciute, direttamente al Virtual Analyzerper un'ulteriore analisi. Una volta verificata l'esistenza di unaminaccia, gli elenchi di oggetti sospetti vengono immediatamenteaggiornati e sincronizzati su tutti gli agenti per impedire ladiffusione della minaccia nella rete.

Per ulteriori informazioni, consultare Invio campione a pagina8-10.

Miglioramentirelativi all'interfacciautente dellaDashboard

La Dashboard è stata riprogettata allo scopo di garantire unamaggiore visibilità dello stato di protezione della rete.

Miglioramentirelativiall'integrazione conControl Manager

Per impedire comunicazioni non autorizzate tra i server ControlManager e OfficeScan, la registrazione al server Control Managerrichiede l'autenticazione del certificato, mentre la gestione deicriteri tramite il server Control Manager viene effettuatautilizzando la crittografia di chiave pubblica.

Per ulteriori informazioni, consultare Autorizzazione del certificatodi Control Manager a pagina 14-29.


1-6


Protezione daminacce

Scansione in tempo reale consente di rilevare e bloccare leminacce utilizzando le vulnerabilità CVE (Common Vulnerabilitiesand Exposures).

Per ulteriori informazioni, consultare Impostazioni di scansione apagina 7-29.

Monitoraggio del comportamento è anche in grado di rilevare uncomportamento anomalo del programma, comune agli attacchi daminacce.

Per ulteriori informazioni, consultare Protezione da minacce apagina 9-5.

Miglioramento diConnessionisospette

Ora è possibile configurare la funzionalità Connessioni sospette inmodo da registrare o bloccare le connessioni di rete rilevatemediante l'elenco IP C&C globale e l'impronta di rete dellaminaccia.

Per ulteriori informazioni, consultare Configurazione delleimpostazioni di connessione sospetta a pagina 8-8.

Miglioramentirelativi al firewall

Il filtro di applicazioni del firewall di OfficeScan ora supportaWindows 8 e le piattaforme successive.

È possibile concedere agli utenti degli Agenti OfficeScan ilprivilegio per la configurazione del livello di sicurezza e dell'elencodi eccezioni del firewall.

Per ulteriori informazioni, consultare Aggiunta di un profilo difirewall a pagina 13-22.

Modalitàindipendente

La modalità precedentemente nota come “Roaming” è statarinominata modalità “Indipendente”.

Per ulteriori informazioni, consultare Stato della connessioneagente a pagina 2-39.


1-7


Piattaforme ebrowser compatibili

Questa versione di OfficeScan offre il supporto per:

• Microsoft™ Windows™ Server 2016

NotaIn questa versione di OfficeScan il supporto per il serverApache Web non è più disponibile.

Principali funzioni e vantaggiOfficeScan offre le funzioni e i vantaggi seguenti.

Tabella 1-1. Principali funzioni e vantaggi

Funzione Vantaggi

Protezioneransomware

Le funzionalità di scansione avanzate possono identificare ebloccare i programmi ransomware che colpiscono i documentieseguiti nel dispositivo per identificare i comportamenti comuni ebloccare i processi generalmente associati ai programmiransomware.

Difesa dalleminacce connesse

Configurare OfficeScan per sottoscrivere gli elenchi di oggettisospetti del server Control Manager. Attraverso la console diControl Manager, è possibile creare azioni personalizzate per glioggetti rilevati dagli elenchi di oggetti sospetti, in grado di fornireuna difesa personalizzata contro le minacce identificate daidispositivi protetti dai prodotti Trend Micro specifici per l'ambientedell'utente.

È possibile configurare gli agenti OfficeScan per l'invio di oggettifile che potrebbero contenere minacce non identificate a VirtualAnalyzer per ulteriori analisi. Dopo aver valutato gli oggetti, VirtualAnalyzer aggiunge quelli contenenti minacce sconosciute aglielenchi di oggetti sospetti di Virtual Analyzer e li distribuisce aglialtri agenti OfficeScan nella rete.


1-8

Funzione Vantaggi

Plug-In Manager esoluzioni plug-in

Plug-in Manager consente l'installazione, l'implementazione e lagestione delle soluzioni plug-in.

Gli amministratori possono installare due tipi di soluzioni plug-in:

• Programmi plug-in

• Funzioni OfficeScan native

Gestionecentralizzata

Una console di gestione basata su Web consente agliamministratori di accedere in modo trasparente a tutti gli agenti eserver della rete. La console Web coordina l'implementazioneautomatica di criteri di sicurezza, file di pattern e aggiornamentisoftware su ciascun agente e server. Grazie ai servizi diprevenzione delle infezioni, arresta i vettori delle infezioni eimplementa rapidamente i criteri di protezione specifici perl'attacco al fine di prevenire o contenere le infezioni prima che ifile di pattern siano resi disponibili. OfficeScan esegue anche ilmonitoraggio in tempo reale, spedisce notifiche degli eventi egenera relazioni complete. Gli amministratori possono eseguirel'amministrazione in remoto, impostare criteri personalizzati persingoli desktop o gruppi e bloccare le impostazioni di sicurezzadell'agente.

Protezione contro irischi per lasicurezza

OfficeScan protegge i computer dai rischi per la sicurezzaattraverso la scansione dei file e l'esecuzione di un'operazionespecifica per ciascun rischio per la sicurezza individuato. Unnumero estremamente alto di rischi per la sicurezza individuati inun periodo di tempo breve indica un'infezione. Per contenere leinfezioni, OfficeScan implementa i criteri di prevenzione delleinfezioni e isola i computer infetti fino a quando sonocompletamente privi di rischi.

OfficeScan utilizza Smart Scan per rendere il processo discansione più efficiente. Questa tecnologia consente di scaricareun gran numero di firme precedentemente memorizzate neldispositivo locale su Origini Smart Protection. Con questoapproccio viene ridotto l'impatto sul sistema e sulla rete delvolume sempre maggiore di aggiornamenti delle firme per isistemi dispositivo.

Per informazioni su Smart Scan e su come implementarlo sugliagenti, consultare Tipi di metodi di scansione a pagina 7-8.


1-9

Funzione Vantaggi

Damage CleanupServices

Damage Cleanup Services™ disinfetta i computer dai virus direte, da quelli basati su file e dalle tracce rimanenti di virus e diworm (cavalli di Troia, voci di registro, file virali) utilizzando unprocesso completamente automatizzato. Per affrontare leminacce e i fastidi provocati dai cavalli di Troia, Damage CleanupServices effettua le seguenti operazioni:

• Rileva e rimuove i cavalli di Troia attivi

• Blocca i processi innescati dai cavalli di Troia

• Ripara i file di sistema modificati dai cavalli di Troia

• Elimina i file e le applicazioni lasciati dai cavalli di Troia

Poiché Damage Cleanup Services viene eseguito in background,non è necessario configurarlo. Gli utenti non si rendono neancheconto che il sistema è in funzione. Tuttavia, OfficeScan può avolte richiedere all'utente di riavviare il dispositivo per completareil processo di rimozione di un cavallo di Troia.

Reputazione Web La tecnologia Reputazione Web protegge in modo proattivo idispositivi dell'agente all'interno o all'esterno della rete aziendaleda siti Web dannosi e potenzialmente pericolosi. ReputazioneWeb spezza la catena dell'infezione e impedisce il download dicodice dannoso.

Per verificare la credibilità delle pagine e dei siti Web è sufficienteintegrare OfficeScan con Smart Protection Server o con TrendMicro Smart Protection Network.

Firewall diOfficeScan

Il firewall di OfficeScan protegge gli agenti e i server della retegrazie a un sistema di "stateful inspection" e alle scansioni di virusdella rete ad elevate prestazioni.

È possibile creare regole per filtrare le connessioni in baseall'applicazione, all'indirizzo IP, al numero di porta o al protocollo epoi applicare tali regole a gruppi diversi di utenti.


1-10

Funzione Vantaggi

Prevenzione perditadi dati

Prevenzione perdita di dati protegge le risorse digitali diun'organizzazione da perdite accidentali o intenzionali.Prevenzione perdita di dati consente agli amministratori di:

• identificare le risorse digitali da proteggere

• Creare criteri che limitano o impediscono la trasmissionedelle risorse digitali attraverso i comuni canali ditrasmissione, ad esempio messaggi e-mail e dispositiviesterni

• implementare la conformità alle norme vigenti sulla privacy

Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi diarchiviazione esterni e alle risorse di rete collegate ai computer.Controllo dispositivo aiuta a prevenire la perdita e la dispersionedi dati e, insieme alla scansione dei file, contribuisce a proteggeredai rischi per la sicurezza.

Monitoraggio delcomportamento

Il Monitoraggio del comportamento controlla costantemente gliagenti alla ricerca di modifiche insolite al sistema operativo o alsoftware installato.

Il server OfficeScanIl server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischiper la sicurezza e gli aggiornamenti dell'agente.

Il server esegue due importanti funzioni:

• Installa, controlla e gestisce gli Agenti OfficeScan

• Scarica la maggior parte dei componenti necessari agli agenti. Il server OfficeScanscarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce agliagenti.

NotaAlcuni componenti vengono scaricati dalle origini Smart Protection. ConsultareOrigini Smart Protection a pagina 4-6 per ulteriori dettagli.


1-11

Figura 1-1. Funzionamento del server OfficeScan

Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in temporeale tra il server e gli Agenti OfficeScan. Gli agenti sono gestiti da una console Webbasata sul browser a cui l'amministratore può accedere virtualmente da qualsiasi puntodella rete. Il server comunica con l'agente (e l'agente con il server) attraverso HypertextTransfer Protocol (HTTP).

L'agente OfficeScanL'installazione dell'Agente OfficeScan su ogni dispositivo con sistema operativoWindows consente di proteggere i computer dai rischi per la sicurezza.


1-12

L'Agente OfficeScan invia quindi delle notifiche al server principale dal quale è statoinstallato. Configurare gli agenti per inviare le segnalazioni a un altro server utilizzandolo strumento Agent Mover. L'agente invia al server dati in tempo reale sugli eventi esullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacceinformatiche, l'avvio dell'agente, lo spegnimento dell'agente, l'avvio di una scansione o ilcompletamento di un aggiornamento.

Integrazione con i prodotti e i servizi TrendMicro

OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente.Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguitisulle versioni richieste o consigliate.

Tabella 1-2. Integrazione di prodotti e servizi con OfficeScan

Prodotto/Servizio Descrizione Versione

ServerActiveUpdate

Fornisce tutti i componenti necessari all'AgenteOfficeScan per proteggere i dispositivi dalleminacce alla sicurezza

Non pertinente

SmartProtectionNetwork

Fornisce i Servizi di File Reputation e i Servizi direputazione Web agli agenti.

Smart Protection Network è gestito da TrendMicro.

Non pertinente


1-13

Prodotto/Servizio Descrizione Versione

SmartProtectionServerstandalone

Fornisce gli stessi Servizi di reputazione file eServizi di reputazione Web offerti da SmartProtection Network.

Smart Protection Server standalone è inteso alocalizzare il servizio per garantire una maggioreefficienza della rete aziendale.

NotaIntegrated Smart Protection Server vieneinstallato con il server OfficeScan. Svolgele stesse funzioni del server standalone,ma le sue capacità sono più limitate.

• 3.0

ControlManager

Una soluzione di gestione software che consentedi controllare a livello centrale i programmiantivirus e di protezione dei contenuti, senzatenere conto della piattaforma o dell'ubicazionefisica del programma.

• 7,0

• 6.0 SP3 Patch2

(consigliato)

• 6.0 SP3

• 6.0 SP2

• 6.0 SP1

DeepDiscoveryAnalyzer

Deep Discovery fornisce un monitoraggio globaledella rete mediante sandboxing personalizzato einformazioni pertinenti in tempo reale, perconsentire il rilevamento degli attacchi,implementare un contenimento rapido e offrireaggiornamenti di sicurezza personalizzati chemigliorino tempestivamente la protezione controulteriori attacchi.

5.1 e versionesuccessiva

2-1

Capitolo 2

Informazioni preliminari suOfficeScan

In questo capitolo vengono descritte le istruzioni preliminari per OfficeScan e leimpostazioni iniziali per la configurazione.


• La console Web a pagina 2-2

• Dashboard a pagina 2-5

• Strumento di esportazione delle impostazioni di OfficeScan a pagina 14-30

• Active Directory Integration a pagina 2-35

• Struttura dell'agente OfficeScan a pagina 2-39

• Domini OfficeScan a pagina 2-52


2-2

La console WebLa console Web è l'elemento centrale per il monitoraggio di OfficeScan in tutta la reteaziendale. La console ha una serie di impostazioni e valori predefiniti che possono essereconfigurati in base ai requisiti e alle specifiche di protezione. La console Web utilizzatecnologie Internet standard quali JavaScript, CGI, HTML e HTTPS.

Nota

Configurare le impostazioni di timeout dalla console Web.

Per ulteriori informazioni, consultare Configurazione delle impostazioni della console Web a pagina14-64.

Utilizzare la console Web per eseguire le operazioni riportate di seguito:

• Gestire gli agenti installati nei dispositivi di rete

• Raggruppare gli agenti in domini logici per consentire configurazione e gestionesimultanee

• Impostare le configurazioni di scansione e avviare la scansione manuale su uno opiù dispositivi collegati in rete

• Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registriinviati dagli agenti

• Configurare i criteri e le notifiche per le infezioni

• Delegare operazioni di amministrazione della console Web ad altri amministratoriOfficeScan mediante la configurazione di ruoli e account utente

• Accertarsi che gli agenti siano conformi con le linee guida sulla sicurezza

Nota

La console Web non è supportata da Windows 8, 8.1, 10 o Windows Server 2012 inmodalità interfaccia utente di Windows.

Informazioni preliminari su OfficeScan

2-3

Requisiti per l'apertura della console Web

Aprire la console Web da un dispositivo della rete che abbia i requisiti riportati diseguito:

• Processore Intel ™ Pentium™ da 300 MHz o equivalente

• 128 MB di RAM

• Almeno 30 MB di spazio disponibile su disco

• Monitor che supporti la risoluzione 1366 x 768 a 256 colori o superiore

• Browser Web supportati:

• Microsoft Internet Explorer™ 10.0 o versione successiva

• Microsoft Edge

• Chrome

Nota

Per la visualizzazione della console Web, OfficeScan supporta solo il traffico HTTPS.

Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, aseconda del tipo di installazione prevista per il server OfficeScan:

Tabella 2-1. URL della console Web OfficeScan

Tipo di installazione URL

Con SSL su un sito predefinito https://<FQDN o indirizzo IP delserver OfficeScan>/OfficeScan

Con SSL su un sito virtuale https://<FQDN o indirizzo IP delserver OfficeScan>:<numero porta>/OfficeScan


2-4

Nota

Se è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browserWeb e i file della cache del server proxy potrebbero impedire il corretto caricamento dellaconsole Web OfficeScan. Cancellare la memoria della cache del browser e di qualunqueserver proxy che si trova tra il server OfficeScan e il dispositivo utilizzato per accedere allaconsole Web.

Account di accesso

Durante l'installazione del server OfficeScan il programma crea un account principale(root) e richiede di digitare la password per tale account. Quando si apre la console Webper la prima volta, digitare "root" come nome utente e come password dell'accountprincipale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica perreimpostarla.

Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti diaccedere alla console Web senza utilizzare l'account principale (root). Quando gli utentiaccedono alla console possono utilizzare gli account utente impostati per loro. Perulteriori informazioni, consultare Role-based Administration (RBA) a pagina 14-3.

Il banner della console Web

L'area del banner della console Web presenta le opzioni riportate di seguito:

Figura 2-1. Area banner della console Web

• <nome account>: fare clic sul nome account (ad esempio, root) per modificare idettagli dell'account, ad esempio la password.

• Disconnetti: consente di disconnettersi dalla console Web


2-5

Visualizzazione della guida

Il menu Guida permette di accedere alle seguenti informazioni di supporto:

• Sommario e indice: consente di aprire la guida in linea.

• Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possonoinviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro

• Enciclopedia delle minacce: visualizza il sito Web Enciclopedia delle minacce,archivio di Trend Micro per le informazioni relative alle minacce informatiche. Gliesperti Trend Micro sulle minacce pubblicano regolarmente rilevamenti di minacceinformatiche, spam, URL dannosi e vulnerabilità. L'Enciclopedia delle minacceillustra inoltre gli attacchi Web di alto profilo e fornisce informazioni correlate.

• Contatta Trend Micro: visualizza il sito Web Contatti di Trend Micro coninformazioni sulle sedi in tutto il mondo.

• Informazioni su: fornisce una panoramica del prodotto, le istruzioni percontrollare i dettagli della versione dei componenti e un collegamento a Sistema disupporto intelligente.

Per i dettagli, consultare Sistema di supporto intelligente a pagina 18-2.

DashboardIl Dashboard viene visualizzato quando si apre la console Web OfficeScan o si fa clic suDashboard nel menu principale.

Ciascun account utente della console Web ha una dashboard completamenteindipendente. Qualunque modifica alla dashboard di un account utente non riguarda ledashboard di altri account utente.

Se una dashboard contiene i dati dell'agente OfficeScan, i dati che vengono visualizzatidipendono dalle autorizzazioni del dominio agente per l'account utente. Se, ad esempio,si assegnano a un account utente autorizzazioni per gestire i domini A e B, lesegnalazioni dell'account utente mostrano solo i dati degli agenti che appartengono aidomini A e B.


2-6

Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) apagina 14-3.

La schermata Dashboard contiene:

• Sezione dello stato della licenza del prodotto

• Widget

• Schede

Sezione dello stato della licenza del prodotto

Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato dellelicenze OfficeScan.

Figura 2-2. Sezione dello stato della licenza del prodotto

Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze:

• Se si dispone di una licenza per la versione completa:

• 60 giorni prima della scadenza della licenza

• Durante il periodo di proroga per il prodotto. La durata del periodo diproroga varia a seconda dell'area geografica. Verificare il periodo di prorogacon il rappresentante Trend Micro.

• Alla scadenza della licenza e al termine del periodo di proroga. In questoperiodo non sarà possibile ottenere l'assistenza tecnica o effettuarel'aggiornamento dei componenti. I motori di scansione continueranno aeffettuare l'analisi dei computer utilizzando componenti obsoleti. Talicomponenti obsoleti potrebbero non proteggere in maniera completa dai piùrecenti rischi per la sicurezza.


2-7

• Se si dispone di una licenza per la versione di prova:

• 14 giorni prima della scadenza della licenza

• Alla scadenza della licenza. In questo periodo, OfficeScan disattival'aggiornamento dei componenti, la scansione e tutte le funzionalitàdell'agente.

Se si dispone di un codice di attivazione, rinnovare una licenza accedendo aAmministrazione > Impostazioni > Licenza del prodotto.

Barre delle informazioni sul prodotto

OfficeScan visualizza una serie di messaggi nella parte superiore della schermataDashboard che forniscono informazioni aggiuntive per gli amministratori.

Le informazioni visualizzate includono:

• Service pack o patch più recenti disponibili per OfficeScan

Nota

Fare clic su Ulteriori informazioni per scaricare la patch dal Centro download TrendMicro (http://downloadcenter.trendmicro.com/index.php?regs=IT).

• Nuovi widget disponibili

• Notifiche per i contratti di manutenzione quando la data di scadenza del contrattoè prossima

• Notifiche per le modalità di valutazione

• Notifiche di autenticità

Nota

Se la licenza usata per OfficeScan non è originale, verrà visualizzato un messaggio diinformazioni. Se non si riceve una licenza originale, OfficeScan visualizza un avviso einterrompe l'esecuzione degli aggiornamenti.

http://downloadcenter.trendmicro.com/index.php?regs=IT


2-8

Schede e widgetI widget sono i componenti principali della dashboard. I widget forniscono informazionispecifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguiredeterminate operazioni, quali l'aggiornamento di componenti obsoleti.

Le informazioni che i widget visualizzano provengono da:

• OfficeScan server e agenti

• Soluzioni plug-in e relativi agenti

• Trend Micro Smart Protection Network

Nota

Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulterioriinformazioni su Smart Feedback, vedere Smart Feedback a pagina 14-69.

Le schede forniscono un contenitore per i widget. Il Dashboard supporta fino a 30schede.

Utilizzo delle schede

Gestire le schede aggiungendo, rinominando, modificando il layout, nonché eliminandoe alternando automaticamente le visualizzazioni delle schede.

Procedura

1. Passare a Dashboard.

2. Per aggiungere una nuova scheda:

a. Fare clic sull'icona di aggiunta.


2-9

b. Digitare un nome per la nuova scheda.

3. Per rinominare una scheda:

a. Passare il puntatore del mouse sul nome della scheda e fare clic sulla frecciaGiù.

b. Fare clic su Rinomina e digitare il nome della nuova scheda.

4. Per modificare il layout dei widget di una scheda:


b. Fare clic su Modifica layout.

c. Selezionare il nuovo layout nella schermata visualizzata.

d. Fare clic su Salva.

5. Per eliminare una scheda:


b. Fare clic su Elimina e confermare l'operazione.

6. Per riprodurre una presentazione delle schede:

a. Fare clic sul pulsante Impostazioni a destra della visualizzazione delle schede.


2-10

b. Attivare il controllo Presentazione delle schede.

c. Selezionare la durata della visualizzazione di ogni scheda prima del passaggioalla scheda successiva.

Utilizzo dei Widget

Gestire i widget aggiungendo, spostando, ridimensionando, rinominando ed eliminandovoci.

Procedura

1. Passare a Dashboard.

2. Fare clic sulla scheda.

3. Per aggiungere un widget:


2-11

a. Fare clic sul pulsante Impostazioni a destra della visualizzazione delle schede.

b. Fare clic su Aggiungi widget.

c. Selezionare i widget da aggiungere.

• Nel menu a discesa nella parte superiore dei widget, selezionare unacategoria per restringere le selezioni.

• Utilizzare la casella di testo per la ricerca sull parte superiore dellaschermata per cercare un widget specifico.

d. Fare clic su Aggiungi.

4. Per spostare un widget in una nuova posizione nella stessa scheda, trascinarlo erilasciarlo nella nuova posizione.

5. Ridimensionare i widget su di una scheda multicolonna puntando il cursore sulbordo del widget e muovendolo verso destra o sinistra.

6. Per rinominare un widget:

a. Fare clic sull'icona delle impostazioni ( > ).

b. Immettere il nuovo titolo.


2-12

NotaPer alcuni widget, ad esempio OfficeScan e Plug-in Mashup, è possibilemodificarne le voci correlate.

c. Fare clic su Salva.

7. Per eliminare un widget, fare clic sull'icona di eliminazione ( > ).

Widget della scheda di riepilogoLa scheda Riepilogo fornisce una panoramica dello stato di sicurezza di tutti gli AgentiOfficeScan connessi in rete.

NotaNon è possibile aggiungere, eliminare o modificare i widget visualizzati nella schedaRiepilogo.

Widget disponibili:

• Widget per rilevamenti di minacce e violazioni dei criteri complessivi a pagina 2-13

• Widget dello stato del dispositivo a pagina 2-14

• Widget Riepilogo ransomware a pagina 2-16

• Widget Rilevamenti dei ransomware piú frequenti a pagina 2-19

• Widget Rilevamento dei rischi per la sicurezza nel tempo a pagina 2-20


2-13

Widget per rilevamenti di minacce e violazioni dei critericomplessivi

Questo widget fornisce una panoramica di tutti i rilevamenti di minacce e tutte leviolazioni di criteri nella rete durante le ultime 24 ore.

Passare il puntatore del mouse sul conteggio di minacce o violazioni per visualizzare idettagli relativi al tipo specifico di rilevamenti per ciascun gruppo. Per visualizzare iregistri di una specifica funzione, fare clic sul conteggio a destra.

Tabella 2-2. Categorie di rilevamenti

Categoria Descrizione

Minacce conosciute Visualizza tutte le funzioni che rilevano le minacce alla sicurezzaconfermate da Trend Micro

• Virus/minacce informatiche

• Spyware/Grayware

• Reputazione Web


2-14

Categoria Descrizione

Minaccesconosciute

Visualizza tutte le funzioni che rilevano potenziali minaccemediante la modellazione basata su funzioni, euristica avanzata oanalisi

• Intelligenza computazionale predittiva

• Monitoraggio del comportamento

• Connessioni sospette

• Oggetti sospetti (file)

Violazione dei criteri Visualizza tutte le funzioni che contengono violazioni specifichedei criteri per gli standard di sicurezza aziendale

• Firewall

• Controllo dispositivo

• Prevenzione perdita di dati

Widget dello stato del dispositivo

Questo widget offre una panoramica dello stato di connessione e aggiornamento degliAgenti OfficeScan della rete, nonché il conteggio aggiornato di conformità dellasicurezza per i dispositivi non gestiti che non fanno riferimento al server OfficeScan.


2-15

Passare il puntatore del mouse su un conteggio per visualizzare i dettagli dei diversi stati.Per visualizzare i registri di uno specifico stato, fare clic sul conteggio a destra.

Tabella 2-3. Gruppi di agenti/dispositivi

Gruppo Descrizione

Agenti gestiti Visualizza l'ultimo stato di connessione segnalato per gli AgentiOfficeScan della rete

• Online

• Offline

• Indipendente

Agenti obsoleti Visualizza un elenco di categorie di componenti e, per ciascunacategoria, il conteggio degli Agenti OfficeScan che presentano uncomponente non aggiornato

Dispositivo nongestiti

Visualizza un elenco di tutti i dispositivi che possono essererilevati da OfficeScan, ma in cui non è installato il programmaAgente OfficeScan o che non fanno riferimento al serverOfficeScan

NotaPer verificare che il server OfficeScan aggiorniregolarmente il conteggio dei dispositivi non gestiti:

1. Definire l'ambito Active Directory/indirizzo IP davalutare.

Per ulteriori informazioni, consultare Active DirectoryIntegration a pagina 2-35.

2. Configurare una valutazione pianificata.

Per ulteriori informazioni, consultare Conformitàsicurezza per dispositivo non gestiti a pagina 15-74.


2-16

Widget Riepilogo ransomware

Figura 2-3. Visualizzazione predefinita in cui sono mostrati tutti i dati ransomware euna visualizzazione ingrandita del grafico a barre "Tentativi ransomware rilevati"

Questo widget fornisce una panoramica di tutti i tentativi di attacchi ransomware in unintervallo di tempo specificato.

La visualizzazione predefinita mostra un riepilogo di tutti i rilevamenti di ransomware eclassifica ulteriormente i tentativi in base al canale di infezione.

• Fare clic sul conteggio dei rilevamenti di ransomware nella visualizzazionepredefinita per aprire la schermata dei registri Rischi per la sicurezza -Ransomware in cui sono elencati i dettagli dei rilevamenti di ransomware.

Fare clic su uno dei grafici a destra del widget per ottenere una visualizzazioneingrandita dei dati del grafico.

• Passare il puntatore del mouse sui nodi di un determinato giorno per visualizzare ilnumero totale di rilevamenti per la categoria di rilevamento visualizzata. Fare clic suun nodo per reindirizzare alla schermata dei registri Rischi per la sicurezza -Ransomware in cui sono elencati i dettagli relativi ai rilevamenti di ransomwareper il giorno in questione.


2-17

Tabella 2-4. Canali di rilevamento di ransomware

Canale Descrizione Rilevato da

Web File scaricati utilizzando un clientWeb, ad esempio browser o clientFTP

• Reputazione Web

• Scansione in tempo reale

• Monitoraggio delcomportamento

Traffico di rete Ransomware rilevato dallafunzionalità Connessioni sospette

• Connessioni sospette

Sincronizzazione cloud

File sincronizzati nella cartella disincronizzazione locale daiseguenti servizi di cloud storagesupportati:

• Microsoft™ OneDrive™

• Box



• Intelligenza computazionalepredittiva

E-mail Allegati e-mail aperti conMicrosoft Outlook

NotaOfficeScan classifica tuttigli allegati aperti utilizzandoaltre applicazioni client diposta elettronica nel canaleUnità locale o di rete.




2-18

Canale Descrizione Rilevato da

File di AutoRun Programmi contenuti in unità diarchiviazione rimovibili ed eseguitida un file di esecuzioneautomatica

NotaOfficeScan classifica tuttigli altri file/programmi noneseguiti dal programma diesecuzione automatica suidispositivi di archiviazionerimovibili nel canale Unitàlocale o di rete.



Unità locale odi rete

Ransomware rilevati nelle unitàlocali o di rete, tra cui:

• Allegati e-mail apertiutilizzando client di postaelettronica diversi daMicrosoft Outlook

• File su dispositivi diarchiviazione rimovibili noneseguiti dal programma diesecuzione automatica


• Scansione manuale

• Scansione pianificata

• Esegui scansione


Registri relativi alle minacce alla sicurezza - Ransomware

I registri relativi alle minacce alla sicurezza - Ransomware forniscono una panoramica ditutte le minacce ransomware rilevate nella rete, indipendentemente dal tipo di scansioneche ha rilevato la minaccia.

Elemento Descrizione

Data/Ora Ora del rilevamento

Minaccia alla sicurezza Nome della minaccia alla sicurezza


2-19


Categoria Il tipo di scansione che ha rilevato la minaccia

Percorso file/URL/Origineelenco

Il percorso in cui si è verificato il rilevamento dellaminaccia o l'elenco utilizzato per rilevare il sito Webpericoloso

Azione L'azione eseguita sulla minaccia

Canale di infezione Il canale da cui proviene la minaccia

Dispositivo L'dispositivo su cui si è verificato il rilevamento

Widget Rilevamenti dei ransomware piú frequenti

Questo widget fornisce una panoramica dei rilevamenti di top ransomware in unintervallo di tempo specificato.

Utilizzare il menu a discesa per selezionare il tipo di dati ransomware da visualizzare.


2-20

Visualizza Descrizione

Dispositivi Visualizza i dispositivi con il maggior numero di rilevamenti diransomware nella rete

Fare clic sul conteggio dei rilevamenti di ransomware per aprire laschermata dei registri Rischi per la sicurezza - Ransomware incui sono elencati i dettagli dei rilevamenti di ransomware.

Tipi di ransomware Visualizza i tipi di ransomware con il maggior numero dirilevamenti nella rete

Fare clic sul collegamento Nome minaccia per aprire l'TrendMicro Threat Encyclopedia per ulteriori informazioni sul tipo diminaccia specifico.

Domini Visualizza i domini ransomware con il maggior numero dirilevamenti nella rete

Fare clic sul collegamento Nome minaccia per aprire l'TrendMicro Threat Encyclopedia per ulteriori informazioni sul dominiospecifico.

Widget Rilevamento dei rischi per la sicurezza nel tempo

Questo widget fornisce una panoramica degli endpoint in rete con i rilevamenti diminacce e le tipologie di minacce che hanno interessato la rete per un intervallo ditempo specifico.


2-21

Fare clic sul pulsante Dispositivi interessati o Tipi di minaccia per passare da unavisualizzazione all'altra.


Dispositiviinteressati

Visualizza il conteggio dei dispositivi su cui sono state rilevateminacce o violazioni dei criteri durante l'intervallo di tempospecificato

Fare clic sul nodo di un determinato giorno per reindirizzare allaschermata Gestione agente in cui tutti i dispositivi interessatirelativi al giorno in questione sono mostrati nella struttura agente.

Tipi di minaccia Visualizza un grafico che mostra il numero di minacce e diviolazioni dei criteri registrate nell'intervallo di tempo specificato

• Fare clic sui nomi dei tipi di minaccia nella parte inferiore delgrafico per visualizzare/nascondere le informazioni dirilevamento nel grafico.

• Passare il puntatore del mouse sui nodi di un determinatogiorno per visualizzare il numero totale di rilevamenti per i tipidi minaccia visualizzati. Fare clic su un nodo per reindirizzarealla schermata dei registri per il tipo di minaccia evidenziatonell'elenco.

Suggerimento

È possibile aggiungere questo widget più volte per mostrare entrambe le visualizzazioni.Per aggiungere widget ad altre schede, individuare il widget nel tipo di widget OfficeScan.

Widget di Protezione dati

Nota

I widget di Protezione dati sono disponibili dopo l'attivazione di Protezione dati diOfficeScan.

Widget disponibili:

• Widget Incidenti di Prevenzione perdita di dati per periodo di tempo a pagina 2-22


2-22

• Widget Incidenti di Prevenzione perdita di dati principali a pagina 2-23

Widget Incidenti di Prevenzione perdita di dati per periododi tempo

Questo widget visualizza il numero totale di incidenti di Prevenzione perdita di dati perun intervallo di tempo specifico.

NotaI rilevamenti includono tutti gli incidenti di Prevenzione perdita di dati, a prescinderedall'azione eseguita (“Blocca” o “Ignora ”).


2-23

Widget Incidenti di Prevenzione perdita di dati principali

Questo widget mostra i principali utenti, canali, modelli o dispositivi che hanno attivatoincidenti di Prevenzione perdita di dati in un determinato intervallo di tempo.

Nota

• Questo widget visualizza al massimo 10 utenti, canali, modelli o dispositivi.

• I rilevamenti includono tutti gli incidenti di Prevenzione perdita di dati, a prescinderedall'azione eseguita (“Blocca” o “Ignora ”).

Selezionare il tipo di dati di Prevenzione perdita di dati da visualizzare utilizzando ilmenu a discesa Visualizza per.


2-24

Tabella 2-5. Visualizzazioni di Prevenzione perdita di dati


Utente Gli utenti che hanno trasmesso il maggior numero di risorsedigitali

• Fare clic sui nomi degli utenti nella parte inferiore del graficoper visualizzare/nascondere le informazioni di rilevamento nelgrafico.

• Passare il puntatore del mouse sulle barre di rilevamento pervisualizzare il nome dell'utente e il relativo numero di incidentidi Prevenzione perdita di dati.

Canale canali usati per trasmettere risorse digitali con maggiorefrequenza

• Fare clic sui nomi dei canali nella parte inferiore del graficoper visualizzare/nascondere le informazioni di rilevamento nelgrafico.

• Passare il puntatore del mouse sulle barre di rilevamento pervisualizzare il nome del canale e il relativo numero di incidentidi Prevenzione perdita di dati.

Modello modelli di risorse digitali che hanno avviato la maggior parte deirilevamenti

• Fare clic sui nomi dei modelli nella parte inferiore del graficoper visualizzare/nascondere le informazioni di rilevamento nelgrafico.

• Passare il puntatore del mouse sulle barre di rilevamento pervisualizzare il nome del modello e il relativo numero diincidenti di Prevenzione perdita di dati.

Dispositivi I dispositivi che hanno trasmesso il maggior numero di risorsedigitali

• Fare clic sui nomi dei dispositivi nella parte inferiore delgrafico per visualizzare/nascondere le informazioni dirilevamento nel grafico.

• Passare il puntatore del mouse sulle barre di rilevamento pervisualizzare il nome del dispositivo e il relativo numero diincidenti di Prevenzione perdita di dati.


2-25

Widget OfficeScanI widget di OfficeScan offrono un riferimento rapido per lo stato della sicurezza e irilevamenti dell'Agente OfficeScan, nonché per le informazioni sui programmi plug-in ele infezioni.

Widget disponibili:

• Widget Eventi di callback C&C a pagina 2-25

• Widget Rilevamento dei rischi per la sicurezza a pagina 2-27

• Widget OfficeScan e Plug-in Mashup a pagina 2-28

• Widget Agenti antivirus connessi a pagina 2-29

• Agenti connessi al widget del server Edge Relay a pagina 2-31

• Widget Infezioni a pagina 2-32

• Widget Aggiornamenti agente a pagina 2-34

Widget Eventi di callback C&C

Questo widget mostra tutte le informazioni sugli eventi di callback C&C, compresa ladestinazione dell'attacco e l'indirizzo di callback dell'origine.

È possibile scegliere di visualizzare le informazioni di callback C&C da un elenco diserver C&C specifici. Per selezionare l'origine dell'elenco (Global Intelligence, VirtualAnalyzer), fare clic sull'icona di modifica ( > ) e selezionare l'elenco dal menu adiscesa Origine elenco C&C.


2-26

Dall'elenco a discesa Visualizza per, selezionare il tipo di dati di callback C&C davisualizzare:

• Host compromesso: visualizza le informazioni C&C più recenti per ciascundispositivo di destinazione

Tabella 2-6. Informazioni host compromesso

Colonna Descrizione

Hostcompromesso

Il nome del dispositivo di destinazione dell'attacco C&C

Indirizzo dicallback

Numero di indirizzi di callback che l'dispositivo ha tentato dicontattare

Ultimo indirizzodi callback

Ultimo indirizzo di callback che l'dispositivo ha tentato dicontattare

Tentativi dicallback

Numero di tentativi da parte dell'dispositivo di destinazione dicontattare l'indirizzo di callback

NotaFare clic sul collegamento ipertestuale per aprire laschermata Registri dei callback C&C e pervisualizzare informazioni più dettagliate.

• Indirizzo di callback: visualizza le informazioni C&C più recenti per ciascunindirizzo di callback C&C

Tabella 2-7. Informazioni sull'indirizzo C&C

Colonna Descrizione


L'indirizzo di callback C&C originato dalla rete

Livello di rischioC&C

Livello di rischio dell'indirizzo di callback determinatodall'elenco Global Intelligence o Virtual Analyzer

Hostcompromessi

Numero di dispositivo di destinazione dell'indirizzo di callback


2-27

Colonna Descrizione

Ultimo hostcompromesso

Il nome dell'ultimo dispositivo che ha tentato di contattarel'indirizzo di callback C&C

Tentativi dicallback

Numero di tentativi di callback effettuati dalla rete versol'indirizzo

NotaFare clic sul collegamento ipertestuale per aprire laschermata Registri dei callback C&C e pervisualizzare informazioni più dettagliate.

Widget Rilevamento dei rischi per la sicurezza

Questo widget mostra il numero di rischi per la sicurezza rilevati e il numero didispositivi interessati.

Fare clic sul conteggio dei dispositivi per aprire la schermata Gestione agente in cui gliAgenti OfficeScan interessati sono elencati nella struttura agente.


2-28

Widget OfficeScan e Plug-in Mashup

Questo widget combina i dati degli Agenti OfficeScan e dei programmi plug-in installatie li visualizza in una struttura agente. Questo widget aiuta a valutare rapidamente lacopertura di protezione sugli agenti e riduce il sovraccarico richiesto per la gestione deiprogrammi di plug-in individuali.

Questo widget visualizza i dati per i seguenti programmi plug-in:

• Supporto Trend Micro Virtual Desktop

Importante

Prima che il widget mashup possa visualizzare i dati corrispondenti, è necessario attivare unprogramma plug-in supportato. Se sono disponibili versioni più aggiornate, eseguirel'aggiornamento dei programmi di plug-in.

Per selezionare le colonne visualizzate nella struttura agente, fare clic sul pulsante Altreopzioni nell'angolo in alto a destra del widget, quindi sul pulsante Impostazioni.


2-29

Fare clic sui dati di una colonna per aprire la console del programma plug-incorrispondente o la schermata OfficeScan Gestione agente. La schermata risultantedipende dal tipo di dati su cui è stato fatto clic.

Widget Agenti antivirus connessi

Figura 2-4. Visualizzazione predefinita, che mostra tutti gli agenti Smart Scan eScansione convenzionale, e visualizzazione degli agenti Smart Scan espansa chemostra gli Smart Protection Server

Questo widget mostra lo stato della connessione degli Agenti OfficeScan con il serverOfficeScan per il metodo di scansione configurato (Smart Scan e Scansioneconvenzionale).

È possibile scegliere se visualizzare i dati sotto forma di tabella o grafico a torta, facendoclic sulle icone di visualizzazione ( ).

Utilizzare l'elenco a discesa sopra la tabella o il grafico per cambiare il tipo di dativisualizzati. Fare clic sul numero di uno stato per aprire la schermata Gestione agentein cui sono elencati i relativi Agenti OfficeScan nella struttura agente.


Tutto Visualizza lo stato di connessione di tutti gli Agenti OfficeScan perentrambi i metodi di scansione

Scansioneconvenzionale

Visualizza lo stato di connessione di tutti gli Agenti OfficeScanche utilizzano il metodo Scansione convenzionale


2-30


Smart Scan Visualizza lo stato di connessione di tutti gli Agenti OfficeScanche utilizzano il metodo Smart Scan

Quando si visualizza lo stato di connessione degli agenti sottoforma di tabella:

• Espandere le informazioni sugli agenti “online” pervisualizzare lo stato di connessione degli agenti con unoSmart Protection Server.

• Fare clic sull'URL per aprire la console di gestione SmartProtection Server.

NotaSolo gli agenti online (che inviano le segnalazioni al serverOfficeScan) possono segnalare lo stato di connessione conSmart Protection Server.

Per ripristinare la connessione di un agente offline con unoSmart Protection Server, vedere Soluzioni ai problemiriportati nelle icone dell'agente OfficeScan a pagina 15-42.


2-31

Agenti connessi al widget del server Edge Relay

Questo widget mostra il numero di Agenti OfficeScan connessi al server Edge Relay diOfficeScan per un intervallo di tempo specifico.


2-32

Widget Infezioni

Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso diinfezione.

• Fare clic sul collegamento data/ora dell'avviso per visualizzare ulteriori dettaglisull'infezione.

• Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazionisull'avviso di infezione e implementare immediatamente le misure di prevenzionedelle infezioni.

Per ulteriori informazioni sull'implementazione delle misure di prevenzione delleinfezioni, vedere Criteri per la prevenzione delle infezioni a pagina 7-119.


2-33

• Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza pervisualizzare i principali rischi per la sicurezza, i dispositivi con il maggior numero dirischi per la sicurezza e le origini di infezione principali.

Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile:

• Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic suun nome di un rischio per la sicurezza.

• Visualizzare lo stato generale di un determinato dispositivo facendo clic sul nomedell'dispositivo.

• Per visualizzare i registri dei rischi per la sicurezza relativi a un dispositivo, fare clicsu Visualizza in corrispondenza del nome dell'dispositivo.

• Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimpostaconteggio.


2-34

Widget Aggiornamenti agente

Questo widget visualizza i componenti e i programmi che proteggono gli AgentiOfficeScan contro i rischi per la sicurezza.

Fare clic sul conteggio relativo allo stato “Non aggiornato” per aprire la schermataGestione agente in cui sono elencati gli Agenti OfficeScan che richiedonoaggiornamenti nella struttura agente.

Widget di gestioneIl widget di gestione visualizza lo stato di connessione degli Agenti OfficeScan con ilserver OfficeScan.

Widget disponibili:

• Widget Connettività agente e server a pagina 2-35


2-35

Widget Connettività agente e server

Il widget mostra lo stato della connettività di tutti gli agenti con il server OfficeScan.

È possibile passare dalla tabella al grafico a torta facendo clic sulle icone divisualizzazione ( ).

Fare clic sul numero di uno stato per aprire la schermata Gestione agente in cui sonoelencati i relativi Agenti OfficeScan nella struttura agente.

Active Directory IntegrationL'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consentedi gestire gli Agenti OfficeScan in modo più efficiente, di assegnare le autorizzazioni perla console Web tramite gli account Active Directory e di determinare in quali agenti nonè installato il software di protezione. Tutti gli utenti del dominio della rete possono avereaccesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitatoper utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo diautenticazione e la chiave di crittografia convalidano le credenziali degli utenti.


2-36

L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioniindicate di seguito:

• Personalizza gruppi di agenti: consente di utilizzare Active Directory o gliindirizzi IP per raggruppare gli agenti in modo manuale e mapparli ai domini dellastruttura agente di OfficeScan.

Per i dettagli, consultare Raggruppamento automatico agenti a pagina 2-54.

• Dispositivi non gestiti: assicurarsi che i dispositivi della rete che non sono gestitidal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda.

Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 15-74.

Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il serverOfficeScan manualmente o periodicamente.

Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina2-38.

Integrazione di Active Directory con OfficeScan

Procedura

1. Accedere a Amministrazione > Active Directory > Active DirectoryIntegration.

2. In Domini Active Directory specificare il nome del dominio Active Directory.

3. Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazionedei dati con il dominio Active Directory specificato. Le credenziali sonoobbligatorie se il server non appartiene al dominio. In caso contrario, le credenzialisono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server nonsarà in grado di sincronizzare i dati.

a. Fare clic su Specificare le credenziali di dominio.

b. Nella finestra popup visualizzata, immettere il nome utente e la password. Ilnome utente può essere specificato in uno dei seguenti formati:


2-37

• dominio\nome utente

• nomeutente@dominio


4. Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare lecredenziali per i domini eventualmente aggiunti.

5. Fare clic sul pulsante ( ) per eliminare i domini.

6. Specificare le impostazioni di crittografia se sono state specificate le credenziali peri domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominiospecificate dall'utente prima di salvarle nel database. Quando OfficeScansincronizza i dati con uno dei domini specificati, usa una chiave di crittografia perdecodificare le credenziali del dominio.

a. Andare alla sezione Impostazioni di crittografia per le credenziali deldominio.

b. Immettere una chiave di crittografia non superiore a 128 caratteri.

c. Specificare un file in cui salvare la chiave di crittografia. È possibile scegliereun comune formato di file, come .txt. Includere il nome e il percorsocompleto del file, ad esempio C:\AD_Encryption\EncryptionKey.txt.

AVVERTENZA!

se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà ingrado di sincronizzare i dati con i domini specificati.

7. Fare clic su una delle opzioni riportate di seguito.

• Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiedeuna notevole quantità di risorse della rete, è possibile scegliere di salvare solole impostazioni e di eseguire la sincronizzazione successivamente, ad esempiodurante le ore con minore carico di lavoro.

• Salva e sincronizza: salva le impostazioni e sincronizza i dati con i dominiActive Directory.


2-38

8. Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione deidati con i domini di Active Directory a pagina 2-38.

Sincronizzazione dei dati con i domini di Active Directory

Sincronizzare i dati con i domini Active Directory regolarmente in modo che la strutturaagente OfficeScan sia sempre aggiornata e per inviare query agli agenti non gestiti.

Sincronizzazione manuale dei dati con i domini di ActiveDirectory

Procedura

1. Accedere a Amministrazione > Active Directory > Active DirectoryIntegration.

2. Verificare che le credenziali dei domini e le impostazioni di crittografia non sianocambiate.

3. Fare clic su Salva e sincronizza.

Sincronizzazione automatica dei dati con i domini di ActiveDirectory

Procedura

1. Accedere a Amministrazione > Active Directory > Sincronizzazionepianificata.

2. Selezionare Attiva sincronizzazione pianificata di Active Directory.

3. Specificare la pianificazione di sincronizzazione.


2-39

Nota

Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica ilnumero di ore che OfficeScan destina alla sincronizzazione di Active Directory con ilserver OfficeScan.

4. Fare clic su Salva.

Struttura dell'agente OfficeScanLa struttura dell'agente OfficeScan visualizza tutti gli agenti raggruppati in dominiattualmente gestiti dal server. Gli agenti sono raggruppati in domini per consentire diconfigurare e gestire contemporaneamente tutti i membri del dominio, nonché diassegnare loro la stessa configurazione.

Stato della connessione agente

Lo stato della connessione dell'Agente OfficeScan dipende dal modo in cui il serverOfficeScan comunica con l'Agente OfficeScan. Nella seguente tabella sono riportati glistati di connessione disponibili per l'Agente OfficeScan.

Tabella 2-8. Stato della connessione dell'agente Office

Stato Descrizione

Online L'Agente OfficeScan è in grado di collegarsi al server OfficeScanper la comunicazione bidirezionale dei seguenti dati:

• Impostazioni dei criteri

• Aggiornamenti

• Comandi di scansione


• Invio campione



2-40

Stato Descrizione

Offline L'Agente OfficeScan non dispone di una connessione funzionalecon il server OfficeScan o con un server Edge Relay.

Indipendente L'Agente OfficeScan è in grado di collegarsi al server, ma lacomunicazione è limitata. In modalità indipendente:

• L'Agente OfficeScan non accetta le impostazioni dei criteridal server

• L'Agente OfficeScan non avvia i comandi di scansione dalserver

• L'Agente OfficeScan non invia i registri al server

È possibile configurare agenti indipendenti con privilegi checonsentano di accettare o bloccare gli aggiornamenti deicomponenti se è disponibile una connessione funzionale al serverOfficeScan.

Gli utenti finali possono avviare manualmente le scansioni e gliaggiornamenti sugli agenti in modalità Indipendente.

Fuori sede L'Agente OfficeScan è all'esterno della rete aziendale e non puòconnettersi direttamente al server OfficeScan. Tuttavia, l'AgenteOfficeScan è in grado di connettersi a un server Edge Relay perle seguenti operazioni:


• Invio campione


NotaLo Stato della connessione di un agente fuori sede vienevisualizzato come “Offline” nella struttura dell'agente perchéil server OfficeScan non è direttamente connesso al AgenteOfficeScan.


2-41

Icone della struttura agenteLe icone della struttura agente di OfficeScan offrono suggerimenti visivi che indicano iltipo di dispositivo e lo stato degli Agenti OfficeScan gestiti da OfficeScan.

Tabella 2-9. OfficeScan Icone della struttura agente

Icona Descrizione

Dominio

Root

Update agent

Agente scansione convenzionale

Smart Scan disponibile nell'Agente OfficeScan

Smart Scan non disponibile nell'Agente OfficeScan

Smart Scan disponibile in Update Agent

Smart Scan non disponibile in Update Agent

Ricerca nella struttura agenteUtilizzare le funzionalità di ricerca e visualizzazione sopra la struttura agente (Agenti >Gestione agente) per localizzare i dispositivi specifici gestiti da OfficeScan.


2-42

Procedura

• È possibile cercare un determinato agente, specificando il nome dell'agente nellacasella di testo Cerca dispositivo.

L'elenco dei risultati viene visualizzato nella struttura agente. Per selezionare altreopzioni di ricerca, fare clic su Ricerca avanzata.

Nota

È necessario utilizzare la funzionalità di ricerca avanzata per localizzare i dispositiviche utilizzano indirizzi IPv4 o IPv6.

Per i dettagli, consultare Opzioni di ricerca avanzate a pagina 2-43.

• Quando si seleziona un dominio, la tabella della struttura agente si espande emostra tutti gli agenti appartenenti al dominio e tutte le colonne contenenti leinformazioni relative a tali agenti. Per vedere solo un gruppo di colonne,selezionare un elemento all'interno della visualizzazione della struttura agente.

• Visualizza tutto: mostra tutte le colonne

• Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi

• Visualizzazione antivirus: mostra tutti i componenti antivirus

• Visualizzazione anti-spyware: mostra tutti i componenti anti-spyware

• Visualizzazione protezione dati: mostra lo stato del modulo Protezione datisugli agenti

• Visualizzazione firewall: mostra tutti i componenti firewall

• Visualizza Smart Protection: mostra il metodo di scansione utilizzato dagliagenti (convenzionale o Smart Scan) e i componenti Smart Protection

• Visualizzazione Update Agent: mostra le informazioni su tutti gli UpdateAgent gestiti dal server OfficeScan

• Visualizzazione agente fuori sede: mostra le informazioni su tutti gli agentiche fanno riferimento al server Edge Relay


2-43

Opzioni di ricerca avanzate

Cerca gli agenti in base ai criteri seguenti:

Sezione Descrizione

Criteri di base Comprende le informazioni di base sui dispositivi, come indirizzo IP,sistema operativo, dominio, indirizzo MAC, metodo di scansione estato di reputazione Web

• La ricerca in base al segmento IPv4 richiede una porzione diindirizzo IP che inizi con il primo ottetto. Nei risultati della ricercasaranno presenti tutti i dispositivi con indirizzi IP contenenti lavoce specificata. Se, ad esempio, se si digita 10.5 vengonovisualizzati tutti i computer inclusi nell'intervallo di indirizzi IP da10.5.0.0 a 10.5.255.255.

• La ricerca in base all'indirizzo IPv6 richiede una lunghezza o unprefisso.

• La ricerca in base all'indirizzo MAC richiede un intervallo diindirizzi MAC in notazione esadecimale, ad esempio000A1B123C12.

Versionecomponente

Selezionare la casella di controllo accanto al nome del componente,limitare i criteri selezionando Precedente a o Precedente a e inclusoe immettere un numero di versione. Per impostazione predefinitaviene inserito il numero di versione attuale.

Stato Include le impostazioni dell'agente

Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della strutturaagente, viene visualizzato un elenco di nomi dei dispositivi che corrispondono ai criteri.

Operazioni specifiche della struttura agenteLa struttura agente viene visualizzata quando si accede ad alcune schermate dellaconsole Web. Al di sopra della struttura agente sono disponibili voci di menu specifichedella schermata visualizzata. Queste voci di menu consentono di effettuare operazionispecifiche, quali configurare le impostazioni o avviare operazioni degli agente. Pereseguire una delle operazioni, selezionare prima l'operazione di destinazione, quindiselezionare una voce del menu.


2-44

La seguente schermata visualizza la struttura agente:

• Schermata Gestione agente a pagina 2-44

• Schermata Prevenzione delle infezioni virali a pagina 2-48

• Schermata Selezione agente a pagina 2-48

• Schermata Rollback a pagina 2-49

• Schermata Registri dei rischi per la sicurezza a pagina 2-50

Schermata Gestione agentePer visualizzare questa schermata, accedere a Agenti > Gestione agente.

Gestione delle impostazioni generali dell'agente e visualizzazione delle informazionisullo stato relative ad agenti specifici (ad esempio, Utente di accesso, Indirizzo IP eStato della connessione) nella schermata Gestione agente.

Figura 2-5. Schermata Gestione agente

La tabella seguente elenca le operazioni che è possibile effettuare:


2-45

Tabella 2-10. Operazioni Gestione agente

Pulsante dimenu Operazione

Stato Visualizzare le informazioni dettagliate sull'agente. Per i dettagli,consultare Visualizzazione delle informazioni sull'agente OfficeScana pagina 15-59.

Operazioni • Eseguire l'opzione Esegui scansione nei dispositivi agente. Per idettagli, consultare Avvio di Esegui scansione a pagina 7-26.

• Disinstallare l'agente. Per i dettagli, consultare Disinstallazionedell'agente OfficeScan dalla console Web a pagina 5-72.

• Ripristinare il rilevamento dei file sospetti. Per i dettagli,consultare Ripristino dei file in quarantena a pagina 7-47.

• Ripristinare i componenti spyware/grayware. Per i dettagli,consultare Ripristino spyware/grayware a pagina 7-56.

Impostazioni • Configurare le impostazioni di scansione. Per ulteriori dettagli,leggere i seguenti argomenti:

• Tipi di metodi di scansione a pagina 7-8

• Scansione manuale a pagina 7-19

• Scansione in tempo reale a pagina 7-16

• Scansione pianificata a pagina 7-21

• Esegui scansione a pagina 7-24

• Configurare le impostazioni di reputazione Web. Per i dettagli,consultare Criteri di reputazione Web a pagina 12-5.

• Configurare le configurazioni relative all'Intelligenzacomputazionale predittiva. Per i dettagli, consultareConfigurazione delle configurazioni relative all'Intelligenzacomputazionale predittiva a pagina 8-4.

• Configurare le impostazioni di connessione sospetta. Per idettagli, consultare Configurazione delle impostazioni diconnessione sospetta a pagina 8-8.

• Configurare le impostazioni di Monitoraggio del comportamento.Per i dettagli, consultare Monitoraggio del comportamento apagina 9-2.


2-46


• Configurare le impostazioni di Controllo dispositivo. Per idettagli, consultare Controllo dispositivo a pagina 10-2.

• Configurare i criteri di Prevenzione perdita di dati. Per i dettagli,consultare Configurazione dei criteri Prevenzione perdita di datia pagina 11-48.

• Configurare le impostazioni di invio campione. Per i dettagli,consultare Configurazione di Invio campione a pagina 8-11.

• Assegnare gli agenti come Update Agent. Per i dettagli,consultare Configurazione di Update Agent a pagina 6-59.

• Configurare i privilegi agente e altre impostazioni. Per i dettagli,consultare Configurazione dei privilegi dell'agente e altreimpostazioni a pagina 15-95.

• Attivare o disattivare i servizi dell'Agente OfficeScan. Per idettagli, consultare Servizi dell'agente OfficeScan a pagina15-6.

• Configurare l'elenco di spyware/grayware approvato. Per idettagli, consultare Elenco Approvati spyware/grayware apagina 7-54.

• Configurare l'elenco Programmi affidabili. Per i dettagli,consultare Configurazione dell'elenco Programmi affidabili apagina 7-58.

• Importazione ed esportazione delle impostazioni agente. Per idettagli, consultare Importazione ed esportazione delleimpostazioni degli agenti a pagina 15-59.

Registri Visualizzare i registri riportati di seguito:

• Registri di virus/minacce informatiche (per maggiori dettagli,vedere Visualizzazione dei registri di virus/minacce informatichea pagina 7-98)

• Registri spyware/grayware (per maggiori dettagli, vedereVisualizzazione dei registri di spyware/grayware a pagina 7-106)

• Registri del firewall (per maggiori dettagli, vedere Registri delfirewall a pagina 13-30)


2-47


• Registri di reputazione Web (per maggiori dettagli, consultareRegistri delle minacce Web a pagina 12-23)

• Registri delle connessioni sospette (per maggiori dettagli,consultare Visualizzazione dei registri delle connessionisospette a pagina 8-16)

• Registri dei file sospetti (per maggiori dettagli, consultareVisualizzazione dei file delle connessioni sospette a pagina7-111)

• Registri dei callback C&C (per maggiori dettagli, consultareVisualizzazione dei registri di callback C&C a pagina 12-25.)

• Registri di Monitoraggio del comportamento (per maggioridettagli, vedere Registri di Monitoraggio del comportamento apagina 9-23)

• Registri relativi all'Intelligenza computazionale predittiva (permaggiori dettagli, vedere Visualizzazione dei registri relativiall'Intelligenza computazionale predittiva a pagina 8-12)

• Registri di Controllo dispositivo (per maggiori dettagli, vedereRegistri di controllo dispositivo a pagina 10-19)

• Registri DLP (per maggiori dettagli, consultare Registri diPrevenzione perdita di dati a pagina 11-58)

• Registri dell'operazione di scansione (per maggiori dettagli,consultare Visualizzazione dei registri dell'operazione discansione a pagina 7-112)

Eliminare i registri. Per i dettagli, consultare Gestione dei registri apagina 14-44.

Gestionestruttura agente

Gestire la struttura agente. Per i dettagli, consultare Operazioni diraggruppamento agenti a pagina 2-59.

Esporta Esportare un elenco degli agenti in un file .csv.


2-48

Schermata Prevenzione delle infezioni viraliPer visualizzare questa schermata, accedere a Agenti > Prevenzione delle infezionivirali.

Specificare e attivare le impostazioni di prevenzione delle infezioni nella schermataPrevenzione delle infezioni virali. Per i dettagli, consultare Configurazione dellaprevenzione dei rischi per la sicurezza a pagina 7-118.

Figura 2-6. Schermata Prevenzione delle infezioni virali

Schermata Selezione agentePer visualizzare questa schermata, accedere a Aggiornamenti > Agenti >Aggiornamento manuale. Fare clic su Seleziona agenti manualmente, quindi suSeleziona.


2-49

Avviare l'aggiornamento manuale nella schermata Selezione agente. Per i dettagli,consultare Aggiornamenti manuali dell'agente OfficeScan a pagina 6-47.

Figura 2-7. Schermata Selezione agente

Schermata RollbackPer visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic suSincronizza con il server.


2-50

Eseguire il rollback dei componenti agente nella schermata Rollback. Per i dettagli,consultare Rollback dei componenti per gli agenti OfficeScan a pagina 6-56.

Figura 2-8. Schermata Rollback

Schermata Registri dei rischi per la sicurezzaPer visualizzare questa schermata, accedere a Registri > Agenti > Rischi per lasicurezza.


2-51

Visualizzare e gestire i registri nella schermata Registri dei rischi per la sicurezza.

Figura 2-9. Schermata Registri dei rischi per la sicurezza

Eseguire le operazioni riportate di seguito:

1. Visualizzare i registri che gli agenti inviano al server. Per maggiori dettagli,consultare:

• Visualizzazione dei registri di virus/minacce informatiche a pagina 7-98

• Visualizzazione dei registri di spyware/grayware a pagina 7-106

• Visualizzazione dei registri firewall a pagina 13-31

• Visualizzazione dei registri di reputazione Web a pagina 12-23

• Visualizzazione dei registri delle connessioni sospette a pagina 8-16

• Visualizzazione dei file delle connessioni sospette a pagina 7-111

• Visualizzazione dei registri di callback C&C a pagina 12-25

• Visualizzazione dei registri di Monitoraggio del comportamento a pagina 9-24


2-52

• Visualizzazione dei registri relativi all'Intelligenza computazionale predittiva a pagina8-12

• Visualizzazione dei registri di controllo dispositivo a pagina 10-19

• Visualizzazione dei registri di Prevenzione perdita di dati a pagina 11-58

• Visualizzazione dei registri dell'operazione di scansione a pagina 7-112

2. Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 14-44.

Domini OfficeScanUn dominio all'interno di OfficeScan è un gruppo di agenti che condividono la stessaconfigurazione ed eseguono le stesse operazioni. Il raggruppamento degli agenti indomini consente di configurare e gestire tutti i membri del dominio, nonché di assegnareloro la stessa configurazione.

Per ulteriori informazioni sul raggruppamento degli agenti, consultare Raggruppamentoagenti a pagina 2-52.

Raggruppamento agentiUtilizzare Raggruppamento agenti per creare e gestire domini in modo manuale oautomatico nella struttura agente OfficeScan.

Esistono due modi per raggruppare gli agenti nei domini.


2-53

Tabella 2-11. Metodi di raggruppamento degli agenti

Metodo Raggruppamento agenti Descrizioni

Manuale • DominioNetBIOS

• Dominio ActiveDirectory

• Dominio DNS

Il raggruppamento manuale degli agenti definisce ildominio al quale il nuovo agente installato dovrebbeappartenere. Quando l'agente viene visualizzatonella struttura agente, è possibile spostarlo in unaltro dominio o in un altro server OfficeScan.

Il raggruppamento manuale degli agenti consenteinoltre di creare, gestire e rimuovere domini nellastruttura agente.

Per i dettagli, consultare Raggruppamento agentimanuale a pagina 2-53.

Automatici Gruppi di agentipersonalizzati

Il raggruppamento automatico degli agenti utilizzadelle regole per ordinare gli agenti nella strutturaagente. Dopo la definizione delle regole, è possibileaccedere alla struttura agente per ordinare gli agentimanualmente o per consentire a OfficeScan diordinarli automaticamente quando si verificano eventispecifici o a intervalli programmati.

Per i dettagli, consultare Raggruppamentoautomatico agenti a pagina 2-54.

Raggruppamento agenti manualeOfficeScan utilizza questa impostazione solo per le installazioni agente da zero. Ilprogramma di installazione controlla il dominio di rete a cui appartiene il dispositivo didestinazione. Se il nome del dominio è già presente nella struttura agente, OfficeScanraggruppa l'agente del dispositivo di destinazione sotto quel dominio e applica ad esso leimpostazioni configurate per quel dominio. Se il nome del dominio non è presente,OfficeScan aggiunge il dominio alla struttura agente, raggruppa l'agente sotto taledominio, quindi applica le impostazioni della directory principale al dominio e all'agente.


2-54

Configurazione raggruppamento manuale agenti

Procedura

1. Accedere a Agenti > Raggruppamento agenti.

2. Specificare il metodo di raggruppamento agente:

• Dominio NetBIOS

• Dominio Active Directory

• Dominio DNS


Operazioni successive

Per gestire i domini e i relativi raggruppamenti di agenti, eseguire le seguenti operazioni:

• Aggiungere un dominio

• Eliminare un dominio o un agente

• Rinominare un dominio

• Trasferire un singolo agente a un altro dominio

Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-59.

Raggruppamento automatico agenti

Il Raggruppamento automatico agenti utilizza le regole definite dagli indirizzi IP o daidomini Active Directory. Se una regola definisce un indirizzo IP o un intervallo diindirizzi IP, il server OfficeScan raggrupperà gli agenti con un indirizzo IPcorrispondente a un dominio specifico della struttura agente. Analogamente, se unaregola definisce uno o più domini Active Directory, il server OfficeScan raggrupperàagenti appartenenti a un particolare dominio Active Directory in un dominio specificodella struttura agente.


2-55

Gli agenti applicano soltanto una regola per volta. Assegnare delle priorità alle regole, inmodo che se un agente soddisfa più di una regola, si applicherà quella con la priorità piùalta.

Configurazione del raggruppamento automatico agenti

Procedura

1. Accedere a Agenti > Raggruppamento agenti

2. Accedere alla sezione Raggruppamento agenti e selezionare Crea gruppi diagenti personalizzati per gli agenti OfficeScan esistenti.

3. Accedere alla sezione Raggruppamento automatico agenti.

4. Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare ActiveDirectory oppure Indirizzo IP.

• Se è stato selezionato Active Directory, consultare le istruzioni per laconfigurazione in Definizione di una regola di raggruppamento degli agenti in base aidomini Active Directory a pagina 2-56.

• Se è stato selezionato Indirizzo IP, consultare le istruzioni per laconfigurazione in Definizione delle regole di raggruppamento degli agenti in base agliindirizzi IP a pagina 2-57.

5. Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi:

a. Selezionare una regola.

b. Fare clic su una freccia sotto la colonna Priorità di gruppo per spostare laregola in alto o in basso nell'elenco. Il numero ID della regola cambia in basealla nuova posizione assegnata.

6. Per utilizzare le regole durante il riordino dell'agente:

a. Selezionare le caselle di controllo delle regole da utilizzare.

b. Attivare la regola impostando lo Stato su Attivato.


2-56

NotaSe non viene selezionata la casella di controllo per una regola o se la regola vienedisattivata, la stessa non verrà utilizzata quando si riordinano gli agenti nella strutturaagente. Ad esempio, se la regola determina che un agente deve spostarsi su un nuovodominio, l'agente non si sposterà e rimarrà nel dominio attuale.

7. Specificare una pianificazione di riordino nella sezione Creazione dominiopianificata.

a. Selezionare Attiva creazione dominio pianificata.

b. Specificare la pianificazione in Creazione dominio pianificata.

8. Scegliere una delle opzioni elencate di seguito.

• Salva e crea dominio ora: scegliere questa opzione se sono stati specificatinuovi domini in Definizione delle regole di raggruppamento degli agenti in base agliindirizzi IP a pagina 2-57, passaggio 7 o in Definizione di una regola diraggruppamento degli agenti in base ai domini Active Directory a pagina 2-56,passaggio 7.

• Salva: scegliere questa opzione se non sono stati specificati nuovi domini o sidesidera crearne di nuovi solo quando il riordino dell'agente è in esecuzione.

NotaIl riordino dell'agente non inizierà dopo il completamento di questo passaggio.

Definizione di una regola di raggruppamento degli agenti inbase ai domini Active DirectoryAccertarsi di aver configurato le impostazioni di integrazione di Active Directory primadi eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration apagina 2-35.


2-57

Procedura




4. Fare clic su Aggiungi, quindi selezionare Active Directory.

Viene visualizzata una nuova schermata.

5. Selezionare Attiva raggruppamento.

6. Specificare un nome per la regola.

7. In Origine di Active Directory, selezionare il domini o i sottodomini di ActiveDirectory.

8. In Struttura agente, selezionare un dominio OfficeScan esistente al quale sonoassociati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste,attenersi alla procedura riportata di seguito:

a. Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clicsull'icona ( ) per l'aggiunta dei domini.

b. Immettere il nome del dominio nella casella di testo fornita.

c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominioviene aggiunto ed è selezionato automaticamente.

9. Facoltativamente, selezionare Duplica la struttura Active Directory nellastruttura dell'agente OfficeScan. Questa opzione duplica la gerarchia dei dominiActive Directory selezionati nel dominio OfficeScan selezionato.


Definizione delle regole di raggruppamento degli agenti inbase agli indirizzi IPCreare gruppi agente personalizzati utilizzando gli indirizzi IP di rete per ordinare gliagenti nella struttura di OfficeScan agente. La funzione si rivela utile agli amministratori


2-58

per organizzare la struttura dell'agente OfficeScan prima della registrazione dell'agentecon il server OfficeScan.

Procedura




4. Fare clic su Aggiungi e selezionare Indirizzo IP.


5. Selezionare Attiva raggruppamento.

6. Specificare un nome per il raggruppamento.

7. Specificare una delle seguenti opzioni:

• Un indirizzo IPv4 o IPv6 singolo

• Un intervallo di indirizzi IPv4

• Una lunghezza e un prefisso IPv6

Nota

Se gli indirizzi IPv4 e IPv6 di un agente dual-stack appartengono a due gruppi agentediversi, l'agente sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è disattivatonella macchina host dell'agente, l'agente sarà spostato sotto il gruppo IPv4.

8. Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP èassociato. Se il dominio non esiste, attenersi alla procedura riportata di seguito:

a. Posizionare il mouse sopra la struttura agente e fare clic sull'icona perl'aggiunta dei domini.


2-59

Figura 2-10. Icona per l'aggiunta dei domini

b. Digitare il dominio nella casella di testo disponibile.

c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominioviene aggiunto ed è selezionato automaticamente.


Operazioni di raggruppamento agentiDurante il raggruppamento degli agenti nei domini è possibile effettuare le operazioniriportate di seguito:

• Aggiungere un dominio. Consultare Aggiunta di un dominio a pagina 2-60 perulteriori dettagli.

• Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di unagente a pagina 2-60 per ulteriori dettagli.

• Rinominare un dominio. Consultare Ridenominazione di un dominio a pagina 2-61 perulteriori dettagli.

• Trasferire un singolo agente a un altro dominio o a un altro server OfficeScan.Consultare Spostamento degli Agenti OfficeScan in un altro dominio o server OfficeScan apagina 2-61 per ulteriori dettagli.


2-60

Aggiunta di un dominio

Procedura

1. Accedere a Agenti > Gestione agente.

2. Fare clic su Gestione struttura agente > Aggiungi dominio.

3. Digitare un nome per il dominio che si desidera aggiungere.

4. Fare clic su Aggiungi.

Il nuovo dominio viene visualizzato nella struttura agente.

5. Creare sottodomini (Facoltativo).

a. Selezionare il dominio principale.

b. Fare clic su Gestione struttura agente > Aggiungi dominio.

c. Immettere il nome del sottodominio.

Eliminazione di un dominio o di un agente

Procedura


2. Nella struttura agente, selezionare:

• Uno o più domini

• Uno, alcuni o tutti gli agenti appartenenti a un dominio

3. Fare clic su Gestione struttura agente > Rimuovi dominio/agente.

4. Per eliminare un dominio vuoto, fare clic su Rimuovi dominio/agente. Se neldominio sono presenti agenti e si fa clic su Rimuovi dominio/agente, il serverOfficeScan crea nuovamente il dominio e raggruppa tutti gli agenti sotto taledominio la volta successiva che gli agenti si connettono al server OfficeScan. Primadi eliminare il dominio, è possibile effettuare le seguenti operazioni:


2-61

a. Trasferire gli agenti ad altri domini. Per spostare gli agenti in altri domini,trascinare gli agenti nei domini di destinazione.

b. Elimina tutti gli agenti.

5. Per eliminare un singolo agente, fare clic su Rimuovi dominio/agente.

Nota

L'eliminazione dell'agente dalla struttura agente non rimuove l'Agente OfficeScan daldispositivo agente. L'Agente OfficeScan è comunque in grado di effettuare delleoperazioni indipendenti dal server quali l'aggiornamento dei componenti. Tuttavia,sul server non è presente alcuna traccia dell'esistenza dell'agente e, per questo motivo,non è possibile implementare configurazioni o inviare notifiche all'agente.

Ridenominazione di un dominio

Procedura


2. Selezionare un dominio nella struttura agente.

3. Fare clic su Gestione struttura agente > Rinomina dominio.

4. Inserire un nuovo nome per un dominio.

5. Fare clic su Rinomina.

Il nuovo dominio viene visualizzato nella struttura agente.

Spostamento degli Agenti OfficeScan in un altro dominio oserver OfficeScan

Procedura



2-62

2. Nella struttura agente, selezionare uno, alcuni o tutti gli agenti.

3. Fare clic su Gestione struttura agente > Sposta agente.

4. Per spostare gli agenti in un altro dominio:

• Selezionare Sposta gli agenti selezionati in un altro dominio.

• Selezionare il dominio.

• Applicare le impostazioni del nuovo dominio agli agenti.

SuggerimentoÈ inoltre possibile trascinare gli agenti e rilasciarli in un altro dominio della strutturaagente.

5. Per spostare gli agenti in un altro server OfficeScan:

• Selezionare Sposta gli agenti selezionati in un altro server OfficeScan.

• Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di portaHTTP o SSL (443).

NotaSe si spostano gli Agenti OfficeScan in una OfficeScan Cloud Console, èpossibile ottenere le informazioni del server OfficeScan Cloud Consoleaccedendo alla console di Control Manager. Accedere ad Amministrazione >Server gestiti e, nell'elenco a discesa Tipo server, selezionare OfficeScan.

6. Fare clic su Sposta.

3-1

Capitolo 3

Informazioni preliminari suProtezione dati

In questo capitolo vengono descritte le modalità di installazione e di attivazione delmodulo Protezione dati.


• Installazione di Protezione dati a pagina 3-2

• Licenza di Protezione dati a pagina 3-4

• Implementazione di Protezione dati negli agenti OfficeScan a pagina 3-6

• Cartella dati forensi e database DLP a pagina 3-9

• Disinstallazione di Protezione dati a pagina 3-15


3-2

Installazione di Protezione datiIl modulo Protezione dati comprende le seguenti funzionalità:

• Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata dirisorse digitali

• Controllo dispositivo: Regola l'accesso ai dispositivi esterni

Nota

La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo checonsente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazioneUSB. La funzionalità Controllo dispositivo del modulo Protezione dati consente di ampliarela gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedere Controllodispositivo a pagina 10-2.

Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan marichiedono una licenza separata. Dopo aver installato il server OfficeScan, questefunzionalità sono disponibili, ma non sono operative e non possono essereimplementate negli agenti. L'installazione di Protezione dati prevede il download di unfile dal server ActiveUpdate o da una origine aggiornamenti personalizzata, se è stataimpostata. Quando il file è stato incorporato nel server OfficeScan, è possibile attivare lalicenza di Protezione dati per attivarne le funzionalità complete. L'installazione el'attivazione vengono eseguite da Plug-in Manager.

Importante

Non è necessario installare il modulo standalone Protezione dati se il software Prevenzionedella perdita di dati Trend Micro è già installato e in esecuzione sui dispositivi.

Installazione di Protezione dati

Procedura

1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.

Informazioni preliminari su Protezione dati

3-3

2. Nella schermata Plug-in Manager, andare alla sezione Protezione datiOfficeScan e fare clic su Download.

Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download.

Plug-In Manager archivia il file scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

NotaSe Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamentedopo 24 ore. Per avviare manualmente il download del file da parte di Plug-inManager, riavviare il servizio OfficeScan Plug-in Manager da Console di gestioneMicrosoft.

3. Monitorare l'avanzamento del download.

Nel corso del download è possibile effettuare altre operazioni.

Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare iregistri di aggiornamento server sulla console web di OfficeScan. Nel menuprincipale, fare clic su Registri > Aggiornamento server.

Una volta completato il download del file di Plug-in Manager, Protezione datiOfficeScan viene visualizzato in una nuova schermata.

NotaSe Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioniin Risoluzione dei problemi di Plug-in Manager a pagina 17-12.

4. Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa orao per installarlo in un secondo momento, fare quanto segue:

a. Fare clic su Installa in un secondo momento.

b. Aprire la schermata Plug-in Manager.

c. Andare alla sezione Protezione dati OfficeScan e fare clic su Installa.

5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.

L'installazione viene avviata.


3-4

6. Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione vienevisualizzata la versione di Protezione dati OfficeScan.

Licenza di Protezione datiVisualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager.

Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza.

Attivazione della licenza del Programma plug-in

Procedura


2. Nella schermata Plug-in Manager, accedere alla sezione dei programmi plug-in efare clic su Gestione programma.

Viene visualizzata la schermata Nuovo codice di attivazione della licenza delprodotto.

3. Digitare o copiare e incollare il codice di attivazione nei campi del testo.


Viene visualizzata la console plug-in.

Informazioni sulla visualizzazione e il rinnovo dellalicenza

Procedura




3-5

3. Fare clic su Visualizza informazioni sulla licenza per visualizzare leinformazioni sulla licenza corrente sul sito Web di Trend Micro.

4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.

Opzione Descrizione

Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

Versione Indica se la versione è "Completa" o se si tratta di una "Versionedi prova"

NotaL'attivazione viene visualizzata come "Completa" sia per laversione completa e sia per la versione di prova.

Postazioni Indica quanti dispositivi il programma plug-in è in grado digestire

La licenzascade il

Se il programma plug-in prevede diverse licenze, verràvisualizzata l'ultima data di scadenza.

Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11,verrà visualizzata la data 31.12.11.

Codice diattivazione

visualizza il Codice di attivazione

Promemoria A seconda della versione della licenza corrente, il plug-invisualizza i promemoria sulla data di scadenza della licenzadurante il periodo di proroga (solo nelle versioni complete)oppure quando scade la licenza.

Nota

La durata del periodo di proroga varia a seconda dell'area geografica. Verificare ilperiodo di proroga di in programma plug-in con un rappresentante Trend Micro.

5. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clicsu Aggiorna informazioni.

6. Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codicedi attivazione della licenza del prodotto.


3-6

Per i dettagli, consultare Attivazione della licenza del Programma plug-in a pagina 3-4.

Implementazione di Protezione dati negliagenti OfficeScan

Implementare il modulo Protezione dati negli Agenti OfficeScan dopo l'attivazione dellalicenza. Dopo l'implementazione, gli Agenti OfficeScan iniziano a utilizzare Prevenzioneperdita di dati e Controllo dispositivo.

Importante

• Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003,Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effettonegativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazionidel sistema costantemente e adottare le misure necessarie quando si verificano cali diprestazioni.

Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultareServizi dell'agente OfficeScan a pagina 15-6.

• Se il software Prevenzione perdita di dati Trend Micro è disponibile nel dispositivo,OfficeScan non lo sostituisce con il modulo Protezione dati.

• Il modulo Protezione dati viene installato immediatamente negli agenti online. Negliagenti offline e indipendenti, il modulo viene installato dopo la riconnessione al serverOfficeScan.

• Gli utenti devono riavviare i computer per completare l'installazione dei driver diPrevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare.

• Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione deiproblemi di implementazione. Per i dettagli, consultare Attivazione del registro di debug peril modulo Protezione dati a pagina 11-64.


3-7

Implementazione del modulo protezione dati sugli agentiOfficeScan

Procedura


2. Nella struttura agente è possibile:

• Fare clic sull'icona del dominio root ( ) per implementare il modulo su tuttigli agenti esistenti e futuri.

• Selezionare un dominio specifico per implementare il modulo su tutti gliagenti esistenti e futuri del dominio.

• Selezionare un agente specifico per implementare il modulo solo suquell'agente.

3. Implementare il modulo in due modi diversi:

• Fare clic su Impostazioni > Impostazioni DLP.

• Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

Nota

Se si esegue l'implementazione da Impostazioni > Impostazioni DLP e ilmodulo Protezione dati è stato implementato correttamente, saranno installati idriver di Prevenzione perdita di dati. Se i driver sono installati correttamente,viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare glidispositivo per terminare l'installazione dei driver.

Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemidurante l'installazione dei driver. Se il registro di debug è attivato, controllare iregistri di debug per ottenere dettagli sui problemi di installazione dei driver.

4. Viene visualizzato un messaggio per indicare il numero di agenti in cui il modulonon è installato. Fare clic su Sì per avviare l’implementazione.


3-8

NotaSe si fa clic su No (o se il modulo non è stato implementato su uno o più client), lostesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni >Impostazioni DLP o Impostazioni > Impostazioni di controllo dispositivo.

Gli Agenti OfficeScan iniziano il download del modulo dal server.

5. Controllare se il modulo è stato implementato sugli agenti.

a. Selezionare un dominio nella struttura agente.

b. Nell visualizzazione struttura agente, selezionare Visualizzazioneprotezione dati o Visualizza tutto.

c. Controllare la colonna Stato Protezione dati. Lo stato dell'implementazionepuò essere uno dei valori riportati di seguito:

• In esecuzione: l'implementazione del modulo è riuscita e le funzionisono state attivate.

• Riavvio necessario: i driver di Prevenzione perdita di dati non sonostati installati perché gli utenti non hanno riavviato i rispettivi computer.Se i driver non sono installati, Prevenzione perdita di dati non funziona.

• Operazione interrotta: il servizio per il modulo non è stato avviato ol'dispositivo di destinazione è stato arrestato in modo normale. Peravviare il servizio Protezione dati, accedere a Agenti > Gestione agente> Impostazioni > Impostazioni aggiuntive del servizio e attivare iservizi di Protezione dati.

• Impossibile eseguire l'installazione: si è verificato un problemadurante l'implementazione del modulo sull'agente. Occorreimplementare di nuovo il modulo dalla struttura agente.

• Impossibile eseguire l'installazione (esiste già un programma perla prevenzione della perdita di dati): il software Prevenzione perditadi dati di Trend Micro è già disponibile nel dispositivo. OfficeScan non losostituisce con il modulo Protezione dati.

• Non installato: il modulo non è stato implementato sull'agente. Questostato viene visualizzato se si sceglie di non implementare il modulo


3-9

sull'agente o se lo stato dell'agente è Offline o Indipendente durantel'implementazione.

Cartella dati forensi e database DLPQuando si verifica un incidente di Prevenzione perdita di dati, OfficeScan registra i datidell'incidente su un database specializzato di dati forensi. OfficeScan crea inoltre un filecrittografato contenente una copia dei dati sensibili che hanno causato l'incidente egenera un valore hash a scopo di verifica e per assicurare l'integrità dei dati sensibili.OfficeScan crea i file crittografati di dati forensi sulla macchina agente e li caricasuccessivamente in un percorso specifico sul server.

Importante

• I file crittografati dei dati forensi contengono dati altamente sensibili e gliamministratori devono agire con cautela quando consentono l'accesso a tali file.

• OfficeScan, in combinazione con Control Manager, fornisce agli utenti di ControlManager con ruolo di Responsabile della revisione degli incidenti DLP o diResponsabile di conformità DLP la facoltà di accedere ai dati all'interno dei filecrittografati. Per ulteriori informazioni sui ruoli DLP e l'accesso ai file di dati forensiin Control Manager, consultare la guida per l'amministratore di Control Manager 6.0 SP3Patch 2 o versioni successive.

Modifica delle impostazioni della cartella e del databasedei dati forensi

Gli amministratori possono modificare il percorso e la pianificazione dell'eliminazionedella cartella dei dati forensi, nonché le dimensioni massime dei file che gli agenticaricano, modificando i file INI di OfficeScan.


3-10

AVVERTENZA!La modifica del percorso della cartella di dati forensi dopo la registrazione degli incidenti diPrevenzione perdita di dati può causare una disconnessione tra i dati del database e ilpercorso dei file di dati forensi esistenti. Trend Micro consiglia di effettuare manualmente lamigrazione di eventuali file di dati forensi esistenti alla nuova cartella di dati forensi dopoaverne modificato il percorso.

La seguente tabella delinea le impostazioni del server disponibili nel file del percorso<Cartella di installazione del server>\PCCSRV\Private\ofcserver.ini nel serverOfficeScan.

Tabella 3-1. Impostazioni del server della cartella di dati forensi in PCCSRV\Private\ofcserver.ini

Obiettivo Impostazione INI Valori

Attivazione delpercorso dellacartella di datiforensi definitodall'utente

[INI_IDLP_SECTION]

EnableUserDefinedUploadFolder

0: disattiva(predefinito)

1: attiva


3-11


Configurazione del percorsodella cartella didati forensidefinitodall'utente

[INI_IDLP_SECTION]

UserDefinedUploadFolder

Nota

• Gli amministratori devono attivarel'impostazioneEnableUserDefinedUploadFolderprima che questa venga applicata daPrevenzione perdita di dati.

• Il percorso predefinito della cartella didati forensi è:

<Cartella di installazione del server>\PCCSRV\Private\DLPForensicData

• Il percorso della cartella di dati forensidefinito dall'utente deve essereun'unità fisica (interna o esterna) sulserver. OfficeScan non supporta lamappatura di un percorso di un'unitàdi rete.

Valore predefinito:<Sostituire questovalore con ilpercorso dellacartella definito dalcliente. Adesempio: C:\VolumeData\OfficeScanDlpForensicData>

Valore definitodall'utente: deveessere il percorsofisico di un'unità nelserver

Attivazionedella puliziadei file di datiforensi

[INI_IDLP_SECTION]

ForensicDataPurgeEnable

0: disattiva

1: attiva(predefinito)


3-12


Configurazione dellafrequenzatemporaledella verifica dipulizia del filedi dati forensi

[INI_IDLP_SECTION]

ForensicDataPurgeCheckFrequency

Nota

• Gli amministratori devono attivarel'impostazioneForensicDataPurgeEnable prima chequesta venga applicata da OfficeScan.

• OfficeScan elimina solamente i file didati che hanno superato la data discadenza specificatanell'impostazioneForensicDataExpiredPeriodInDays.

1: con frequenzamensile, il primogiorno del mesealle 00:00

2: con frequenzasettimanale(predefinito), ognidomenica alle00:00

3: con frequenzagiornaliera, ognigiorno alle 00:00

4: con frequenzaoraria, ogni ora alleHH:00

Configurazione del periododi tempo perarchiviare i filedi dati forensinel server

[INI_IDLP_SECTION]

ForensicDataExpiredPeriodInDays

Valore predefinito(in giorni): 180

Valore minimo: 1

Valore massimo:3650

Configurazione dellafrequenzatemporaledella verifica dispazio sudisco del file didati forensi

[INI_SERVER_DISK_THRESHOLD]

MonitorFrequencyInSecond

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato per l'impostazioneInformUploadOnDiskFreeSpaceInGb,OfficeScan crea un registro eventi sullaconsole Web.

Valore predefinito(in secondi): 5


3-13


Configurazione dellafrequenza dicaricamentodella verifica dispazio sudisco del file didati forensi


IsapiCheckCountInRequest

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato per l'impostazioneInformUploadOnDiskFreeSpaceInGb,OfficeScan crea un registro eventi sullaconsole Web.

Valore predefinito(in numero di file):200

Configurazione del valoredello spazio sudisco minimoche generauna notifica dispazio sudisco limitato


InformUploadOnDiskFreeSpaceInGb

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato, OfficeScan crea un registroeventi sulla console Web.

Valore predefinito(in GB): 10

Configurazione dello spaziominimodisponibile percaricare i file didati forensidagli agenti


RejectUploadOnDiskFreeSpaceInGb

NotaSe lo spazio su disco disponibile nellacartella di dati forensi è inferiore al valoreconfigurato, gli agenti OfficeScan noncaricano i file dei dati forensi nel server eOfficeScan crea un registro di eventi nellaconsole Web.

Valore predefinito(in GB): 1

La seguente tabella delinea le impostazioni dell'Agente OfficeScan disponibili nel file<Cartella di installazione del server>\PCCSRV\ofcscan.ini nel server OfficeScan.


3-14

Tabella 3-2. Impostazioni dell'Agente dei file di dati forensi in PCCSRV\ofcscan.ini


Attivazione delcaricamentodei file di datiforensi nelserver

UploadForensicDataEnable 0: disattiva

1: attiva(predefinito)

Configurazione delledimensionimassime deifile chel'AgenteOfficeScancarica nelserver

UploadForensicDataSizeLimitInMb

NotaL'Agente OfficeScan invia al server solo filecon dimensioni inferiori a queste.

Valore predefinito(in MB): 10

Valore minimo: 1

Valore massimo:2048

Configurazione del periododi tempo perarchiviare i filedi dati forensinell'AgenteOfficeScan

ForensicDataKeepDays

NotaL'Agente OfficeScan elimina i file di datiforensi che hanno superato la data discadenza specificata ogni giorno alle11:00.

Valore predefinito(in giorni): 180

Valore minimo: 1

Valore massimo:3650

Configurazione dellafrequenza concui l'AgenteOfficeScanverifica laconnettività delserver

ForensicDataDelayUploadFrequenceInMinutes

NotaGli Agenti OfficeScan che non sono ingrado di caricare i file di dati forensi nelserver cercano automaticamente direinviarli in base all'intervallo di tempospecificato.

Valore predefinito(in minuti): 5

Valore minimo: 5

Valore massimo:60


3-15

Creazione di un backup di dati forensiIn base ai criteri di protezione dell'azienda, il tempo necessario per l'archiviazione delleinformazioni dei dati forensi può variare enormemente. Al fine di liberare spazio sudisco nel server, Trend Micro consiglia di effettuare un backup manuale della cartella edel database contenenti i dati forensi.

Procedura

1. Accedere al percorso della cartella di dati forensi nel server.

• Percorso predefinito: <Cartella di installazione del server>\PCCSRV\Private\DLPForensicData

• Per individuare la cartella di dati forensi personalizzata, vedere Configurazionedel percorso della cartella di dati forensi definito dall'utente a pagina 3-11.

2. Copiare la cartella in un nuovo percorso.

3. Per effettuare il backup manuale del database di dati forensi, andare a <Cartella diinstallazione del server>\PCCSRV\Private.

4. Copiare il file DLPForensicDataTracker.db in un nuovo percorso.

Disinstallazione di Protezione datiSe si disinstalla il modulo Protezione dati da Plug-in Manager:

• Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registrisaranno rimossi dal server OfficeScan.

• Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dalmodulo Protezione dati vengono rimosse dal server.

• Il modulo Protezione dati viene rimosso dagli agenti. Per rimuovere la Protezionedati completamente, è necessario riavviare i dispositivi agente.

• I criteri di Prevenzione perdita di dati non saranno più applicati agli agenti.


3-16

• Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi:

• Adattatori Bluetooth

• Porte COM e LPT

• Interfaccia IEEE 1394

• Dispositivi per l\'acquisizione di immagini

• Dispositivi a infrarossi

• Modem

• Scheda PCMCIA

• Tasto Stamp

• Schede NIC wireless:

Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione,attivare la licenza con un Codice di attivazione valido.

Disinstallazione di Protezione dati da Plug-in Manager

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Protezione datiOfficeScan e fare clic su Disinstalla.

3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione èpossibile effettuare altre operazioni.

4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. LaProtezione dati di OfficeScan è di nuovo disponibile per l'installazione.

Parte IIProtezione degli Agenti

OfficeScan

4-1

Capitolo 4

Utilizzo di Trend Micro SmartProtection

In questo capitolo vengono descritte le soluzioni Trend Micro Smart Protection e lemodalità di impostazione dell'ambiente richiesto per il relativo utilizzo.


• Informazioni su Trend Micro Smart Protection a pagina 4-2

• Servizi Smart Protection a pagina 4-3

• Origini Smart Protection a pagina 4-6

• File Smart Protection Pattern a pagina 4-8

• Impostazione dei servizi Smart Protection a pagina 4-13

• Utilizzo dei servizi Smart Protection a pagina 4-32


4-2

Informazioni su Trend Micro Smart ProtectionTrend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti clientcloud di prossima generazione concepita per proteggere gli utenti contro i rischi per lasicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestite da hostper proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie ad agenti leggeriche accedono alla combinazione cloud unica di tecnologie di reputazione file, postaelettronica e Web, nonché ai database delle minacce. La protezione dei clienti vieneaggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizie utenti che accedono alla rete, creando in tal modo un servizio di protezione reciprocain tempo reale per gli utenti.

Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione ecorrelazione, le soluzioni Trend Micro Smart Protection riducono al minimo ladipendenza dai download convenzionali dei file di pattern ed eliminano i ritardinormalmente associati agli aggiornamenti desktop.

L'esigenza di una nuova soluzione

Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni)richiesti per proteggere i dispositivi vengono per la maggior parte distribuiti in base auna pianificazione, che prevede una distribuzione in batch da Trend Micro agli agenti.Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/minacce informatiche in esecuzione sull'agente ricarica nella memoria le definizioni deipattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/minaccia informatica, tale pattern deve nuovamente essere parzialmente ocompletamente aggiornato e ricaricato sull'agente per garantire protezione continua.

Nel corso del tempo, si è verificato un significativo aumento del volume di minacceemergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corsodegli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischiper la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezzarappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulleprestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, ingenerale, sul tempo globale richiesto per offrire una protezione di qualità o sul temponecessario a garantirla.

Utilizzo di Trend Micro Smart Protection

4-3

Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delleminacce, volto a proteggere i clienti Trend Micro dalle minacce poste dal volume divirus/minacce informatiche. La tecnologia e l'architettura utilizzate in questo approcciosfruttano la tecnologia utilizzata per scaricare le firme e i pattern dei virus/minacceinformatiche nell'ambiente cloud. Scaricando la memorizzazione di queste firme divirus/minacce informatiche in tale ambiente, Trend Micro è in grado di fornire ai clientiuna migliore protezione contro rischi per la sicurezza emergenti.

Servizi Smart ProtectionSmart Protection include servizi che forniscono firme anti-malware, reputazione Web edatabase delle minacce che vengono memorizzati nella rete cloud.

I servizi Smart Protection includono:

• Servizi di reputazione file: Servizi di reputazione file scarica un elevato numerodi firme contro le minacce informatiche (in precedenza memorizzate nei computeragente) nelle origini Smart Protection.

Per i dettagli, consultare Servizi di reputazione file a pagina 4-3.

• Servizi di reputazione Web: Servizi di reputazione Web consente alle originiSmart Protection locali di ospitare i dati di reputazione degli URL che inprecedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicuranoun consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o laverifica della validità degli URL.

Per i dettagli, consultare Servizi di reputazione Web a pagina 4-4.

• Smart Feedback: Trend Micro continua a raccogliere informazioni inviate informa anonima dai prodotti Trend Micro in tutto il mondo per essere in grado diindividuare nuove minacce in modo proattivo.

Per i dettagli, consultare Smart Feedback a pagina 4-4.

Servizi di reputazione fileI Servizi di reputazione file verificano la reputazione di ciascun file rispetto a undatabase "in-the-cloud". Poiché le informazioni relative alle minacce informatiche sono


4-4

memorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti adelevate prestazioni in termini di disponibilità del contenuto e i server con cache localepermettono che la latenza durante il processo di controllo sia minima. L'architetturacloud-agente offre protezione immediata, elimina la necessità di implementare i pattern eriduce in modo significativo il carico complessivo dell'agente.

Gli Agenti devono essere in modalità Smart Scan per utilizzare i Servizi di reputazionefile. In questo documento tali agenti sono definiti agenti Smart Scan. Gli Agenti. Gliagenti che non sono in modalità Smart Scan non utilizzano i Servizi di reputazione file esono definiti agenti con scansione convenzionale. Gli amministratori di OfficeScanpossono configurare tutti gli agenti, o solo alcuni, in modalità Smart Scan.

Servizi di reputazione WebAvvalendosi di uno dei database di reputazione dei domini più grandi del mondo, latecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei dominiWeb assegnando un punteggio di reputazione basato su fattori quali la maturità del sitoWeb, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediantel'analisi del comportamento delle minacce informatiche. Reputazione Web continuaquindi a effettuare la scansione dei siti e impedisce agli utenti l'accesso a quelli infetti. Leinformazioni di reputazione Web contribuiscono a garantire che le pagine visitate dagliutenti siano sicure e prive di minacce Web quali minacce informatiche, spyware e frodi diphishing volte a indurre gli utenti a fornire informazioni personali. Per aumentarel'accuratezza e ridurre i falsi allarmi, la tecnologia di reputazione Web di Trend Microassegna punteggi di reputazione a pagine e collegamenti individuali dei siti anzichéclassificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimi sonopericolose e la reputazione può cambiare con il tempo.

Gli Agenti OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizidi reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri direputazione Web a tutti gli agenti o solo ad alcuni.

Smart FeedbackTrend Micro Smart Feedback rappresenta un canale di comunicazione costante tra iprodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce.Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ogni


4-5

singolo cliente aggiorna automaticamente il database completo delle minacce di TrendMicro, consentendo in tal modo di impedire che altri clienti riscontrino la stessaminaccia.

Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso lavasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezioneautomatica in tempo reale contro le minacce più recenti e di fornire una miglioresicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco dellacomunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione dellafonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacydelle informazioni personali o professionali è sempre protetta.

Esempi di informazioni inviate a Trend Micro:

• Checksum dei file

• Siti Web visitati

• Informazioni sui file, compresi dimensioni e percorsi

• Nomi dei file eseguibili

È possibile interrompere la partecipazione al programma in qualsiasi momento dallaconsole Web.

SuggerimentoPer proteggere i dispositivi non è necessario partecipare al programma Smart Feedback. Lapartecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Microconsiglia di partecipare al programma Smart Feedback per contribuire a migliorare laprotezione complessiva di tutti i clienti Trend Micro.

Per ulteriori informazioni su Smart Protection Network, visitare:

http://www.trendmicro.it/tecnologia-innovazione/la-nostra-tecnologia/smart-protection-network/




4-6

Origini Smart ProtectionTrend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle originiOfficeScan e Smart Protection.

Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggiorparte delle definizioni dei pattern di virus e minacce informatiche. Gli Agenti OfficeScanospitano le definizioni rimanenti. L'agente invia le query di scansione alle origini SmartProtection se le relative definizioni dei pattern non sono in grado di determinare ilrischio del file. Le origini Smart Protection determinano il rischio utilizzando leinformazioni di identificazione.

Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati direputazione Web precedentemente disponibili solo attraverso i server host di TrendMicro. L'agente invia query di reputazione Web alle origini Smart Protection perverificare la reputazione di siti Web ai quali l'utente tenta di accedere. L'agente mette incorrelazione la reputazione di un sito Web con il criterio di reputazione Web applicatosul dispositivo per determinare se l'accesso al sito sarà consentito o bloccato.

L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'agente.Gli Agenti possono connettersi a Trend Micro Smart Protection Network o a SmartProtection Server.

Trend Micro™ Smart Protection Network™

Trend Micro™ Smart Protection Network™ è un'infrastruttura per la sicurezza deicontenuti client cloud di prossima generazione concepita per proteggere gli utenticontro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestiteda host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio.Smart Protection Network utilizza agenti più leggeri che accedono alla combinazione"in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché aidatabase delle minacce. La protezione dei clienti viene aggiornata e rafforzataautomaticamente con il progressivo aumento di prodotti, servizi e utenti che accedonoalla rete, creando in tal modo un servizio di vigilanza continua in tempo reale.

Per ulteriori informazioni su Smart Protection Network, visitare:


4-7


Smart Protection Server

Gli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendalilocali. I server locali limitano i servizi Smart Protection alla rete aziendale per unamaggiore efficienza.

Esistono due tipi di Smart Protection Server:

• Integrated Smart Protection Server: il programma di installazione di OfficeScancomprende un Integrated Smart Protection Server che viene installato nello stessodispositivo dove è installato il server OfficeScan. Dopo l'installazione è possibilegestire le impostazioni di questo server dalla console Web OfficeScan. Il serverintegrato è destinato a implementazioni di OfficeScan su piccola scala. Perimplementazioni più estese, è necessario Smart Protection Server standalone.

• Smart Protection Server standalone: Smart Protection Server standalone vieneinstallato su un server VMware o un server Hyper-V. Il server standalone disponedi una console di gestione separata e non è gestito dalla console Web OfficeScan.

Confronto delle origini Smart Protection

La seguente tabella sottolinea le differenze tra Smart Protection Network e SmartProtection Server.

Tabella 4-1. Confronto delle origini Smart Protection

Criteri diconfronto Smart Protection Server Trend Micro Smart

Protection Network

Disponibilità Disponibile per gli agenti interni,ovvero gli agenti che soddisfanoi criteri di posizione specificatinella console Web OfficeScan.

Disponibile principalmente per gliagenti esterni, ovvero gli agentiche non soddisfano i criteri diposizione specificati nellaconsole Web OfficeScan.




4-8

Criteri diconfronto Smart Protection Server Trend Micro Smart

Protection Network

Scopo Progettata e finalizzataall'identificazione dei serviziSmart Protection per la reteaziendale al fine di ottimizzarel'efficienza.

Un'infrastruttura basata suInternet su scala globale chefornisce servizi Smart Protectionagli agenti che non possonoaccedere direttamente alla lororete aziendale.

Amministrazione Gli amministratori OfficeScaninstallano e gestiscono questeorigini Smart Protection.

Trend Micro gestisce questaorigine.

Origine diaggiornamentodei pattern

Server ActiveUpdate di TrendMicro

Server ActiveUpdate di TrendMicro

Protocolli diconnessioneAgente

HTTP e HTTPS HTTPS

File Smart Protection PatternI file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e iServizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il serverActiveUpdate di Trend Micro.

Smart Scan Agent PatternSmart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricatodall'origine aggiornamenti degli agenti OfficeScan (il server OfficeScan o un'origineaggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern pergli agenti Smart Scan.


4-9

Nota

Gli agenti Smart Scan sono Agenti OfficeScan che gli amministratori hanno configuratoper utilizzare i Servizi di reputazione file. Gli agenti che non utilizzano i Servizi direputazione file sono definiti agenti con scansione convenzionale.

Gli agenti Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono lascansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischiodel file, viene utilizzato un altro pattern: Smart Scan Pattern.

Smart Scan Pattern

Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini SmartProtection Gli agenti non scaricano lo Smart Scan Pattern. Gli Agenti verificanopotenziali minacce rispetto al pattern inviando query di scansione all'origine SmartProtection.

Elenco siti Web bloccati

L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. Gli AgentiOfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco sitiWeb bloccati.

Nota

Gli amministratori possono applicare i criteri di reputazione Web a tutti gli agenti o solo adalcuni.

Gli agenti ai quali vengono applicati i criteri di reputazione Web verificano lareputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query direputazione Web all'origine Smart Protection. L'agente mette in correlazione i dati direputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Webapplicato sul dispositivo. In base al criterio, l'agente blocca o consente l'accesso al sito.


4-10

Processo di aggiornamento di Smart Protection PatternTutti gli aggiornamenti degli Smart Protection Pattern provengono dal serverActiveUpdate di Trend Micro.

Figura 4-1. Processo di aggiornamento dei pattern

Utilizzo degli Smart Protection PatternL'Agente OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per irischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern


4-11

non è in grado di determinare il rischio di un file. L'agente invia una query all'Elenco sitiWeb bloccati quando un utente tenta di accedere a un sito Web. La tecnologia di filtroavanzata consente all'agente di inserire nella cache i risultati della query. In questo modosi elimina la necessità di inviare la stessa query per più di una volta.

Gli Agenti che si trovano attualmente nell'Intranet possono connettersi a SmartProtection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati.È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sonostati impostati più Smart Protection Server, gli amministratori possono determinare lapriorità di connessione.

SuggerimentoInstallare diversi Smart Protection Server per garantire la continuità della protezione nelcaso in cui la connessione a uno Smart Protection Server non sia disponibile.


4-12

Gli Agenti attualmente non presenti nella Intranet non possono connettersi a TrendMicro Smart Protection Network per tale operazione. Per connettersi a Smart ProtectionNetwork, è necessaria una connessione ad Internet.

Figura 4-2. Processo di query

Gli Agenti senza accesso alla rete o ad Internet possono ancora sfruttare la protezionefornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di queryprecedenti. La protezione viene ridotta solo quando una nuova query si rende necessariae l'agente, dopo ripetuti tentativi, continua a non essere in grado di raggiungereun'origine Smart Protection. In questo caso, l'agente contrassegna il file per la verificaconsentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessioneall'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo ascansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono staticonfermati come minaccia.

La seguente tabella riepiloga l'entità della protezione in base alla posizione dell'agente.


4-13

Tabella 4-2. Comportamenti di protezione in base alla località

Posizione Comportamento dei file dei pattern e dellequery

Per accedere alla intranet • File di pattern: gli Agenti scaricano il file Smart ScanAgent Pattern dal server OfficeScan o da un'origineaggiornamenti personalizzata.

• File e query di reputazione Web: gli Agenti siconnettono a Smart Protection Server per le query.

Senza accesso allaIntranet, ma conconnessione a SmartProtection Network

• File di pattern: gli Agenti non scaricano il file SmartScan Agent Pattern più recente a meno che non siadisponibile una connessione al server OfficeScan o aun'origine aggiornamenti personalizzata.

• File e query di reputazione Web: gli Agenti siconnettono a Smart Protection Network per le query.

Senza accesso allaIntranet e senzaconnessione a SmartProtection Network

• File di pattern: gli Agenti non scaricano il file SmartScan Agent Pattern più recente a meno che non siadisponibile una connessione al server OfficeScan o aun'origine aggiornamenti personalizzata.

• File e query di reputazione Web: gli Agenti nonricevono i risultati delle query e devono affidarsi a SmartScan Agent Pattern e alla cache che contiene i risultatidelle query precedenti.

Impostazione dei servizi Smart ProtectionPrima che gli agenti possano utilizzare Servizi di reputazione file e Servizi di reputazioneWeb, è necessario assicurarsi che l'ambiente sia stato impostato correttamente.Controllare quanto segue:

• Installazione di Smart Protection Server a pagina 4-14

• Gestione di Integrated Smart Protection Server a pagina 4-19

• Elenco delle origini Smart Protection a pagina 4-23

• Impostazioni del proxy di connessione all'agente a pagina 4-31


4-14

• Impostazioni sulla posizione dell'dispositivo a pagina 4-32

• Installazioni di Trend Micro Network VirusWall a pagina 4-32

Installazione di Smart Protection ServerSe il numero degli agenti è minore o uguale a 1.000, è possibile installare SmartProtection Server integrato o standalone. Installare uno Smart Protection Serverstandalone se il numero degli agenti è superiore a 1.000.

Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. GliAgenti che non sono in grado di connettersi a un server particolare tenteranno diconnettersi agli altri server impostati.

Dato che il server integrato e il server OfficeScan vengono eseguiti nello stessodispositivo, le prestazioni del dispositivo possono diminuire in modo significativodurante i periodi di traffico intenso per i due server. Si consideri di utilizzare uno SmartProtection Server standalone come origine Smart Protection principale per gli agenti e ilserver integrato come supporto di backup.

Installazione di Smart Protection Server standalonePer istruzioni sull'installazione e la gestione di Smart Protection Server standalone,consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server.

Installazione di Integrated Smart Protection ServerSe durante l'installazione del server OfficeScan è stato installato Integrated SmartProtection Server:

• Attivare Integrated Smart Protection Server e configurare le impostazioni per ilserver. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina4-19.

• Se il server integrato e l'Agente OfficeScan si trovano sullo stesso computer server,considerare la possibilità di disattivare il firewall di OfficeScan. Il firewallOfficeScan è destinato a essere utilizzato per il dispositivo agente e può avereun'influenza negativa sulle prestazioni dei server. Per le istruzioni per disattivare ilfirewall, vedere Attivazione o disattivazione del Frewall di OfficeScan a pagina 13-6.


4-15

NotaValutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i piani dellasicurezza.

SuggerimentoInstallare Integrated Smart Protection Server dopo aver completato l'installazioneOfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 4-15.

Integrated Smart Protection Server Tool

L'Integrated Smart Protection Tool di Trend Micro consente agli amministratori diinstallare o disinstallare Integrated Smart Protection Server al termine dell'installazionedel server OfficeScan. La versione corrente di OfficeScan non consente agliamministratori di installare/rimuovere Integrated Smart Protection Server una voltacompletata l'installazione del server OfficeScan. Questo strumento migliora la flessibilitàdelle funzionalità di installazione rispetto alle versioni precedenti di OfficeScan.

Procedura

1. Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione delserver>\PCCSRV\Admin\Utility\ISPSInstaller in cui si trovaISPSInstaller.exe.

2. Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti:

Tabella 4-3. Opzioni del programma di installazione

Comando Descrizione

ISPSInstaller.exe /i Installa Integrated Smart Protection Serverutilizzando le impostazioni della porta predefinita.

Per ulteriori informazioni sulle impostazioni dellaporta predefinita, consultare la tabella seguente.


4-16

Comando Descrizione

ISPSInstaller.exe /i /f:[numero porta] /s:[numeroporta] /w:[numero porta]

Installa Integrated Smart Protection Serverutilizzando le porte specificate.

NotaÈ possibile configurare le porte soloquando si utilizza un server Web Apache.

Dove:

• /f:[numero porta] rappresenta la porta direputazione del file HTTP

• /s:[numero porta] rappresenta la porta direputazione del file HTTPS

• /w:[numero porta] rappresenta la porta direputazione Web

NotaAlla porta non specificata viene assegnatoautomaticamente un valore predefinito.

ISPSInstaller.exe /u Disinstalla Integrated Smart Protection Server

Tabella 4-4. Porte dei servizi di reputazione dell'Integrated Smart ProtectionServer

Server Web eimpostazioni

Porte per Servizi direputazione file

Porta HTTPper i Servizi

direputazione

WebHTTP HTTPS (SSL)

Sito Web predefinito IIS conSSL attivato

80 443 (nonconfigurabile)

80 (nonconfigurabile)

Sito Web predefinito IIS conSSL disattivato

80 443 (nonconfigurabile)

80 (nonconfigurabile)


4-17

Server Web eimpostazioni

Porte per Servizi direputazione file

Porta HTTPper i Servizi

direputazione

WebHTTP HTTPS (SSL)

Sito Web virtuale IIS con SSLattivato

8080 4343(configurabile)

8080(configurabile)

Sito Web virtuale IIS con SSLdisattivato

8080 4343(configurabile)

8080(configurabile)

3. Dopo il completamento dell'installazione, aprire la console Web OfficeScan everificare quanto segue:

• Aprire Console di gestione Microsoft (digitando services.msc nel menuAvvia) e verificare che Trend Micro Local Web Classification Server e TrendMicro Smart Scan Server siano elencati con lo stato "Avviato".

• Aprire Windows Task Manager. Nella scheda Processi, verificare cheiCRCService.exe e LWCSService.exe siano in esecuzione,

• Nella console Web OfficeScan, verificare che sia visualizzata la voce di menuAmministrazione > Smart Protection > Server integrato.

Migliori pratiche per Smart Protection Server

Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioniriportate di seguito:

• Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate.Suddividere le scansioni in gruppi.

• Evitare di configurare tutti gli agenti in modo che eseguano l'operazione Eseguiscansione simultaneamente.

• Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa512 Kbps, modificando il file ptngrowth.ini.


4-18

Personalizzazione di ptngrowth.ini per il server standalone

Procedura

1. Aprire il file ptngrowth.ini in /var/tmcss/conf/.

2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Salvare il file ptngrowth.ini.

4. Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia dellariga di comando (CLI, Command Line Interface):

• service lighttpd restart

Personalizzazione di ptngrowth.ini per il server integrato

Procedura

1. Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV\WSS\.

2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Salvare il file ptngrowth.ini.


4-19

4. Riavviare il servizio Trend Micro Smart Protection Server.

Gestione di Integrated Smart Protection ServerPer gestire Integrated Smart Protection Server, effettuare le seguenti operazioni:

• Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file delserver integrato

• Registrazione degli indirizzi del server integrato

• Aggiornamento dei componenti del server integrato

• Configurazione dell'Elenco URL approvati/bloccati del server integrato

Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server apagina 4-22.

Attivazione dei Servizi di reputazione Web e dei Servizi direputazione file del server integratoAffinché gli agenti siano in grado di inviare query di reputazione Web o di scansione alserver integrato, è necessario attivare i Servizi di reputazione file e i Servizi direputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato diaggiornare i componenti dal server ActiveUpdate.

Questi servizi vengono attivati automaticamente se si sceglie di installare il serverintegrato durante l'installazione del server OfficeScan.

Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Serverstandalone ai quali gli agenti possono inviare le query.



4-20

Registrazione degli Indirizzi del server integrato

Gli indirizzi del server integrato sono necessari per configurare l'elenco delle originiSmart Protection per gli agenti interni. Per ulteriori informazioni sull'elenco, vedereElenco delle origini Smart Protection a pagina 4-23.

Quando inviano le query al server integrato, gli agenti identificano il server attraversouno dei due indirizzi dei Servizi di reputazione file: l'indirizzo HTTP o HTTPS. Laconnessione mediante l'indirizzo HTTPS permette una connessione più sicura mentrequella HTTP richiede un utilizzo di ampiezza di banda inferiore.

Quando gli agenti inviano query di reputazione Web, identificano il server integratodall'indirizzo dei relativi Servizi di reputazione Web.

Suggerimento

Anche gli agenti gestiti da un altro server OfficeScan possono connettersi a questo serverintegrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del serverintegrato all'elenco delle origini Smart Protection.


Aggiornamento dei componenti del server integrato

Il server integrato aggiorna i seguenti componenti:

• Smart Scan Pattern: Gli Agenti OfficeScan verificano potenziali minacce rispettoa Smart Scan Pattern inviando query di scansione al server integrato.

• Elenco siti Web bloccati: gli Agenti OfficeScan ai quali vengono applicati i criteridi reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco sitiWeb bloccati inviando query di reputazione Web al server integrato.

È possibile aggiornare manualmente tali componenti o configurare una pianificazione diaggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate.


4-21

NotaUn server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalserver ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi alserver ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gliindirizzi IP, come ad esempio DeleGate.


Configurazione dell'Elenco URL approvati/bloccati delserver integratoGli agenti gestiscono i rispettivi elenchi degli URL approvati/bloccati. Configurarel'elenco degli agenti quando vengono impostati i criteri di reputazione Web (consultareCriteri di reputazione Web a pagina 12-5 per ulteriori informazioni). Qualsiasi URLnell'elenco dell'agente verrà automaticamente consentito o bloccato.

Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non èpresente nell'elenco dell'agente, l'agente invia una query di reputazione Web al serverintegrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL sitrova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notificaall'agente di consentire o bloccare l'URL.

NotaL'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati.

Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato,importare un elenco da Smart Protection Server standalone. Non è possibile aggiungeremanualmente gli URL.



4-22

Configurazione delle impostazioni di Integrated SmartProtection Server

Procedura

1. Accedere a Amministrazione > Smart Protection > Server integrato.

2. Selezionare Attiva servizi di reputazione file.

3. Selezionare il protocollo (HTTP o HTTPS) che gli agenti useranno per inviare lequery di scansione al server integrato.

4. Selezionare Attiva Servizi di reputazione Web.

5. Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server.

6. Per aggiornare i componenti del server integrato:

• Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Webbloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Ilrisultato dell'aggiornamento viene visualizzato nella parte superiore dellaschermata.

• Per aggiornare automaticamente il pattern:

a. Selezionare Attiva aggiornamenti pianificati.

b. Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti.

c. Selezionare un'origine aggiornamenti in Servizi di reputazione file.Smart Scan Pattern verrà aggiornato da questa origine.

d. Selezionare un'origine aggiornamenti in Servizi di reputazione Web.L'Elenco siti Web bloccati verrà aggiornato da questa origine.


4-23

Nota

• Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che ilserver disponga di una connessione a Internet e, se si utilizza un server proxy,verificare se la connessione a Internet è disponibile utilizzando le impostazioniproxy. Consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-20 perulteriori dettagli.

• Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente ele risorse di aggiornamento appropriate su tale origine di aggiornamento.Accertarsi, inoltre, che la connessione tra il computer server e l'origineaggiornamenti funzioni. Per ottenere supporto per la configurazione diun'origine di aggiornamento, contattare l'assistenza tecnica.

7. Per configurare l'elenco dei siti approvati/bloccati del server integrato:

a. Fare clic su Importa per immettere nell'elenco gli URL del file .csvpreformattato. È possibile ottenere il file .csv da uno Smart ProtectionServer standalone.

b. Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco inun file .csv.


Elenco delle origini Smart Protection

Gli Agenti inviano query alle origini Smart Protection quando eseguono la scansione peri rischi sulla sicurezza e per determinare la reputazione di un sito Web.

Supporto IPv6 per le origini Smart Protection

Un agente IPv6 puro non è in grado di inviare query direttamente alle origini IPv4,come:

• Smart Protection Server 2.0 (integrato o standalone)


4-24

NotaIl supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5.


Analogamente, un agente IPv4 puro non è in grado di inviare query agli SmartProtection Server IPv6 puri.

Per consentire agli agenti di connettersi alle origini, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.

Origini Smart Protection e posizione dispositivoL'origine Smart Protection a cui si connette l'agente dipende dalla posizione deldispositivo agente.

Per ulteriori informazioni sulla configurazione delle impostazioni della località, vederePosizione dispositivo a pagina 15-2.

Tabella 4-5. Origini Smart Protection per località

Posizione Origini Smart Protection

Esterni Gli agenti esterni inviano query di reputazione Web e di scansione aTrend Micro Smart Protection Network.


4-25

Posizione Origini Smart Protection

Interni Gli agenti interni inviano query di reputazione Web e di scansione aSmart Protection Server o a Trend Micro Smart Protection Network.

Se sono stati installati gli Smart Protection Server, configurare l'elencodelle origini di Smart Protection nella console Web OfficeScan. Unagente interno sceglie un server dall'elenco se deve inviare una query.Se l'agente non è in grado di connettersi al primo server, ne sceglie unaltro dall'elenco.

SuggerimentoAssegnare uno Smart Protection Server standalone come originedi scansione principale e il server integrato come backup. In talmodo si riduce il traffico diretto al dispositivo che ospita il serverOfficeScan e il server integrato. Inoltre il server standalone è ingrado di elaborare un maggior numero di query.

È possibile configurare un elenco standard o personalizzato di originiSmart Protection. L'elenco standard è utilizzato da tutti gli agenti interni.L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzoIP di un agente interno è compreso nell'intervallo, l'agente utilizzal'elenco personalizzato.

Configurazione dell'elenco standard di Origini SmartProtection

Procedura

1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection.

2. Fare clic sulla scheda Agenti interni.

3. Selezionare Utilizza l'elenco standard (per tutti gli agenti interni).

4. Fare clic sul collegamento elenco standard.




4-26


6. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Seviene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.

Nota

Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono aSmart Protection Server.

7. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansioneutilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette unaconnessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezzadi banda inferiore.

a. Se si desidera che gli agenti utilizzino il protocollo HTTP, immettere la portadi ascolto del server per le richieste HTTP. Se si desidera che gli agentiutilizzino il protocollo HTTPS, selezionare SSL e immettere la porta diascolto del server per le richieste HTTPS.

b. Per verificare se è possibile stabilire una connessione con il server, fare clic suTest di connessione.

Suggerimento

Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenerel'indirizzo del server:

Per il server integrato, aprire la console Web OfficeScan e accedere aAmministrazione > Smart Protection > Server integrato.

Per il server standalone, aprire la console del server standalone e andare allaschermata Riepilogo.

8. Selezionare Servizi di reputazione Web. Gli agenti inviano query di reputazioneWeb utilizzando il protocollo HTTP. L'HTTPS non è supportato.

a. Immettere la porta di ascolto del server per le richieste HTTP.

b. Per verificare se è possibile stabilire una connessione con il server, fare clic suTest di connessione.


4-27


La schermata si chiude.

10. Aggiungere altri server ripetendo i passaggi precedenti.

11. Sulla parte superiore della schermata, selezionare Ordine o Casuale.

• Ordine: Gli agenti scelgono i server nell'ordine con il quale sono visualizzatinell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordineper spostare i server in alto e in basso all'interno dell'elenco.

• Casuale: gli agenti scelgono i server in modo casuale.

SuggerimentoDato che Integrated Smart Protection Server e il server OfficeScan vengono eseguitinello stesso dispositivo, le prestazioni possono diminuire in modo significativodurante i periodi di traffico intenso per i due server. Per ridurre il traffico verso ilcomputer server OfficeScan, assegnare uno Smart Protection Server standalone comeorigine di Smart Protection principale e il server integrato come origine di backup.

12. Eseguire operazioni varie sulla schermata.

• Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.

• Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

• Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.

• Fare clic sul nome del server per effettuare una delle operazioni riportate diseguito:

• Per visualizzare o modificare le informazioni del server.

• Visualizzare l'indirizzo completo del server per Servizi di reputazioneWeb o Servizi di reputazione file.

• Per aprire la console di uno Smart Protection Server, fare clic su Avviaconsole.


4-28

• Per Integrated Smart Protection Server, viene visualizzata la schermata diconfigurazione del server.

• Per Smart Protection Server standalone e Integrated Smart ProtectionServer di un altro server OfficeScan viene visualizzata la schermata diaccesso.

• Per eliminare una voce, selezionare la casella di controllo del server e fare clicsu Elimina.


La schermata si chiude.

14. Fare clic su Invia una notifica tutti gli agenti.

Configurazione degli elenchi personalizzati di Origini SmartProtection

Procedura

1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection.

2. Fare clic sulla scheda Agenti interni.

3. Selezionare Utilizza elenchi personalizzati basati sull'indirizzo IP dell'agente.

4. Facoltativamente, selezionare Utilizza l'elenco standard quando nessun serverdegli elenchi personalizzati è disponibile.

Suggerimento

Trend Micro consiglia di attivare questa funzione affinché gli agenti possanoconnettersi a un'origine Smart Protection qualora le origini personalizzate non sianodisponibili.




4-29

6. Nella sezione dell'Intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, oentrambi.

NotaGli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a SmartProtection Server dual stack. Gli agenti con un indirizzo IPv6 possono connettersi aun IPv6 puro o a Smart Protection Server dual stack. Gli agenti con entrambi gliindirizzi IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server.

7. Nella sezione Impostazione proxy, specificare le impostazioni proxy che gli agentiutilizzeranno per connettersi a Smart Protection Server.

a. Selezionare Utilizza un server proxy per la comunicazione tra l'agente elo Smart Protection Server.

b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del serverproxy.

c. Se il server proxy richiede l'autenticazione, digitare il nome utente e lapassword.

8. Nell'Elenco personalizzato Smart Protection Server, aggiungere gli SmartProtection Server.

a. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server.Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.

NotaSpecificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettonoa Smart Protection Server.

b. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansioneutilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette unaconnessione più sicura mentre il protocollo HTTP richiede un utilizzo diampiezza di banda inferiore.

i. Se si desidera che gli agenti utilizzino il protocollo HTTP, immettere laporta di ascolto del server per le richieste HTTP. Se si desidera che gliagenti utilizzino il protocollo HTTPS, selezionare SSL e immettere laporta di ascolto del server per le richieste HTTPS.


4-30

ii. Per verificare se è possibile stabilire una connessione con il server, fareclic su Test di connessione.

SuggerimentoLe porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenerel'indirizzo del server:

Per il server integrato, aprire la console Web OfficeScan e accedere aAmministrazione > Smart Protection > Server integrato.

Per il server standalone, aprire la console del server standalone e andarealla schermata Riepilogo.

c. Selezionare Servizi di reputazione Web. Gli agenti inviano query direputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.

i. Immettere la porta di ascolto del server per le richieste HTTP.

ii. Per verificare se è possibile stabilire una connessione con il server, fareclic su Test di connessione.

d. Fare clic su Aggiungi all'elenco.

e. Aggiungere altri server ripetendo i passaggi precedenti.

f. Selezionare Ordine o Casuale.

• Ordine: Gli agenti scelgono i server nell'ordine con il quale sonovisualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nellacolonna Ordine per spostare i server in alto e in basso all'internodell'elenco.

• Casuale: gli agenti scelgono i server in modo casuale.

SuggerimentoDato che Integrated Smart Protection Server e il server OfficeScan vengonoeseguiti nello stesso computer, le prestazioni possono diminuire in modosignificativo durante i periodi di traffico intenso per i due server. Per ridurre iltraffico verso il computer server OfficeScan, assegnare uno Smart ProtectionServer standalone come origine di Smart Protection principale e il serverintegrato come origine di backup.


4-31

g. Eseguire operazioni varie nella schermata.

• Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.

• Per aprire la console di uno Smart Protection Server, fare clic su Avviaconsole.

• Per Integrated Smart Protection Server, viene visualizzata laschermata di configurazione del server.

• Per Smart Protection Server standalone e Integrated SmartProtection Server di un altro server OfficeScan viene visualizzata laschermata di accesso.

• Per eliminare una voce, fare clic su Elimina ( ).


La schermata si chiude. L'elenco appena aggiunto viene visualizzato comecollegamento dell'intervallo IP nella tabella Intervallo IP

10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati.

11. Eseguire operazioni varie nella schermata.

• Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindimodificare le impostazioni nella schermata visualizzata.

• Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

• Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.


Impostazioni del proxy di connessione all'agenteSe la connessione a Smart Protection Network richiede l'autenticazione proxy,specificare le credenziali per l'autenticazione.


4-32

Configurare le impostazioni del proxy interno che gli agenti dovranno utilizzare durantela connessione a uno Smart Protection Server.

Per ulteriori informazioni, consultare Impostazioni proxy dell'Agente OfficeScan a pagina15-52.

Impostazioni sulla posizione dell'dispositivoOfficeScan comprende la funzione di Location Awareness in grado di identificare laposizione del computer agente e determinare se l'agente si connette a Smart ProtectionNetwork o a Smart Protection Server. In tal modo, gli agenti rimangono protettiindipendentemente dalla loro posizione.

Per configurare le impostazioni della località, vedere Posizione dispositivo a pagina 15-2.

Installazioni di Trend Micro Network VirusWallSe è installato Trend Micro™ Network VirusWall™ Enforcer:

• Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build1013 per Network VirusWall Enforcer 1200).

• Per consentire al prodotto di rilevare il metodo di scansione di un agente, eseguirel'aggiornamento del motore OPSWAT alla versione 2.5.1017.

Utilizzo dei servizi Smart ProtectionDopo che l'ambiente Smart Protection è stato impostato correttamente, gli agentipossono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anchepossibile iniziare a configurare le impostazioni di Smart Feedback.

Nota

Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione deiservizi Smart Protection a pagina 4-13.


4-33

Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, gli agentidevono usare un metodo di scansione denominato Smart Scan. Per informazioni suSmart Scan e su come attivarlo sugli agenti, consultare Tipi di metodi di scansione a pagina7-8.

Per consentire agli Agenti OfficeScan di usare Servizi di reputazione Web, configurare icriteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina12-5.

NotaLe impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. Aseconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti gli agenti oconfigurare impostazioni diverse per i singoli agenti o per gruppi agente.

Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina14-69.

5-1

Capitolo 5

Installazione dell'agente OfficeScanIn questo capitolo vengono descritti i requisiti di sistema di OfficeScan e le procedure diinstallazione dell'Agente OfficeScan.

Per ulteriori informazioni sull'aggiornamento dell'Agente OfficeScan, consultare la Guidaall'installazione e all'aggiornamento di OfficeScan.


• Installazioni da zero dell'agent OfficeScan a pagina 5-2

• Considerazioni sull'installazione a pagina 5-2

• Considerazioni sull'implementazione a pagina 5-12

• Migrazione all'agente OfficeScan a pagina 5-64

• Post-installazione a pagina 5-68

• Disinstallazione del Agente OfficeScan a pagina 5-71


5-2

Installazioni da zero dell'agent OfficeScanL'Agente OfficeScan può essere installato su computer con piattaforme MicrosoftWindows. OfficeScan è compatibile anche con vari prodotti di terze parti.

Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e deiprodotti compatibili di terze parti:


Considerazioni sull'installazionePrima di installare gli Agenti OfficeScan, valutare le informazioni riportate di seguito.

Tabella 5-1. Considerazioni sull'installazione dell'agente

Considerazione Descrizione

Supporto dellafunzioneWindows

Alcune funzioni dell'Agente OfficeScan non sono disponibili sudeterminate piattaforme Windows.

Supporto IPv6 L'Agente OfficeScan può essere installato su dispositivi dual-stack oIPv6 puri. Tuttavia:

• Alcuni sistemi operativi Windows sui quali è possibile installarel'Agente OfficeScan non supportano l'indirizzamento IPv6.

• Alcuni metodi di installazione richiedono dei requisiti particolariper installare correttamente l'Agente OfficeScan.

Indirizzi IP delAgenteOfficeScan

Per gli Agenti OfficeScan con indirizzi IPv4 e IPv6, è possibilescegliere quale indirizzo IP sarà usato dall'Agente OfficeScan pereffettuare la registrazione al server.


Installazione dell'agente OfficeScan

5-3

Considerazione Descrizione

Elencoeccezioni

assicurarsi che gli elenchi di eccezioni per le funzioni seguenti sianoconfigurati correttamente:

• Monitoraggio del comportamento: aggiungere le applicazioniimportanti del dispositivo all'elenco Programmi approvati perevitare che tali applicazioni siano bloccate dall'Agente OfficeScan.

Per ulteriori informazioni, consultare Elenco eccezioniMonitoraggio del comportamento a pagina 9-10.

• Reputazione Web: aggiungere i siti Web considerati sicuriall'elenco URL approvati per evitare che l'Agente OfficeScanblocchi l'accesso ai siti Web.

Per ulteriori informazioni, consultare Criteri di reputazione Web apagina 12-5.

Funzioni dell'Agente OfficeScanLe funzioni dell'Agente OfficeScan disponibili sul dispositivo dipendono dal sistemaoperativo.

Tabella 5-2. Funzioni dell'Agente OfficeScan su piattaforme server

Funzione

Sistema operativo Windows

Server 2003

Server2008/

ServerCore 2008

Server2012/

ServerCore 2012

Server2016/

ServerCore 2016

Scansionemanuale,scansione intempo reale escansionepianificata.

Sì Sì Sì Sì


5-4

Funzione


Server 2003

Server2008/

ServerCore 2008

Server2012/

ServerCore 2012

Server2016/

ServerCore 2016

Aggiornamentodei componenti(aggiornamentomanuale epianificato)

Sì Sì Sì Sì

Update Agent Sì Sì Sì Sì

Reputazione Web Sì, madisattivato perimpostazionepredefinitadurantel'installazionedel server

Sì, madisattivato perimpostazionepredefinitadurantel'installazionedel server




Sì Sì Sì Sì







Sì (32 bit), madisattivato perimpostazionepredefinita




No (64 bit) Sì (64 bit), madisattivato perimpostazionepredefinita


5-5

Funzione


Server 2003

Server2008/

ServerCore 2008

Server2012/

ServerCore 2012

Server2016/

ServerCore 2016

Protezioneautomaticadell'agente per:

• Chiavi diregistro

• Processi







• Servizi

• Protezione file

Sì Sì Sì Sì

Controllodispositivo

(Servizioprevenzionemodifiche nonautorizzate)






Protezione dati

(inclusaprotezione dati percontrollodispositivo)








5-6

Funzione


Server 2003

Server2008/

ServerCore 2008

Server2012/

ServerCore 2012

Server2016/

ServerCore 2016

Impostazioniconnessionesospetta

Sì Sì Sì Sì

Invio campione Sì Sì Sì Sì

Scansione e-mailPOP3

Sì Sì Sì Sì


Sì Sì Sì Sì

Plug-in Manageragente

Sì Sì Sì Sì


Sì Sì (Server)

No (ServerCore)

Sì Sì

Smart Feedback Sì Sì Sì Sì

Tabella 5-3. Funzioni dell'Agente OfficeScan su piattaforme server

FunzioneSistema operativo Windows

XP Windows 7 Windows8/8.1 Windows 10

Scansionemanuale,scansione intempo reale escansionepianificata.

Sì Sì Sì Sì


5-7



Aggiornamentodei componenti(aggiornamentomanuale epianificato)

Sì Sì Sì Sì

Update Agent Sì Sì Sì Sì

Reputazione Web Sì Sì Sì, ma èsupportatasolo lamodalitàinterfacciautente diWindows

Sì


Sì Sì Sì Sì


Sì Sì Sì Sì


Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit)

No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit)


• Chiavi diregistro

• Processi




5-8




• Servizi

• Protezione file

Sì Sì Sì Sì


(Servizioprevenzionemodifiche nonautorizzate)



Protezione dati

(inclusaprotezione dati percontrollodispositivo)


Sì (64 bit) Sì (64 bit) Sì (64 bit) inmodalitàdesktop

Sì (64 bit)

Impostazioniconnessionesospetta

Sì Sì Sì Sì

Invio campione Sì Sì Sì Sì

Scansione e-mailPOP3

Sì Sì Sì Sì


Sì Sì Sì Sì

Plug-in Manageragente

Sì Sì Sì Sì


Sì Sì Sì Sì


5-9



Smart Feedback Sì Sì Sì Sì

Installazione dell'Agente OfficeScan e supporto IPv6In questo argomento vengono illustrate le considerazioni relative all'installazionedell'Agente OfficeScan su dispositivi dual-stack o IPv6 puri.

Sistema operativoL'Agente OfficeScan può essere installato solo sui seguenti sistemi operativi chesupportano l'indirizzamento IPv6:

• Windows Server 2008 (tutte le edizioni)

• Windows 7 (tutte le edizioni)


• Windows 8/8.1 (tutte le edizioni)

• Windows 10 (Home, Pro, Education ed Enterprise Edition)


Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:


Metodi di installazionePer installare l'Agente OfficeScan sugli agenti dual-stack o IPv6 puri, è possibileutilizzare tutti i metodi di installazione dell'Agente OfficeScan. Alcuni metodi diinstallazione richiedono dei requisiti particolari per installare correttamente l'AgenteOfficeScan.



5-10

Non è possibile migrare ServerProtect™ all'Agente OfficeScan con lo strumento dimigrazione del server normale ServerProtect in quanto lo strumento non supportal'indirizzamento IPv6.

Tabella 5-4. Metodi di installazione e supporto IPv6

Metodo diinstallazione Requisiti e considerazioni

Pagina di installazioneWeb e installazionebasata sul browser

L'URL per la pagina di installazione include il nome host delserver OfficeScan o il relativo indirizzo IP.

Se si sta effettuando l'installazione su un agente IPv6 puro, ilserver deve essere dual-stack o IPv6 puro e il relativo nomehost o indirizzo IPv6 deve essere incluso nell'URL.

Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nellaschermata dello stato d'installazione dipende dall'opzioneselezionata nella sezione Indirizzo IP preferito di Agenti >Impostazioni globali agente, nella scheda Rete.

Agent Packager Quando si esegue lo strumento Packager, è necessarioscegliere se assegnare i privilegi Update Agent all'agente.Tenere presente che gli Update Agent IPv6 puri possonodistribuire gli aggiornamenti solo agli agenti IPv6 puri o dual-stack.

Conformità sicurezza,Vulnerability Scanner einstallazione remota

Un server IPv6 puro non può installare l'Agente OfficeScan sudispositivi IPv4 puri. Analogamente, un server IPv4 puro nonpuò installare l'Agente OfficeScan su dispositivi IPv6 puri.

Indirizzi IP dell'agenteI server OfficeScan installati in un ambiente che supporta l'indirizzamento IPv6 possonogestire i seguenti Agenti OfficeScan:

• I server OfficeScan installati su macchine host IPv6 pure possono gestire gli agentiIPv6 puri.


5-11

• I server OfficeScan installati su macchine host dual-stack con indirizzi IPv4 e IPv6assegnati possono gestire agenti IPv6 puri, dual-stack e IPv4 puri.

Quando vengono installati o aggiornati, gli agenti effettuano la registrazione al serverusando un indirizzo IP.

• Gli agenti IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6.

• Gli agenti IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4.

• Gli agenti dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 oIPv6. È possibile scegliere l'indirizzo IP che verrà utilizzato dagli agenti.

Configurazione dell'indirizzo IP utilizzato dagli agenti dual-stackper la registrazione al serverQuesta opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solodagli agenti dual-stack.

Procedura

1. Accedere a Agenti > Impostazioni globali agente.

2. Fare clic sulla scheda Rete.

3. Andare alla sezione Indirizzo IP preferito.

4. Scegliere una delle opzioni elencate di seguito.

• Solo IPv4: gli Agenti utilizzano il proprio indirizzo IPv4.

• Prima IPv4, poi IPv6: gli Agenti utilizzano prima il proprio indirizzo IPv4.Se l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv4,utilizza l'indirizzo IPv6. Se non è possibile effettuare la registrazione con alcunindirizzo IP, l'agente riprova con la priorità stabilita per gli indirizzi IP perquesta selezione.

• Prima IPv6, poi IPv4: gli Agenti utilizzano il proprio indirizzo IPv6. Sel'agente non è in grado di effettuare la registrazione con l'indirizzo IPv6,utilizza l'indirizzo IPv4. Se non è possibile effettuare la registrazione con alcunindirizzo IP, l'agente riprova con la priorità stabilita per gli indirizzi IP perquesta selezione.


5-12


Considerazioni sull'implementazioneQuesta sezione fornisce un riepilogo dei diversi metodi di installazione dell'AgenteOfficeScan disponibili per l'installazione da zero dell'Agente OfficeScan. Tutti i metodidi installazione necessitano dei privilegi di amministratore sui computer di destinazione.

Se si stanno installando gli agenti e si desidera attivare il supporto IPv6, leggere leistruzioni riportate in Installazione dell'Agente OfficeScan e supporto IPv6 a pagina 5-9.

Tabella 5-5. Considerazioni sull'implementazione per l'installazione

Metodo diinstallazione/

Supportosistema

operativo

Considerazioni sull'implementazione

ImplementazioneWAN

Gestione

centralizzata

Richiede

interventoutente

Richiederisorsa IT

Implementazione dimassa

Ampiezzadi bandautilizzata

Pagina diinstallazione sulWeb

Non supportatonelle piattaformeWindows ServerCore

No No Sì No No Alto

Installazionecollegamento e-mail

Non supportatonelle piattaformeWindows ServerCore

No No Sì Sì No Alto, se leinstallazionivengonoavviatenello stessomomento


5-13


Supportosistema

operativo


ImplementazioneWAN

Gestione

centralizzata

Richiede

interventoutente

Richiederisorsa IT



Installazioni basatesu UNC

Supporto per tutti isistemi operativi


Installazioni remote

Supporto per tutti isistemi operativieccetto:

• Windows XPHome Edition

• Windows 7Home Basic/Home Premium

• Windows 8/8.1(versioni base)

• Windows 10Home Edition

No Sì No Sì No Alto

Impostazione scriptdi accesso



Agent Packager


No No Sì Sì No Basso, sepianificato


5-14


Supportosistema

operativo


ImplementazioneWAN

Gestione

centralizzata

Richiede

interventoutente

Richiederisorsa IT



Agent Packager(pacchetto MSIimplementatotramite MicrosoftSMS)


Sì Sì Sì/No Sì Sì Basso, sepianificato

Agent Packager(pacchetto MSIimplementatotramite ActiveDirectory)


Sì Sì Sì/No Sì Sì Alto, se leinstallazionivengonoavviatenello stessomomento

Immagine discodell'agente


No No No Sì No Basso


5-15


Supportosistema

operativo


ImplementazioneWAN

Gestione

centralizzata

Richiede

interventoutente

Richiederisorsa IT



Trend MicroVulnerabilityScanner (TMVS)






Installazioni diconformitàsicurezza



• Windows 7Home Basic/Home Premium





5-16

Installazione dalla pagina di installazione Web

Procedura

1. Aprire una finestra di un browser Web supportato e digitare quanto segue:

https://<nome server OfficeScan>:<porta>/officescan

2. Fare clic sul collegamento del programma di installazione nella pagina di accessoper scaricare il pacchetto MSI a 32 bit o 64 bit (a seconda del sistema operativo).

3. Dopo il completamento dell'installazione, l'icona dell'Agente OfficeScan vienevisualizzata nella barra delle applicazioni di Windows.

NotaPer ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedereIcone dell'agente OfficeScan a pagina 15-28.

Installazione collegamento e-mailImpostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioniper installare l'Agente OfficeScan. Per avviare l'installazione, gli utenti devono fare clicsul collegamento per l'installazione dell'Agente OfficeScan contenuto nel messaggio e-mail.

Prima di installare gli Agenti OfficeScan:

• Verificare i requisiti di installazione degli Agente OfficeScan.

• Individuare quali computer della rete non sono attualmente provvisti di protezionecontro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito:

• Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica lapresenza di applicazioni software antivirus installate sui dispositivi in base a unintervallo di indirizzi IP specificato dall'utente.

Per ulteriori informazioni, consultare Utilizzo di Vulnerability Scanner a pagina5-37.


5-17

• Eseguire la Conformità sicurezza

Per ulteriori informazioni, consultare Conformità sicurezza per dispositivo non gestitia pagina 15-74.

Invio di un collegamento e-mailSe si sta effettuando l'installazione su un agente IPv6 puro, il server deve essere dual-stack o IPv6 puro e il relativo nome host o indirizzo IPv6 deve essere incluso nell'URL.

Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nella schermata dello statod'installazione dipende dall'opzione selezionata nella sezione Indirizzo IP preferito diAgenti > Impostazioni globali agente, nella scheda Rete.

Per ulteriori informazioni, consultare Indirizzi IP dell'agente a pagina 5-10.

Procedura

1. Accedere a Agenti > Installazione agente > Basato su browser.

2. Se necessario, modificare la riga dell'oggetto del messaggio e-mail.

3. Fare clic su Crea e-mail.

Si apre il programma di posta predefinito.

4. Inviare il messaggio ai destinatari designati.

Esecuzione di un'installazione basata su UNCAutoPcc.exe è un programma standalone che installa l'Agente OfficeScan neidispositivi non protetti e aggiorna i componenti e i file di programma. Per poterutilizzare AutoPcc tramite il percorso UNC (Uniform Naming Convention), iDispositivo devono appartenere al dominio.

Procedura

1. Accedere a Agenti > Installazione agente > Basato su UNC.


5-18

• Per installare l'Agente OfficeScan su un dispositivo non protetto utilizzandoAutoPcc.exe:

a. Connettersi al computer server OfficeScan. Accedere al percorso UNC:

\\<nome del computer server>\ofcscan

b. Fare clic con il pulsante destro del mouse su AutoPcc.exe eselezionare Esegui come amministratore.

• Per le installazioni desktop in remoto che utilizzano AutoPcc.exe:

a. Aprire una connessione da desktop remoto (Mstsc.exe) in modalitàconsole. In questo modo l'installazione di AutoPcc.exe vieneforzatamente eseguita nella sessione 0.

b. Accedere alla directory \\<nome del computer server>\ofcscan ed eseguire AutoPcc.exe.

Installazione remota dalla console Web OfficeScanÈ possibile installare in remoto l'Agente OfficeScan su uno o più dispositivi collegati inrete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazioneremota sui dispositivi di destinazione. L'installazione remota non installa l'AgenteOfficeScan sui dispositivi nei quali è già in esecuzione il server OfficeScan.

Nota

Questo metodo di installazione non può essere adottato su dispositivi con Windows XPHome, Windows 7 Home Basic e Home Premium Edition (versioni a 32 e 64 bit),Windows 8/8.1 (versioni di base a 32 e 64 bit) e Windows 10 Home Edition. Un serverIPv6 puro non può installare l'Agente OfficeScan su agenti IPv4 puri. Analogamente, unserver IPv4 puro non può installare l'Agente OfficeScan su agenti IPv6 puri.

Procedura

1. Eseguire le seguenti operazioni di pre-installazione per la propria versione diWindows.


5-19

• Se è installato Windows XP:

a. Attivare l'account dell'amministratore di dominio integrato e impostareuna password per l'account stesso.

b. Nel dispositivo, accedere a Risorse del computer > Strumenti >Opzioni cartella scheda > Visualizza e disattivare Utilizzacondivisione file semplice.

c. Accedere a Avvia > Programmi > Windows Firewall scheda >Eccezioni e attivare l'eccezione Condivisione file e stampanti.

d. Aprire Console di gestione Microsoft (fare clic su Avvia > Esegui,digitare services.msc) e avviare i servizi Registro remoto e RemoteProcedure Call. Quando si installa l'Agente OfficeScan, utilizzarel'account e la password di amministratore integrati.

• Se è in esecuzione Windows 7, Windows 8 (Pro, Enterprise), Windows 8.1,Windows 10 (Pro, Education, Enterprise) o Windows Server 2012/2016:

a. Attivare l'account dell'amministratore di dominio integrato e impostareuna password per l'account stesso.

b. Accedere a Avvia > Programmi > Strumenti amministrativi >Windows Firewall con protezione avanzata.

c. Attivare le regole Condivisione file e stampanti per “Dominio”,“Privato” e/o “Pubblico” in base all'ambiente di rete.

d. Aprire Console di gestione Microsoft (fare clic su Avvia > Esegui,digitare services.msc) e avviare i servizi Registro remoto e RemoteProcedure Call. Quando si installa l'Agente OfficeScan, utilizzarel'account e la password di amministratore integrati.

2. Nella console Web, accedere a Agenti > Installazione agente > Remota.

3. Selezionare i dispositivi di destinazione.

• L'elenco Dispositivo e domini visualizza tutti i domini Windows della rete.Per visualizzare gli dispositivo in un dominio specifico, fare doppio clic sulnome del dominio. Selezionare un dispositivo e fare clic su Aggiungi.


5-20

• Se si conosce già il nome dell'dispositivo di destinazione, immetterlo nelcampo in cima alla pagina Cerca dispositivoe fare clic su INVIO..

OfficeScan richiede il nome utente e la password del dispositivo di destinazione.Per proseguire utilizzare un nome utente e una password con privilegi diamministratore.

4. Immettere il nome utente e la password e fare clic su Accedi.

Nella tabella Dispositivo selezionati viene visualizzato l'dispositivo didestinazione.

5. Per aggiungere altri dispositivi, ripetere i passaggi 3 e 4.

6. Quando si è pronti a installare l'Agente OfficeScan sui dispositivi di destinazione,fare clic su Installa.

Viene visualizzata una finestra di dialogo di conferma.

7. Fare clic su Sì per confermare l'installazione dell'Agente OfficeScan sui dispositividi destinazione.

Mentre i file di programma vengono copiati sui diversi dispositivo di destinazione,viene visualizzata una schermata di avanzamento.

Dopo che OfficeScan ha completato l'installazione in un dispositivo di destinazione, ilnome del dispositivo non viene più visualizzato nell'elenco Dispositivi selezionati eviene inserito nell'elenco Dispositivi e domini con un segno di spunta rosso.

Quando tutti i dispositivi di destinazione sono visualizzati nell'elenco Dispositivi edomini con un segno di spunta rosso, il processo di installazione remota è concluso.

Nota

Nell'installazione su diversi dispositivi, OfficeScan riporta nei registri tutte le installazioninon completate (per i dettagli, consultare Registri installazioni da zero a pagina 18-16); questo,tuttavia, non rinvia le altre installazioni. Dopo aver fatto clic su Installa, pertanto, non èpiù necessario supervisionare la procedura di installazione. Per vedere i risultatidell'installazione, controllare i registri al termine dell'operazione.


5-21

Installazione con Impostazione script di accessoL'Impostazione script di accesso automatizza l'installazione dell'Agente OfficeScan sudispositivi non protetti quando questi accedono alla rete. L'Impostazione script diaccesso aggiunge allo script di accesso del server un programma denominatoAutoPcc.exe.

AutoPcc.exe installa l'Agente OfficeScan su dispositivi non gestiti e aggiorna icomponenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script diaccesso, i dispositivi devono appartenere al dominio.

Installazione dei programmi plug-inQuando il dispositivo accede al server sul quale sono stati modificati gli script di accesso,AutoPcc.exe installa automaticamente l'Agente OfficeScan in un dispositivo conWindows Server 2003 non protetto. AutoPcc.exe, tuttavia, non installaautomaticamente l'Agente OfficeScan nei dispositivi con Windows 7, 8, 8.1, 10, Server2008, Server 2012 e Server 2016. Gli utenti devono collegarsi al computer server,accedere a \\<nome computer server>\ofcscan, fare clic con il pulsante destrodel mouse su AutoPcc.exe e selezionare Esegui come amministratore.

Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe:

• L'dispositivo deve essere eseguito in modalità Mstsc.exe / console. In questomodo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0.

• Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da taleposizione.

Aggiornamenti dei componenti e del programmaAutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-spyware e di Damage Cleanup Services.

Script di Windows ServerSe si dispone già di uno script di accesso, Impostazione script di accesso aggiunge uncomando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un file


5-22

batch denominato officescan.bat che contiene il comando per eseguireAutoPcc.exe.

L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati diseguito.

\\<Nome_server>\ofcscan\autopcc

Dove:

• <Nome_server> è il nome o l'indirizzo IP del dispositivo del computer serverOfficeScan.

• "ofcscan" è il nome della cartella condivisa di OfficeScan sul server.

• "autopcc" è il collegamento al file eseguibile autopcc che installa l'AgenteOfficeScan.

Posizione dello script di accesso (tramite una directory condivisa mediante accesso direte):

• Windows Server 2003: \\server Windows 2003\unità di sistema\windir\sysvol\domain\scripts\ofcscan.bat




Aggiunta di Autopcc.exe allo script di accesso con l'utilizzodi Impostazione script di accesso

Procedura

1. Nel dispositivo da cui si esegue l'installazione del server, dal menu Start diWindows, fare clic su Programmi > Server OfficeScan di Trend Micro <Nomeserver> > Impostazioni script di accesso.


5-23

Viene caricata l'utilità Impostazione script di accesso. La console visualizza unastruttura ad albero con tutti i domini della rete.

2. Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo efare clic su Seleziona. Accertarsi che il server sia il controller di dominio primarioe di disporre dei privilegi di amministratore del server.

L'Impostazione script di accesso richiede un nome utente e una password.

3. Immettere il nome utente e la password. Fare clic su OK per continuare.

Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene iprofili degli utenti che si collegano al server. L'elenco Utenti selezionati contieneinvece i profili degli utenti di cui si desidera modificare lo script di accesso.

4. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elencoUtenti e fare clic su Aggiungi.

5. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti.

6. Per escludere il profilo di un utente precedentemente selezionato, selezionarne ilnome nell'elenco Utenti selezionati e fare clic su Elimina.

7. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto.

8. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utentiselezionati, fare clic su Applica.

Viene visualizzato un messaggio in cui viene confermata la corretta modifica degliscript di accesso al server.

9. Fare clic su OK.

Si ritorna alla schermata iniziale dell'Impostazione script di accesso.

10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4.

11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci.

Installazione con Agent PackagerAgent Packager crea un pacchetto di installazione che può essere inviato agli utenti consupporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sul


5-24

dispositivo agente per installare o aggiornare la versione dell'Agente OfficeScan eaggiornare i componenti.

Agent Packager risulta particolarmente utile quando si esegue l'implementazionedell'Agente OfficeScan o dei componenti sui dispositivi nelle sedi remote con ampiezzadi banda ridotta. Gli Agenti OfficeScan installati mediante Agent Packager si colleganoal server in cui è stato creato il pacchetto.

Requisiti di Agent Packager:

• 800MB di spazio libero su disco

• Windows Installer 2.0 (per eseguire un pacchetto MSI)

Linee guida per l'implementazione del pacchetto

1. Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto AgenteOfficeScan sui loro dispositivi facendo doppio clic sul file EXE o MSI.

Nota

Inviare il pacchetto solo agli utenti con Agente OfficeScan che riporta al server laposizione nella quale è stato creato.

2. Informare gli utenti che installano il pacchetto EXE su dispositivi con WindowsServer 2008, 7, 8, 8.1, 10, Server 2012 o Server 2016 che è necessario fare clic con ilpulsante destro del mouse sul file EXE e selezionare Esegui comeamministratore.

3. Se è stato creato un file MSI, per implementare il pacchetto effettuare le operazioniriportate di seguito:

• Utilizzare Active Directory o Microsoft SMS.

Per ulteriori informazioni, consultare Implementazione di un pacchetto MSIutilizzando Active Directory a pagina 5-29 o Implementazione di un pacchetto MSIutilizzando Microsoft SMS a pagina 5-31.


5-25

4. Avviare il pacchetto MSI tramite il prompt dei comandi e installare l'AgenteOfficeScan in modalità invisibile su un dispositivo remoto con Windows XP, Server2008, 7, 8, 8.1, 10, Server 2012 o Server 2016.

Linee guida del metodo di scansione per i pacchetti agente

Selezionare il metodo di scansione del pacchetto. Consultare Tipi di metodi di scansione apagina 7-8 per ulteriori dettagli.

I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Perulteriori informazioni sui componenti disponibili per ciascun metodo di scansione,vedere Aggiornamenti dell'agente OfficeScan a pagina 6-29.

Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo discansione leggere le linee guida riportate di seguito.

• Se il pacchetto verrà utilizzato per aggiornare l'agente a questa versione diOfficeScan, verificare il metodo di scansione del livello del dominio nella consoleWeb. Nella console, accedere a Agenti > Gestione agente, selezionare il dominiodella struttura agente a cui appartiene l'agente, quindi fare clic su Impostazioni >Impostazioni di scansione > Metodi di scansione. Il metodo di scansione dellivello del dominio deve essere coerente con il metodo di scansione del pacchetto.

• Se il pacchetto verrà utilizzato per eseguire un'installazione da zero dell'AgenteOfficeScan, verificare l'impostazione di raggruppamento dell'agente. Nella consoleWeb, accedere a Agenti > Raggruppamento agenti.

• Se il raggruppamento dell'agente avviene in base a NetBIOS, Active Directory odominio DNS, verificare il dominio di appartenenza del dispositivo di destinazione.Se il dominio esiste, verificare il metodo di scansione configurato per il dominio. Seil dominio non esiste, verificare il metodo di scansione del livello root (selezionarel'icona del dominio root ( ) nella struttura agente e fare clic su Impostazioni >Impostazioni di scansione > Metodi di scansione). Il metodo di scansione dellivello del dominio o del livello principale deve essere coerente con il metodo discansione del pacchetto.


5-26

• Se il raggruppamento dell'agente avviene in base ai gruppi agente personalizzati,verificare Priorità di raggruppamento e Origine.

Figura 5-1. Riquadro di anteprima Raggruppamento automatico Agente

Se il dispositivo di destinazione appartiene a un'origine particolare, verificare laDestinazione corrispondente. La destinazione è il nome del dominio visualizzatonella struttura agente. Dopo l'installazione l'agente utilizzerà il metodo di scansioneper quel dominio.

• Se il pacchetto verrà utilizzato per aggiornare i componenti nell'agente con questaversione di OfficeScan, verificare il metodo di scansione configurato per il dominiodella struttura agente a cui appartiene l'agente. Il metodo di scansione del livello deldominio deve essere coerente con il metodo di scansione del pacchetto.

Creazione di un pacchetto di installazione con l'utilizzo diAgent Packager

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager.

2. Per eseguire lo strumento, fare doppio clic su ClnPack.exe.

Viene aperta la console di Agent Packager.


5-27

3. Selezionare il tipo di pacchetto che si desidera creare.

Tabella 5-6. Tipi di pacchetti agente

Tipo pacchetto Descrizione

Installazione Selezionare Installazione per creare il pacchetto come fileeseguibile. Il pacchetto installa il programma AgenteOfficeScan con i componenti attualmente disponibili nelserver. Se nel dispositivo di destinazione è installata unaversione precedente dell'agente, il file eseguibile consentedi aggiornare l'agente.

Aggiornamento Selezionare Aggiorna per creare un pacchetto contenentei componenti attualmente disponibili nel server. Il pacchettoviene creato come file eseguibile. Utilizzare questopacchetto se si verificano problemi con l'aggiornamento deicomponenti in un dispositivo agente.

MSI Selezionare MSI per creare un pacchetto conforme alformato Microsoft Installer Package. Il pacchetto installainoltre il programma Agente OfficeScan con i componentiattualmente disponibili nel server. Se nel dispositivo didestinazione è installata una versione precedentedell'agente, il file MSI consente di aggiornare l'agente.

4. Selezionare il sistema operativo per cui si desidera creare il pacchetto.Implementare il pacchetto solo sui dispositivi con questo tipo di sistema operativo.Creare un altro pacchetto da implementare su un altro tipo di sistema operativo.

5. Selezionare il metodo di scansione implementato dal pacchetto agente.

Per le linee guida su come selezionare un metodo di scansione, vedere Linee guida delmetodo di scansione per i pacchetti agente a pagina 5-25.

6. Nella sezione Dominio, selezionare una delle opzioni illustrate di seguito:

• Consenti all'agente di segnalare i propri domini automaticamente: dopoaver installato l'Agente OfficeScan, l'agente invia query al database del serverOfficeScan e segnala le impostazioni dei propri domini al server.

• Qualsiasi dominio nell'elenco: Agent Packager si sincronizza con il serverOfficeScan ed elenca i domini attualmente utilizzati nella struttura agente.


5-28

7. Nella sezione Opzioni, selezionare tra quelle illustrate di seguito:

Opzione Descrizione

Modalitàinvisibile

Questa opzione crea un pacchetto che viene installato inbackground nel dispositivo agente, in modo impercettibile perl'agente e senza che visualizzare la finestra sullo statodell'installazione. Attivare questa opzione se si intendeimplementare il pacchetto in remoto sul dispositivo didestinazione.

Sovrascritturaforzata conultima versione

Questa opzione sovrascrive le versioni dei componentidell'agente con le versioni attualmente disponibili nel server.Attivare questa opzione per fare in modo che i componenti delserver e dell'agente siano sincronizzati.

DisattivaScansionepreliminare (soloinstallazioni dazero)

Se nel dispositivo di destinazione non è installato l'AgenteOfficeScan, il pacchetto esegue la scansione del dispositivoper rilevare eventuali rischi per la sicurezza prima di installarel'Agente OfficeScan. Se si è certi che il dispositivo didestinazione non contenga rischi per la sicurezza, è possibiledisattivare la scansione preliminare.

Se la scansione preliminare è attivata, il programma diinstallazione esegue la scansione per rilevare virus/minacceinformatiche nelle aree del dispositivo più vulnerabili,comprese quelle riportate di seguito:

• Area boot e la directory boot (per i virus del settore boot)

• Cartella Windows

• Cartella Programmi

8. In Funzioni di Update Agent, selezionare quali funzioni Update Agent è in gradodi implementare.

9. In Componenti, selezionare i componenti e le funzioni da includere nel pacchetto.

• Per ulteriori informazioni sui componenti, vedere Programmi e componenti diOfficeScan a pagina 6-2.

• Il modulo Protezione dati è disponibile solo se si installa e si attiva laProtezione dati. Per ulteriori informazioni su Protezione dati, vedereInformazioni preliminari su Protezione dati a pagina 3-1.


5-29

10. Successivamente a File di origine, assicurarsi che il percorso del fileofcscan.ini sia corretto. Per modificare il percorso, fare clic su per cercareil file ofcscan.ini.

Per impostazione predefinita, questo file si trova nella cartella <Cartella diinstallazione del server>\PCCSRV del server OfficeScan.

11. In File di destinazione, fare clic su e specificare in quale percorso e con qualenome si desidera creare il pacchetto dell'Agente OfficeScan, (ad esempioAgentSetup.exe).

12. Fare clic su Crea.

Quando Agent Packager ha completato la creazione del pacchetto, vienevisualizzato il messaggio “Creazione pacchetto completata”. Individuare il packagenella directory specificata nel passaggio precedente.

13. Implementare il pacchetto.

Implementazione di un pacchetto MSI utilizzando ActiveDirectory

È possibile sfruttare le caratteristiche di Active Directory per implementare il pacchettoMSI contemporaneamente su diversi dispositivi agente.

Per istruzioni sulla creazione di un file MSI, vedere Installazione con Agent Packager a pagina5-23.

Procedura

1. Eseguire le operazioni riportate di seguito:

• Per Windows Server 2003 e versioni precedenti:

a. Aprire la console di Active Directory

b. Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desideraimplementare il pacchetto MSI e fare clic su Proprietà.


5-30

c. Nella scheda Criterio di gruppo, fare clic su Nuovo.

• Per Windows Server 2008 e Windows Server 2008 R2:

a. Aprire la console Gestione Criteri di gruppo. Fare clic su Start >Pannello di controllo > Strumenti di amministrazione > GestioneCriteri di gruppo.

b. Nell'albero della console espandere Oggetti Criteri di grupponell'insieme di strutture e nel dominio che contiene l'oggetto Criteri digruppo da modificare.

c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo damodificare, quindi fare clic su Modifica. Viene visualizzato l'Editoroggetti Criteri di gruppo.

• Per Windows Server 2012 e Windows Server 2016:

a. Aprire la console Gestione Criteri di gruppo. Fare clic su Gestioneserver > Strumenti > Gestione Criteri di gruppo.

b. Nell'albero della console espandere Oggetti Criteri di grupponell'insieme di strutture e nel dominio che contiene l'oggetto Criteri digruppo da modificare.

c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo damodificare, quindi fare clic su Modifica. Viene visualizzato l'Editoroggetti Criteri di gruppo.

2. Scegliere tra Configurazione computer e Configurazione utente e aprire lerelative Impostazioni software.

SuggerimentoPer essere sicuri che l'installazione del pacchetto MSI avvenga correttamenteindipendentemente da quale utente accede al dispositivo, Trend Micro consiglia diutilizzare la Configurazione computer anziché la Configurazione utente.

3. Sotto a Impostazioni software, fare clic con il pulsante destro del mouse suInstallazione software, quindi selezionare Nuovo e Pacchetto.

4. Individuare e selezionare il pacchetto MSI.


5-31

5. Selezionare un metodo di implementazione e fare clic su OK.

• Assegnato: il pacchetto MSI viene automaticamente implementato alsuccessivo accesso dell'utente al dispositivo (se è stata selezionata laConfigurazione utente) o al successivo riavvio del dispositivo (se è stataselezionata la Configurazione computer). Questo metodo non richiede alcunintervento da parte dell'utente.

• Pubblicato: per eseguire il pacchetto MSI, dare istruzioni all'utente affinchéapra il Pannello di controllo e la schermata Installazione applicazioni eselezioni l'opzione per l'installazione di programmi in rete. All'avvio delpacchetto MSI dell'Agente OfficeScan, gli utenti possono procedere conl'installazione dell'Agente OfficeScan.

Implementazione di un pacchetto MSI utilizzando MicrosoftSMSSe Microsoft BackOffice SMS è installato nel server, è possibile implementare ilpacchetto MSI utilizzando Microsoft System Management Server (SMS).

Per istruzioni sulla creazione di un file MSI, vedere Installazione con Agent Packager a pagina5-23.

Prima di implementare il pacchetto sui dispositivi di destinazione, il server SMS deveottenere il file MSI dal server OfficeScan.

• Locale: il server SMS e il server OfficeScan si trovano sullo stesso dispositivo.

• Remoto: il server SMS e il server OfficeScan si trovano su dispositivi diversi.

Problemi noti relativi all'installazione con Microsoft SMS:

• Nella colonna relativa all'ora di esecuzione della console SMS viene visualizzato:“Sconosciuto”.

• Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor delprogramma SMS potrebbe comunque indicare che l'installazione è stata completata.

Per istruzioni su come controllare se l'installazione è stata completatacorrettamente, vedere Post-installazione a pagina 5-68.


5-32

Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito.

Ottenimento del pacchetto localmente

Procedura

1. Aprire la console dell'amministratore SMS.

2. Nella scheda Struttura ad albero, fare clic su Pacchetti.

3. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.

Viene visualizzata la schermata iniziale della procedura guidata per la creazionedel pacchetto.

4. Fare clic su Avanti.

Viene visualizzata la schermata Package Definition.

5. Fare clic su Sfoglia.

Viene visualizzata la schermata Open.

6. Sfogliare e selezionare il file del pacchetto MSI creato da Agent Packager, quindifare clic su Apri.

Il nome del pacchetto MSI viene visualizzato sulla schermata Definizionepacchetto. Il pacchetto visualizza "Agente OfficeScan" e la versione delprogramma.


Viene visualizzata la schermata Source Files.

8. Fare clic su Ricevere sempre i file da una directory di origine, quindi suAvanti.

Viene visualizzata la schermata Directory di origine con il nome del pacchettoche viene creato e la directory di origine stessa.

9. Fare clic su Unità locale sul server del sito.


5-33

10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI.


Viene creato il pacchetto. Al termine del processo, il nome del pacchetto vienevisualizzato sulla console dell'amministratore SMS.

Ottenimento del pacchetto in remoto

Procedura

1. Sul server OfficeScan, utilizzare Agent Packager per creare un pacchetto diinstallazione con estensione EXE (non è possibile creare un pacchetto MSI.Consultare Installazione con Agent Packager a pagina 5-23 per ulteriori dettagli.

2. Sul dispositivo sul quale si desidera archiviare il file di origine, creare una cartellacondivisa.

3. Aprire la console dell'amministratore SMS.

4. Nella scheda Struttura ad albero, fare clic su Pacchetti.

5. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.

Viene visualizzata la schermata iniziale della procedura guidata per la creazionedel pacchetto.


Viene visualizzata la schermata Package Definition.

7. Fare clic su Sfoglia.

Viene visualizzata la schermata Open.

8. Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata.


Viene visualizzata la schermata Source Files.

10. Fare clic su Ricevere sempre i file da una directory di origine, quindi suAvanti.


5-34

Viene visualizzata la schermata Directory di origine.

11. Fare clic su Percorso di rete (nome UNC).

12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (lacartella condivisa creata in precedenza).


Viene creato il pacchetto. Al termine del processo, il nome del pacchetto vienevisualizzato sulla console dell'amministratore SMS.

Distribuzione del pacchetto agli dispositivo di destinazione

Procedura

1. Nella scheda Struttura ad albero, fare clic su Annunci.

2. Dal menu Azione, fare clic su All Tasks > Distribute Software.

Viene visualizzata la schermata Benvenuto della procedura guidata per ladistribuzione del software.


Viene visualizzata la schermata Package.

4. Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchetto diinstallazione creato.


Viene visualizzata la schermata Distribution Points.

6. Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic suAvanti.

Viene visualizzata la schermata Advertise a Program.

7. Fare clic su Sì per annunciare il pacchetto di installazione dell'Agente OfficeScan,quindi su Avanti.

Viene visualizzata la schermata Advertisement Target.


5-35

8. Fare clic su Sfoglia per selezionare i dispositivi di destinazione.

Viene visualizzata la schermata Browse Collection.

9. Fare clic su Tutti i sistemi Windows NT.

10. Fare clic su OK.

Viene nuovamente visualizzata la schermata Advertisement Target.


Viene visualizzata la schermata Advertisement Name.

12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clicsu Avanti.

Viene visualizzata la schermata Advertise to Subcollections.

13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere diannunciare il programma solo ai membri della raccolta specificata oppure anche aimembri delle sottoraccolte.


Viene visualizzata la schermata Advertisement Schedule.

15. Specificare il momento in cui annunciare il pacchetto di installazione dell'AgenteOfficeScan digitando o selezionando la data e l'ora.

NotaSe si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una dataspecifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data el'ora nelle caselle di riepilogo Data e ora di scadenza.


Viene visualizzata la schermata Assign Program.

17. Fare clic su Sì, assegna il programma, quindi su Avanti.

Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratoreSMS.


5-36

18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero ilprogramma Agente OfficeScan) ai dispositivi di destinazione, su ciascun dispositivodi destinazione, viene visualizzata una schermata. Chiedere agli utenti di fare clic suSì e seguire le istruzioni fornite dalla procedura guidata per installare l'AgenteOfficeScan sui loro dispositivi.

Installazioni mediante le immagini disco dell'agenteLa tecnologia delle immagini disco consente di creare un'immagine dell'AgenteOfficeScan e di clonarlo su altri computer della rete utilizzando un software perimmagini disco.

Affinché il server possa identificare i singoli agenti, ogni installazione dell'AgenteOfficeScan ha bisogno di un Identificatore univoco globale (GUID). Per creare GUIDdiversi per ognuno dei cloni, utilizzare il programma OfficeScan denominatoImgSetup.exe.

Creazione di un'immagine disco di un agente OfficeScan

Procedura

1. Installare l'Agente OfficeScan nel dispositivo.

2. Copiare ImgSetup.exe da <Cartella di installazione del server>\PCCSRV\Admin\Utility\ImgSetup in questo dispositivo.

3. Eseguire ImgSetup.exe su questo dispositivo.

Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE.

4. Creare un'immagine disco dell'Agente OfficeScan utilizzando il software perl'immagine disco.

5. Riavviare il clone.

ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. L'AgenteOfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per ilnuovo Agente OfficeScan.


5-37

AVVERTENZA!

Per evitare di avere nel database di OfficeScan due computer con lo stesso nome,modificare manualmente il nome del dispositivo o del dominio relativo all'AgenteOfficeScan clonato.

Utilizzo di Vulnerability Scanner

Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate,di cercare i computer non protetti presenti nella rete e di installare gli Agenti OfficeScannei computer.

Considerazioni sull'utilizzo di Vulnerability Scanner

Le considerazioni riportate di seguito possono aiutare a decidere se utilizzareVulnerability Scanner:

• Amministrazione della rete a pagina 5-37

• Topologia e architettura della rete a pagina 5-38

• Specifiche software/hardware a pagina 5-39

• Struttura del dominio a pagina 5-39

• Traffico di rete a pagina 5-40

• Dimensioni della rete a pagina 5-40

Amministrazione della rete

Tabella 5-7. Amministrazione della rete

Installazione Efficacia di Vulnerability Scanner

Amministrazione con criteri diprotezione rigidi

Estremamente efficace. Vulnerability Scannersegnala se in tutti i computer è installato o meno ilsoftware antivirus.


5-38


Le responsabilità amministrativesono distribuite nei vari siti

Mediamente efficace

Amministrazione centralizzata Mediamente efficace

Servizio esterno Mediamente efficace

Gli utenti amministrano i propricomputer

Non efficace. Poiché Vulnerability Scanner esegue lascansione della rete per rilevare le installazioni delsoftware antivirus, non è possibile fare in modo chegli utenti eseguano la scansione dei propri computer.

Topologia e architettura della reteTabella 5-8. Topologia e architettura della rete


Sede unica Estremamente efficace. Vulnerability Scannerconsente di eseguire la scansione di un interosegmento IP e di installare l'Agente OfficeScan nellaLAN con facilità.

Sedi diverse con connessione adalta velocità

Mediamente efficace

Sedi diverse con connessione abassa velocità

Non efficace. È necessario eseguire VulnerabilityScanner in ciascuna posizione e dirigerel'installazione dell'Agente OfficeScan verso un serverOfficeScan locale.

Computer remoti e isolati Mediamente efficace


5-39

Specifiche software/hardwareTabella 5-9. Specifiche software/hardware


Sistemi operativi basati suWindows NT

Estremamente efficace. Vulnerability Scanner è ingrado di installare facilmente l'Agente OfficeScan inremoto nei computer con sistema operativo basatosu Windows NT.

Sistemi operativi misti Mediamente efficace. Vulnerability Scanner è ingrado di eseguire l'installazione solo nei computercon sistemi operativi basati su Windows NT.

Software di gestione dei desktop Non efficace. Vulnerability Scanner non può essereutilizzato con software di gestione dei desktop.Tuttavia, può essere utile per tenere tracciadell'installazione dell'Agente OfficeScan.

Struttura del dominioTabella 5-10. Struttura del dominio


Microsoft Active Directory Estremamente efficace. Per consentire l'installazioneremota dell'Agente OfficeScan, specificare l'accountdell'amministratore del dominio in VulnerabilityScanner.

Workgroup Non efficace. Vulnerability Scanner potrebbeincontrare difficoltà nell'installazione in computer cheutilizzano password e account amministrativi diversi.

Servizio di directory Novell™ Non efficace. Vulnerability Scanner richiede unaccount di dominio Windows per installare l'AgenteOfficeScan.

Peer-to-peer Non efficace. Vulnerability Scanner potrebbeincontrare difficoltà nell'installazione in computer cheutilizzano password e account amministrativi diversi.


5-40

Traffico di reteTabella 5-11. Traffico di rete


Connessione LAN Estremamente efficace.

512 Kbps Mediamente efficace

Connessione T1 e superiore Mediamente efficace

Accesso remoto Non efficace. Il completamento dell'installazionedell'Agente OfficeScan può richiedere molto tempo.

Dimensioni della reteTabella 5-12. Dimensioni della rete


Rete aziendale molto grande Estremamente efficace. Vulnerability Scanner sirivela molto utile con reti di grandi dimensioni per lequali è indispensabile controllare le installazionidell'Agente OfficeScan.

Piccole e medie imprese Mediamente efficace. Vulnerability Scanner è utileper installare l'Agente OfficeScan nelle reti di piccoledimensioni. Tuttavia, altri metodi di installazionedell'Agente OfficeScan potrebbero rivelarsi piùsemplici da implementare.

Linee guida per l'installazione dell'Agente OfficeScan conVulnerability ScannerVulnerability Scanner non installa l'Agente OfficeScan nei casi indicati di seguito:

• Il server OfficeScan o un altro software di sicurezza è installato sulla macchina hostdi destinazione.

• Nel dispositivo remoto è in esecuzione Windows XP Home, Windows 7 HomeBasic, Windows 7 Home Premium, Windows 8 (versioni di base), Windows 8.1(versioni di base) o Windows 10 Home.


5-41

Nota

È possibile installare l'Agente OfficeScan sulla macchina host di destinazione utilizzandoaltri metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 5-12.

Prima di usare Vulnerability Scanner per installare l'Agente OfficeScan, attenersi allaprocedura riportata di seguito:

• Per Windows 7 (Professional, Enterprise, Ultimate Edition), Windows 8 (Pro,Enterprise), Windows 8.1 (Pro, Enterprise), Windows 10 (Pro, Education,Enterprise), Windows Server 2012 (tutte le edizioni) o Windows Server 2016 (tuttele edizioni):

1. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

2. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

3. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".

4. Aprire Console di gestione Microsoft (fare clic su Start > Esegui e digitareservices.msc) e avviare il servizio Remote Registry. Quando si installal'Agente OfficeScan, utilizzare l'account e la password di amministratoreintegrati.

• Per Windows XP Professional (versione a 32 bit o a 64 bit):

1. Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella.

2. Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione filesemplice (scelta consigliata).

Metodi di scansione di vulnerabilità

La scansione di vulnerabilità verifica se nelle macchine host è presente un software disicurezza e può installare l'Agente OfficeScan nelle macchine non protette.

Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità.


5-42

Tabella 5-13. Metodi di scansione di vulnerabilità

Metodo Dettagli

Scansione divulnerabilità manuale

Ora gli amministratori possono eseguire scansioni di vulnerabilitàsu richiesta.

Scansione DHCP Gli amministratori possono eseguire scansioni di vulnerabilità sumacchine host che richiedono gli indirizzi IP da un server DHCP.

Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta diascolto del server DHCP per le richieste DHCP). Se rileva unarichiesta DHCP proveniente da una macchina host, la scansionedi vulnerabilità viene eseguita sulla macchina.

NotaVulnerability Scanner non rileva le richieste DHCP separtono da Windows Server 2008, Windows 7, Windows 8,Windows 8.1, Windows 10 o Windows Server 2012.

Scansione divulnerabilitàpianificata

Le scansioni pianificate vengono eseguite in base allapianificazione configurata dagli amministratori.

Una volta eseguito, Vulnerability Scanner visualizza lo stato dell'Agente OfficeScan sullemacchine host di destinazione. Lo stato può essere:

• Normale: l'Agente OfficeScan è in esecuzione e sta funzionando correttamente

• Anomalo: i servizi dell'Agente OfficeScan non sono in esecuzione oppure l'agentenon dispone della protezione in tempo reale

• Non installato: manca il servizio TMListen oppure l'Agente OfficeScan non èstato installato

• Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire laconnessione con la macchina host e di determinare lo stato dell'Agente OfficeScan


5-43

Esecuzione di una scansione di vulnerabilità manuale

Procedura

1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan,accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console TrendMicro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altrodispositivo con Windows Server 2003, Server 2008, 7, 8, 8.1, 10 o Server2012/2016:

a. Nel computer server OfficeScan, accedere a <Cartella diinstallazione del server>\PCCSRV\Admin\Utility.

b. Copiare la cartella TMVS nell'altro dispositivo.

c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe.

Viene visualizzata la console Trend Micro Vulnerability Scanner.

Nota

Non è possibile avviare lo strumento da Terminal Server.

2. Andare alla sezione Scansione manuale.

3. Immettere l'intervallo di indirizzi IP dei dispositivi da controllare.

a. Immettere un intervallo di indirizzi IPv4.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solose è eseguito su una macchina host IPv4 pura o dual-stack. VulnerabilityScanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da168.212.1.1 a 168.212.254.254.

b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefissoIPv6.


5-44

NotaVulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solose è eseguito su una macchina host IPv6 pura o dual-stack.

4. Fare clic su Impostazioni.

Viene visualizzata la schermata Impostazioni.

5. Configurare le impostazioni riportate di seguito:

Opzione Descrizione

Impostazioniping

la Scansione di vulnerabilità può eseguire il "ping" degli indirizziIP specificati nel passaggio precedente per verificare se sonoattualmente in uso. Se una macchina host di destinazione usaun indirizzo IP, Vulnerability Scanner può determinarne ilsistema operativo.

Per i dettagli, consultare Impostazioni ping a pagina 5-59.

Metodo perrecuperare ledescrizionicomputer

per le macchine host che rispondono al comando "ping",Vulnerability Scanner è in grado di reperire ulteriori informazionisulle macchine host.

Per i dettagli, consultare Metodo per recuperare le descrizionidei dispositivi a pagina 5-56.

Query prodotto Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nelle macchine host di destinazione.

Per i dettagli, consultare Query prodotto a pagina 5-52.

ImpostazioniserverOfficeScan

Configurare queste impostazioni se si desidera che VulnerabilityScanner installi automaticamente l'Agente OfficeScan sullemacchine host non protette. Queste impostazioni consentono diidentificare il server principale e le credenziali amministrativeusate dall'Agente OfficeScan per l'accesso alle macchine host.

Per i dettagli, consultare Impostazioni server OfficeScan apagina 5-60.


5-45

Opzione Descrizione

NotaAlcune condizioni possono impedire l'installazione dell'AgenteOfficeScan nelle macchine host di destinazione.

Per i dettagli, consultare Linee guida per l'installazionedell'Agente OfficeScan con Vulnerability Scanner a pagina 5-40.

Notifiche Vulnerability Scanner è in grado di inviare i risultati dellascansione di vulnerabilità agli amministratori OfficeScan. Inoltre,è in grado di visualizzare le notifiche sulle macchine host nonprotette.

Per i dettagli, consultare Notifiche a pagina 5-57.

Salva risultati oltre ad inviare i risultati della scansione di vulnerabilità agliamministratori, Scansione di vulnerabilità è anche in grado disalvare i risultati in un file .csv.

Per i dettagli, consultare Risultati scansione vulnerabilità apagina 5-58.

6. Fare clic su OK.

7. Fare clic su Avvio.

I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione manuale.

NotaSe nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, leinformazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.

8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,individuare la cartella in cui salvare il file, digitare il nome del file e fare clic suSalva.


5-46

Esecuzione di una scansione DHCP

Procedura

1. Configurare le impostazioni DHCP nel file TMVS.ini situato nellacartella:<Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS.

Tabella 5-14. Impostazioni DHCP nel file TMVS.ini

Impostazione Descrizione

DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Ilvalore minimo è 3 e il valore massimo è 100. Il valorepredefinito è 8.

DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito ilcontrollo del software antivirus nell'dispositivo che effettuala richiesta.

Il valore minimo è 0 (senza attesa) e il valore massimo è600. Il valore predefinito è 30.

LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva.

Vulnerability Scanner invia i risultati della scansione alserver OfficeScan. I registri vengono visualizzati nellaschermata Registri eventi di sistema nella console Web.

OsceServer=x L'indirizzo IP o il nome DNS del server OfficeScan.

OsceServerPort=x La porta del server Web nel server OfficeScan.





5-47



Nota

Non è possibile avviare lo strumento da Terminal Server.

3. Nella sezione Scansione manuale, fare clic su Impostazioni.



Opzione Descrizione

Queryprodotto

Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nelle macchine host di destinazione.



Configurare queste impostazioni se si desidera che VulnerabilityScanner installi automaticamente l'Agente OfficeScan sullemacchine host non protette. Queste impostazioni consentono diidentificare il server principale e le credenziali amministrativeusate dall'Agente OfficeScan per l'accesso alle macchine host.


NotaAlcune condizioni possono impedire l'installazione dell'AgenteOfficeScan nelle macchine host di destinazione.

Per i dettagli, consultare Linee guida per l'installazionedell'Agente OfficeScan con Vulnerability Scanner a pagina 5-40.

Notifiche Vulnerability Scanner è in grado di inviare i risultati dellascansione di vulnerabilità agli amministratori OfficeScan. Inoltre,è in grado di visualizzare le notifiche sulle macchine host nonprotette.



5-48

Opzione Descrizione

Salva risultati oltre ad inviare i risultati della scansione di vulnerabilità agliamministratori, Scansione di vulnerabilità è anche in grado disalvare i risultati in un file .csv.

Per i dettagli, consultare Risultati scansione vulnerabilità apagina 5-58.

5. Fare clic su OK.

6. Nella tabella Risultati fare clic sulla scheda Scansione DHCP.

Nota

La scheda Scansione DHCP non è disponibile nei computer che eseguonoWindows Server 2008,Windows 7, Windows 8, Windows 8.1, Windows 10 eWindows Server 2012.

7. Fare clic su Avvio.

Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controllidi vulnerabilità sui computer mano a mano che questi si connettono alla rete.


Configurazione di una scansione di vulnerabilità pianificata

Procedura



5-49





NotaNon è possibile avviare lo strumento da Terminal Server.

2. Andare alla sezione Scansione pianificata.

3. Fare clic su Aggiungi/Modifica.

Viene visualizzata la schermata Scansione pianificata.

4. digitare un nome per la scansione di vulnerabilità pianificata.

5. Immettere l'intervallo di indirizzi IP dei dispositivi da controllare.

a. Immettere un intervallo di indirizzi IPv4.

NotaVulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solose è eseguito su una macchina host IPv4 pura o dual-stack. VulnerabilityScanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da168.212.1.1 a 168.212.254.254.

b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefissoIPv6.

NotaVulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solose è eseguito su una macchina host IPv6 pura o dual-stack.

6. Specificare l'ora di inizio della Pianificazione utilizzando il formato 24 ore, quindiselezionare con quale frequenza si desidera eseguire la scansione. Selezionare unafrequenza giornaliera, settimanale o mensile.


5-50

7. selezionare le impostazioni di scansione vulnerabilità da usare.

a. Se sono state configurate le impostazioni di scansione vulnerabilità manuale esi desidera usarle, selezionare Usa impostazioni correnti.

Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilitàmanuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina 5-43.

b. Se non sono state specificate le impostazioni di scansione vulnerabilitàmanuale o si desidera usare altre impostazioni, selezionare Modificaimpostazioni e fare clic su Impostazioni.


c. Configurare le impostazioni riportate di seguito:

Impostazioniping

la Scansione di vulnerabilità può eseguire il "ping" degliindirizzi IP specificati nel passaggio precedente perverificare se sono attualmente in uso. Se una macchinahost di destinazione usa un indirizzo IP, VulnerabilityScanner può determinarne il sistema operativo.

Per i dettagli, consultare Impostazioni ping a pagina5-59.

Metodo perrecuperare ledescrizionicomputer

per le macchine host che rispondono al comando "ping",Vulnerability Scanner è in grado di reperire ulterioriinformazioni sulle macchine host.

Per i dettagli, consultare Metodo per recuperare ledescrizioni dei dispositivi a pagina 5-56.

Query prodotto Vulnerability Scanner è in grado di verificare la presenzadi software di sicurezza nelle macchine host didestinazione.



5-51


Configurare queste impostazioni se si desidera cheVulnerability Scanner installi automaticamente l'AgenteOfficeScan sulle macchine host non protette. Questeimpostazioni consentono di identificare il server principalee le credenziali amministrative usate dall'AgenteOfficeScan per l'accesso alle macchine host.


NotaAlcune condizioni possono impedire l'installazionedell'Agente OfficeScan nelle macchine host didestinazione.

Per i dettagli, consultare Linee guida perl'installazione dell'Agente OfficeScan conVulnerability Scanner a pagina 5-40.

Notifiche Vulnerability Scanner è in grado di inviare i risultati dellascansione di vulnerabilità agli amministratori OfficeScan.Inoltre, è in grado di visualizzare le notifiche sullemacchine host non protette.


Salva risultati oltre ad inviare i risultati della scansione di vulnerabilitàagli amministratori, Scansione di vulnerabilità è anche ingrado di salvare i risultati in un file .csv.

Per i dettagli, consultare Risultati scansione vulnerabilitàa pagina 5-58.

8. Fare clic su OK.

La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilitàpianificata creata viene visualizzata nella sezione Scansione pianificata. Se sonostate attivate le notifiche, Vulnerability Scanner invia i risultati della scansione divulnerabilità pianificata.

9. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic suEsegui ora.


5-52

I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione pianificata.

NotaSe nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, leinformazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.


Impostazioni Scansione vulnerabilitàLe impostazioni di Scansione vulnerabilità sono configurate da Trend MicroVulnerability Scanner (TMVS.exe) o dal file TMVS.ini.

NotaPer ulteriori dettagli su come raccogliere le informazioni nei registri di debug perVulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 18-3.

Query prodotto

Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negliagenti. La tabella seguente illustra in che modo avviene il controllo dei prodotti diprotezione da parte di Vulnerability Scanner:


5-53

Tabella 5-15. Prodotti di protezione controllati da Vulnerability Scanner

Prodotto Descrizione

ServerProtect perWindows

Per controllare se SPNTSVC.exe è in esecuzione, VulnerabilityScanner utilizza dispositivo RPC. In tal modo ottieneinformazioni quali il sistema operativo e le versioni del motoredi scansione virus, del pattern dei virus e dei prodotti.Vulnerability Scanner non è in grado di rilevare il serverinformazioni di ServerProtect o la console di gestione diServerProtect.

ServerProtect per Linux Se il dispositivo di destinazione non è presente Windows,Vulnerability Scanner tenta di connettersi alla porta 14942per verificare che ServerProtect per Linux sia installato.

Agente OfficeScan Per verificare se l'Agente OfficeScan è installato, VulnerabilityScanner utilizza la porta dell'Agente OfficeScan. Controllainoltre se il processo TmListen.exe è in esecuzione. Seviene eseguito dalla posizione predefinita, ottiene il numerodi porta in modo automatico.

Se Vulnerability Scanner viene avviato in un dispositivodiverso dal server OfficeScan, controllare la porta dicomunicazione dell'altro dispositivo prima di utilizzarla.

PortalProtect™ Per controllare l'installazione del prodotto, VulnerabilityScanner carica la pagina Web http://localhost:port/PortalProtect/index.html.

ScanMail™ perMicrosoft Exchange™

Per controllare l'installazione di ScanMail, VulnerabilityScanner carica la pagina Web http://ipaddress:port/scanmail.html. Per impostazione predefinita, ScanMailutilizza la porta 16372. Se ScanMail utilizza un numero diporta differente, specificare tale numero. In caso contrario,Vulnerability Scanner non è in grado di rilevare ScanMail.


5-54

Prodotto Descrizione

Serie InterScan™ Per controllare l'installazione dei prodotti, VulnerabilityScanner carica la pagina Web di ciascun prodotto.

• InterScan Messaging Security Suite 5.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan eManager 3.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgi-bin/interscan.dll

Trend Micro InternetSecurity™ (PC-cillin)

Per controllare se Trend Micro Internet Security è installato,Vulnerability Scanner utilizza la porta 40116.

McAfee VirusScanePolicy Orchestrator

Vulnerability Scanner invia un token speciale alla porta TCP8081, la porta predefinita di ePolicy Orchestrator per laconnessione tra server e agente. Il dispositivo con questoprodotto antivirus risponde utilizzando un tipo di tokenspeciale. Vulnerability Scanner non è in grado di rilevareMcAfee VirusScan standalone.

Norton Antivirus™Corporate Edition

Vulnerability Scanner invia un token speciale alla porta UDP2967, la porta predefinita di Norton Antivirus CorporateEdition RTVScan. Il dispositivo con questo prodotto antivirusrisponde utilizzando un tipo di token speciale. Poiché NortonAntivirus Corporate Edition comunica tramite UDP, il livello diaccuratezza non è garantito. Inoltre il traffico di rete potrebbeinfluenzare il tempo di attesa UDP.

Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati diseguito:

• RPC: rileva ServerProtect per NT

• UDP: rileva i client Norton AntiVirus Corporate Edition

• TCP: rileva McAfee VirusScan ePolicy Orchestrator

• ICMP: rileva i computer tramite l'invio di pacchetti ICMP

• HTTP: rileva gli Agenti OfficeScan


5-55

• DHCP: se rileva una richiesta DHCP, Vulnerability Scanner controlla se suldispositivo che invia la richiesta sia già installato un software antivirus.

Configurazione delle impostazioni della query del prodotto

Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni discansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione divulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-41.

Procedura

1. Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner(TMVS.exe):

a. Avviare TMVS.exe.

b. Fare clic su Impostazioni.


c. Andare alla sezione Query prodotto.

d. Selezionare i prodotti da esaminare.

e. Fare clic su Impostazioni accanto al nome del prodotto e specificare ilnumero di porta che verrà controllato da Vulnerability Scanner.

f. Fare clic su OK.

La schermata Impostazioni si chiude.

2. Consente di impostare il numero di computer che verranno contemporaneamentecontrollati da Vulnerability Scanner per verificare la presenza di software disicurezza.

a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocconote.

b. Per impostare il numero di computer che verranno sottoposti alla scansione divulnerabilità manuale, modificare il valore per ThreadNumManual.Specificare un valore compreso tra 8 e 64.


5-56

Ad esempio, digitare ThreadNumManual=60 se si desidera che VulnerabilityScanner esegua il controllo su 60 computer alla volta.

c. Per impostare il numero di computer che verranno sottoposti alla scansione divulnerabilità pianificata, modificare il valore per ThreadNumSchedule.Specificare un valore compreso tra 8 e 64.

Ad esempio, digitare ThreadNumSchedule=50 se si desidera cheVulnerability Scanner esegua il controllo su 50 computer alla volta.

d. Salvare il file TMVS.ini.

Metodo per recuperare le descrizioni dei dispositivi

Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, puòreperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi direcupero delle informazioni:

• Recupero rapido: recupera solo il nome del dispositivo.

• Recupero normale: recupera le informazioni sia del dominio che del dispositivo

Configurazione delle impostazioni di recupero

Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansionevulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,vedere Metodi di scansione di vulnerabilità a pagina 5-41.

Procedura

1. Avviare TMVS.exe.



3. Andare alla sezione Metodo per recuperare le descrizioni computer.

4. Selezionare Normale o Rapido.


5-57

5. Se è stata seleziona l'opzione Normale, selezionare Recupera descrizionicomputer quando disponibili.

6. Fare clic su OK.


Notifiche

Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agliamministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchinehost non protette.

Configurazione delle impostazioni di notifica

Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansionevulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,vedere Metodi di scansione di vulnerabilità a pagina 5-41.

Procedura




3. Andare alla sezione Notifica.

4. Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi oad altri amministratori nell'organizzazione:

a. Selezionare Risultati e-mail all'amministratore di sistema.

b. Fare clic su Configura per specificare le impostazioni e-mail.

c. Nel campo A immettere l'indirizzo e-mail del destinatario.

d. Nel campo Da, immettere l'indirizzo e-mail del mittente.

e. Nel campo Server SMTP digitare l'indirizzo del server SMTP.


5-58

ad esempio smtp.azienda.com. Le informazioni sul server SMTP sonoobbligatorie.

f. Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppureaccettare quello predefinito.

g. Fare clic su OK.

5. Per comunicare agli utenti che sui computer non è installato il software di sicurezza:

a. Selezionare Visualizza una notifica sui computer non protetti.

b. Fare clic su Personalizza per configurare il messaggio di notifica.

c. Nella schermata Messaggio di notifica, digitare un nuovo messaggio oaccettare il messaggio predefinito.

d. Fare clic su OK.

6. Fare clic su OK.


Risultati scansione vulnerabilità

È possibile configurare Vulnerability Scanner in modo da salvare i risultati dellascansione in un file CSV.

Configurazione risultati di scansione

Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delleimpostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni discansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-41.

Procedura





5-59

3. Andare alla sezione Salva risultati.

4. Selezionare Salva automaticamente i risultati in un file CSV.

5. Per cambiare la cartella predefinita in cui salvare il file CSV:

a. Fare clic su Sfoglia.

b. Selezionare una cartella di destinazione nel dispositivo o nella rete.

c. Fare clic su OK.

6. Fare clic su OK.


Impostazioni ping

Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina didestinazione e verificare il sistema operativo usato. Se queste impostazioni sonodisattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallospecificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi iltentativo di eseguire la scansione impiegherà più tempo di quanto previsto.

Configurazione delle impostazioni ping

Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità.Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodidi scansione di vulnerabilità a pagina 5-41.

Procedura

1. Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe):

a. Avviare TMVS.exe.

b. Fare clic su Impostazioni.


c. Andare alla sezione delle impostazioni Ping.


5-60

d. Selezionare Consenti a Vulnerability Scanner di eseguire il ping deicomputer della rete per verificarne lo stato.

e. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campiDimensioni pacchetto e Timeout.

f. Selezionare Rilevare il tipo di sistema operativo usando l'impronta delsistema operativo ICMP.

Se si seleziona questa opzione, Vulnerability Scanner determina se unamacchina host esegue Windows o un altro sistema operativo. Per le macchinehost con Windows, Vulnerability Scanner è in grado di identificare la versionedi Windows.

g. Fare clic su OK.


2. Per impostare il numero di computer che verranno sottoposticontemporaneamente a ping da parte di Vulnerability Scanner:

a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocconote.

b. Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64.

Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scannereffettui il ping su 60 computer alla volta.

c. Salvare il file TMVS.ini.

Impostazioni server OfficeScan

Le impostazioni del server OfficeScan sono usate quando:

• Vulnerability Scanner è in grado di installare l'Agente OfficeScan su macchine didestinazione non protette. Le impostazioni del server consentono a VulnerabilityScanner di identificare il server principale dell'Agente OfficeScan e le credenzialiamministrative da usare per il collegamento alle macchine di destinazione.


5-61

Nota

Alcune condizioni possono impedire l'installazione dell'Agente OfficeScan nellemacchine host di destinazione.

Per i dettagli, consultare Linee guida per l'installazione dell'Agente OfficeScan conVulnerability Scanner a pagina 5-40.

• Vulnerability Scanner invia i registri di installazione dell'agente al server OfficeScan.

Configurazione impostazioni server OfficeScan

Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni discansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione divulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-41.

Procedura




3. Andare alla sezione Impostazioni server OfficeScan.

4. Immettere il nome e il numero della porta del server OfficeScan.

5. Selezionare Installa automaticamente l'agente OfficeScan sui computer nonprotetti.

6. Per configurare le credenziali amministrative:

a. Fare clic su Installa nell'account.

b. Nella schermata Informazioni account, digitare un nome utente e unapassword.

c. Fare clic su OK.

7. Selezionare Invia registri al server OfficeScan.

8. Fare clic su OK.


5-62


Installazione con Conformità sicurezzaInstallare gli Agenti OfficeScan nei computer dei domini della rete oppure installarel'Agente OfficeScan in un dispositivo di destinazione mediante il suo indirizzo IP.

Prima di installare l'Agente OfficeScan, tenere presente quando segue:

Procedura

1. Prendere nota delle credenziali di accesso di ciascun dispositivo. Durantel'installazione, OfficeScan richiede di specificare le credenziali di accesso.

2. L'Agente OfficeScan non viene installato in un dispositivo nei casi seguenti:

• Il server OfficeScan è installato nel dispositivo.

• Nel dispositivo è in esecuzione Windows XP Home, Windows 7™ Starter,Windows 7 Home Basic, Windows 7 Home Premium, Windows 8 (versioni dibase), Windows 8.1 (versioni di base) e Windows 10 Home. Per i dispositivicon tali piattaforme è necessario scegliere un altro metodo di installazione.Consultare Considerazioni sull'implementazione a pagina 5-12 per ulteriori dettagli.

3. Se nel dispositivo di destinazione viene eseguito Windows 7 (Professional,Enterprise, or Ultimate Edition), Windows 8 (Pro, Enterprise), Windows 8.1 (Pro,Enterprise), Windows 10 (Pro, Education, Enterprise), Windows Server 2012(Standard), or Windows Server 2016 (tutte le edizioni), eseguire nel dispositivo laprocedura riportata di seguito:

a. Attivare l'account dell'amministratore integrato e impostare una password perl'account stesso.

b. Disattivare il firewall di Windows.

c. Fare clic su Avvia > Programmi > Strumenti amministrativi > WindowsFirewall con protezione avanzata.

d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lostato del firewall su "Disattivato".


5-63

e. Aprire Console di gestione Microsoft (da Start > Esegui, digitareservices.msc) e avviare il servizio Registro remoto. Quando si installal'Agente OfficeScan, utilizzare l'account e la password di amministratoreintegrati.

4. Se nel dispositivo sono installati programmi di protezione del dispositivo di TrendMicro o di terzi, verificare se OfficeScan è in grado di disinstallareautomaticamente il software e sostituirlo con l'Agente OfficeScan. Per ottenere unelenco del software di protezione agenti che OfficeScan è in grado di disinstallareautomaticamente, aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Per aprire tali file utilizzare un editor di testo, ad esempioBlocco note.

• tmuninst.ptn

• tmuninst_as.ptn

Se il software nel dispositivo di destinazione non è compreso nell'elenco,disinstallarlo in modo manuale. In base al processo di disinstallazione del software,potrebbe essere necessario riavviare il dispositivo.


Procedura

1. Accedere a Valutazione > Dispositivo non gestiti.

2. Fare clic su Installa in cima alla struttura agente.

• Se nel dispositivo è già installata una versione precedente dell'AgenteOfficeScan e si fa clic su Installa, OfficeScan non esegue l'installazione e nonaggiorna il dispositivo a questa versione. Per aggiornare il dispositivo,assicurarsi di configurare la seguente impostazione.

a. Accedere a Agenti > Gestione agente.

b. Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni >Altre impostazioni.


5-64

c. Andare alla sezione Impostazioni di aggiornamento.

d. Nell'elenco a discesa Solo i seguenti componenti vengono aggiornatidagli agenti OfficeScan, selezionare Tutti i componenti (inclusi glihotfix e i programmi agente).

e. Fare clic su Applica a tutti gli agenti.

3. Specificare l'account di accesso amministratore di ciascun dispositivo e fare clic suAccesso. OfficeScan avvia l'installazione dell'agente nel dispositivo di destinazione.

4. Visualizzare lo stato dell'installazione.

Migrazione all'agente OfficeScanSostituire il software di protezione dell'agente installato su un dispositivo di destinazionecon l'Agente OfficeScan.

Migrazione da altro software di protezione dispositivo

Quando si installa l'Agente OfficeScan, il programma di installazione esegue il controllodel software di protezione del dispositivo di Trend Micro o di terzi installato neldispositivo di destinazione. Il programma di installazione è in grado di disinstallareautomaticamente il software e di sostituirlo con l'Agente OfficeScan.

Per ottenere un elenco del software di protezione dispositivo che OfficeScan è in gradodi disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note.

• tmuninst.ptn

• tmuninst_as.ptn

Se il software nel dispositivo di destinazione non è compreso nell'elenco, disinstallarlo inmodo manuale. In base al processo di disinstallazione del software, potrebbe esserenecessario riavviare il dispositivo.


5-65

Problemi di migrazione dell'agente OfficeScan• Se la migrazione automatica dell'agente si è conclusa correttamente ma l'utente ha

riscontrato dei problemi nell'uso dell'Agente OfficeScan subito dopo l'installazione,riavviare il dispositivo.

• Se il programma di installazione OfficeScan ha eseguito l'installazione dell'AgenteOfficeScan senza disinstallare l'altro software di protezione, si verificheranno deiconflitti tra i due software. Disinstallare entrambi i software, quindi installarel'Agente OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazionisull'implementazione a pagina 5-12.

Migrazione dai normali server ServerProtectLo strumento di migrazione del server normale ServerProtect™ consente di effettuarela migrazione di computer con server normali Trend Micro ServerProtect all'AgenteOfficeScan.

Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifichehardware e software del server OfficeScan. Eseguire lo strumento su computer conWindows Server 2003 e Windows Server 2008.

Se la disinstallazione del server normale ServerProtect viene completata, lo strumentoinstalla l'Agente OfficeScan. Consente inoltre di migrare le impostazioni dell'elenco diesclusione dalla scansione (per tutti i tipi di scansione) all'Agente OfficeScan.

Durante l'installazione dell'Agente OfficeScan, potrebbe verificarsi il timeout delprogramma di installazione dell'agente dello strumento di migrazione ed esserevisualizzata una notifica per avvisare che l'installazione non è riuscita. Tuttavia, non èdetto che l'Agente OfficeScan non sia stato installato correttamente. Verificarel'installazione sul dispositivo agente dalla console Web OfficeScan.

La migrazione non riesce nelle seguenti situazioni:

• L'agente remoto ha solo un indirizzo IPv6. Lo strumento di migrazione nonsupporta l'indirizzamento IPv6.

• L'agente remoto non è in grado di utilizzare il protocollo NetBIOS.

• Le porte 455, 337 e 339 sono bloccate.


5-66

• L'agente remoto non è in grado di utilizzare il protocollo RPC.

• Il servizio Registro remoto s'interrompe.

NotaLo strumento di migrazione del server normale ServerProtect non effettua ladisinstallazione dell'agente Control Manager™ di ServerProtect. Per istruzioni su comedisinstallare l'agente, fare riferimento alla documentazione di ServerProtect e/o di ControlManager.

Utilizzo dello strumento di migrazione di server normaliServerProtect

Procedura

1. Nel computer server OfficeScan aprire <Cartella di installazione del server>\PCCSRV\Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini inCartella di installazione del server>\PCCSRV\Admin.

2. Fare doppio clic su SPNSXfr.exe per aprire lo strumento.

Viene visualizzata la console dello strumento di migrazione del server normaleServerProtect.

3. Selezionare il server OfficeScan. Il percorso del server OfficeScan vienevisualizzato nel percorso server di OfficeScan. Se il percorso non è quello corretto,fare clic su Sfoglia e selezionare la cartella PCCSRV nella directory di installazionedi OfficeScan. Per attivare lo strumento in modo che al successivo utilizzo troviautomaticamente il server OfficeScan, selezionare la casella di controlloIndividuazione automatica percorso server (selezionata per impostazionepredefinita).

4. Per selezionare i computer sui quali è in esecuzione il server normale ServerProtectper i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nellasezione Dispositivo di destinazione:

• Struttura di rete Windows: visualizza una struttura ad albero dei dominipresenti nella rete. Per selezionare i computer che utilizzano questo metodo,fare clic sui domini sui quali effettuare la ricerca dei computer agente.


5-67

• Nome server informazioni: effettua la ricerca in base al nome serverinformazioni. Per selezionare i computer con questo metodo, immettere ilnome di un server informazioni presente sulla propria rete. Per effettuare laricerca di diversi server informazioni, inserire un punto e virgola ";" tra i nomidei server.

• Nome server normale certo: effettua la ricerca in base al nome servernormale. Per selezionare i computer con questo metodo, immettere il nome diun server normale presente sulla propria rete. Per effettuare la ricerca sudiversi server normali, inserire un punto e virgola ";" tra i nomi dei server.

• Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Perselezionare i computer con questo metodo, immettere un intervallo di indirizziIP di classe B nella casella Intervallo IP.

NotaSe un server DNS presente in rete non risponde in fase di ricerca degli agenti, anchel'operazione di ricerca non risponde. Attendere il timeout della ricerca.

5. Selezionare Riavvio dopo l'installazione per riavviare automaticamente icomputer di destinazione dopo la migrazione.

Per completare la migrazione correttamente, è necessario riavviare il computer. Senon si seleziona questa opzione, riavviare il computer manualmente dopo lamigrazione.

6. Fare clic su Cerca.

I risultati della ricerca vengono visualizzati nella sezione Server normaliServerProtect.

7. Fare clic sui computer per i quali effettuare la migrazione.

a. Per selezionare tutti i computer, fare clic su Seleziona tutto.

b. Per deselezionare tutti i computer, fare clic su Deseleziona tutto.

c. Per esportare l'elenco in un file CSV (comma-separated value), fare clic suEsporta in CSV.

8. Se per accedere ai computer di destinazione sono necessari nome utente epassword, effettuare le seguenti operazioni:


5-68

a. Selezionare la casella di controllo Usa account/password gruppo.

b. Fare clic su Imposta account di accesso.

Viene visualizzata la finestra Inserisci informazioni di amministrazione.

c. Immettere il nome utente e la password.

Nota

Per accedere al dispositivo di destinazione, utilizzare l'account di amministratorelocale o di dominio. Se si effettua l'accesso senza i necessari privilegi (adesempio, come "Guest" o "Utente normale"), non sarà possibile effettuarel'installazione.

d. Fare clic su OK.

e. Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri dipoter inserire il nome utente e la password nel corso del processo dimigrazione nel caso in cui l'accesso risulti impossibile.

9. Fare clic su Migra.

10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare icomputer di destinazione dopo la migrazione.

Post-installazioneAl termine dell'installazione, verificare i seguenti elementi:

• Collegamento all'agente OfficeScan a pagina 5-69

• Elenco programmi a pagina 5-69

• Servizi dell'agente OfficeScan a pagina 5-69

• Registri di installazione dell'agente OfficeScan a pagina 5-70


5-69

Collegamento all'agente OfficeScanI collegamenti all'Agente OfficeScan vengono visualizzati nel menu Start di Windowsdel dispositivo agente.

Figura 5-2. Collegamento all'Agente OfficeScan

NotaNon disponibile sulle piattaforme Windows 8/8.1/10 o Windows Server 2012/2012R2/2016.

Elenco programmiTrend Micro OfficeScan Agent è incluso nell'elenco Installazione applicazioni delPannello di controllo del dispositivo agente.

Servizi dell'agente OfficeScanI seguenti servizi dell'Agente OfficeScan sono visualizzati in Console di gestioneMicrosoft:

• OfficeScan NT Listener (TmListen.exe)

• OfficeScan NT RealTime Scan (NTRtScan.exe)

• OfficeScan NT Proxy Service (TmProxy.exe)

NotaOfficeScan NT Proxy Service non è disponibile sulle piattaforme Windows7/8/8.1/10 o Windows Server 2008 R2/2012/2016.


5-70

• OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durantel'installazione

• Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)

• Framework soluzione client comune Trend Micro (TmCCSF.exe)

Registri di installazione dell'agente OfficeScanIl registro di installazione dell'Agente OfficeScan, OFCNT.LOG, si trova nei percorsiriportati di seguito:

• %windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazionedel pacchetto MSI

• %temp% per il metodo di installazione con il pacchetto MSI

Attività post-installazione consigliateAl termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni.

Aggiornamento dei componentiPer essere sicuri che tutti gli agenti siano dotati della protezione più recente contro irischi per la sicurezza, aggiornare i componenti degli agenti OfficeScan. È possibileeseguire gli aggiornamenti manuali degli agenti dalla console Web oppure chiedere agliutenti di eseguire "Aggiorna ora" dai propri computer.

Scansione di prova mediante lo script di prova EICARL'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per laricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consentedi controllare in modo sicuro la corretta installazione e configurazione del softwareantivirus. Per ulteriori informazioni, visitare il sito Web EICAR:

http://www.eicar.org

Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo filenon è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei

http://www.eicar.org


5-71

software antivirus reagiscono a tale file come se si trattasse di un virus. È possibileutilizzare il file per simulare un'infezione virale e verificare così il correttofunzionamento delle notifiche e-mail e dei registri dei virus.

AVVERTENZA!

Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus.

Esecuzione di una scansione di prova

Procedura

1. Attivare la scansione in tempo reale sull'agente.

2. Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testosemplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Salvare il file denominandolo EICAR.com in una directory temporanea. OfficeScanrileva immediatamente il file.

4. Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato inun messaggio e-mail e inviarlo ad uno dei computer.

Suggerimento

Trend Micro consiglia di comprimere il file EICAR utilizzando un software dicompressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova.

Disinstallazione del Agente OfficeScanPer disinstallare l'Agente OfficeScan dai computer, è possibile procedere in due modi:

• Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-72

• Esecuzione del Programma di disinstallazione dell'agente OfficeScan a pagina 5-74


5-72

Se non è possibile disinstallare l'Agente OfficeScan con i metodi illustrati, rimuoveremanualmente l'Agente OfficeScan. Per i dettagli, consultare Disinstallazione manualedell'agente OfficeScan a pagina 5-74.

Disinstallazione dell'agente OfficeScan dalla console WebDisinstallare il programma Agente OfficeScan dalla console Web. Per mantenere ildispositivo protetto dai rischi per la sicurezza, eseguire la disinstallazione solo in caso diproblemi con il programma, quindi reinstallarlo immediatamente.

Procedura


2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per includeretutti gli agenti oppure selezionare domini o agenti specifici.

3. Fare clic su Operazioni > Disinstallazione agente.

4. Nella schermata Disinstallazione agente, fare clic su Avvia disinstallazione.

5. Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto lanotifica.

a. Fare clic su Seleziona dispositivi non notificati, quindi su Avviadisinstallazione per inviare nuovamente la notifica agli agenti che nonl'hanno ricevuta.

b. Fare clic su Interrompi disinstallazione se si desidera che OfficeScaninterrompa l'invio della notifica agli agenti. Gli Agenti che hanno già ricevutola notifica hanno già avviato il processo di disinstallazione e pertanto ignoranoquesto comando.

Programma di disinstallazione dell'agente OfficeScanAssegnare agli utenti i privilegi per disinstallare il programma Agente OfficeScan erichiedere loro di eseguire il programma di disinstallazione dell'agente dai loro computer.


5-73

In base alla configurazione, la disinstallazione può richiedere o meno una password. Se èrichiesta una password, assicurarsi di condividere la password solo con gli utenti chedevono eseguire il programma di disinstallazione e cambiarla immediatamente se vienedivulgata ad altri utenti.

Assegnazione dei privilegi di disinstallazione dell'agenteOfficeScan

Procedura



3. Fare clic su Impostazioni > Privilegi e altre impostazioni.

4. Nella scheda Privilegi, andare alla sezione Disinstallazione.

5. Per consentire agli utenti di eseguire la disinstallazione senza password, selezionareConsenti agli utenti di disinstallare l'agente OfficeScan. Se è richiesta unapassword, selezionare Richiedi una password per disinstallare l'agenteOfficeScan, digitare la password e confermarla.

6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Seè stata selezionata l'icona del dominio principale, scegliere una delle opzioniriportate di seguito:

• Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti ea qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I dominifuturi sono i domini non ancora creati al momento della configurazione delleimpostazioni.

• Applica soltanto ai domini futuri: applica le impostazioni solo agli agentiaggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuoviagenti aggiunti a un dominio esistente.


5-74

Esecuzione del Programma di disinstallazione dell'agenteOfficeScan

Procedura

1. Nel menu di Windows Start, fare clic su Programmi > Trend Micro OfficeScanAgent > Disinstalla l'agente OfficeScan.

È inoltre possibile eseguire la procedura riportata di seguito:

a. Fare clic su Pannello di controllo > Installazione applicazioni.

b. Individuare Trend Micro OfficeScan Agent e fare clic su Cambia.

c. Seguire le istruzioni visualizzate.

2. Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza unafinestra che informa l'utente sul progresso e il completamento della disinstallazione.Per completare la disinstallazione, non è necessario riavviare il dispositivo agente.

Disinstallazione manuale dell'agente OfficeScan

Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazionedell'Agente OfficeScan dalla console Web o dopo aver eseguito il programma didisinstallazione.

Procedura

1. Accedere all'dispositivo agente mediante un account con privilegi diamministratore.

2. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScanpresente nella barra delle applicazioni e selezionare Scarica OfficeScan. Se vienerichiesta una password, specificare la password per la rimozione, quindi fare clic suOK.


5-75

Nota

• In Windows 8, 8.1, 10, Windows Server 2012 e Windows Server 2016, passarealla modalità desktop per rimuovere l'Agente OfficeScan.

• Disattivare la password nei computer in cui l'Agente OfficeScan verrà rimosso.

Per ulteriori informazioni, consultare Configurazione dei privilegi dell'agente e altreimpostazioni a pagina 15-95.

3. Se la password per la rimozione non è stata specificata, utilizzare Console digestione Microsoft per interrompere i servizi riportati di seguito:

• OfficeScan NT Listener

• OfficeScan NT Proxy Service (per Windows Server 2008)

• Scansione in tempo reale di OfficeScan NT

• Framework soluzione client comune Trend Micro

4. Rimuovere il collegamento all'Agente OfficeScan dal menu Start.

• Per Windows 8, 8.1, 10, Windows Server 2012 e Windows Server 2016:

a. passare alla modalità desktop.

b. Spostare il puntatore del mouse sull'angolo in basso a destra delloschermo e scegliere Start dal menu visualizzato.

Viene visualizzata la schermata Home.

c. Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan.

d. Fare clic su Rimuovi da Start.

• In tutte le altre piattaforme Windows:

Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse suTrend Micro OfficeScan Agent, quindi fare clic su Elimina.

5. Aprire l'editor del Registro di sistema (regedit.exe).


5-76

AVVERTENZA!

La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se siapportano modifiche errate al registro di sistema, possono verificarsi seri probleminel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre unacopia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor delregistro.

6. Eliminare le chiavi di registro riportate di seguito:

• Se nel dispositivo non sono installati altri prodotti Trend Micro:

• Per sistemi a 32 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro


HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro

• Se nel dispositivo sono installati altri prodotti Trend Micro, eliminare solo lechiavi riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog

Per sistemi a 32 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\OfcWatchDog

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp

Per sistemi a 64 bit:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp

7. Eliminare i valori o le chiavi di registro riportati di seguito:


5-77


• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


• HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run

8. Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati diseguito:

• Percorsi:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services



• Chiavi:

• NTRtScan

• tmccsf

• TmFilter

• TmListen

• TmPreFilter

• TmProxy


5-78

Nota

TmProxy non è presente sulle piattaforme Windows 7/8/8.1/10 oWindows Server 2008 R2/2012/2012 R2/2016.

• tmtdi

Nota

tmtdi non è presente sulle piattaforme Windows 7/8/8.1/10 o WindowsServer 2008 R2/2012/2012 R2/2016.

• VSApiNt

• tmlwf (per computer Windows Server 2008/7/8/8.1/10/Server2012/2016)

• tmwfp (per computer Windows Server 2008/7/8/8.1/10/Server2012/2016)

• tmevtmgr

• tmeevw (per computer Windows 7/8/8.1/10/Server 2008 R2/Server2012/2012 R2/2016)

• tmusa (per computer Windows 7/8/8.1/10/Server 2008 R2/Server2012/2012 R2/2016)

9. Chiudere l'editor del Registro di sistema.

10. Per eliminare manualmente i driver e i servizi di Trend Micro con un editor dellariga di comando (solo Windows 8/8.1/10/Server 2012), eseguire i comandiseguenti:

• sc delete tmeevw

Per Windows 7/8/8.1/10 e Windows Server 2008 R2/2012/2012 R2/2016

• sc delete tmusa

Per Windows 7/8/8.1/10 e Windows Server 2008 R2/2012/2012 R2/2016

• sc delete tmccsf


5-79

• sc delete tmproxy

Per Windows Server 2008

• sc delete tmtdi

Per Windows Server 2008

NotaPer essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor dariga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tastodestro del mouse sul file cmd.exe e scegliere Esegui come amministratore).

11. Riavviare il dispositivo dell'agente.

12. Se nel dispositivo non sono installati altri prodotti Trend Micro, eliminare la cartelladi installazione di Trend Micro (in genere C:\Programmi\Trend Micro).Nei computer a 64 bit la cartella di installazione è in C:\Programmi(x86)\Trend Micro.

13. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelleriportate di seguito:

• <Cartella di installazione dell'agente>

• La cartella BM nella cartella di installazione Trend Micro (solitamente C:\Programmi\Trend Micro\BM per i sistemi a 32 bit e C:\Programmi(x86)\Trend Micro\BM per i sistemi a 64 bit)

6-1

Capitolo 6

Come mantenere la protezioneaggiornata

In questo capitolo vengono descritti i componenti e le procedure di aggiornamento diOfficeScan.


• Programmi e componenti di OfficeScan a pagina 6-2

• Panoramica sugli aggiornamenti a pagina 6-12

• Aggiornamenti server OfficeScan a pagina 6-16

• Aggiornamenti di Integrated Smart Protection Server a pagina 6-29

• Aggiornamenti dell'agente OfficeScan a pagina 6-29

• Update Agent a pagina 6-58

• Riepilogo aggiornamento componenti a pagina 6-68


6-2

Programmi e componenti di OfficeScanOfficeScan utilizza i componenti e i programmi per mantenere i computer agenteprotetti dai rischi per la sicurezza più recenti. Per mantenere questi componenti eprogrammi aggiornati, eseguire gli aggiornamenti manuali o pianificati.

Oltre ai componenti, gli agenti OfficeScan ricevono anche i file di configurazioneaggiornati dal server OfficeScan. Gli agenti necessitano di tali file di configurazione perpoter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni diOfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.

I componenti sono raggruppati come segue:

• Componenti antivirus a pagina 6-3

• Componenti anti-spyware a pagina 6-7

• Componenti di Damage Cleanup Services a pagina 6-7

• Componenti firewall a pagina 6-8

• Componenti monitoraggio del comportamento a pagina 6-8

• Componenti Connessioni sospette a pagina 6-10

• Soluzione minaccia browser a pagina 6-10

• Programmi a pagina 6-10

• Componente di Reputazione Web a pagina 6-12

Come mantenere la protezione aggiornata

6-3

Componenti antivirus

Componente Descrizione

Motore di scansionevirus a 32 e a 64 bit

Tutti i prodotti Trend Micro si basano su un motore di scansione,sviluppato in origine in risposta ai primi virus basati su file. Ilmotore di scansione attuale è eccezionalmente sofisticato ed è ingrado di rilevare tipi di diversi di virus e minacce informatiche. Ilmotore di scansione rileva inoltre virus controllati sviluppati eutilizzati a fini di ricerca.

Piuttosto che eseguire la scansione di ogni singolo byte di ciascunfile, il motore e il file di pattern interagiscono per identificarequanto segue:

• Caratteri riconoscibili del codice del virus

• Esatta posizione del virus all'interno di un file

Pattern antivirus Il Pattern antivirus contiene informazioni che consentono agliAgenti OfficeScan di identificare i virus, le minacce informatiche ele minacce di tipo misto più recenti. Trend Micro crea e rilascianuove versioni del pattern antivirus diverse volte a settimana eogni volta che vengono scoperti virus e minacce informaticheparticolarmente dannosi.

Driver scansione deivirus

Il Driver scansione dei virus consente di monitorare le operazionidell'utente sui file. Fra queste figurano l'apertura e la chiusura diun file e l'esecuzione di un'applicazione. Esistono due versioni deldriver: TmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys vieneutilizzato per la configurazione in tempo reale del motore discansione antivirus e TmPreFlt.sys per il monitoraggio delleoperazioni degli utenti.

NotaQuesto componente non viene visualizzato nella console.Per verificare la versione in uso, accedere a <Cartella diinstallazione del server>\PCCSRV\Pccnt\Drv. Fare clic conil pulsante destro del mouse sul file .sys, selezionareProprietà e accedere alla scheda Versione.


6-4


Smart Scan Pattern Nella modalità Smart Scan gli Agenti OfficeScan utilizzano duepattern leggeri che vengono integrati per fornire lo stesso livello diprotezione dei pattern anti-malware e anti-spyware convenzionali.

Smart Scan Pattern contiene la maggior parte delle definizionidei pattern. Pattern Smart Scan Agent contiene tutte le altredefinizioni dei pattern non disponibili in Smart Scan Pattern.

L'Agente OfficeScan esegue la scansione delle minacce per lasicurezza utilizzando Pattern agente Smart Scan. Gli AgentiOfficeScan che non sono in grado di determinare il rischio del filedurante la scansione, verificano il rischio inviando una query discansione a Scan Server, un servizio gestito dal server ServerOfficeScan. Il server di scansione verifica il rischio tramite SmartScan Pattern. L'Agente OfficeScan memorizza i risultati dellaquery di scansione forniti da Scan Server per migliorare leprestazioni della scansione.

Patter agente SmartScan

Pattern IntelliTrap Il pattern IntelliTrap rileva i file compressi in tempo realeimpacchettati come file eseguibili.

Per i dettagli, consultare IntelliTrap a pagina E-7.

Pattern eccezioniIntelliTrap

Il Pattern eccezioni IntelliTrap contiene un elenco dei filecompressi "approvati".


6-5


Pattern di scansionememoria

La scansione in tempo reale utilizza il Pattern ispezione memoriaper valutare i file compressi eseguibili identificati dal monitoraggiodel comportamento. La scansione in tempo reale effettua nei filecompressi eseguibili le seguenti azioni:

1. Crea un file di mappatura nella memoria dopo aver verificatoil percorso di immagine del processo.

NotaL'elenco di esclusione scansione sovrascrive lascansione del file.

2. Invia l'ID di processo al Servizio di protezione avanzata chequindi:

a. Usa il Motore di scansione virus per effettuare lascansione della memoria.

b. Filtra il processo tramite gli elenchi Approvati globali per ifile di sistema Windows, i file con firma digitale da originiaffidabili e i file sottoposti a test da Trend Micro. Dopoaver accertato la sicurezza di un file, OfficeScan nonesegue alcuna azione sul medesimo.

3. Dopo aver elaborato la scansione della memoria, il Serviziodi protezione avanzata invia i risultati alla Scansione in temporeale.

4. La Scansione in tempo reale quindi mette in quarantenaeventuali minacce informatiche rilevate e interrompe ilprocesso.

Motore diintelligencecontestuale a 32/64bit

Il motore di intelligence contestuale monitora i processi eseguitida file a bassa prevalenza ed estrae caratteristiche dicomportamento che vengono inviate per l'analisidall'Responsabile delle query di intelligence contestuale al motoredi Intelligenza computazionale predittiva.

Pattern diintelligencecontestuale

Il pattern di intelligence contestuale contiene un elenco dicomportamenti "approvati" non rilevanti per le minacce note.


6-6


Responsabile dellequery di intelligencecontestuale a 32/64bit

La Gestione query di intelligenza contestuale elabora icomportamenti individuati dal Motore di intelligenza contestuale ene invia la segnalazione al motore di Intelligenza computazionalepredittiva.

Motore avanzatoscansione minaccea 32/64 bit

Il Motore avanzato scansione minacce estrae le caratteristiche daifile a bassa prevalenza e invia le relative informazioni al motore diIntelligenza computazionale predittiva.

Pattern avanzatocorrelazioneminacce

Il Pattern avanzato correlazione minacce contiene un elenco dicaratteristiche di file che non sono rilevanti per le minacce note.

Aggiornamento del motore di scansioneAttraverso la memorizzazione delle informazioni più sensibili a livello temporale su viruso minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre alminimo il numero di aggiornamenti del motore di scansione mantenendo al contempo laprotezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuoveversioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenticircostanze:

• Implementazione di nuove tecnologie di scansione e rilevamento all'interno delsoftware.

• Scoperta di un nuovo virus potenzialmente molto dannoso che il motore discansione non è in grado di gestire

• Miglioramento delle prestazioni di scansione

• Aggiunta di formati di file, linguaggi per script, codifica e/o formati dicompressione


6-7

Componenti anti-spyware


Pattern spyware/grayware

Il pattern spyware/grayware identifica la presenza di spyware/grayware in file e programmi, moduli in memoria, registro diWindows e collegamenti degli URL.

Motore di scansionespyware/grayware a32/64 bit

Il motore di scansione spyware/grayware esegue la scansionealla ricerca di spyware/grayware e quindi esegue le azioniappropriate.

Pattern dimonitoraggio attivospyware

Il pattern di monitoraggio attivo spyware viene utilizzato per lascansione di spyware/grayware in tempo reale. Solo gli agenti conscansione convenzionale utilizzano questo pattern.

Gli agenti Smart Scan utilizzano Pattern agente Smart Scan per lascansione in tempo reale di spyware/grayware. Se non è possibiledeterminare il rischio della destinazione della scansione, gliAgenti inviano query di scansione a un'origine Smart Protection.

Componenti di Damage Cleanup Services


Motore DamageCleanup a 32 e a 64bit

Il Motore Damage Cleanup esegue la scansione per rilevarecavalli di Troia e i relativi processi e li rimuove.

Modello DamageCleanup

Il Modello Damage Cleanup viene utilizzato dal Motore DamageCleanup per individuare i file dei Cavalli di Troia e i relativiprocessi e consentire al motore di eliminarli.

Driver Early BootCleanup a 32/64 bit

Il Driver Early Boot Cleanup Trend Micro viene caricato prima deidriver del sistema operativo e permette il rilevamento e il bloccodei rootkit caricati all'avvio. Dopo il caricamento dell'AgenteOfficeScan, il Driver Early Boot Cleanup di Trend Micro richiamaDamage Cleanup Services per disinfettare il rootkit.


6-8

Componenti firewall


Driver comune perfirewall a 32/64 bit

Driver comune Firewall viene utilizzato con Pattern comunefirewall per eseguire la scansione dei dispositivi agente e rilevarevirus di rete. Questo driver supporta piattaforme a 32 e 64 bit.

Pattern comune perfirewall

Come il pattern antivirus, anche il pattern comune per firewall èutile agli agent per individuare le firme dei virus, sequenzeunivoche di bit e byte che segnalano la presenza di un virus direte.

Componenti monitoraggio del comportamento


Pattern dirilevamentomonitoraggio delcomportamento a32 e a 64 bit

Questo pattern contiene le regole per l'individuazione delcomportamento sospetto delle minacce.

Driver principale peril monitoraggio delcomportamento a32 e a 64 bit

Questo driver in modalità kernel controlla gli eventi di sistema e liinoltra al Servizio principale monitoraggio del comportamento perimplementare i criteri.

Servizio principalemonitoraggio delcomportamento a32 e a 64 bit

Questo servizio in modalità utente ha le seguenti funzioni:

• Rileva rootkit

• Regola l'accesso ai dispositivi esterni

• Protegge file, chiavi di registro e servizi

Pattern diconfigurazionemonitoraggio delcomportamento

Driver monitoraggio del comportamento utilizza questo pattern perindividuare gli eventi di sistema normali ed escluderlidall'implementazione dei criteri.


6-9


Pattern firmadigitale

Questo pattern contiene un elenco di firme digitali valide utilizzateda Servizio principale monitoraggio del comportamento perdeterminare se un programma responsabile di un evento disistema è sicuro.

Patternimplementazionedei criteri

Il Servizio principale monitoraggio del comportamento verifica glieventi del sistema rispetto ai criteri in questo pattern.

Pattern perl'attivazione dellascansione memoria(32/64 bit)

Monitoraggio del comportamento utilizza il Pattern avvioscansione memoria per identificare possibili minacce dopo ilrilevamento delle seguenti operazioni:

• Azione di scrittura del file

• Azione di scrittura del registro

• Creazione di un nuovo processo

Dopo aver identificato una di queste operazioni, Monitoraggio delcomportamento richiama il Pattern ispezione memoria dellaScansione in tempo reale per verificare i rischi per la sicurezza.

Per ulteriori informazioni sulle operazioni di scansione in temporeale, consultare Pattern ispezione memoria a pagina 6-5.

Pattern DamageRecovery

Il pattern Damage Recovery contiene i criteri utilizzati permonitorare comportamenti minacciosi sospetti.

Pattern dimonitoraggio dellascansione delprogramma

Il pattern di monitoraggio della scansione del programmamonitora e memorizza i punti di scansione utilizzati per ilmonitoraggio del comportamento.


6-10

Componenti Connessioni sospette


Elenco degli indirizziIP C&C globale

L'elenco degli indirizzi IP C&C globale funziona di concerto con ilmotore Network Content Inspection Engine (NCIE) per rilevare leconnessioni di rete con server C&C sconosciuti. NCIE rileva ilcontatto con server C&C tramite un canale di rete.

OfficeScan registra tutte le informazioni delle connessioni aiserver nell'elenco IP C&C globale per la valutazione.

Pattern RelevanceRule

Il servizio Suspicious Connections utilizza il pattern RelevanceRule per rilevare firme univoche di famiglie di malware ubicatenelle intestazioni dei pacchetti di rete.

Soluzione minaccia browser


Pattern diprevenzione controgli attacchi albrowser

Questo pattern identifica gli ultimi attacchi al browser Web edevita che possano comprometterlo.

Pattern unificatorelativo allo ScriptAnalyzer

Questo pattern analizza gli script delle pagine Web e identificaquelli dannosi.

Programmi


Agente OfficeScan Il programma Agente OfficeScan fornisce una protezione realecontro i rischi per la sicurezza.


6-11


Hot fix, patch eservice pack

Dopo il rilascio ufficiale di un prodotto, Trend Micro spessosviluppa gli elementi seguenti per risolvere problemi, migliorare leprestazioni del prodotto oppure aggiungere nuove funzionalità:

• Hotfix a pagina E-5

• Patch a pagina E-10

• Patch di protezione a pagina E-11

• Service Pack a pagina E-12

Quando questi elementi vengono resi disponibili, l'utente vieneinformato dal rivenditore o dal fornitore dell'assistenza. Perinformazioni sulla pubblicazione di nuovi hotfix, patch e servicepack, consultare il sito Web di Trend Micro:


Tutte le pubblicazioni includono un file readme che contieneinformazioni su installazione, implementazione e configurazione.Prima di eseguire l'installazione, leggere attentamente il filereadme.

Cronologia hot fix e patch

Quando il server OfficeScan implementa file di hot fix o patch negli Agenti OfficeScan,il programma Agente OfficeScan registra le informazioni su hot fix e patch nell'editordel Registro di sistema. È possibile inviare una query su queste informazioni a più agentiutilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™.

Nota

Questa funzione non registra hot fix e patch implementate solo nel server.

Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1.

• Gli agenti che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1con patch 3.1 o versioni successive registrano le hot fix e le patch installate per laversione 8.0 e le versioni successive.



6-12

• Gli agenti che hanno eseguito l'aggiornamento dalle versioni precedenti allaversione 8.0 Service Pack 1 con la patch 3.1 registrano le hot fix e le patch installateper la versione 10.0 e successive.

Le informazioni sono memorizzate nelle chiavi riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

• Per computer con piattaforme di tipo x64:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

Controllare le chiavi riportate di seguito:

• Chiave: HotFix_installed

Tipo: REG_SZ

Valore: <Nome di hot fix o patch>

• Chiave: HotfixInstalledNum

Tipo: DWORD

Valore: <Numero di hot fix o patch>

Componente di Reputazione Web


Motore di filtro URL Il motore di filtro URL consente la comunicazione tra OfficeScan eil servizio di filtro URL di Trend Micro. Il servizio di filtro URL è unsistema che valuta gli URL e trasmette a OfficeScan leinformazioni sulla valutazione.

Panoramica sugli aggiornamentiTutti gli aggiornamenti dei componenti provengono dal server Trend MicroActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e le


6-13

origini Smart Protection (Smart Protection Server o Smart Protection Network)scaricano i componenti aggiornati. I download delle origini Smart Protection e del serverOfficeScan non si sovrappongono in quanto ciascun server scarica un insieme dicomponenti specifico.

NotaÈ possibile configurare sia il server OfficeScan che Smart Protection Server in modo cheeseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. Atale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per laconfigurazione di questa origine di aggiornamento, contattare l'assistenza tecnica.

Aggiornamento del server OfficeScan e dell'agenteOfficeScan

Il server OfficeScan scarica la maggior parte dei componenti necessari agli agenti.L'unico componente non scaricato è Smart Scan Pattern, che viene scaricato dalle originiSmart Protection.

Se il server OfficeScan gestisce un numero considerevole di agenti, l'aggiornamentopotrebbe utilizzare una grande quantità di risorse del computer server e influire sullastabilità e sulle prestazioni del server. Per ovviare a questo problema, OfficeScan disponedella funzione Update Agent che consente ad alcuni agenti di condividere l'attività didistribuzione degli aggiornamenti agli altri agenti.

La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento deicomponenti per il server OfficeScan e gli agenti, con consigli per l'utilizzo:


6-14

Tabella 6-1. Opzioni di aggiornamento Server-Agente

Opzione diaggiornament

oDescrizione Raccomandazione

ServerActiveUpdate >Server > Agente

Il server OfficeScan riceve icomponenti aggiornati dalserver ActiveUpdate di TrendMicro (o da un'altra origineaggiornamenti) e avvial'aggiornamento deicomponenti sugli agenti.

Utilizzare questo metodo se non cisono sezioni di larghezza di bandaridotta tra il server OfficeScan e gliagenti.

ServerActiveUpdate >Server > UpdateAgent > Agente

Il server OfficeScan riceve icomponenti aggiornati dalserver ActiveUpdate (o daun'altra origineaggiornamenti) e avvial'aggiornamento deicomponenti sugli agenti. Gliagenti OfficeScan designaticome Update Agentsegnalano agli altri agenti diaggiornare i componenti.

Se ci sono sezioni a larghezza dibanda ridotta tra il serverOfficeScan e gli agenti, utilizzarequesto metodo per bilanciare ilcarico del traffico nella rete.

ServerActiveUpdate >Update Agent >

Agente

Gli Update Agent ricevono icomponenti aggiornatidirettamente dal serverActiveUpdate (o da un'altraorigine aggiornamenti) esegnalano agli agenti diaggiornare i componenti.

Utilizzare questo metodo solo se siverificano problemi conl'aggiornamento di Update Agentdal server OfficeScan o da un altroUpdate Agent.

Nella maggior parte dei casi, gliUpdate Agent ricevono gliaggiornamenti più velocemente dalserver OfficeScan o da altri UpdateAgent, piuttosto che da un'origine diaggiornamenti esterna.


6-15

Opzione diaggiornament

oDescrizione Raccomandazione

ServerActiveUpdate >

Agente

OfficeScan Gli agentiricevono i componentiaggiornati direttamente dalserver ActiveUpdate (o daun'altra origineaggiornamenti).

Utilizzare questo metodo solo se siverificano problemi conl'aggiornamento degli agenti dalserver OfficeScan o da altri UpdateAgent.

Nella maggior parte dei casi, gliagenti ricevono gli aggiornamentipiù velocemente dal serverOfficeScan o dagli Update Agent,rispetto a un'origine aggiornamentiesterna.

Aggiornamento dell'origine Smart ProtectionUn'origine Smart Protection (Smart Protection Server o Smart Protection Network)scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dagli agenti SmartScan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query discansione all'origine Smart Protection.

Nota

Consultare Origini Smart Protection a pagina 4-6 per ulteriori informazioni sulle origini SmartProtection.

Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle originiSmart Protection.


6-16

Tabella 6-2. Processo di aggiornamento delle origini Smart Protection

Processo diaggiornamento Descrizione

Server ActiveUpdate> Smart ProtectionNetwork

Trend Micro Smart Protection Network riceve gli aggiornamentidal server ActiveUpdate di Trend Micro. Gli agenti Smart Scanche non sono connessi alla rete aziendale inviano query aTrend Micro Smart Protection Network.

Server ActiveUpdate> Smart ProtectionServer

Smart Protection Server (integrato o standalone) riceve gliaggiornamenti dal server ActiveUpdate di Trend Micro. Gliagenti Smart Protection connessi alla rete aziendale invianoquery a Smart Protection Server.

Smart ProtectionNetwork > SmartProtection Server

Smart Protection Server (integrato o standalone) riceve gliaggiornamenti da Trend Micro Smart Protection Network. Gliagenti Smart Protection connessi alla rete aziendale invianoquery a Smart Protection Server.

Aggiornamenti server OfficeScanIl server OfficeScan scarica i componenti riportati di seguito e li implementa negliagenti:

Tabella 6-3. Componenti scaricati dal server OfficeScan

ComponenteDistribuzione

Agenti scansioneconvenzionale Agenti Smart Scan

Antivirus

Patter agente Smart Scan No Sì

Pattern antivirus Sì No

Pattern IntelliTrap Sì Sì

Pattern eccezioni IntelliTrap Sì Sì


6-17



Motore di scansione virus a 32 e a 64bit

Sì Sì

Pattern di scansione memoria Sì Sì

Pattern per l'avvio anticipato dell'anti-malware a 32/64 bit

Sì Sì

Motore di intelligence contestuale a32/64 bit

Sì Sì

Pattern di intelligence contestuale Sì Sì

Responsabile delle query diintelligence contestuale a 32/64 bit

Sì Sì

Motore avanzato scansione minaccea 32/64 bit

Sì Sì

Pattern avanzato correlazioneminacce

Sì Sì

Anti-spyware

Pattern spyware/grayware Sì Sì

Pattern di monitoraggio attivospyware

Sì No

Motore di scansione spyware/grayware a 32/64 bit

Sì Sì

Damage Cleanup Services

Modello Damage Cleanup Sì Sì

Motore Damage Cleanup a 32 e a 64bit

Sì Sì

Driver Early Boot Cleanup a 32/64 bit Sì Sì


6-18



Firewall

Pattern comune per firewall Sì Sì


Pattern di rilevamento monitoraggiodel comportamento a 32 e a 64 bit

Sì Sì

Driver principale per il monitoraggiodel comportamento a 32 e a 64 bit

Sì Sì

Servizio principale monitoraggio delcomportamento a 32 e a 64 bit

Sì Sì

Pattern di configurazionemonitoraggio del comportamento

Sì Sì

Pattern implementazione dei criteri Sì Sì

Pattern firma digitale Sì Sì

Pattern per l'attivazione dellascansione memoria (32/64 bit)

Sì Sì

Pattern di monitoraggio dellascansione del programma

Sì Sì

Pattern Damage Recovery Sì Sì

Connessioni sospette

Elenco degli indirizzi IP C&C globale Sì Sì

Pattern Relevance Rule Sì Sì


Pattern di prevenzione contro gliattacchi al browser

Sì Sì


6-19



Pattern unificato relativo allo ScriptAnalyzer

Sì Sì

Suggerimenti e promemoria per gli aggiornamenti:

• Per consentire al server di implementare i componenti aggiornati sugli agenti,attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamentiautomatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico èdisattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti.

• Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamentidirettamente agli agenti IPv4 puri. Analogamente, un server OfficeScan IPv4 puronon è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv6 puri.Per consentire al server OfficeScan di distribuire gli aggiornamenti agli agenti, ènecessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come adesempio DeleGate.

• Trend Micro rilascia regolarmente i file di pattern, in modo da mantenereaggiornata la protezione dell'agente. Poiché i file di pattern sono disponibiliregolarmente, OfficeScan utilizza un meccanismo chiamato “duplicazione deicomponenti” che consente un download più rapido dei file di pattern. ConsultareDuplicazione dei componenti server OfficeScan a pagina 6-22 per ulteriori informazioni.

• Se per il collegamento a Internet si utilizza un server proxy, utilizzare leimpostazioni proxy corrette per il download degli aggiornamenti.

• Nella Dashboard della console Web, aggiungere il widget Aggiornamenti agenteper visualizzare le versioni correnti dei componenti e determinare il numero diagenti con componenti aggiornati e obsoleti.

Origini aggiornamenti del server OfficeScan

Configurare il server OfficeScan per scaricare i componenti dal server ActiveUpdate diTrend Micro o da un'altra origine. È possibile specificare un'altra origine se il server


6-20

OfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per unoscenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 6-25.

Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamentenotificare agli agenti di effettuare l'aggiornamento dei componenti sulla base delleimpostazioni specificate in Aggiornamenti > Agenti > Aggiornamento automatico.Se l'aggiornamento di un componente è particolarmente importante, fare in modo che ilserver invii la notifica agli agenti immediatamente accedendo a Aggiornamenti >Agenti > Aggiornamento manuale.

Nota

Se non vengono specificate impostazioni di aggiornamento attivate da eventi né unapianificazione delle impostazioni all'interno di Aggiornamenti > Agenti >Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà lanotifica agli agenti affinché effettuino l'aggiornamento.

Supporto IPv6 per gli aggiornamenti del server OfficeScan

Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamentodirettamente da origini IPv4 pure, come:

• Server ActiveUpdate di Trend Micro

• Qualsiasi origine aggiornamenti personalizzata IPv4 pura

Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguirel'aggiornamento direttamente da origini personalizzate IPv6 pure.

Per consentire a un server di connettersi alle origini aggiornamenti, è necessario unserver proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempioDeleGate.

Proxy per gli aggiornamenti del server OfficeScan

Configurare i programmi server ospitati nel computer server per utilizzare leimpostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate di


6-21

Trend Micro. I programmi server comprendono il server OfficeScan e Integrated SmartProtection Server.

Configurazione delle impostazioni proxy del server

Procedura

1. Accedere a Amministrazione > Impostazioni > Proxy.

2. Fare clic sulla scheda Server.

3. Selezionare Usare un server proxy per la connessione ai server Trend Microospitati per l'aggiornamento di pattern, motori e licenze.

4. Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero diporta.

5. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password.


Configurazione della fonte di aggiornamento server

Procedura

1. Accedere a Aggiornamenti > Server > Origine aggiornamenti.

2. Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti.

Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessionea Internet e, se si utilizza un server proxy, provare se la connessione a Internet èdisponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gliaggiornamenti del server OfficeScan a pagina 6-20.

Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e lerisorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi,inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni.Per ottenere supporto per la configurazione di un'origine di aggiornamento,contattare l'assistenza tecnica.


6-22

Nota

Il server OfficeScan utilizza la duplicazione dei componenti per scaricare icomponenti dall'origine di aggiornamento. Consultare Duplicazione dei componenti serverOfficeScan a pagina 6-22 per ulteriori dettagli.


Duplicazione dei componenti server OfficeScan

Quando la versione più recente di un file di pattern completo è disponibile per ildownload dal server Trend Micro ActiveUpdate, sono disponibili anche 14 patternincrementali. I pattern incrementali sono versioni ridotte del file di pattern completo checolmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti.Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (laversione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto inumeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175contiene i dati presenti nella versione 175 e non presenti nella versione 171.

Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScanesegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti incui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Perinformazioni sul modo in cui gli Update Agent eseguono la duplicazione deicomponenti, consultare Duplicazione dei componenti di Update Agent a pagina 6-65.

La duplicazione dei componenti si applica ai seguenti componenti:

• Pattern antivirus

• Patter agente Smart Scan

• Modello Damage Cleanup

• Pattern eccezioni IntelliTrap

• Pattern spyware/grayware

• Pattern di monitoraggio attivo spyware


6-23

Scenario di duplicazione dei componentiPer comprendere la duplicazione dei componenti per il server, considerare il seguentescenario:

Tabella 6-4. Scenario di duplicazione dei componenti del server

Patterncompleti sulserverOfficeScan

Versione corrente: 171

Altre versioni disponibili:

169 167 165 161 159

Versione piùrecente sulserverActiveUpdate

173.175 171.175 169.175 167.175 165.175 163.175

161.175 159.175 157.175 155.175 153.175 151.175

149.175 147.175

1. Il server OfficeScan confronta la versione attuale del pattern completo con laversione più recente sul server ActiveUpdate. Se la differenza tra le due versioni è almassimo 14, il server scarica solo il pattern incrementale per colmare la differenzatra le due versioni.

NotaSe la differenza è superiore a 14, il server scarica automaticamente la versionecompleta del file di pattern e 14 pattern incrementali.

Esempio:

• La differenza tra le versioni 171 e 175 è 2. Questo significa che il server nondispone delle versioni 173 e 175.

• Il server scarica il pattern incrementale 171.175. Questo pattern incrementalecolma la differenza tra le versioni 171 e 175.

2. Il server integra il pattern incrementale con il pattern completo corrente pergenerare il pattern completo più recente.

Esempio:

• Sul server, OfficeScan integra la versione 171 con il pattern incrementale171.175 per generare la versione 175.


6-24

• Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente(versione 175).

3. Il server genera pattern incrementali sulla base degli altri pattern completidisponibili sul server. Se il server non genera questi pattern incrementali, gli agentiche non hanno scaricato i pattern incrementali precedenti scaricanoautomaticamente il file di pattern completo, che genererà poi ulteriore traffico direte.

Esempio:

• Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, puògenerare i seguenti pattern incrementali:

169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server non deve utilizzare la versione 171 perché dispone già del patternincrementale 171.175.

• Ora il server dispone di 7 pattern incrementali:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169,167, 165, 163, 161). Le versioni precedenti vengono rimosse (159).

4. Il server confronta i pattern incrementali correnti con i pattern incrementalidisponibili sul server ActiveUpdate. Il server scarica i pattern incrementali nonpresenti.

Esempio:

• Il server ActiveUpdate ha 14 pattern incrementali:

173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• Il server OfficeScan ha 7 pattern incrementali:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Il server OfficeScan scarica altri 7 pattern incrementali:

173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175


6-25

• Ora il server dispone di tutti i pattern incrementali disponibili sul serverActiveUpdate.

5. Il pattern completo più recente e i 14 pattern incrementali sono resi disponibili pergli agenti.

Aggiornamenti server OfficeScan isolatoSe il server OfficeScan appartiene a una rete completamente isolata da tutte le originiesterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguirel'aggiornamento da un'origine interna che contiene i componenti più recenti.

In questo argomento vengono descritte le operazioni necessarie per eseguirel'aggiornamento di un server OfficeScan isolato.

Aggiornamento di un server OfficeScan isolatoQuesta procedura viene fornita come riferimento. Se si è in grado di completare tutte leoperazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggidettagliati di ciascuna operazione.

Procedura

1. Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager oun'altra macchina host. L'origine aggiornamenti deve disporre di:

• Una connessione Internet in modo da poter per scaricare i componenti piùrecenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet,il solo modo per ottenere i componenti aggiornati necessari le originiaggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelleorigini aggiornamenti.

• Una connessione funzionante con il server OfficeScan. Se tra il serverOfficeScan e le origini aggiornamenti esiste un server proxy, configurare leimpostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del serverOfficeScan a pagina 6-20.

• Spazio su disco sufficiente per i componenti scaricati


6-26

2. Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli,consultare Origini aggiornamenti del server OfficeScan a pagina 6-19.

3. Identificare i componenti che il server implementa per gli agenti. Per un elenco deicomponenti implementabili, vedere Aggiornamenti dell'agente OfficeScan a pagina 6-29.

SuggerimentoPer provare a determinare se un componente viene implementato sugli agentiaccedere alla schermata Riepilogo aggiornamento nella console Web(Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamentoper un componente che viene implementato è sempre maggiore dello 0%.

4. Determinare la frequenza di scaricamento dei componenti. I file di patternvengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia diaggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenzatecnica di notificare gli aggiornamenti importanti.

5. Su un'origine aggiornamenti:

a. Effettuare la connessione al server ActiveUpdate. L'URL del server varia inbase alla versione OfficeScan.

b. Scaricare i seguenti elementi:

• Il file server.ini. Questo file contiene informazioni sui componentipiù recenti.

• I componenti identificati nel passaggio 3.

c. Salvare gli elementi scaricati in una directory dell'origine aggiornamenti.

6. Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultareAggiornamento manuale del server OfficeScan a pagina 6-27.

7. Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare icomponenti.


6-27

Metodi di aggiornamento del server OfficeScan

I componenti del server OfficeScan possono essere aggiornati manualmente oppureconfigurando una pianificazione di aggiornamento.

Per consentire al server di implementare i componenti aggiornati sugli agenti, attivarel'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automaticidell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, ilserver scarica gli aggiornamenti ma non li implementa negli agenti.

I metodi aggiornamento includono:

• Aggiornamento server manuale: quando un aggiornamento è importante,eseguire l'aggiornamento manuale in modo che il server possa ottenere gliaggiornamenti immediatamente. Consultare Aggiornamento manuale del serverOfficeScan a pagina 6-27 per ulteriori dettagli.

• Aggiornamento server pianificato: il server OfficeScan si connette all'origineaggiornamenti nella data e ora pianificati per ottenere i componenti più recenti.Consultare Pianificazione aggiornamenti per il server OfficeScan a pagina 6-28 per ulterioridettagli.

Aggiornamento manuale del server OfficeScan

Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato oaggiornato il server e quando si verifica un'infezione.

Procedura

1. Accedere a Aggiornamenti > Server > Aggiornamento manuale.

2. Selezionare i componenti da aggiornare.

3. Fare clic su Aggiorna.

Il server scarica i componenti aggiornati.


6-28

Pianificazione aggiornamenti per il server OfficeScan

Configurare il server OfficeScan affinché controlli con regolarità l'origine diaggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché dinorma gli agenti ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è unmodo semplice ed efficace per assicurare una protezione continua contro i rischi per lasicurezza.

Procedura

1. Accedere a Aggiornamenti > Server > Aggiornamento pianificato.

2. Selezionare Attiva aggiornamento pianificato del server OfficeScan.

3. Selezionare i componenti da aggiornare.

4. Specificare la pianificazione dell'aggiornamento.

Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica ilnumero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti diOfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallotemporale.


Registri di aggiornamento del server OfficeScan

Verificare i registri di aggiornamento del server per determinare se esistono dei problemidi aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti deicomponenti del server OfficeScan.

Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina14-44.


6-29

Visualizzazione dei registri di aggiornamento

Procedura

1. Accedere a Registri > Aggiornamento server.

2. Controllare la colonna Risultato per verificare se alcuni componenti non sono statiaggiornati.

3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta inCSV. Aprire il file o salvarlo in una posizione specifica.

Aggiornamenti di Integrated Smart ProtectionServer

Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern el'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e comeaggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 4-19.

Aggiornamenti dell'agente OfficeScanPer garantire la continua protezione degli agenti contro i più recenti rischi per lasicurezza, è necessario aggiornare regolarmente i componenti dell'agente.

Prima di aggiornare gli agenti, verificare che la loro origine di aggiornamenti (serverOfficeScan o un'origine di aggiornamenti personalizzata) disponga dei componenti piùrecenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamentiserver OfficeScan a pagina 6-16.

La seguente tabella comprende un elenco di tutti i componenti implementati dalle originiaggiornamenti sugli agenti e i componenti utilizzati con un determinato metodo discansione.


6-30

Tabella 6-5. Componenti OfficeScan implementati sugli agenti



Antivirus

Patter agente Smart Scan No Sì

Pattern antivirus Sì No

Pattern IntelliTrap Sì Sì

Pattern eccezioni IntelliTrap Sì Sì

Motore di scansione virus a 32 e a 64bit

Sì Sì

Pattern di scansione memoria Sì Sì

Pattern per l'avvio anticipato dell'anti-malware a 32/64 bit

Sì Sì

Motore di intelligence contestuale a32/64 bit

Sì Sì

Pattern di intelligence contestuale Sì Sì

Responsabile delle query diintelligence contestuale a 32/64 bit

Sì Sì

Motore avanzato scansione minaccea 32/64 bit

Sì Sì

Pattern avanzato correlazioneminacce

Sì Sì

Anti-spyware

Pattern spyware/grayware Sì Sì

Pattern di monitoraggio attivospyware

Sì No


6-31



Motore di scansione spyware/grayware a 32/64 bit

Sì Sì


Modello Damage Cleanup Sì Sì

Motore Damage Cleanup a 32 e a 64bit

Sì Sì

Driver Early Boot Cleanup a 32/64 bit Sì Sì

Servizi di reputazione Web

Motore di filtro URL Sì Sì

Firewall

Pattern comune per firewall Sì Sì

Driver comune per firewall a 32/64 bit Sì Sì


Pattern di rilevamento monitoraggiodel comportamento a 32 e a 64 bit

Sì Sì

Driver principale per il monitoraggiodel comportamento a 32 e a 64 bit

Sì Sì

Servizio principale monitoraggio delcomportamento a 32 e a 64 bit

Sì Sì

Pattern di configurazionemonitoraggio del comportamento

Sì Sì

Pattern implementazione dei criteri Sì Sì

Pattern firma digitale Sì Sì


6-32



Pattern per l'attivazione dellascansione memoria (32/64 bit)

Sì Sì

Pattern di monitoraggio dellascansione del programma

Sì Sì

Pattern Damage Recovery Sì Sì

Connessioni sospette

Elenco degli indirizzi IP C&C globale Sì Sì

Pattern Relevance Rule Sì Sì


Pattern di prevenzione contro gliattacchi al browser

Sì Sì

Pattern unificato relativo allo ScriptAnalyzer

Sì Sì

Origini aggiornamenti dell'agente OfficeScanGli agenti possono ottenere gli aggiornamenti dall'origine aggiornamenti standard(server OfficeScan) o da componenti specifici delle origini aggiornamenti personalizzate,come il server ActiveUpdate di Trend Micro. Per i dettagli, consultare Origineaggiornamenti standard per gli agenti OfficeScan a pagina 6-33 e Origini aggiornamentipersonalizzate per gli agenti OfficeScan a pagina 6-34.

Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan

Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalleorigini aggiornamenti IPv4 pure, come:

• Un server OfficeScan IPv4 puro


6-33

• Un Update Agent IPv4 puro



Analogamente, un agente IPv4 puro non è in grado di eseguire direttamentel'aggiornamento dalle origini aggiornamenti IPv6 pure, come un server OfficeScan IPv6puro o un Update Agent.

Per consentire agli agenti di connettersi alle origini aggiornamenti, è necessario un serverproxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.

Origine aggiornamenti standard per gli agenti OfficeScan

Il server OfficeScan è l'origine aggiornamenti standard per gli agenti.

Se il server OfficeScan non è raggiungibile, gli agenti non avranno un'origine di backup equindi non saranno aggiornati. Per aggiornare gli agenti che non sono in grado diraggiungere il server OfficeScan, Trend Micro consiglia di usare Agent Packager. Usarequesto strumento per creare un pacchetto con i componenti più recenti disponibili sulserver, quindi eseguire il pacchetto sugli agenti.

Nota

L'indirizzo IP dell'agente (IPv4 o IPv6) determina se è possibile stabilire la connessione alserver OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamentidell'agente, consultare Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan a pagina 6-32.

Configurazione dell'origine degli aggiornamenti standard per gliagenti OfficeScan

Procedura

1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.

2. Selezionare Origini di aggiornamento standard (aggiorna dal serverOfficeScan).


6-34


Processo di aggiornamento dell'agente OfficeScan

Nota

In questo argomento viene illustrato il processo di aggiornamento per gli AgentiOfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origineaggiornamenti standard per gli agenti OfficeScan a pagina 6-33.

Se gli Agenti OfficeScan vengono configurati per eseguire l'aggiornamento direttamentedal server OfficeScan, il processo di aggiornamento è il seguente:

1. L'Agente OfficeScan ottiene gli aggiornamenti dal server OfficeScan.

2. Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, l'AgenteOfficeScan tenta di connettersi direttamente al server ActiveUpdate di Trend Microse l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata in Agenti > Gestione agente,Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda)> Impostazioni di aggiornamento.

Nota

È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibilescaricare i programmi, le hot fix e le impostazioni del dominio solo dal serverOfficeScan o dagli Update Agent. Per rendere più rapido il processo diaggiornamento, configurare gli Agenti OfficeScan in modo che dal serverActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni,consultare Server ActiveUpdate come origine degli aggiornamenti dell'agente OfficeScan a pagina6-40.

Origini aggiornamenti personalizzate per gli agentiOfficeScanOltre che dal server OfficeScan, gli Agenti OfficeScan possono eseguire l'aggiornamentodalle origini aggiornamenti personalizzate. Le origini aggiornamenti personalizzate


6-35

contribuiscono a ridurre il traffico degli aggiornamenti dell'Agente OfficeScan diretto alserver OfficeScan e consentono agli Agenti OfficeScan che non riescono a connettersi alserver OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le originidi aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate,che può contenere fino a 1024 origini di aggiornamento.

Suggerimento

Trend Micro consiglia di assegnare alcuni Agenti OfficeScan come Update Agent e poiaggiungerli all'elenco.

Configurazione delle origini aggiornamenti personalizzate degliagenti OfficeScan

Importante

OfficeScan XG Service Pack 1 (o versioni successive) supporta l'uso del protocollo dicomunicazione HTTPS tra gli Update Agent e gli Agenti OfficeScan configurati perricevere aggiornamenti dagli Update Agent. È necessario aggiornare gli Update Agent etutti gli Agenti OfficeScan che inviano segnalazioni a OfficeScan XG Service Pack 1 primadi cambiare il protocollo di comunicazione in HTTPS.

Procedura


2. Selezionare Origine aggiornamenti personalizzata.

3. Selezionare il modo in cui gli Update Agent e gli Agenti OfficeScan ricevono gliaggiornamenti.

• Gli Update Agent aggiornano componenti, impostazioni di dominio,programmi agente e hot fix solo dal server OfficeScan

• Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan setutte le origini personalizzate non sono disponibili o non sono state trovate:

• Componenti


6-36

• Impostazioni dominio

• Programmi agenti OfficeScan e hot fix

Per ulteriori informazioni, consultare Processo di aggiornamento dell'agente OfficeScan apagina 6-34.

4. Se come origine degli aggiornamenti è stato specificato almeno un Update Agent,fare clic su Segnalazione analitica di Update Agent per generare unasegnalazione che evidenzi lo stato di aggiornamento dei dispositivi.

Per ulteriori informazioni sulla segnalazione, vedere Segnalazione analitica di UpdateAgent a pagina 6-66.

5. Aggiungere o modificare l'Elenco origini di aggiornamento personalizzate.

• Fare clic su Aggiungi per specificare una nuova origine di aggiornamenti.

• Fare clic su un valore nella colonna Intervallo IP per modificare un'origine diaggiornamenti esistente.

NotaModificare un'origine di aggiornamenti esistente per cambiare il protocollo dicomunicazione di un Update Agent XG SP1 (o versioni successive) esistente inHTTPS.

Viene visualizzata la schermata Aggiungi/Modifica intervallo IP e fonteaggiornamenti.

6. Configurare gli indirizzi IP dei dispositivi che ricevono gli aggiornamentidall'origine di aggiornamenti.

• IPv4: specificare l'intervallo di indirizzi IPv4 dei dispositivi che utilizzanol'origine di aggiornamenti

• IPv6: specificare il prefisso IPv6 e la lunghezza dei dispositivi che utilizzanol'origine di aggiornamenti


6-37

NotaAccertarsi che gli Agenti OfficeScan siano in grado di connettersi all'origineaggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificatoun intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4.Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamentideve avere un indirizzo IPv6.

Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti dei dispositivi,consultare Origini aggiornamenti dell'agente OfficeScan a pagina 6-32.

7. Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent seè stato assegnato oppure digitare l'URL di un'origine specifica.

• URL: specificare l'URL dell'origine di aggiornamenti.

NotaPer modificare il protocollo di un Update Agent esistente da HTTP a HTTPS,modificare il valore URL.

• Update Agent: selezionare un Update Agent preconfigurato dal menu adiscesa e scegliere come gli Agenti OfficeScan si connettono all'Update Agent

• Usa l'indirizzo IP dell'Update Agent per il collegamento

• Usa il nome host dell'Update Agent per il collegamento

NotaOfficeScan configura automaticamente l'URL dell'origine esterna in modo cheutilizzi il protocollo HTTPS se l'Update Agent è stato aggiornato a OfficeScanXG SP1 o versioni successive.


9. Gestire l'Elenco origini di aggiornamento personalizzate.

a. Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella dicontrollo e facendo clic su Elimina.

b. Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. Èpossibile spostare solo un'origine per volta.


6-38


Processo di aggiornamento dell'agente OfficeScan

NotaIn questo argomento viene illustrato il processo di aggiornamento per gli AgentiOfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Originiaggiornamenti personalizzate per gli Update Agent a pagina 6-62.

Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, ilprocesso di aggiornamento prosegue come riportato di seguito:

1. L'Agente OfficeScan esegue gli aggiornamenti dalla prima origine dell'elenco.

2. Se non è in grado di eseguire l'aggiornamento dalla prima origine, l'AgenteOfficeScan utilizza la seconda voce e così via.

3. Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, l'AgenteOfficeScan controlla le impostazioni seguenti nella schermata Origineaggiornamenti:

Tabella 6-6. Altre impostazioni per le origini aggiornamenti personalizzate


Gli Update Agentaggiornano componenti,impostazioni di dominio,programmi agente e hotfix solo dal serverOfficeScan

Se tale impostazione è attivata, gli Update Agenteseguono l'aggiornamento direttamente dal serverOfficeScan e ignorano Elenco origini di aggiornamentopersonalizzate.

Se disattivata, gli Update Agent applicano leimpostazioni di origine aggiornamenti personalizzataconfigurate per gli agenti normali.

Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte leorigini personalizzate non sono disponibili o non sono state trovate:


6-39


Componenti Se questa opzione è attivata, l'agente eseguel'aggiornamento dei componenti dal server OfficeScan.

Se l'opzione è disattivata, l'agente tenta di connettersidirettamente al server ActiveUpdate di Trend Micro se siverifica una delle seguenti condizioni:

• In Agenti > Gestione agente, fare clic suImpostazioni > Privilegi e altre impostazioni >Altre impostazioni (scheda) > Aggiornaimpostazioni, l'opzione Gli agenti OfficeScanscaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate non è incluso nell'Elencoorigini aggiornamento personalizzate.

NotaÈ possibile aggiornare solo i componenti dalserver ActiveUpdate. È possibile scaricare iprogrammi, le hot fix e le impostazioni del dominiosolo dal server OfficeScan o dagli Update Agent.Per rendere più rapido il processo diaggiornamento, configurare gli agenti in modo chedal server ActiveUpdate vengano scaricati solo ifile di pattern. Per ulteriori informazioni, consultareServer ActiveUpdate come origine degliaggiornamenti dell'agente OfficeScan a pagina6-40.

Impostazioni dominio Se questa opzione è attivata, l'agente eseguel'aggiornamento delle impostazioni a livello di dominiodal server OfficeScan.

Programmi agentiOfficeScan e hot fix

Se questa impostazione è attivata, l'agente aggiorna iprogrammi e le hot fix dal server OfficeScan.

4. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, l'agenteinterrompe il processo di aggiornamento.


6-40

Server ActiveUpdate come origine degli aggiornamentidell'agente OfficeScanQuando gli Agenti OfficeScan sono configurati per scaricare gli aggiornamentidirettamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file dipattern per ridurre l'ampiezza di banda utilizzata durante gli aggiornamenti e velocizzareil processo di aggiornamento.

I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenzadei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern.

Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal serverActiveUpdate di Trend Micro. Per consentire agli Agenti OfficeScan di connettersi alserver ActiveUpdate, è necessario un server proxy dual-stack che possa convertire gliindirizzi IP, come ad esempio DeleGate.

Limitazione dei download dal server ActiveUpdate

Procedura


2. Fare clic sulla scheda Sistema.

3. Andare alla sezione Aggiornamenti.

4. Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gliaggiornamenti.

Metodi di aggiornamento dell'agente OfficeScanGli Agenti OfficeScan che eseguono l'aggiornamento dei componenti dal serverOfficeScan o da un'origine aggiornamenti personalizzata possono utilizzare uno deimetodi di aggiornamento riportati di seguito:

• Aggiornamenti automatici: l'aggiornamento dell'Agente viene eseguitoautomaticamente quando si verificano alcuni eventi o in base a una pianificazione.Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41.


6-41

• Aggiornamenti manuali: quando un aggiornamento è importante, utilizzarel'aggiornamento manuale per notificare immediatamente agli agenti di eseguirel'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manualidell'agente OfficeScan a pagina 6-47.

• Aggiornamenti basati su privilegi: gli utenti con privilegi di aggiornamentohanno maggiore controllo sulla modalità di aggiornamento dell'Agente OfficeScannei propri computer. Per i dettagli, consultare Configurazione dei privilegi diaggiornamento e altre impostazioni a pagina 6-49.

Aggiornamenti automatici dell'agente OfficeScanLa funzione Aggiornamento automatico gestisce le notifiche di aggiornamento agliagenti ed elimina il rischio che i componenti dei computer agente diventino obsoleti.

Oltre ai componenti, durante l'aggiornamento gli Agenti OfficeScan ricevono anche ifile di configurazione aggiornati. Gli Agenti necessitano di tali file di configurazione perpoter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni diOfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.Per specificare la frequenza in base alla quale i file di configurazione vengono applicatiagli agenti, vedere il punto 3 Configurazione degli aggiornamenti automatici dell'agente OfficeScana pagina 6-43.

NotaÈ possibile configurare gli agenti in modo che utilizzino le impostazioni proxy nel corsodell'aggiornamento automatico. Consultare Proxy per gli aggiornamenti dei componenti dell'agenteOfficeScan a pagina 6-53 per ulteriori dettagli.

Esistono due tipi di aggiornamenti automatici:

• Aggiornamenti provocati da un evento a pagina 6-41

• Aggiornamenti pianificati a pagina 6-43

Aggiornamenti provocati da un evento

Il server può notificare agli agenti online di effettuare l'aggiornamento dei componentidopo aver effettuato il download di quelli più recenti e notificare agli agenti offline di


6-42

effettuare l'aggiornamento quando avranno ristabilito la connessione con il server.Facoltativamente, al termine dell'aggiornamento, sui dispositivi Agente OfficeScan èpossibile avviare Esegui scansione (scansione manuale).

Tabella 6-7. Opzioni di aggiornamento provocate da un evento

Opzione Descrizione

Avvia l'aggiornamentodei componenti degliagenti subito dopo cheil server OfficeScan hascaricato un nuovocomponente

Non appena completato un aggiornamento, il server notificaagli agenti di eseguirlo. Gli agenti aggiornati di frequentedevono scaricare pattern incrementali, riducendo in tal modo iltempo necessario per completare l'aggiornamento (permaggiori dettagli sui pattern incrementali, vedere Duplicazionedei componenti server OfficeScan a pagina 6-22). Tuttavia, gliaggiornamenti frequenti potrebbero incidere negativamentesulle prestazioni del server, soprattutto se molti agentieseguono l'aggiornamento contemporaneamente.

Per includere nell'aggiornamento gli agenti in modalitàIndipendente, selezionare Includi agenti in roaming eoffline.

Per maggiori dettagli sulla modalità Indipendente, vedereAgente OfficeScan con privilegio di modalità Indipendente apagina 15-19.

Consente agli agenti diavviare l'aggiornamentodei componenti dopo ilriavvio e la connessioneal server OfficeScan(escludendo gli agentiin roaming)

Se un agente non ha eseguito un aggiornamento, icomponenti vengono scaricati non appena questo stabilisce laconnessione con il server. L'agente potrebbe non eseguire unaggiornamento se è offline o se l'dispositivo dove è installatonon è in esecuzione.

Avvia Esegui scansionedopo l'aggiornamento(escludendo gli agentiin roaming)

Il server invia una notifica agli agenti per l'esecuzione dellascansione dopo un'aggiornamento attivato da un evento.Attivare questa opzione se un aggiornamento specificorisponde a un rischio per la sicurezza già diffuso nella rete.


6-43

Nota

Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento agli agenti altermine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15minuti. Il server continuerà a inviare le notifiche di aggiornamento per un massimo di 5volte, fino a ottenere risposta dall'agente. Se il quinto tentativo non riesce, il server noninvierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componentiquando gli agenti si riavviano e si connettono al server, l'aggiornamento dei componentiavverrà in ogni caso.

Aggiornamenti pianificati

L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionaregli Agenti OfficeScan che dispongono di tale privilegio e tali Agenti OfficeScanpotranno eseguire gli aggiornamenti in base alla pianificazione.

Nota

Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultareConfigurazione degli aggiornamenti pianificati dell'agente OfficeScan con NAT a pagina 6-45.

Configurazione degli aggiornamenti automatici dell'agenteOfficeScan

Procedura

1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.

2. Selezionare gli eventi per un Aggiornamento provocato da un evento:

• Avvia l'aggiornamento dei componenti degli agenti subito dopo che ilserver OfficeScan ha scaricato un nuovo componente

• Includi agenti in roaming e offline

• Consente agli agenti di avviare l'aggiornamento dei componenti dopo ilriavvio e la connessione al server OfficeScan (escludendo gli agenti inroaming)


6-44

• Avvia Esegui scansione dopo l'aggiornamento (escludendo gli agenti inroaming)

Per ulteriori informazioni sulle opzioni disponibili, vedere Aggiornamenti provocati daun evento a pagina 6-41.

3. Configurare la pianificazione per l'Aggiornamento pianificato.

• Minuto/i o Ora/e

L'opzione Aggiorna le configurazioni degli agenti solo una volta algiorno è disponibile quando viene pianificata una frequenza diaggiornamento oraria o basata sui minuti. Il file di configurazione contienetutte le impostazioni degli agenti OfficeScan configurati utilizzando la consoleWeb

Suggerimento

Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che leimpostazioni di configurazione di OfficeScan cambino con minore frequenza.L'aggiornamento dei file di configurazione effettuato insieme a quello deicomponenti, richiede una maggiore ampiezza di banda e aumenta il temponecessario affinché OfficeScan completi l'aggiornamento. Per questo motivo,Trend Micro consiglia di aggiornare le configurazioni degli agenti OfficeScansolo una volta al giorno.

• Frequenza giornaliera o Frequenza settimanale

Specificare l'ora dell'aggiornamento e il periodo di tempo durante il quale ilserver OfficeScan notifica agli agenti di aggiornare i componenti.

Suggerimento

Questa impostazione consente di evitare che tutti gli agenti online si connettanocontemporaneamente al server nell'ora di inizio indicata e di ridurre la quantitàdi traffico indirizzato al server. Se, ad esempio, l'ora di inizio è fissata alle 12 e ilperiodo di tempo è di 2 ore, OfficeScan invia la notifica di aggiornamento deicomponenti a tutti gli agenti online in modo casuale dalle 12:00 alle 14:00.


6-45

Nota

Dopo aver configurato la pianificazione degli aggiornamenti, attivare la pianificazionesugli agenti selezionati.

Per informazioni sull'attivazione degli aggiornamenti pianificati, vedere il passaggio 4di Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49.


OfficeScan non può inviare immediatamente la notifica agli agenti offline.Selezionare Consente agli agenti di avviare l'aggiornamento dei componentidopo il riavvio e la connessione al server OfficeScan (escludendo gli agentiin roaming) per aggiornare gli agenti offline che passano online dopo la scadenzadel periodo di tempo. Gli agenti offline che non hanno questa impostazioneattivata aggiornano i componenti alla pianificazione successiva o durante unaggiornamento manuale.

Configurazione degli aggiornamenti pianificati dell'agenteOfficeScan con NAT

Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito:

• Gli Agenti OfficeScan vengono visualizzati offline nella console Web.

• Il server OfficeScan non è in grado di notificare agli agenti le modifiche degliaggiornamenti e della configurazione.

Per risolvere questi problemi, implementare i componenti aggiornati e i file diconfigurazione dal server all'Agente OfficeScan con un aggiornamento pianificato cosìcome descritto di seguito.

Procedura

• Prima di installare l'Agente OfficeScan sui computer agente:

a. Configurare la pianificazione dell'aggiornamento dell'agente nella sezioneAggiornamento pianificato di Aggiornamenti > Agenti >Aggiornamento automatico.


6-46

b. Concedere agli agenti il privilegio di attivare l'aggiornamento pianificato nellaAgenti > Gestione agente, fare clic su Impostazioni > Privilegi e altreimpostazioni > scheda Privilegi > Aggiornamenti dei componenti.

• Se gli Agenti OfficeScan sono già presenti sui computer agente:

a. Concedere agli agenti il privilegio di eseguire la funzione "Aggiorna ora" nellaAgenti > Gestione agente, fare clic su Impostazioni > Privilegi e altreimpostazioni > scheda Privilegi > Aggiornamenti dei componenti.

b. Chiedere agli utenti di aggiornare manualmente i componenti sul dispositivoagente (fare clic con il pulsante destro del mouse sull'icona dell'AgenteOfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") perottenere le impostazioni di configurazione aggiornate.

Quando gli Agenti OfficeScan eseguono un aggiornamento, ricevono sia i componentiaggiornati che i file di configurazione.

Utilizzo dello Strumento di aggiornamento pianificazione deidomini

L'aggiornamento pianificato configurato negli aggiornamenti automatici dell'agente sonoapplicabili solo agli agenti con privilegi di aggiornamento pianificato. Per gli altri agenti,è possibile impostare una pianificazione di aggiornamento separata. Per effettuare questaoperazione, è necessario configurare una pianificazione in base ai domini della strutturaagente. Questa impostazione viene applicata a tutti gli agenti appartenenti al dominio.

Nota

Non è possibile impostare una pianificazione di aggiornamento per un agente o unsottodominio specifico. La configurazione configurata per il dominio principale si applica atutti i sottodomini.

Procedura

1. Registrare i nomi dei domini della struttura agente e le pianificazioni diaggiornamento.


6-47

2. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\DomainScheduledUpdate.

3. Copiare i file seguenti in <Cartella di installazione del server>\PCCSRV:

• DomainSetting.ini

• dsu_convert.exe

4. Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note.

5. Specificare il dominio della struttura agente e configurare la pianificazione diaggiornamento per il dominio. Ripetere questo passaggio per aggiungere altridomini.

NotaNel file .ini sono fornite istruzioni dettagliate per la configurazione.

6. Salvare DomainSetting.ini.

7. Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV.

8. Immettere il seguente comando e premere Invio.

dsuconvert.exe DomainSetting.ini

9. Nella console Web, accedere a Agenti > Impostazioni globali agente.


Aggiornamenti manuali dell'agente OfficeScanAggiornare manualmente i componenti dell'Agente OfficeScan quando i componentidell'Agente OfficeScan sono estremamente obsoleti e ogni volta che viene rilevataun'infezione. I componenti dell'Agente OfficeScan diventano estremamente obsoletiquando l'Agente OfficeScan non è in grado di aggiornare i componenti dall'origineaggiornamenti per un periodo di tempo prolungato.

Oltre ai componenti, durante l'aggiornamento gli Agenti OfficeScan ricevonoautomaticamente anche i file di configurazione aggiornati. Gli Agenti OfficeScan


6-48

necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ognivolta che si modificano le impostazioni di OfficeScan attraverso la console Web,vengono modificati anche i file di configurazione.

Nota

Oltre all'avvio, è possibile concedere agli utenti il privilegio dell'esecuzione degliaggiornamenti manuali (ovvero Aggiorna ora sui dispositivi Agente OfficeScan). Per idettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49.

Aggiornamento manuale degli agenti OfficeScan

Procedura

1. Accedere a Aggiornamenti > Agenti > Aggiornamento manuale.

2. Nella parte superiore della schermata vengono visualizzati i componentiattualmente disponibili nel server OfficeScan e la data in cui tali componenti sonostati aggiornati. Prima di notificare l'aggiornamento agli agenti, accertarsi che icomponenti siano aggiornati.

Nota

Aggiornare manualmente i componenti obsoleti nel server.

Consultare Aggiornamenti manuali dell'agente OfficeScan a pagina 6-47 per ulteriori dettagli.

3. Per aggiornare solo gli agenti con componenti non aggiornati:

a. Fare clic su Selezionare agenti con componenti non aggiornati.

b. Facoltativamente, selezionare Includi agenti indipendenti e offline:

• Per aggiornare gli agenti indipendenti con connessione attiva sul server.

• Per aggiornare gli agenti offline quando passano online.

c. Fare clic su Avvia aggiornamento.


6-49

Nota

Il server cerca gli agenti con componenti di versioni precedenti alle versioni del servere invia agli agenti la notifica dell'aggiornamento. Per controllare lo stato dellenotifiche, accedere alla schermata Aggiornamenti > Riepilogo.

4. Per aggiornare gli agenti selezionati:

a. Selezionare Seleziona agenti manualmente.

b. Fare clic su Seleziona.

c. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

d. Fare clic su Avvia aggiornamento.

Nota

Il server inizia a inviare a ogni agente la notifica del download dei componentiaggiornati. Per controllare lo stato delle notifiche, accedere alla schermataAggiornamenti > Riepilogo.

Configurazione dei privilegi di aggiornamento e altreimpostazioni

Configurare le impostazioni di aggiornamento e concedere agli utenti dell'agente alcuniprivilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamentopianificato.

Procedura





6-50

4. Fare clic sulla scheda Altre impostazioni e configurare le seguenti opzioni nellasezione Aggiorna impostazioni:

Opzione Descrizione

Gli agentiOfficeScanscaricano gliaggiornamenti dal serverActiveUpdatedi TrendMicro

Quando gli aggiornamenti vengono avviati, gli Agenti OfficeScanOfficeScan tentano prima di ottenere gli aggiornamenti dall'origineaggiornamenti specificata nella schermata Aggiornamenti >Agenti > Origine aggiornamenti.

Se l'aggiornamento non riesce, gli agenti tentano di eseguirlo dalserver OfficeScan. Se si seleziona questa opzione, si consenteagli agenti di provare a eseguire l'aggiornamento dal serverActiveUpdate di Trend Micro qualora l'aggiornamento dal serverOfficeScan non riesca.

NotaUn agente IPv6 puro non è in grado di eseguire l'aggiornamentodirettamente dal server ActiveUpdate di Trend Micro. Perconsentire agli agenti di connettersi al server ActiveUpdate, ènecessario un server proxy dual-stack che possa convertire gliindirizzi IP, come ad esempio DeleGate.

Attivaaggiornamenti pianificatisugli agentiOfficeScan

La selezione di questa opzione configura tutti gli AgentiOfficeScan per attivare gli aggiornamenti pianificati comeimpostazione predefinita. Gli utenti con il privilegio Attiva/Disattiva aggiornamenti pianificati possono sovrascrivere taleimpostazione.

Per maggiori dettagli sulla configurazione della pianificazione degliaggiornamenti, vedere Configurazione degli aggiornamentiautomatici dell'agente OfficeScan a pagina 6-43.

Solo iseguenticomponentivengonoaggiornatidagli agentiOfficeScan

Questa opzione controlla l'avanzamento degli aggiornamenti deicomponenti.

Selezionare le opzioni desiderate tra le seguenti:

• Tutti i componenti (inclusi gli hotfix e i programmiagente): gli Agenti OfficeScan aggiornano tutti i componenti.

• File di pattern, motori e driver: gli Agenti OfficeScan nonaggiornano il programma Agente OfficeScan nédistribuiscono le hot fix


6-51

Opzione Descrizione• File di pattern: gli Agenti OfficeScan non aggiornano il

programma Agente OfficeScan, né distribuiscono le hot fix oaggiornano motori e driver

NotaSelezionare Tutti i componenti (inclusi gli hotfix e i programmiagente) può influire notevolmente sulle prestazioni del server, inquanto tutti gli agenti si connettono contemporaneamente al serverper aggiornare o installare una hot fix.

5. Fare clic sulla scheda Privilegi e configurare le seguenti opzioni nella sezioneAggiornamento dei componenti:

Opzione Descrizione

Esecuzionedi "Aggiornaora"

Gli utenti con questo privilegio possono aggiornare i componentisu richiesta facendo clic con il pulsante destro del mousesull'icona dell'Agente OfficeScan nella barra delle applicazioni eselezionando Aggiorna ora.

NotaGli utenti dell'Agente OfficeScan possono utilizzare le impostazioniproxy durante l'operazione "Aggiorna ora".

Per ulteriori informazioni, consultare Concessione dei privilegi diconfigurazione del proxy a pagina 15-58.

Attiva/Disattivaaggiornamenti pianificati

La selezione di questa opzione consente agli utenti dell'AgenteOfficeScan di attivare e disattivare gli aggiornamenti pianificatiutilizzando il menu di scelta rapida dell'Agente OfficeScan, che èin grado di sovrascrivere l'impostazione Attiva aggiornamentipianificati.

NotaGli amministratori devono selezionare innanzitutto l'impostazioneAttiva aggiornamenti pianificati sugli agenti OfficeScan nellascheda Altre impostazioni prima che la voce di menu vengavisualizzata nel menu dell'Agente OfficeScan.


6-52




Configurazione dello spazio su disco riservato per gliaggiornamenti degli agenti OfficeScan

OfficeScan è in grado di assegnare una determinata quantità di spazio sul discodell'agente per hot fix, file di pattern, motori di scansione e aggiornamenti deiprogrammi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco.

Procedura



3. Andare alla sezione Aggiornamenti.

4. Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti.

5. Selezionare lo quantità di spazio su disco.



6-53

Proxy per gli aggiornamenti dei componenti dell'agenteOfficeScan

Gli Agenti OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamentoautomatico oppure se dispongono del privilegio di eseguire "Aggiorna ora".

Tabella 6-8. Impostazioni proxy utilizzate durante gli aggiornamenti deicomponenti dell'agente OfficeScan

Metodo diaggiornamen

to

Impostazioni proxyutilizzate Utilizzo

Aggiornamentoautomatico

• Impostazioni proxyinterne.

Per ulterioriinformazioni,consultareConfigurazione delleimpostazioni proxydegli agenti interni apagina 15-55.

1. Gli agenti applicano prima leimpostazioni del proxy interno.

2. Se non si configurano leimpostazioni del proxy interno, gliagenti non utilizzano alcunaimpostazione proxy.


6-54

Metodo diaggiornamen

to

Impostazioni proxyutilizzate Utilizzo

Aggiorna ora • Impostazioni proxyinterne.

Per ulterioriinformazioni,consultareConfigurazione delleimpostazioni proxydegli agenti interni apagina 15-55.

• Impostazioni proxyconfigurate dall'utente.È possibile concedereagli utenti dell'agente ilprivilegio di configurarele impostazioni proxy.

Per ulterioriinformazioni,consultareConcessione deiprivilegi diconfigurazione delproxy a pagina 15-58.

1. Gli agenti applicano prima leimpostazioni del proxy interno.

2. Se le impostazioni proxy sonodisattivate e gli utenti dell'agentenon dispongono degli appositiprivilegi, gli agenti non utilizzerannonessun proxy per l'aggiornamentodei componenti.

Configurazione delle notifiche di aggiornamentodell'agente OfficeScan

OfficeScan notifica agli utenti dell'agente quando si verificano i seguenti eventi relativiall'aggiornamento.

Procedura


2. Fare clic sulla scheda Controllo dell'agente.


6-55

3. Andare alla sezione Impostazioni avvisi.

4. Selezionare le seguenti opzioni:

• Mostra l'icona di avviso sulla barra delle applicazioni di Windows se ilfile di pattern dei virus non è aggiornato da __ giorno/i: Un'icona diavviso viene visualizzata nella barra delle applicazioni di Windows perricordare agli utenti di aggiornare un Pattern dei virus che non è statoaggiornato dal numero di giorni specificato. Per aggiornare il pattern, usareuno dei metodi di aggiornamento illustrati in Metodi di aggiornamento dell'agenteOfficeScan a pagina 6-40.

Questa impostazione viene applicata a tutti gli agenti gestiti dal server.

• Visualizza un messaggio di notifica se è necessario un riavviodell'dispositivo per caricare un driver in modalità kernel: Dopol'installazione di una hot fix o di un pacchetto di aggiornamenti che contieneuna nuova versione di un driver in modalità kernel, la precedente versione deldriver potrebbe essere ancora presente nel dispositivo. L'unico modo perrimuovere la versione precedente e caricare quella nuova è riavviare ildispositivo. Dopo aver riavviato il dispositivo, la nuova versione vieneautomaticamente installata e non sono necessari altri riavvii.

Subito dopo l'installazione della hot fix o del pacchetto di aggiornamento, suldispositivo agente viene visualizzato un messaggio di notifica.


Visualizzazione dei registri di aggiornamenti dell'agenteOfficeScan

Esaminare i registri di aggiornamenti dell'agente per determinare eventuali problemi diaggiornamento del pattern antivirus negli agenti.

Nota

In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern deivirus possono essere inviate dalla console Web.


6-56


Procedura

1. Accedere a Registri > Agenti > Aggiornamento componente agente.

2. Per visualizzare il numero di aggiornamenti dell'agente, fare clic su Visualizza nellacolonna Avanzamento. Nella schermata Avanzamento aggiornamentocomponenti visualizzata, controllare il numero di agenti aggiornati ogni 15 minutie il numero totale di agenti aggiornati.

3. Per visualizzare gli agenti il cui pattern antivirus è stato aggiornato, fare clic suVisualizza nella colonna Dettagli.

4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esportain CSV. Aprire il file o salvarlo in una posizione specifica.

Implementazione degli aggiornamenti dell'agenteOfficeScan

Utilizzare Conformità sicurezza per garantire che gli agenti dispongano dei componentipiù recenti. Conformità sicurezza consente di determinare le incoerenze dei componentitra gli agenti e il server OfficeScan. In genere le incoerenze si verificano quando gliagenti non riescono a connettersi al server per aggiornare i componenti. Se l'agenteottiene un aggiornamento da un'altra origine (ad esempio dal server ActiveUpdate), èpossibile che un componente dell'agente sia più recente rispetto a uno del server.

Per ulteriori informazioni, consultare Conformità sicurezza per gli agenti gestiti a pagina 15-62.

Rollback dei componenti per gli agenti OfficeScanIl termine rollback si riferisce all'azione di ripristino della versione precedente del Patterndei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questicomponenti non funzionano correttamente, ripristinare le versioni precedenti.


6-57

OfficeScan conserva la versione attuale e quella precedente del Motore di scansionevirus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern.

NotaIl rollback è consentito solo per i componenti riportati sopra.

OfficeScan utilizza motori di scansione differenti per gli agenti con piattaforme a 32 e64 bit. Questi motori di scansione devono essere ripristinati separatamente. Laprocedura di ripristino per tutti i tipi di motore di scansione è identica.

Procedura

1. Accedere a Aggiornamenti > Rollback

2. Nella sezione appropriata, fare clic su Sincronizza con il server.

a. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

b. Fare clic su Rollback

c. Fare clic su Visualizza registri di aggiornamento per verificare i risultati osu Indietro per tornare alla schermata Rollback.

3. Se sul server è presente una versione precedente del file di pattern, fare clic suRollback di versioni server e agenti per effettuare il rollback dei file di patternsia per l'agente che per il server.

Esecuzione di Touch Tool per le hot fix dell'agenteOfficeScan

Touch Tool esegue la sincronizzazione dell'indicatore data e ora di un file conl'indicatore di data e e ora di un altro file o con l'orario di sistema del dispositivo. Se nonsi riesce a implementare correttamente una hot fix nel server OfficeScan, utilizzareTouch Tool per modificare l'indicatore di data e ora dell'hot fix. Questo consente aOfficeScan di interpretare il file hot fix come nuovo elemento per cui il server tentanuovamente di implementarlo automaticamente.


6-58

Procedura

1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\Touch.

2. Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Persincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionareentrambi i file nella stessa posizione di Touch Tool.

3. Aprire un prompt dei comandi ed accedere al percorso di Touch Tool.

4. Digitare i comandi seguenti:

TmTouch.exe <nome file di destinazione> <nome file diorigine>

Dove:

• <nome file destinazione> è il nome dell'hot fix di cui si desideramodificare l'indicatore di data e ora

• <nome file origine> è il nome del file di cui si desidera replicarel'indicatore di data e ora

NotaSe non viene specificato un nome del file di origine, lo strumento imposta l'indicatoredata e ora del file di destinazione in base all'orario di sistema del dispositivo.Utilizzare il carattere jolly (*) per il nome del file di destinazione, ma non per quellodel file di origine.

5. Per verificare se la modifica dell'indicatore data e ora è stata applicata, immetteredir nel prompt dei comandi oppure verificare le proprietà del file in Esplorarisorse.

Update AgentPer distribuire l'attività di implementazione dei componenti, delle impostazioni didominio o dei programmi agente e delle hot fix negli Agenti OfficeScan, è necessario


6-59

impostare alcuni Agenti OfficeScan come Update Agent o come origini aggiornamentiper altri Agenti OfficeScan. In questo modo si ha la certezza che gli Agenti OfficeScanricevano tempestivamente gli aggiornamenti senza indirizzare una quantità eccessiva ditraffico di rete al server OfficeScan.

Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti ècaratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent aciascuna località.

NotaGli Agenti OfficeScan assegnati ai componenti per l'aggiornamento da un Update Agentricevono soltanto componenti aggiornati e impostazioni dall'Update Agent. Tutti gli AgentiOfficeScan segnalano il proprio stato al server OfficeScan.

Requisiti di sistema per gli Update AgentVisitare il sito Web seguente per un elenco completo dei requisiti di sistema:


Configurazione di Update AgentIl processo di configurazione di Update Agent prevede due operazioni:

1. Assegnare l'Agente OfficeScan come Update Agent per componenti specifici.

2. Specificare gli agenti che eseguiranno l'aggiornamento da tale Update Agent.

NotaIl numero di connessioni agente che un singolo Update Agent può gestire dipendedalle specifiche hardware del dispositivo.



6-60

Assegnazione degli agenti OfficeScan come Update Agent.

Procedura


2. Nella struttura agente, selezionare gli agenti da designare come Update Agent.

Nota

Non è possibile selezionare l'icona del dominio root, in quanto tale operazionedesignerebbe tutti gli agenti come Update Agent. Un Update Agent IPv6 puro non èin grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri.Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gliaggiornamenti direttamente agli agenti IPv6 puri. Per consentire a un Update Agentdi distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack ingrado di convertire gli indirizzi IP, come ad esempio DeleGate.

3. Fare clic su Impostazioni > Impostazioni Update Agent.

4. Selezionare gli elementi che Update Agent possono condividere.

• Aggiornamento dei componenti


• Programmi agenti OfficeScan e hot fix


Specifica degli agenti OfficeScan che eseguonol'aggiornamento da un Update Agent

Procedura


2. In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.


6-61

3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibileimmettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.

4. Nel campo Update Agent, selezionare l'Update Agent da assegnare agli agenti.

Nota

Accertarsi che gli agenti siano in grado di connettersi all'Update Agent utilizzando irispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4,l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza eun prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6.


Origini aggiornamenti per gli Update Agent

Gli Update Agent possono ottenere gli aggiornamenti da varie origini quali il serverOfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origineaggiornamenti dalla schermata Origine aggiornamenti della console Web.

Supporto IPv6 per gli Update Agent

Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento daorigini IPv4 pure, come:




Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamentel'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro:

Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessarioun server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempioDeleGate.


6-62

Origine aggiornamenti standard per gli Update Agent

Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gliagenti vengono configurati per eseguire l'aggiornamento direttamente dal serverOfficeScan, il processo di aggiornamento avviene come riportato di seguito:

1. L'Update Agent ottiene gli aggiornamenti dal server OfficeScan.

2. Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersidirettamente al server ActiveUpdate di Trend Micro se si verifica almeno una delleseguenti condizioni:

• In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altreimpostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzioneGli agenti OfficeScan scaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamentopersonalizzate.

Suggerimento

Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi diaggiornamento dal server OfficeScan. Quando gli Update Agent eseguonol'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza dibanda tra la rete e Internet è considerevole.

3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, UpdateAgent interrompe il processo di aggiornamento.

Origini aggiornamenti personalizzate per gli Update Agent

Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento daorigini di aggiornamento personalizzate. Le origini di aggiornamento personalizzatecontribuiscono a ridurre il traffico degli aggiornamenti degli agenti verso il serverOfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini diaggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento.Vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-34 per laprocedura per configurare l'elenco.


6-63

NotaAssicurarsi che l'opzione Gli Update Agent aggiornano componenti, impostazioni didominio, programmi agente e hot fix solo dal server OfficeScan sia disattivata nellaschermata Origine aggiornamenti per gli agenti (Aggiornamenti > Agenti > Origineaggiornamenti) per consentire agli Update Agent di connettersi alle origini diaggiornamento personalizzate.

Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue comeriportato di seguito:

1. Update Agent esegue l'aggiornamento dalla prima voce dell'elenco.

2. Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza laseconda voce e così via.

3. Se non è in grado di effettuare l'aggiornamento da tutte le voci, l'agente verifica leseguenti opzioni nell'intestazione Gli agenti OfficeScan aggiornano le seguentivoci dal server OfficeScan se tutte le origini personalizzate non sonodisponibili o non sono state trovate:

• Componenti: se attivata l'agente esegue l'aggiornamento dal serverOfficeScan.

Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al serverActiveUpdate di Trend Micro se si verifica almeno una delle seguenticondizioni:

NotaÈ possibile eseguire l'aggiornamento dei componenti solo dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni deldominio dal server o dagli Update Agent.

• In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi ealtre impostazioni > Altre impostazioni > Aggiorna impostazioni,l'opzione Gli agenti scaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamentopersonalizzate.


6-64

• Impostazioni dominio: se attivata l'agente esegue l'aggiornamento dal serverOfficeScan.

• Programmi agenti OfficeScan e hot fix: se attivata l'agente eseguel'aggiornamento dal server OfficeScan.


Il processo di aggiornamento è diverso se l'opzione Origini di aggiornamentostandard (aggiorna dal server OfficeScan) è attivata e il server OfficeScan notificaall'agente di aggiornare i componenti. Il processo è il seguente:

1. Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignoral'elenco delle origini di aggiornamento.

2. Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamenteal server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenticondizioni:

• In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altreimpostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzioneGli agenti OfficeScan scaricano gli aggiornamenti dal serverActiveUpdate di Trend Micro è attivata.

• Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamentopersonalizzate.

SuggerimentoCollocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi diaggiornamento dal server OfficeScan. Quando gli Agenti OfficeScan eseguonol'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza dibanda tra la rete e Internet è considerevole.



6-65

Configurazione dell'origine aggiornamenti per Update Agent

Procedura


2. Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gliUpdate Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gliUpdate Agent.


Duplicazione dei componenti di Update Agent

Come il server OfficeScan, anche gli Update Agent utilizzano il metodo delladuplicazione per scaricare i componenti. Per informazioni sul modo in cui il serveresegue la duplicazione dei componenti, consultare Duplicazione dei componenti serverOfficeScan a pagina 6-22.

Il processo di duplicazione dei componenti per gli Update Agent è il seguente:

1. Update Agent confronta la versione corrente del pattern completo con la versionepiù recente sull'origine aggiornamenti. Se la differenza tra le due versioni è almassimo 14, Update Agent scarica il pattern incrementale per colmare la differenzatra le due versioni.

Nota

Se la differenza è superiore a 14, Update Agent scarica automaticamente la versionecompleta del file di pattern.

2. Update Agent integra il pattern incrementale scaricato con il pattern completocorrente per generare il pattern completo più recente.

3. Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti.

4. Il pattern completo più recente e tutti i pattern incrementali sono resi disponibiliper gli agenti.


6-66

Metodi di aggiornamento per Update AgentGli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per gli agentinormali. Per i dettagli, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.

È possibile utilizzare lo strumento di configurazione aggiornamento pianificato perattivare e configurare gli aggiornamenti pianificati di un Update Agent installatomediante Agent Packager.

Nota

Questo strumento non è disponibile se l'Update Agent è stato installato mediante altrimetodi di installazione. Consultare Considerazioni sull'implementazione a pagina 5-12 perulteriori informazioni.

Uso dello strumento di configurazione aggiornamentopianificato

Procedura

1. Nel dispositivo Update Agent, accedere a <Cartella di installazione dell'agente>.

2. Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la consoledello Strumento di configurazione aggiornamento pianificato.

3. Selezionare Attiva aggiornamento pianificato.

4. Specificare la frequenza e l'orario dell'aggiornamento.

5. Fare clic su Applica.

Segnalazione analitica di Update AgentLa segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura diaggiornamento e determinare quali agenti scaricano aggiornamenti parziali dagli UpdateAgent e da altre origini aggiornamenti.


6-67

Nota

Questa segnalazione comprende tutti gli Agenti OfficeScan configurati per ricevereaggiornamenti parziali dagli Update Agent. Se l'attività di gestione di uno o più domini èstata delegata ad altri amministratori, essi vedranno anche tutti gli Agenti OfficeScanconfigurati per ricevere aggiornamenti parziali dagli Update Agent appartenenti ai domininon gestiti da loro.

OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (comma-separated value).

In questa segnalazione sono contenute le seguenti informazioni:

• Agente OfficeScan dispositivo

• Indirizzo IP

• Percorso della struttura agente

• Origine aggiornamenti

• Se gli agenti scaricano i seguenti elementi dagli Update Agent:

• Componenti


• Programmi Agente OfficeScan e hot fix

Importante

La segnalazione analitica di Update Agent elenca solamente gli Agenti OfficeScanconfigurati per ricevere aggiornamenti parziali da un Update Agent. Gli Agenti OfficeScanconfigurati per eseguire aggiornamenti completi da un Update Agent (inclusi componenti,impostazioni di dominio, hot fix e programmi dell'Agente OfficeScan) non vengonovisualizzati nella segnalazione.

Per ulteriori informazioni sulla generazione della segnalazione, vedere Originiaggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-34.


6-68

Riepilogo aggiornamento componentiLa console Web fornisce la schermata Riepilogo aggiornamento (accedere aAggiornamenti > Riepilogo), che contiene informazioni sullo stato complessivodell'aggiornamento dei componenti e che consente di aggiornare quelli obsoleti. Se èstato attivato l'aggiornamento server pianificato, la schermata informa anche sulla dataprevista per il prossimo aggiornamento.

Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare laschermata periodicamente.

Nota

Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server,accedere a Amministrazione > Smart Protection > Server integrato.

Stato dell'aggiornamento per gli agenti OfficeScan

Se l'aggiornamento dei componenti sugli agenti è stato avviato, è possibile visualizzare inquesta sezione le seguenti informazioni:

• Numero di agenti ai quali è stata inviata la notifica per l'aggiornamento deicomponenti.

• Numero di agenti che non hanno ancora ricevuto la notifica, ma che sono presentinella coda di notifica. Per annullare l'invio della notifica a questi agenti, fare clic suAnnulla notifica.

Componenti

Nella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascuncomponente scaricato e distribuito dal server OfficeScan.

Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimoaggiornamento. Fare clic sul collegamento numerato per visualizzare gli agenti concomponenti obsoleti. Aggiornare manualmente gli agenti con componenti obsoleti.

7-1

Capitolo 7

Analisi dei rischi per la sicurezzaQuesto capitolo descrive come proteggere i dispositivi dai rischi per la sicurezzautilizzando l'analisi basata su file.


• Informazioni sui rischi per la sicurezza a pagina 7-2

• Tipi di metodi di scansione a pagina 7-8

• Tipi di scansione a pagina 7-15

• Impostazioni comuni a tutti i tipi di scansione a pagina 7-28

• Privilegi scansione e altre impostazioni a pagina 7-59

• Impostazioni globali di scansione a pagina 7-75

• Notifiche sui Rischi per la sicurezza a pagina 7-87

• Registri dei rischi per la sicurezza a pagina 7-97

• Rischi per la sicurezza a pagina 7-113


7-2

Informazioni sui rischi per la sicurezzaRischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche,spyware e grayware. OfficeScan protegge i dispositivi dai rischi per la sicurezzaattraverso la scansione dei file e l'esecuzione di un'azione specifica per ciascun rischioper la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezzaindividuati in un periodo di tempo breve indica un'infezione. OfficeScan può aiutare acontenere le infezioni, implementando i criteri di prevenzione delle infezioni e isolando idispositivi infetti fino a quando sono completamente privi di rischi. Le notifiche e iregistri contribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualorafosse necessaria un'azione tempestiva.

Virus e minacce informaticheEsistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengonocreati di nuovi. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, i virusdei dispositivo odierni, grazie alla loro capacità di sfruttare le vulnerabilità, possonocausare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web.

Tabella 7-1. Tipi di virus/minaccia informatica

Tipo divirus/

minacciainformatica

Descrizione

ProgrammaJoke

I programmi Joke sono programmi simili ai virus che spessomanipolano l'aspetto degli oggetti sul monitor di un dispositivo.

Altri La categoria “Altri” include i virus/minacce informatiche non classificaticome alcun tipo di virus/minacce informatiche.

Packer I packer sono programmi eseguibili di Windows o Linux™ compressie/o crittografati. Spesso si tratta di cavalli di Troia. La compressionedegli eseguibili rende più difficile il rilevamento dei packer da parte deiprodotti antivirus.

Analisi dei rischi per la sicurezza

7-3

Tipo divirus/

minacciainformatica

Descrizione

Ransomware I ransomware sono un tipo di minaccia che crittografa, modifica oblocca i file, quindi tenta di estorcere all'utente il pagamento di unasorta di riscatto per recuperare i dati. Alcune minacce ransomwareeliminano automaticamente i dati se il riscatto non viene pagato intempo.

Rootkit I rootkit sono programmi o raccolte di programmi che installano edeseguono un codice su un sistema senza il consenso o laconsapevolezza dell'utente finale. Utilizzano un virus stealth permantenere una presenza costante e non rilevabile sul computer. Irootkit non infettano i computer ma cercano piuttosto di fornire unambiente non rilevabile per consentire l'esecuzione di un codicedannoso. I rootkit vengono installati sui sistemi tramite socialengineering, con l'esecuzione di minacce informatiche osemplicemente accedendo ad un sito Web dannoso. Una voltainstallato, l'aggressore può virtualmente eseguire qualunque funzionesul sistema, incluso l'accesso remoto, le intercettazioni, operazioni chenascondono i processi, i file, le chiavi di registro e i canali dicomunicazione.

Virus di prova I virus di prova sono file inerti che agiscono come virus reali e possonoessere rilevati dal software di scansione antivirus. I virus di prova,come gli script di prova EICAR, possono essere utilizzati per verificareche l'antivirus installato funzioni correttamente.

Cavallo diTroia

I programmi cavallo di Troia utilizzano le porte per avere accesso aicomputer o ai programmi eseguibili. I cavalli di Troia non sono in gradodi riprodursi, ma risiedono nei sistemi per compiere operazionidannose, ad esempio l'apertura delle porte, per consentire l'ingressodegli hacker. Le soluzioni antivirus tradizionali sono in grado di rilevaree rimuovere i virus ma non i cavalli di Troia, soprattutto se sono già inesecuzione nel sistema.


7-4

Tipo divirus/

minacciainformatica

Descrizione

Virus I virus sono programmi che si replicano. Per farlo, un virus deveattaccarsi ad altri file di programma che gli consentono di attivarsiquando il programma che lo ospita viene eseguito, inclusi:

• Codice dannoso ActiveX: Codice presente nelle pagine Web cheeseguono controlli ActiveX™.

• Virus del settore boot: Virus che infetta il settore di boot di unapartizione o un disco.

• File COM ed EXE infettante: Programma eseguibile conestensione .com o .exe.

• Codice dannoso Java: Codice virus indipendente dal sistemaoperativo scritto o incluso in un codice Java™.

• Virus da macro: Virus codificato come una macro di applicazionee spesso incluso in un documento.

• Virus VBScript, JavaScript o HTML: Virus presente in una paginaWeb e scaricato tramite un browser.

• Worm: programma (o gruppo di programmi) autonomo in grado didiffondere copie funzionanti di se stesso o di suoi segmenti ad altridispositivo, spesso tramite e-mail.

Virus di rete Un virus che si diffonde su una rete non è necessariamente un virus direte. Solo alcuni tipi di virus o minacce informatiche, quali i worm,possono essere considerati virus di rete. In particolare, permoltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP,UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i filedi sistema né modificano i settori boot dei dischi rigidi. Tuttavia,infettano la memoria degli agenti agente dei dispositivi, obbligandoli ainvadere la rete di traffico e causando rallentamenti o persino errorinell'intera rete. Poiché i virus di rete rimangono in memoria, spesso nonsono rilevabili mediante i tradizionali metodi di scansione I/O dei file.


7-5

Tipo divirus/

minacciainformatica

Descrizione

Probabilevirus/minacciainformatica

I virus e le minacce informatiche probabili sono file sospetti con alcunecaratteristiche di virus o minacce informatiche.

Per maggiori dettagli, consultare l'Trend Micro Threat Encyclopedia:

http://about-threats.trendmicro.com/it/threatencyclopedia#malware

NotaLa disinfezione azione non può essere eseguita su un probabilevirus/minaccia informatica, ma l'azione di scansione èconfigurabile.

Spyware e graywareCi sono altre minacce che potrebbero mettere a repentaglio i Dispositivo, oltre ai virus ealle minacce informatiche. Per spyware e grayware si intendono applicazioni o file nonclassificati come virus o cavalli di Troia ma che possono avere un'influenza negativa sulleprestazioni dei dispositivi della rete e introdurre notevoli rischi per la sicurezza, lariservatezza e causare problemi legali alle organizzazioni. Spesso spyware e graywareattivano una varietà di azioni indesiderate e pericolose come la visualizzazione di irritantifinestre pop-up, la registrazione delle sequenze di tasti premute dall'utente ol'esposizione delle vulnerabilità del dispositivo agli attacchi.

Se si trova un'applicazione o un file che OfficeScan non può rilevare come grayware masi pensa che sia un tipo di grayware, inviarlo a Trend Micro per un'analisi:

http://esupport.trendmicro.com/solution/en-us/1059565.aspx

Tipo Descrizione

Spyware Raccoglie dati, quali nomi utente e password e li trasmette a terzi.




7-6

Tipo Descrizione

Adware Visualizza delle pubblicità e raccoglie dati, quali le preferenze dinavigazione Web in modo da indirizzare pubblicità mirata attraversoun browser Web.

Dialer Modifica le impostazioni Internet del dispositivo e può forzare ildispositivo a chiamare numeri telefonici predeterminati attraverso unmodem. Si tratta in genere di numeri a pagamento o internazionali cherappresentano un notevole costo per l'organizzazione.

ProgrammaJoke

Causa un comportamento anomalo del dispositivo come l'apertura e lachiusura dell'unità CD-ROM o la visualizzazione di diverse finestre didialogo.

Strumento perhacker

Consente agli hacker di penetrare nel computer.

Strumento diaccesso remoto

Consente agli hacker di accedere al computer in remoto e controllarlo.

Applicazione didecifraturadelle password

Consente agli hacker di decifrare i nomi utente e le password.

Altri Altri tipi di programmi potenzialmente dannosi.

In che modo spyware e grayware penetrano nelle retiSpyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utentiscaricano un software legittimo contenente applicazioni grayware all'interno delpacchetto di installazione. La maggior parte dei programmi contiene un contratto dilicenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spessonel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di datipersonali, tuttavia molto frequentemente, gli utenti non leggono attentamente ilcontratto o non comprendono il linguaggio legale.

Rischi e minacce potenzialiL'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguentiproblemi:


7-7

Tabella 7-2. Rischi e minacce potenziali

Rischio ominaccia Descrizione

Riduzione delleprestazioni deldispositivo

per svolgere la loro azione, le applicazioni spyware e graywareutilizzano spesso una quantità considerevole di risorse dimemoria del sistema e della CPU.

Aumento deimalfunzionamentidel browser Web

alcuni tipi di grayware, come ad esempio l'adware, visualizzanoinformazioni in riquadri o finestre del browser. In base al modo incui il codice di queste applicazioni interagisce con i processi disistema, il grayware può bloccare o interrompere il funzionamentodel browser o richiedere un riavvio del dispositivo.

Riduzionedell'efficienzadell'utente

costretto a chiudere frequentemente le finestre pop-uppubblicitarie e affrontare gli effetti negativi dei programmi Joke,l'utente viene spesso distratto dalla propria attività principale.

Riduzione dellalarghezza di bandadella rete

le applicazioni spyware e grayware spesso trasmettonoregolarmente i dati raccolti ad altre applicazioni in esecuzionesulla rete o al di fuori della rete.

Perdita diinformazionipersonali eaziendali

non tutti i dati che le applicazioni spyware/grayware raccolgonosono innocui come può esserlo un elenco di pagine Web visitatedall'utente. Spyware e grayware inoltre sono in grado di ottenerele credenziali dell'utente quali quelle di accesso ai conti bancarionline e alle reti aziendali.

Rischio elevato diresponsabilità legali

Se le risorse del dispositivo dispositivo nella rete vengonomanomesse, gli hacker sono in grado di utilizzare i computeragente per lanciare attacchi o installare spyware e grayware sucomputer al di fuori della rete. La partecipazione delle risorse direte a questo tipo di attività potrebbe rendere un'aziendalegalmente responsabile di danni causati a terzi.

Protezione da spyware/grayware e altre minacce

Possono essere prese molte contromisure per evitare l'installazione di spyware egrayware sul dispositivo. Trend Micro consiglia quanto segue:

• Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale,Scansione pianificata e Esegui scansione) per individuare e rimuovere file e


7-8

applicazioni spyware/grayware. Consultare Tipi di scansione a pagina 7-15 perulteriori informazioni.

• Istruire gli utenti del agente sulle procedure riportate di seguito:

• Leggere il contratto di licenza per l'utente finale (EULA) e la documentazione,forniti con le applicazioni scaricate e installate sui computer.

• Fare clic su No in caso di messaggi in cui si richiede l'autorizzazione perscaricare e installare software, a meno che gli utenti agente non siano certidell'affidabilità sia del creatore del software sia del sito Web.

• Ignorare messaggi e-mail di natura commerciale non richiesti (spam),soprattutto se viene richiesto di fare clic su un pulsante o un collegamento.

• Configurare le impostazioni del browser Web per assicurare un livello restrittivo disicurezza. Trend Microconsiglia di fare in modo che il browser Web richieda agliutenti l'autorizzazione prima dell'installazione dei controlli ActiveX.

• Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modoche Outlook non scarichi automaticamente elementi HTML, come immaginiinviate in messaggi spam.

• Proibire l'uso di servizi di condivisione di file peer-to-peer. Lo spyware e altreapplicazioni grayware potrebbero essere mascherati come altri tipi di file che gliutenti potrebbero scaricare, come file musicali MP3.

• Esaminare periodicamente il software installato sui computer dell'agent e cercareapplicazioni che possano essere spyware o altro grayware.

• Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con lepatch più recenti di Microsoft. Per ulteriori dettagli, vedere il sito Web Microsoft.

Tipi di metodi di scansioneGli Agenti OfficeScan possono utilizzare uno dei due metodi di scansione quandoeseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: SmartScan e Scansione convenzionale.


7-9

• Smart Scan

In questo documento, gli Agenti OfficeScan che utilizzano Smart Scan vengonodefiniti agenti Smart Scan. Gli agent Smart Scan utilizzano le scansioni locali e lequery in-the-cloud fornite da Servizi di reputazione file.

• Scansione convenzionale

Gli Agenti che non utilizzano Smart Scan sono definiti agenti con scansioneconvenzionale. Un agente con scansione convenzionale archivia tutti icomponenti Agente OfficeScan nel dispositivo ed esegue la scansione locale di tuttii file.

Metodo di scansione predefinitoIn questa versione di OfficeScan, il metodo di scansione predefinito per una nuovainstallazione è Smart Scan. Questo significa che se si esegue un'installazione del serverOfficeScan da zero e non si modifica il metodo di scansione sulla console Web, tutti gliagenti gestiti dal server utilizzeranno il metodo Smart Scan.

Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attival'aggiornamento automatico dell'agente, tutti gli agenti gestiti dal server utilizzerannoancora il metodo di scansione configurato prima dell'aggiornamento della versione. Adesempio, se si esegue l'aggiornamento da una versione precedente di OfficeScan, chesupporta Smart Scan e Scansione convenzionale, tutti gli agenti aggiornati che utilizzanoSmart Scan continueranno a utilizzare questo tipo di scansione, mentre quelli cheutilizzavano Scansione convenzionale continueranno ad utilizzare quest'ultima.

Metodi di scansione a confrontoLa tabella riportata di seguito consente di confrontare i due metodi di scansione:


7-10

Tabella 7-3. Confronto tra Scansione convenzionale e Smart Scan

Criteri diconfronto

Scansioneconvenzionale Smart Scan

Disponibilità Disponibile in questaversione di OfficeScan enelle versioni precedenti diOfficeScan

Disponibile a partire da OfficeScan10

Comportamentodella scansione

L'agente con scansioneconvenzionale esegue lascansione nel dispositivo.

• L'agente Smart Scan esegue lascansione nel dispositivo locale.

• Se l'agente non è in grado dideterminare il rischio del filedurante la scansione, l'agenteverifica il rischio inviando unaquery di scansione a un'origineSmart Protection.

• L'agente memorizza il risultatodella query di scansione permigliorare le prestazioni dellascansione.

Componenti in usoe aggiornati

Tutti i componentidisponibili nell'origine diaggiornamento, adeccezione di Smart ScanAgent Pattern

Tutti i componenti disponibilinell'origine di aggiornamento, adeccezione di Pattern dei virus ePattern di monitoraggio attivospyware

Origine diaggiornamentotipica

Server OfficeScan Server OfficeScan

Modifica del metodo di scansione

Procedura




7-11

3. Fare clic su Impostazioni > Impostazioni di scansione > Metodi discansione.

4. Selezionare Scansione convenzionale oppure Smart Scan.




Passaggio da Smart Scan a Scansione convenzionaleLa seguente tabella fornisce alcune considerazioni da tenere a mente prima di modificareil metodo di scansione utilizzato dagli Agenti OfficeScan.

1. Numero di Agenti OfficeScan che effettuano il passaggio

Se il numero di Agenti OfficeScan che passa contemporaneamente alla scansioneconvenzionale è relativamente esiguo, è possibile utilizzare in maniera efficiente lerisorse del server OfficeScan e di Smart Protection Server. Questi server sono ingrado di eseguire altre operazioni importanti durante il passaggio degli AgentiOfficeScan da un metodo di scansione all'altro.

2. Tempistica

Quando si modifica un metodo di scansione, gli Agenti OfficeScan devonoscaricare le versioni complete dei file di pattern necessari per il nuovo metodo discansione.

Si sconsiglia di eseguire la modifica durante le ore di punta, allo scopo di ridurrel'impatto sulla larghezza di banda e l'interruzione delle operazioni quotidiane


7-12

dell'utente finale. Trend Micro consiglia di disattivare "Aggiorna ora" negli AgentiOfficeScan durante il processo di conversione.

3. Impostazioni della struttura agente

Il metodo di scansione è un'impostazione granulare che può essere applicata alivello principale (root), di dominio o di singolo Agente OfficeScan. Quando simodifica il metodo di scansione, è possibile:

• Creare un nuovo dominio della struttura agente e assegnargli la scansioneconvenzionale come metodo di scansione. Gli agenti trasferiti su questodominio utilizzano la scansione convenzionale. Quando si trasferisce l'agente,attivare l'impostazione Applica le impostazioni del nuovo dominio agliagenti selezionati.

• Selezionare un dominio e configurarlo in modo che utilizzi la scansioneconvenzionale. Gli agenti Smart Scan che appartengono al dominiopasseranno alla scansione convenzionale.

• Selezionare uno o più agenti Smart Scan da un dominio, quindi effettuare ilpassaggio alla scansione convenzionale.

NotaI cambiamenti al metodo di scansione del dominio sovrascrivono il metodo discansione configurato per i singoli agenti.

Passaggio da Scansione convenzionale a Smart ScanSe si esegue il passaggio degli agenti da Scansione convenzionale a Smart Scan,assicurarsi di aver impostato i servizi Smart Protection.

Per i dettagli, consultare Impostazione dei servizi Smart Protection a pagina 4-13.

Nella seguente tabella sono riportate ulteriori considerazioni relative al passaggio aSmart Scan.


7-13

Tabella 7-4. Considerazioni sul passaggio a Smart Scan

Considerazione Dettagli

Licenza del prodotto Per utilizzare Smart Scan accertarsi di aver attivato le licenzedei servizi riportati di seguito e che le licenze non sianoscadute:

• Antivirus

• Reputazione Web e anti-spyware

Server OfficeScan Accertarsi che gli agenti siano in grado di connettersi al serverOfficeScan. Solo gli agenti online ricevono la notifica delpassaggio a Smart Scan. Gli agenti offline ricevono la notificaquando sono online. Gli agenti indipendenti ricevono lanotifica quando sono online oppure, se l'agente possiedeprivilegi di aggiornamento pianificato, quando viene eseguitoun aggiornamento pianificato.

Verificare inoltre che il server OfficeScan disponga deicomponenti più recenti perché gli agenti Smart Scan devonoscaricare il pattern agente Smart Scan dal server.

Per aggiornare i componenti, vedere Aggiornamenti serverOfficeScan a pagina 6-16.

Numero di agenti cheeffettuano il passaggio

Se il numero di agenti che effettua il passaggio èrelativamente esiguo, è possibile utilizzare in modo efficientele risorse del server OfficeScan. Il server OfficeScan è ingrado di eseguire altre operazioni importanti durante ilpassaggio da un metodo di scansione all'altro.

Tempistica Quando passano a Smart Scan per la prima volta, gli agentidevono scaricare la versione completa del pattern agenteSmart Scan dal server OfficeScan. Smart Scan Pattern vieneutilizzato solo dagli agenti Smart Scan.

Per fare in modo che il processo di download termini in tempibrevi, è opportuno effettuare il passaggio durante l'orario atraffico ridotto. Si consiglia inoltre di effettuare l'operazionequando per gli agenti non sono pianificati aggiornamenti dalserver. Disattivare temporaneamente anche "Aggiorna ora"negli agenti e riattivare la funzione una volta effettuato ilpassaggio a Smart Scan.


7-14


Impostazioni dellastruttura agente

Il metodo di scansione è un'impostazione estremamenteflessibile che può essere impostata a livello principale (root),di dominio o di singolo agente. Quando si passa a Smart Scanè possibile:

• Creare un nuovo dominio della struttura agente eassegnargli Smart Scan come metodo di scansione. Gliagenti trasferiti su questo dominio utilizzano Smart Scan.Quando si trasferisce l'agente, attivare l'impostazioneApplica le impostazioni del nuovo dominio agli agentiselezionati.

• Selezionare un dominio e configurarlo in modo che utilizziSmart Scan. Gli agenti con la scansione convenzionaleche appartengono al dominio passeranno a Smart Scan.

• Selezionare uno o più agenti con scansioneconvenzionale da un dominio e poi effettuare il passaggioa Smart Scan.

NotaLe modifiche apportate al metodo di scansione deldominio sovrascrivono il metodo di scansioneconfigurato per i singoli agenti.


7-15


Supporto IPv6 Gli agenti Smart Scan inviano query di scansione alle originiSmart Protection.

Un agente Smart Scan IPv6 puro non è in grado di inviarequery direttamente alle origini IPv4 pure, come:


NotaIl supporto IPv6 per Smart Protection Server èstato introdotto nella versione 2.5.


Analogamente, un agente Smart Scan IPv4 puro non è ingrado di inviare query agli Smart Protection Server IPv6 puri.

Per consentire agli agenti Smart Scan di connettersi alleorigini, è necessario un server proxy dual-stack in grado diconvertire gli indirizzi IP, come ad esempio DeleGate.

Tipi di scansioneOfficeScan fornisce i seguenti tipi di scansione per proteggere i computer AgenteOfficeScan dai rischi per la sicurezza:

Tabella 7-5. Tipi di scansione

Tipo discansione Descrizione

Scansione intempo reale

Esegue la scansione automatica di un file sul dispositivo quandoviene ricevuto, aperto, scaricato, copiato o modificato.

Consultare Scansione in tempo reale a pagina 7-16 per ulterioridettagli.


7-16

Tipo discansione Descrizione

Scansionemanuale

Una scansione avviata dall'utente che analizza un file o un insiemedi file per iniziativa dell'utente.

Consultare Scansione manuale a pagina 7-19 per ulteriori dettagli.

Scansionepianificata

Esegue la scansione automatica di file sul dispositivo in base allapianificazione configurata dall'utente finale o dall'amministratore.

Consultare Scansione pianificata a pagina 7-21 per ulterioridettagli.

Esegui scansione Una scansione avviata dall'amministratore per analizzare i file in unoo più computer di destinazione.

Consultare Esegui scansione a pagina 7-24 per ulteriori dettagli.

Scansione in tempo realeLa scansione in tempo reale è una scansione continua e costante. Ogni volta che un fileviene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo realeanalizza il file alla ricerca di eventuali rischi per la sicurezza. Se l'Agente OfficeScan nonrileva un rischio per la sicurezza, gli utenti possono procedere all'accesso al file. Sel'Agente OfficeScan rileva un rischio per la sicurezza oppure un probabile virus/minaccia informatica, viene visualizzato un messaggio di notifica che indica il nome delfile infetto e il rischio per la sicurezza specifico.

La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ognivolta che l'Agente OfficeScan viene avviato. L'Agente OfficeScan tiene traccia di tutte lemodifiche ai file o alle cartelle apportate in seguito alla rimozione dell'AgenteOfficeScan, eliminando questi file dalla cache.

NotaPer modificare il messaggio di notifica, aprire la console Web e accedere aAmministrazione > Notifiche > Agente.


7-17

Configurare e applicare le impostazioni di Scansione in tempo reale a uno o più AgentiOfficeScan e domini oppure a tutti gli Agenti OfficeScan gestiti dal server.

Configurare le impostazioni della scansione in tempo reale

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale.


• Attiva scansione di virus/minacce informatiche

• Attiva scansione spyware/grayware

Nota

Se si disattiva la scansione per rilevare virus/minacce informatiche, anche lascansione per rilevare spyware/grayware verrà disattivata. Durante un'infezionevirale, per impedire al virus di modificare o eliminare i file e le cartelle neicomputer agente, non è possibile disattivare Scansione in tempo reale (seoriginariamente disattivata, viene attivata automaticamente).

5. Nella scheda Destinazione, configurare le opzioni riportate di seguito:

• Attività utente sui file a pagina 7-28

• File da sottoporre a scansione a pagina 7-28

• Impostazioni di scansione a pagina 7-29

6. Fare clic sulla scheda Azione e configurare le seguenti opzioni:


7-18

Tabella 7-6. Azioni di scansione

Azione Riferimento

Azione di Virus eminacce informatiche

Azione primaria (effettuare una selezione):

• Usa ActiveAction a pagina 7-41

• Stessa operazione per tutti i tipi virus o minacciainformatica a pagina 7-43

• Azione specifica per ogni tipo di virus o minaccia apagina 7-43

NotaPer ulteriori informazioni sulle varie azioni, vedereAzioni di scansione di virus/minacce informatiche apagina 7-39.

Ulteriori azioni di virus e minacce informatiche:

• Directory di quarantena a pagina 7-43

• Crea copia di backup prima di disinfettare a pagina7-45

• Damage Cleanup Services a pagina 7-46

• Mostra notifica al rilevamento di spyware/grayware apagina 7-47

• Mostra notifica al rilevamento di probabile spyware/grayware a pagina 7-47

Azione di spyware/grayware

Azione primaria:

• Azioni di scansione spyware/grayware a pagina7-52

Ulteriori azioni di spyware/grayware:


7. Nella scheda Esclusione scansione, configurare le directory, i file e le estensionida escludere dalla scansione.


7-19

Per i dettagli, consultare Esclusioni scansione a pagina 7-32.




Scansione manualeScansione manuale è un metodo di scansione su richiesta che viene avviatoimmediatamente dopo l'esecuzione della scansione nella console dell'Agente OfficeScanda parte di un utente. Il tempo necessario per completare la scansione dipende dalnumero di file da analizzare e dalle risorse hardware del dispositivo Agente OfficeScan.

Configurare e applicare le impostazioni di Scansione manuale a uno o più agenti edomini oppure a tutti gli agenti gestiti dal server.

Configurazione delle impostazioni della scansione manuale

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione manuale.



7-20



• Uso della CPU a pagina 7-31



Azione Riferimento












Azione primaria:





7-21




Scansione pianificata

Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate.Utilizzare Scansione pianificata per automatizzare le scansioni di routine dell'agente, peruna più efficiente gestione delle scansioni.

Configurare e applicare le impostazioni di Scansione pianificata a uno o più agenti edomini oppure a tutti gli agenti gestiti dal server.

Configurazione delle impostazioni della scansionepianificata

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione pianificata.



7-22



NotaÈ necessario attivare la scansione dei virus/malware prima di poter attivare lascansione degli spyware/grayware.


• Pianificazione a pagina 7-32






7-23


Azione Riferimento












• Mostra notifica al rilevamento di probabile spyware/grayware a pagina 7-47


Azione primaria:


Ulteriori azioni di spyware/grayware:




7-24





Esegui scansioneEsegui scansione viene avviata in remoto dagli amministratori mediante la console Webe può essere mirata a uno o più dispositivi dell'Agente OfficeScan.

Configurare e applicare le impostazioni di Esegui scansione a uno o più AgentiOfficeScan e domini oppure a tutti gli Agenti OfficeScan gestiti dal server.

Configurazione delle impostazioni della scansione

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazionifunzione Esegui scansione.




7-25


Nota

È necessario attivare la scansione dei virus/malware prima di poter attivare lascansione degli spyware/grayware.







Azione Riferimento












7-26

Azione Riferimento


Azione primaria:







Avvio di Esegui scansioneAvviare Esegui scansione nei computer che si sospetta siano infetti.

Procedura


2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

3. Fare clic su Operazioni > Esegui scansione.

4. Per modificare le impostazioni Esegui scansione pre-configurate prima di avviarela scansione, fare clic su Impostazioni.


7-27

Viene aperta la schermata Impostazioni funzione Esegui scansione. ConsultareEsegui scansione a pagina 7-24 per ulteriori dettagli.

5. Nella struttura agente, selezionare gli agenti su cui eseguire la scansione e fare clicsu Avvia Esegui scansione.

Il server invia una notifica agli agenti.

6. Controllare lo stato della notifica e verificare che tutti gli agenti l'abbiano ricevuta.

7. Fare clic su Seleziona dispositivi non notificati, quindi su Avvia Eseguiscansione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta.

Ad esempio: numero totale di agenti: 50

Tabella 7-10. Scenari di Agente non notificati

Selezione dellastruttura agente

Agenti notificati(dopo aver fatto clic

su "Avvia Eseguiscansione")

Agenti non notificati

Nessuno (tutti i 50 agentiselezionatiautomaticamente)

35 su 50 agenti 15 agenti

Selezione manuale (45 su50 agenti selezionati)

40 su 45 agenti 5 5 agenti + altri 5 agentinon inclusi nella selezionemanuale

8. Fare clic su Interrompi notifica per chiedere a OfficeScan di interrompere l'inviodella notifica agli agenti. Gli agenti che hanno già ricevuto la notifica e che hannogià avviato il processo di scansione ignoreranno questo comando.

9. Per gli agenti che stanno già eseguendo la scansione, fare clic su InterrompiEsegui scansione per richiedere l'interruzione della scansione.


7-28

Impostazioni comuni a tutti i tipi di scansionePer ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri discansione, esclusioni di scansione e operazioni di scansione. Implementare questeimpostazioni su uno o più agenti e domini oppure su tutti gli agenti gestiti dal server.

Parametri di scansione

Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributidei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano lascansione. Ad esempio, configurare Scansione in tempo reale per ciascun tipo di filedopo averlo scaricato nel dispositivo.

Attività utente sui file

Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delleopzioni seguenti:

• Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdottinel dispositivo (ad esempio dopo il download di un file) o dei file modificati

• Scansione dei file recuperati: esegue la scansione dei file alla loro apertura

• Scansione dei file creati/modificati e recuperati

Ad esempio, se viene selezionata la terza opzione, un nuovo file scaricato nel dispositivoviene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimanenella posizione corrente. Lo stesso file viene sottoposto a scansione quando un utente loapre e, se l'utente lo modifica, prima che le modifiche vengano salvate.

File da sottoporre a scansione

Selezionare una delle opzioni seguenti:

• Tutti i file validi per la scansione: esegue la scansione di tutti i file


7-29

• Tipi di file analizzati da IntelliScan: esegue solo la scansione di file che possonopotenzialmente nascondere codici dannosi, compresi quelli mascherati da nomi diestensione innocui.

Consultare IntelliScan a pagina E-6 per ulteriori dettagli.

• File con le seguenti estensioni: esegue solo la scansione dei file con estensionecompresa nell'elenco estensioni dei file. Aggiungere nuove estensioni o rimuoverequelle esistenti.

Impostazioni di scansioneSelezionare una o più opzioni tra quelle elencate di seguito:

• Scansione del disco floppy allo spegnimento del sistema: Scansione in temporeale esegue la scansione del disco floppy per rilevare virus da boot prima dellospegnimento dell'dispositivo. Ciò impedisce l'esecuzione di virus/minacceinformatiche quando un utente riavvia l'dispositivo dal disco.

• Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascostesul dispositivo e di eseguirne la scansione durante la scansione manuale.

• Analizza unità di rete: esegue la scansione delle cartelle o delle unità di retemappate al dispositivo dell'Agente OfficeScan durante la scansione manuale o lascansione in tempo reale.

• Esegui la scansione del settore boot del dispositivo di archiviazione USBdopo il collegamento: esegue la scansione automatica del settore boot di undispositivo di archiviazione USB quando viene collegato con Scansione in temporeale.

• Esegui la scansione di tutti i file nei dispositivi di archiviazione rimovibilidopo il collegamento: esegue la scansione automatica di tutti i file di undispositivo di archiviazione USB quando viene collegato con Scansione in temporeale.

• Varianti di malware in quarantena rilevate nella memoria: Monitoraggio delcomportamento effettua la scansione della memoria di sistema per processi sospettimentre Scansione in tempo reale mappa il processo e ne esegue la scansione per leminacce informatiche. Se è presente una minaccia informatica, Scansione in temporeale sottopone a quarantena il processo e/o il file.


7-30

Nota

Per utilizzare questa funzione gli amministratori devono attivare il Servizioprevenzione modifiche non autorizzate e il Servizio di protezione avanzata.

• Scansione dei file compressi: consente a OfficeScan di analizzare il numerospecificato di livelli di compressione e ignorare tutti i livelli in eccesso. OfficeScaninoltre disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio, se ilmassimo fissato è due livelli e un file compresso da analizzare ha sei livelli,OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compressocontiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file.

Nota

OfficeScan considera i file Microsoft Office 2007 in formato Office Open XMLcome file compressi. Office Open XML, il formato file per le applicazioni Office2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati conqueste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, ènecessario attivare la scansione dei file compressi.

• Analizza oggetti OLE: Quando un file contiene più livelli OLE (Object Linkingand Embedding), OfficeScan esegue la scansione del numero di livelli specificato eignora i livelli rimanenti.

Tutti gli agenti gestiti dal server controllano questa impostazione durante lefunzioni Scansione manuale, Scansione in tempo reale, Scansione pianificata edEsegui scansione. La scansione per rilevare virus/minacce informatiche e spyware/grayware viene eseguita su ciascun livello.

Ad esempio:

Si supponga che il numero di livelli specificati sia 2 e che un file abbia undocumento Microsoft Word incorporato (primo livello) all'interno del quale èpresente un foglio di calcolo Microsoft Excel (secondo livello) che contiene unfile .exe (terzo livello). OfficeScan esegue la scansione del documento Word e delfoglio di calcolo Excel, ma ignora il file .exe.

• Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consentedi identificare in modo euristico eventuali minacce informatiche controllandoche i file Microsoft Office non contengano codice di minaccia.


7-31

NotaIl numero di livelli specificato è applicabile a entrambe le opzioni Analizzaoggetti OLE e Rileva codice maligno.

• Abilita IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibilicompressi. Questa opzione è disponibile soltanto per Scansione in tempo reale.

Consultare IntelliTrap a pagina E-7 per ulteriori dettagli.

• Attivare scansione per rilevamento Exploit CVE per file scaricati dal Web edai canali e-mail: Blocca i processi che tentano di sfruttare vulnerabilità note inprodotti disponibili in commercio in base al sistema CVE (Common Vulnerabilitiesand Exposures). Questa opzione è disponibile soltanto per Scansione in temporeale.

• Esamina settore boot: esegue la scansione del settore boot del disco rigido perrilevare virus/minacce informatiche durante le funzioni Scansione manuale,Scansione pianificata ed Esegui scansione.

Uso della CPUÈ possibile impostare in OfficeScan una pausa tra una scansione di un file e quellasuccessiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansionepianificata ed Esegui scansione.

Selezionare una delle opzioni seguenti:

• Alto: nessuna pausa tra le scansioni

• Medio: effettua una pausa tra una scansione dei file e quella successiva se ilconsumo di risorse della CPU è superiore al 50%; in caso contrario, la pausa nonviene effettuata.

• Basso: effettua una pausa tra una scansione dei file e quella successiva se ilconsumo di risorse della CPU è superiore al 20%; in caso contrario, la pausa nonviene effettuata.

Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU èinferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa, riducendo intal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo, ma


7-32

le prestazioni del dispositivo non ne risentono in modo sensibile poiché il consumo diCPU è ottimale. Quando il consumo di CPU comincia ad eccedere il valore di soglia,OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando ilconsumo torna al di sotto del valore di soglia.

Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue lascansione dei file senza pause.

PianificazioneConfigurare la frequenza (giornaliera, settimanale o mensile) e l'orario di esecuzione dellaScansione pianificata.

Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno delmese o della settimana e l'ordine di ricorrenza.

• Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Sesi seleziona il 29, 30 o 31 di un mese che non ha tale giorno, OfficeScan esegue laScansione pianificata l'ultimo giorno del mese. Quindi:

• Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (adeccezione degli anni bisestili) e il 29 di tutti gli altri mesi.

• Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraioe il 30 di tutti gli altri mesi.

• Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio,il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi.

• Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimanaricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattrolunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Adesempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ognimese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste laquinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza.

Esclusioni scansioneLa configurazione delle esclusioni di scansione consente di migliorare le prestazioni dellascansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando si


7-33

esegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione dellascansione per determinare i file del dispositivo che devono essere esclusi dalla scansioneper il rilevamento di virus/minacce informatiche e spyware/grayware.

Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di unfile negli scenari riportati di seguito:

• Il file si trova in una directory specifica (o in una delle sottodirectory).

• Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione.

• L'estensione del file corrisponde a un'estensione contenuta nell'elenco diesclusione.

SuggerimentoPer un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in temporeale, accedere a:

http://esupport.trendmicro.com/solution/en-US/1059770.aspx

Eccezioni con caratteri jollyGli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratterijolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione didiversi caratteri.

Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del caratterejolly potrebbero comportare l'esclusione dalla scansione delle directory e dei filesbagliati. Ad esempio, l'aggiunta diC:\* all'Elenco di esclusione scansione (file)escluderebbe l'intera unità C:\.



7-34

Tabella 7-11. Esclusioni dalla scansione con caratteri jolly

Valore Esclusi Non esclusi

c:\director*\fil\*.txt

c:\directory\fil\doc.txt

c:\directories\fil\files\document.txt

c:\directory\file\

c:\directories\files\

c:\directory\file\doc.txt

c:\directories\files\document.txt

c:\director?\file\*.txt

c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\director?\file\?.txt

c:\directory\file\1.txt c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\*.txt Tutti i file .txt nella directoryC:\

Tutti gli altri tipi di file nelladirectory C:\

[] Non supportato Non supportato

Elenco di esclusione scansione (directory)

OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica delcomputer. È possibile specificare al massimo 256 directory.

Nota

Escludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte lerelative sottodirectory dalle scansioni.

Inoltre è possibile selezionare l'opzione Escludi directory di installazione deiprogrammi Trend Micro. Se si seleziona questa opzione OfficeScan escludeautomaticamente dalla scansione le directory dei seguenti prodotti Trend Micro:

• <Cartella di installazione del server>


7-35

NotaDurante una scansione manuale, OfficeScan effettua comunque la scansione dellacartella di installazione del server.

• IM Security

• InterScan eManager 3.5x

• InterScan Web Security Suite

• InterScan Web Protect

• InterScan FTP VirusWall

• InterScan Web VirusWall

• InterScan NSAPI Plug-in

• InterScan E-mail VirusWall

• ScanMail eManager™ 3.11, 5.1, 5.11, 5.12

• ScanMail for Lotus Notes™ eManager NT

• ScanMail™ per Microsoft Exchange

Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungeremanualmente la directory del prodotto all'elenco di esclusione dalla scansione.

Configurare inoltre OfficeScan in modo da escludere le directory di Microsoft Exchange2000/2003 accedendo alla sezione Impostazioni di scansione di Agenti >Impostazioni globali agente nella scheda Impostazioni di protezione. Se si utilizzaMicrosoft Exchange 2007 o versioni successive, aggiungere la directory manualmenteall'elenco di esclusione dalla scansione. Per maggiori dettagli sull'esclusione dallascansione, consultare il sito riportato di seguito:

http://technet.microsoft.com/en-us/library/bb332342.aspx

Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:

• Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione perimpedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.Per salvare e implementare le modifiche effettuate all'elenco di esclusione,selezionare una delle altre opzioni.



7-36

• Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusionesull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gliagenti, OfficeScan visualizza un messaggio di conferma.

• Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco correnteall'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco diesclusione dell'agente, l'agente lo ignorerà.

• Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco correntedall'elenco di esclusione esistente dell'agente, se presenti.

Variabili di sistema supportate per l'elenco di esclusionescansione (directory)

È possibile configurare l'elenco di esclusione scansione delle directory utilizzando lecomuni variabili di sistema di Windows. La seguente tabella mostra le variabilisupportate da OfficeScan.

Variabile di sistema Descrizione

%ALLUSERSPROFILE% Si riferisce alle cartelle %PROFILESFOLDER%\Publico %PROFILESFOLDER%\all users

Ad esempio:

• Percorso predefinito di %ALLUSERSPROFILE% in Windows 7:

C:\ProgramData

• Percorso predefinito di %ALLUSERSPROFILE% in Windows XP:

C:\Documents and Settings\All Users


7-37

Variabile di sistema Descrizione

%COMMONPROGRAMFILES% Si riferisce alle cartelle con componenti condivisi trale applicazioni

Un percorso tipico è C:\Programmi\Common.

NotaValido solo per i dispositivi che eseguonoWindows NT, Windows 2000 e Windows XP.

%COMMONPROGRAMFILES(X86)%

Si riferisce alla cartella C:\Programmi(x86)\Common Files nei sistemi a 64 bit

%PROGRAMFILES% Cartella Programmi

Un percorso tipico è C:\Programmi.

%PROGRAMFILES(X86)% Si riferisce alla cartella C:\Programmi (x86) neisistemi a 64 bit

%SYSTEMROOT% Si riferisce alla radice dell'unità di sistema

Un percorso tipico è C:\Windows.

%WINDIR% Si riferisce alla cartella Windows situata nell'unità disistema

Un percorso tipico è C:\Windows.

Elenco di esclusione scansione (file)OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno deinomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in undeterminato percorso del dispositivo, includere il percorso, ad esempio C:\Temp\esempio.jpg.

È possibile specificare al massimo 256 file.

Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:

• Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione perimpedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.


7-38

Per salvare e implementare le modifiche effettuate all'elenco di esclusione,selezionare una delle altre opzioni.

• Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusionesull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gliagenti, OfficeScan visualizza un messaggio di conferma.

• Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco correnteall'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco diesclusione dell'agente, l'agente lo ignorerà.

• Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco correntedall'elenco di esclusione esistente dell'agente, se presenti.

Elenco di esclusione scansione (estensione file)OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a unadelle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo256 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione.

Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare comecaratteri jolly un punto interrogativo (?) per sostituire un singolo carattere o un asterisco(*) per sostituire più caratteri. Ad esempio, se non si desidera effettuare la scansione ditutti i file le cui estensioni iniziano con la lettera D, ad esempio DOC, DOT o DAT, digitareD* o D??.

NotaScansione in tempo reale non supporta l'uso dei caratteri jolly quando si specificano leestensioni.

Applica impostazioni di esclusione scansione a tutti i tipi discansioneOfficeScan consente di configurare le impostazioni di esclusione per un tipo discansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione.Ad esempio:

Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computeragente e si rende conto che questi file non rappresentano una minaccia alla sicurezza.


7-39

Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applicaquesta impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale,Esegui scansione e Scansione pianificata sono impostate in modo da ignorare ifile .jpg.

Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione intempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Orai file JPG vengono sottoposti a scansione solo con Scansione in tempo reale.

Azioni di scansioneSpecificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva unrischio per la sicurezza. OfficeScan presenta gruppi di azioni di scansione differenti pervirus/minacce informatiche e spyware/grayware.

Azioni di scansione di virus/minacce informaticheL'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minacciainformatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Adesempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minacciainformatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione(operazione) del file infetto.

Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacceinformatiche a pagina 7-2.

Di seguito sono riportate le operazioni di OfficeScan contro virus/minacceinformatiche.

Tabella 7-12. Azioni di scansione di virus/minacce informatiche

Azione Descrizione

Elimina OfficeScan elimina il file infetto.


7-40

Azione Descrizione

Metti inquarantena

OfficeScan rinomina, crittografa e sposta il file infetto in una directory diquarantena temporanea nel dispositivo agente posizionato in <Cartella diinstallazione dell'agente>\Suspect.

L'Agente OfficeScan invia i file in quarantena alla directory di quarantenadesignata.

Consultare Directory di quarantena a pagina 7-43 per ulteriori dettagli.

La directory di quarantena predefinita si trova nel server OfficeScan, in<Cartella di installazione del server>\PCCSRV\Virus.

Se occorre ripristinare i file in quarantena, utilizzare Ripristino Files inQuarantena.

Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-47.

Disinfetta Prima di consentire l'accesso completo al file, OfficeScan disinfetta il fileinfetto.

Se il file non può essere disinfettato, OfficeScan esegue una secondaoperazione tra le seguenti: Metti in quarantena, Elimina, Rinomina eIgnora.

Per configurare la seconda azione, accedere a Agenti > Gestioneagente. Fare clic su Impostazioni > Impostazioni di scansione > {tipodi scansione} scheda > Azione.

Questa operazione può essere eseguita su tutti i tipi di minacceinformatiche ad eccezione di virus/minacce informatiche probabili.

Rinomina OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti nonpossono aprire il file rinominato immediatamente ma solo se lo associanoa una determinata applicazione.

All'apertura del file infetto rinominato, il virus o la minaccia informatica inesso contenuti potrebbero entrare in azione.

Ignora OfficeScan può utilizzare questa operazione di scansione solo se rilevaun tipo di virus durante Scansione manuale, Scansione pianificata edEsegui scansione. OfficeScan non può utilizzare questa operazione discansione durante la Scansione in tempo reale perché la mancataesecuzione di un'operazione quando si rileva un tentativo di aprire oeseguire un file infetto consente l'esecuzione del virus o della minaccia.Tutte le altre azioni di scansione possono essere utilizzate.


7-41

Azione Descrizione

Impediscil'accesso

Questa operazione di scansione può essere eseguita solo durante lascansione in tempo reale. Quando OfficeScan rileva un tentativo di aprireo eseguire un file infetto, blocca immediatamente l'operazione.

Gli utenti possono eliminare manualmente il file infetto.

Usa ActiveAction

Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. Lapersonalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacceinformatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveActionper contrastare questi problemi.

ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacceinformatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione ose non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction.

L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito.

• ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non ènecessario dedicare tempo alla configurazione delle operazioni.

• Gli sviluppatori di virus/minacce informatiche modificano costantemente il modoin cui i virus attaccano i computer. Le impostazioni di ActiveAction vengonoaggiornate per fornire protezione dalle minacce più recenti e dalle modalità diattacco di virus/minacce informatiche più recenti.

Nota

ActiveAction non è disponibile per la scansione spyware/grayware.

La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus eminacce informatiche:


7-42

Tabella 7-13. Operazioni di scansione consigliate da Trend Micro contro virus eminacce informatiche

Tipo di virus/minaccia

informatica

Scansione in tempo realeScansione manuale/

Scansione pianificata/Esegui scansione

Primaoperazione

Secondaoperazione

Primaoperazione

Secondaoperazione

Exploit CVE Impediscil'accesso

N.D. N.D. N.D.

Joke Metti inquarantena

N.D. Metti inquarantena

N.D.

Trojan Metti inquarantena


N.D.

Virus Disinfetta Metti inquarantena

Disinfetta Metti inquarantena

virus di prova Impediscil'accesso

N.D. Ignora N.D.

Packer Metti inquarantena


N.D.

Probabile malware Impediscil'accesso oazioneconfiguratadall'utente

N.D. Ignora oazioneconfiguratadall'utente

N.D.

Altra minacciainformatica



Per le probabili minacce informatiche, l'azione predefinita è "Impedisci l'accesso"durante Scansione in tempo reale e "Ignora" durante Scansione manuale, Scansionepianificata ed Esegui scansione. Se non si desidera impostare queste azioni comepreferite, è possibile modificarle in Quarantena, Elimina o Rinomina.


7-43

Stessa operazione per tutti i tipi virus o minacciainformatica

Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se comeprima operazione si è scelto "Disinfetta", selezionare una seconda operazione cheOfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è"Disinfetta", non è possibile configurare una seconda operazione.

Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azionequando rileva probabili virus/minacce informatiche.

Azione specifica per ogni tipo di virus o minaccia

Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus ominaccia informatica.

Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informaticheprobabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si èscelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire sela disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibileconfigurare una seconda operazione.

Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione,ad eccezione di "Disinfetta".

Directory di quarantena

Se l'azione di un file infetto è "Quarantena", l'Agente OfficeScan crittografa il file e lotrasferisce in una cartella di quarantena temporanea in <Cartella di installazione dell'agente>\SUSPECT e poi invia il file alla directory di quarantena designata.

Nota

Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, èpossibile ripristinarli.

Per i dettagli, consultare Ripristino dei file crittografati a pagina 7-49.


7-44

Accettare la directory di quarantena predefinita, che si trova nel computer serverOfficeScan. La directory è in formato URL e contiene il nome host del server ol'indirizzo IP.

• Se il server gestisce agenti IPv4 e IPv6, usare il nome host in modo che tutti gliAgenti OfficeScan possano inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo),solo gli Agenti OfficeScan IPv4 puri e dual-stack possono inviare file in quarantenaal server.

• Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo),solo gli Agenti OfficeScan IPv6 puri e dual-stack possono inviare file in quarantenaal server.

È anche possibile specificare una directory di quarantena alternativa immettendo ilpercorso in formato URL o UNC o un percorso di file assoluto. Gli agenti devonoessere in grado di connettersi a questa directory alternativa. Ad esempio, la directoryalternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da AgentiOfficeScan dual-stack e IPv6 puri. Trend Micro consiglia di designare una directorydual-stack alternativa, identificando la directory con il corrispondente nome host especificando la directory con un percorso UNC.

Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL,percorso UNC o percorso di file assoluto:

Tabella 7-14. Directory di quarantena

Directory diquarantena

Formato

accettato

Esempio Note

Una directory sulcomputer serverdi gestione

URL http:// <serverosce>

Questa è la directory predefinita.

Configurare le impostazioni diquesta directory, quali ledimensioni della cartella diquarantena.

Per i dettagli, consultare Gestoredella quarantena a pagina 14-65.

PercorsoUNC

\\<server osce>\ofcscan\Virus


7-45

Directory diquarantena

Formato

accettato

Esempio Note

Una directory suun altro computerserverOfficeScan (sesono presentialtri serverOfficeScan nellarete)

URL http:// <server2osce>

Accertarsi che gli AgentiOfficeScan siano in grado diconnettersi a questa directory. Sesi specifica una directory nonvalida, l'Agente OfficeScanconserva i file di quarantena nellacartella SUSPECT fino a quandonon viene specificata unadirectory di quarantena valida.Nei registri di virus e minacceinformatiche sul server, il risultatodella scansione è "Impossibileinviare il file da mettere inquarantena alla cartella inquarantena specificata".

Se si utilizza il percorso UNC,assicurarsi che la directory diquarantena sia condivisa per ilgruppo "Tutti" e che tutti i membridel gruppo abbiano i permessi dilettura e scrittura.

PercorsoUNC

\\<server2 osce>\ ofcscan\Virus

Un altrodispositivo nellarete

PercorsoUNC

\\<nome_computer>\temp

Una diversadirectorysull'AgenteOfficeScan

Percorsoassoluto

C:\temp

Crea copia di backup prima di disinfettareSe OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire ilbackup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro.OfficeScan crittografa il file di backup per impedirne l'apertura e lo archivia nella cartella<Cartella di installazione dell'agente>\Backup.

Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina7-49.


7-46


Damage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file edalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali).

L'agente avvia Damage Cleanup Services prima o dopo la scansione di virus/minacceinformatiche, in base al tipo di scansione.

• Quando viene eseguita Scansione manuale, Scansione pianificata o Eseguiscansione, l'Agente OfficeScan avvia prima Damage Cleanup Services, quindicontinua con la scansione di virus/minacce informatiche. Durante la scansione divirus/minacce informatiche, l'agente può avviare di nuovo Damage CleanupServices, se necessario.

• Durante Scansione in tempo reale, l'Agente OfficeScan esegue prima la scansionedi virus/minacce informatiche, quindi avvia Damage Cleanup Services, senecessario.

È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services:

• Disinfezione standard: durante la disinfezione standard, l'Agente OfficeScanesegue una delle seguenti azioni:

• Rileva e rimuove i cavalli di Troia attivi

• Blocca i processi innescati dai cavalli di Troia

• Ripara i file di sistema modificati dai cavalli di Troia

• Elimina i file e le applicazioni lasciati dai cavalli di Troia

• Disinfezione avanzata: oltre alle azioni di disinfezione standard, l'AgenteOfficeScan arresta le attività dei software di sicurezza non legittimi, noti anchecome falsi antivirus, nonché di alcune varianti rootkit. L'Agente OfficeScan utilizzaanche regole di disinfezione avanzate per rilevare e arrestare in modo proattivo leapplicazioni che manifestano un comportamento rootkit e da falso antivirus.

Nota

Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altronumero di falsi allarmi.


7-47

Damage Cleanup Services non esegue la scansione di virus/minacce informaticheprobabili a meno che non si selezioni l'opzione Esegui disinfezione quando vienerilevato probabile virus/minaccia informatica. Selezionare questa opzione solo sel'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso.Ad esempio, se l'Agente OfficeScan rileva probabili virus/minacce informatiche duranteScansione in tempo reale e l'azione è Metti in quarantena, l'Agente OfficeScan primamette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo didisinfezione (standard o avanzata) dipende dalle opzioni selezionate.

Mostra notifica al rilevamento di spyware/grayware

Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo realee Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio dinotifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dalmenu a discesa Tipo in Amministrazione > Notifiche > Agente.

Mostra notifica al rilevamento di probabile spyware/grayware

Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione intempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato unmessaggio di notifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dalmenu a discesa Tipo in Amministrazione > Notifiche > Agente.

Ripristino dei file in quarantena

È possibile ripristinare i file che OfficeScan ha sottoposto a quarantena se si ritiene che ilrilevamento non sia stato accurato. La funzione Ripristino quarantena centrale consentedi cercare i file nella directory di quarantena ed eseguire una verifica SHA1 per verificareche i file che si desidera ripristinare non siano stati modificati in alcun modo.


7-48

Procedura


2. Nella struttura agente, selezionare un dominio o un agente.

3. Fare clic su Operazioni > Ripristino quarantena centrale.

Viene visualizzata la schermata Ripristino quarantena centrale.

4. Digitare il nome dei dati che si desidera ripristinare nel campo File/oggettoinfetto.

5. Specificare, facoltativamente, il periodo di tempo, il nome della minaccia per lasicurezza e il percorso del file di dati.

6. Fare clic su Cerca.

Viene visualizzata la schermata Ripristino quarantena centrale, con i risultatidella ricerca.

7. Selezionare Aggiungi file ripristinato all'elenco di esclusione del dominio perassicurare che tutti gli Agenti OfficeScan nei domini dove i file sono statiripristinati aggiungano il file all'elenco di esclusione scansione.

Questa operazione assicura che OfficeScan non rilevi il file come minaccia durantele future scansioni.

8. Facoltativamente, digitare il valore SHA-1 del file a scopo di verifica.

9. Selezionare i file da ripristinare dall'elenco e fare clic su Ripristina.

Suggerimento

Per visualizzare i singoli Agenti OfficeScan che ripristinano il file, fare clic sulcollegamento nella colonna Dispositivo.

10. Fare clic su Chiudi nella finestra di dialogo di conferma.

Per verificare che OfficeScan abbia ripristinato correttamente il file di quarantena,vedere Visualizzazione dei registri di ripristino quarantena centrale a pagina 7-106.


7-49

Ripristino dei file crittografatiPer impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportatidi seguito:

• Prima di mettere un file in quarantena

• Quando si esegue un backup di un file prima di disinfettarlo

OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sianecessario recuperare le informazioni in esso contenute. OfficeScan può decodificare eripristinare i file seguenti:

Tabella 7-15. File soggetti a decodifica e ripristino in OfficeScan

File Descrizione

File in quarantena neldispositivo agente

Questi file si trovano nella cartella <Cartella di installazionedell'agente>\SUSPECT\Backup e vengono automaticamentecancellati dopo 7 giorni. Questi file inoltre vengono caricatinella directory di quarantena nel server OfficeScan.

File in quarantenanella directory diquarantena designata

Per impostazione predefinita questa directory si trova nelcomputer server OfficeScan.

Per i dettagli, consultare Directory di quarantena a pagina 7-43.

File crittografati dibackup

I file di backup dei file infetti disinfettati da OfficeScan. Questifile si trovano nella cartella <Cartella di installazionedell'agente>\Backup. Per ripristinare questi file, gli utentidevono trasferirli nella cartella <Cartella di installazionedell'agente>\SUSPECT\Backup.

OfficeScan esegue il backup e la crittografia dei file prima didisinfettarli solo se si seleziona Esegui backup dei file primadella disinfezione accedendo a Agenti > Gestione agente efacendo clic su Impostazioni > Impostazioni di scansionescheda > {Tipo di scansione} > Azione.


7-50

AVVERTENZA!

Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche adaltri file e computer. Prima di ripristinare il file, isolare il dispositivo trasferire i fileimportanti del dispositivo in un percorso di backup.

Decodifica e ripristino dei file

Procedura

• Se il file si trova nel dispositivo Agente OfficeScan:

a. Aprire il prompt dei comandi e accedere a <Cartella di installazione dell'agente>.

b. Eseguire VSEncode.exe facendo doppio clic sul file o digitando quantosegue nel prompt dei comandi:

VSEncode.exe /u

Questo parametro apre una schermata contenente un elenco dei file presentiin <Cartella di installazione dell'agente>\SUSPECT\Backup.

c. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è ingrado di ripristinare un solo file alla volta.

d. Nella schermata visualizzata specificare la cartella nella quale deve essereripristinato il file.

e. Fare clic su OK. Il file viene ripristinato nella cartella specificata.

Nota

Se OfficeScan esegue di nuovo la scansione del file subito dopo che è statoripristinato, è possibile che venga considerato infetto. Per impedire la scansionedel file, aggiungerlo all'elenco di esclusione della scansione. Consultare Esclusioniscansione a pagina 7-32 per ulteriori dettagli.

f. Terminato il ripristino dei file, fare clic su Chiudi.


7-51

• Se il file si trova nel server OfficeScan o in una directory di quarantenapersonalizzata:

a. Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandie accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\VSEncrypt.

Se il file si trova in una directory di quarantena personalizzata, accedere a<Cartella di installazione del server>\PCCSRV\Admin\Utility e copiare la cartella VSEncrypt nel dispositivo contenente ladirectory di quarantena personalizzata.

b. Creare un file di testo e digitare l'intero percorso dei file da codificare odecodificare.

Ad esempio, per ripristinare i file C:\Documenti\Reports, digitarenel file di testo C:\Documenti\Reports\*.*.

I file in quarantena nel computer server OfficeScan si trovano in <Cartelladi installazione del server>\PCCSRV\Virus.

c. Salvare il file di testo con estensione INI o TXT. Ad esempio, salvarlo con ilnome ForEncryption.ini nell'unità C:.

d. Aprire un prompt dei comandi e andare alla directory in cui si trova la cartellaVSEncrypt.

e. Digitare il comando riportato di seguito per eseguire VSEncode.exe:

VSEncode.exe /d /i <percorso del file INI o TXT>

Dove:

<percorso del file INI o TXT> è il percorso del file INI o TXTcreato (ad esempio C:\ForEncryption.ini).

f. Utilizzare gli altri parametri per ottenere comandi diversi.


7-52

Tabella 7-16. Parametri di ripristino

Parametro Descrizione

Nessuno (nessunparametro)

Codifica i file

/d Decodifica i file

/debug Creare un registro di debug e salvarlo neldispositivo. Nel dispositivo Agente OfficeScan, ilregistro di debug VSEncrypt.log viene creato in<Cartella di installazione dell'agente>.

/o Sovrascrive il file crittografato o decrittografato giàesistente

/f <nome file>. Codifica o decodifica un solo file

/nr Non ripristina il nome del file originale

/v Visualizza le informazioni sullo strumento

/u Avvia l'interfaccia utente dello strumento

/r <Cartella didestinazione>

Cartella contenente il file ripristinato

/s <Nome del fileoriginale>

Il nome del file crittografato originale

Ad esempio, è possibile digitare VSEncode [/d] [/debug] perdecodificare i file nella cartella Suspect e creare un registro di debug.Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato ocodificato nella stessa cartella. Prima di decodificare o codificare un file,accertarsi che il file non sia bloccato.

Azioni di scansione spyware/graywareL'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che harilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche perciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione valida


7-53

per tutti i tipi di spyware/grayware. Ad esempio, quando OfficeScan rileva qualsiasi tipodi spyware/grayware durante una scansione manuale (tipo di scansione), esegue ladisinfezione (operazione) delle relative risorse di sistema.

Per informazioni sui diversi tipi di virus/minacce informatiche, consultare Spyware egrayware a pagina 7-5.

Nota

Le azioni di spyware/grayware sono configurabili solo tramite la console Web. La consoledell'Agente OfficeScan non consente di accedere a queste impostazioni.

Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware.

Tabella 7-17. Azioni di scansione spyware/grayware

Azione Descrizione

Disinfetta OfficeScan interrompe i processi o elimina registri, file, cookie ecollegamenti.

Dopo aver effettuato la disinfezione di spyware e grayware, gli AgentiOfficeScan effettuano un backup dei dati relativi a spyware e graywarecosì da consentirne il ripristino nel caso in cui l'utente li consideri sicuri.

Consultare Ripristino spyware/grayware a pagina 7-56 per ulterioridettagli.

Ignora OfficeScan non esegue alcuna operazione sui componenti spyware/grayware rilevati, ma registra il rilevamento di spyware/grayware. Questaazione può essere utilizzata solo durante Scansione manuale, Scansionepianificata ed Esegui scansione. Durante Scansione in tempo reale,l'azione è "Impedisci l'accesso".

OfficeScan non esegue azioni se lo spyware/grayware rilevato non èincluso nell'elenco approvato.

Consultare Elenco Approvati spyware/grayware a pagina 7-54 perulteriori dettagli.

Impediscil'accesso

OfficeScan nega all'utente l'accesso (per copia e apertura) ai componentigrayware e spyware rilevati. Questa azione può essere eseguita solodurante Scansione in tempo reale. Durante Scansione manuale,Scansione pianificata ed Esegui scansione, l'azione è "Ignora".


7-54

Mostra notifica al rilevamento di spyware/graywareQuando OfficeScan rileva spyware/grayware durante Scansione in tempo reale eScansione pianificata, è possibile fare in modo che venga visualizzato un messaggio dinotifica per informare l'utente del rilevamento.

Per modificare il messaggio di notifica, selezionare Spyware/Grayware dal menu adiscesa Tipo in Amministrazione > Notifiche > Agente.

Elenco Approvati spyware/graywareL'Agente OfficeScan comprende un elenco di spyware/grayware "approvati" checontiene i file e le applicazioni che non devono essere considerati spyware o grayware.Quando uno spyware/grayware viene rilevato durante la scansione, l'Agente OfficeScancontrolla l'elenco approvati e, se esistono delle corrispondenze con il contenutodell'elenco, non esegue alcuna azione.

Applicare l'elenco approvati a uno o più Agenti OfficeScan e domini oppure a tutti gliAgenti OfficeScan gestiti dal server. L'elenco approvati viene applicato a tutti i tipi discansione, ossia lo stesso elenco approvati viene utilizzato durante Scansione manuale,Scansione in tempo reale, Scansione pianificata ed Esegui scansione.

Aggiunta di spyware/grayware già rilevato all'elencoapprovati Approvati

Procedura

1. Accedere a una delle seguenti sezioni:

• Agenti > Gestione agente

• Registri > Agenti > Rischi per la sicurezza


3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >Registri di spyware/grayware.


7-55

4. Specificare i parametri del registro e fare clic su Visualizza registri.

5. Selezionare i registri e fare clic su Aggiungi all'elenco Approvati.

6. Applicare gli spyware/grayware approvati solo ai computer agente selezionati o adeterminati domini.

7. Fare clic su Salva. Gli agenti selezionati applicano l'impostazione e il serverOfficeScan aggiunge gli spyware/grayware all'elenco approvati che si trova inAgenti > Gestione agente > Impostazioni > Elenco Approvati spyware/grayware.

Nota

OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elencoapprovati.

Gestione dell'elenco approvati spyware/grayware

Procedura



3. Fare clic su Impostazioni > Elenco Approvati spyware/grayware.

4. Nella tabella Nome spyware/grayware selezionare il nome dello spyware/grayware. Per selezionare più nomi, tenere premuto il tasto CTRL durante laselezione.

• Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca. Latabella viene aggiornata con i nomi che corrispondono alla parola chiave.


Il nome viene aggiunto alla tabella Elenco approvati.


7-56

6. Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic suRimuovi. Per selezionare più nomi, tenere premuto il tasto CTRL durante laselezione.




Ripristino spyware/graywareDopo aver eseguito la disinfezione da spyware/grayware, gli Agenti OfficeScaneseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup,se sono considerati innocui. Scegliere i dati spyware/grayware da ripristinare basandosisull'orario di backup.

NotaGli utenti Agente OfficeScan non possono avviare il ripristino di spyware/grayware e nonricevono la notifica sui dati di backup che l'agente ha ripristinato.

Procedura


2. Nella struttura agente, aprire un dominio e selezionare un agente.

NotaGli spyware/grayware possono essere ripristinati solo da un agente alla volta.


7-57

3. Fare clic su Operazioni > Ripristino spyware/grayware.

4. Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic suVisualizza.

Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fareclic su Indietro.

5. Selezionare i segmenti di dati che si desidera ripristinare.

6. Fare clic sul pulsante Ripristina.

OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo,consultare i registri di ripristino spyware/grayware. Consultare Visualizzazione deiregistri di ripristino spyware/grayware a pagina 7-111 per ulteriori dettagli.

Elenco Programmi affidabiliÈ possibile configurare Agenti OfficeScan in modo da non eseguire la scansione deiprocessi affidabili durante le scansioni in tempo reale e del monitoraggio delcomportamento. Dopo aver aggiunto un programma all'elenco Programmi affidabili,l'Agente OfficeScan non sottopone il programma, o i processi avviati dal programma,alla scansione in tempo reale. Per migliorare le prestazioni di scansione dei dispositivi,aggiungere i programmi affidabili all'elenco Programmi affidabili.

NotaÈ possibile aggiungere file all'elenco Programmi affidabili se vengono soddisfatti i seguentirequisiti:

• Il file non si trova nella directory di sistema di Windows.

• Il file contiene una firma digitale valida.

Dopo aver aggiunto un programma all'elenco Programmi affidabili, l'Agente OfficeScanesclude automaticamente il programma dalle scansioni seguenti:

• Verifica dei file della scansione in tempo reale



7-58

• Scansione dei processi in tempo reale

Configurazione dell'elenco Programmi affidabili

L'elenco Programmi affidabili esclude i programmi e tutti i processi secondari richiestidal programma durante i processi di scansione Scansione in tempo reale e Monitoraggiodel comportamento.

Procedura



3. Fare clic su Impostazioni > Elenco Programmi affidabili.

4. Digitare il percorso completo del programma da escludere dall'elenco.

5. Fare clic su Aggiungi all'elenco Programmi affidabili.

6. Per rimuovere un programma dall'elenco, fare clic sull'icona Elimina.

7. Per esportare l'elenco Programmi affidabili, fare clic su Esporta e selezionare unaposizione per il file.

Nota

OfficeScan salva l'elenco in formato DAT.

8. Per importare l'elenco Programmi affidabili, fare clic su Importa e selezionare unaposizione per il file.

a. Fare clic su Sfoglia... e selezionare la posizione del file DAT.

b. Fare clic su Importa.



7-59



Privilegi scansione e altre impostazioniGli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file neipropri computer. I privilegi di scansione consentono agli utenti o all'Agente OfficeScandi effettuare le attività seguenti:

• Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione intempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansionea pagina 7-59.

• Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per idettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-62.

• Gli utenti possono attivare la scansione dei messaggi e-mail POP3 per rilevarevirus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altreimpostazioni a pagina 7-68.

• L'Agente OfficeScan può usare le impostazioni delle cache per migliorare le proprieprestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni apagina 7-70.

• Gli utenti possono personalizzare l'elenco Programmi affidabili. Per i dettagli,consultare Privilegio per l'elenco Programmi affidabili a pagina 7-74.

Privilegi tipo di scansioneConsente agli utenti di configurare le impostazioni di Scansione manuale, Scansione intempo reale e Scansione pianificata.


7-60

Concessione dei privilegi tipo di scansione

Procedura




4. Nella scheda Privilegi, accedere alla sezione Scansioni.

5. Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare.




Configurazione delle impostazioni di scansione per l'agenteOfficeScan

Procedura

1. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nellabarra delle applicazioni e selezionare Apri console agente OfficeScan.

2. Fare clic su Impostazioni > {Tipo di scansione}.


7-61

Figura 7-1. Impostazioni di scansione nella console dell'Agente OfficeScan


• Impostazioni scansione in tempo reale: attività dell'utente su file, file dasottoporre a scansione, impostazioni di scansione, esclusioni dalla scansione,azioni di scansione

• Impostazioni scansione manuale: file da sottoporre a scansione, impostazionidi scansione, uso della CPU, esclusioni dalla scansione, azioni di scansione

• Impostazioni scansione pianificata: pianificazione, file da sottoporre ascansione, impostazioni di scansione, uso della CPU, esclusioni dallascansione, azioni di scansione


7-62

4. Fare clic su OK.

Privilegi scansione pianificata e altre impostazioni

Se Scansione pianificata è impostata per l'esecuzione sull'agente, gli utenti possonorimandare, ignorare o interrompere la Scansione pianificata.

Rimanda scansione pianificata

Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possonoeseguire le seguenti operazioni:

• Rimandare la scansione pianificata prima che venga eseguita e specificare quindi ladurata del ritardo. La scansione pianificata può essere postposta una sola volta.

• Se Scansione pianificata è in esecuzione, gli utenti possono interrompere lascansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deveintercorrere prima del riavvio della scansione. Al riavvio, i file analizzati inprecedenza vengono di nuovo sottoposti a scansione. È possibile interrompere eriavviare la scansione pianificata una sola volta.

Nota

Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15minuti. Il periodo massimo è 12 ore e 45 minuti.

Per modificare la durata del rinvio, accedere a Agenti > Impostazioni globali agentenella scheda Impostazioni di protezione. Nella sezione Impostazioni scansionepianificata, modificare l'impostazione Rimanda scansione pianificata fino a __ ore e__ minuti.

Salta e interrompi scansione pianificata

Questo privilegio consente agli utenti di eseguire le operazioni seguenti:

• Salta scansione pianificata prima che venga eseguita


7-63

• Interrompi scansione pianificata mentre è in corso

Nota

Gli utenti non possono ignorare o arrestare Scansione pianificata più di una volta. Anchedopo il riavvio del sistema, Scansione pianificata riprende la scansione in base al successivoorario di pianificazione.

Notifica di privilegio Scansione pianificataPer consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibilericordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notificaprima dell'esecuzione di Scansione pianificata.

Concessione privilegi scansione pianificata evisualizzazione notifica dei privilegi

Procedura




4. Nella scheda Privilegi, passare alla sezione Scansioni pianificate.


• Rimanda scansione pianificata

• Salta e interrompi scansione pianificata

6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioniscansione pianificata.

7. Selezionare Visualizza una notifica prima dell'esecuzione della scansionepianificata.


7-64

Quando questa opzione è attivata, nel dispositivo agente viene visualizzato unmessaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata.Gli utenti vengono informati della pianificazione della scansione (data e ora) e deiloro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare ointerrompere la scansione pianificata.

Nota

È possibile configurare il numero di minuti. Per configurare il numero di minuti,passare a Agenti > Impostazioni globali agente nella scheda Impostazioni diprotezione. Nella sezione Impostazioni scansione pianificata, modificarel'impostazione Ricorda agli utenti la scansione pianificata __ minuti primadell'esecuzione.




Rinviare, ignorare e arrestare la scansione pianificatasull'agente

Procedura

• Se la scansione pianificata non è stata avviata:

a. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScannella barra delle applicazioni e selezionare Impostazioni scansionepianificata avanzata.


7-65

Figura 7-2. Opzione Impostazioni avanzate della scansione

NotaSe il messaggio di notifica è attivato ed è impostato in modo da esserevisualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non ènecessario che gli utenti eseguano questo passaggio. Per ulteriori informazionisul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina7-63.

b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioniseguenti:

• Postponi scansione di __ ore e __ minuti.

• Salta questa scansione pianificata. La prossima Scansionepianificata verrà eseguita il <data> alle <ora>..


7-66

Figura 7-3. Privilegi di Scansione pianificata nel dispositivo AgenteOfficeScan

• Se la scansione pianificata è in corso:

a. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScannella barra delle applicazioni e selezionare Impostazioni avanzate dellascansione pianificata.

b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioniseguenti:

• Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti.

• Interrompi scansione. La prossima Scansione pianificata verràeseguita il <data> alle <ora>..


7-67

Figura 7-4. Privilegi di Scansione pianificata nel dispositivo AgenteOfficeScan


7-68

Privilegi scansione e-mail e altre impostazioni

Quando gli Agenti OfficeScan dispongono dei privilegi di scansione e-mail, l'opzioneScansione e-mail viene visualizzata nella console dell'Agente OfficeScan. L'opzioneScansione e-mail visualizza Scansione e-mail POP3.

Figura 7-5. Impostazioni di scansione e-mail nella console dell'Agente OfficeScan

La seguente tabella indica il programma di scansione e-mail POP3.


7-69

Tabella 7-18. Programmi di scansione e-mail.

Dettagli Descrizione

Scopo Esegue la scansione dei messaggi e-mail POP3 per rilevarevirus o minacce informatiche.

Prerequisiti • Prima che gli utenti possano utilizzarlo, gli amministratoridevono attivarlo dalla console Web.

NotaPer abilitare la scansione e-mail POP3, vedereConcessione dei privilegi scansione e-mail eattivazione di POP3 Mail Scan a pagina 7-69.

• È possibile configurare azioni per contrastare virus/minacce informatiche dalla console dell'AgenteOfficeScan, ma non dalla console Web.

Tipi di scansionesupportati

Scansione in tempo reale

La scansione viene eseguita quando i messaggi e-mailvengono scaricati dal server di posta POP3.

Risultati scansione • Informazioni sui rischi per sicurezza rilevati disponibilidopo il completamento della scansione.

• Risultati di scansione non registrati nella schermataRegistri della console dell'Agente OfficeScan

• Risultati di scansione non inviati al server.

Altri dettagli Condivide OfficeScan NT Proxy Service (TMProxy.exe) con lafunzione Reputazione Web.

Concessione dei privilegi scansione e-mail e attivazione diPOP3 Mail Scan

Procedura



7-70



4. Nella scheda Privilegi, accedere alla sezione Scansione e-mail.

5. Selezionare Visualizza le impostazioni Scansione e-mail nella console agenteOfficeScan.

6. Fare clic sulla scheda Altre impostazioni e andare alla sezione ImpostazioniScansione e-mail POP3..

7. Selezionare Analizza i messaggi e-mail POP3.




Impostazioni cache per le scansioniPer migliorare le proprie prestazioni di scansione, l'Agente OfficeScan è in grado dicreare la firma digitale e i file di cache per la scansione su richiesta. Quando vieneeseguita una scansione su richiesta, l'Agente OfficeScan verifica innanzitutto il file dicache della firma digitale e successivamente il file di cache per la scansione su richiestaper individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti sedalla scansione viene escluso un elevato numero di file.


7-71

Cache della firma digitale

Il file di cache della firma digitale viene utilizzato durante le funzioni Scansione manuale,Scansione pianificata ed Esegui scansione. Gli agenti non eseguono la scansione dei filela cui firma è stata aggiunta al file di cache della firma digitale.

L'Agente OfficeScan utilizza lo stesso Digital Signature Pattern utilizzato dalMonitoraggio del comportamento per creare il file di cache della firma digitale. Il DigitalSignature Pattern contiene un elenco di file che Trend Micro considera affidabili e chepertanto è possibile escludere dalle scansioni.

Nota

Monitoraggio del comportamento viene disattivato automaticamente sulle piattaformeserver Windows (il supporto delle piattaforme a 64 bit per Windows XP e 2003 non èdisponibile). Se la cache della firma digitale è attivata, gli Agenti OfficeScan presenti suqueste piattaforme scaricano Digital Signature Pattern per utilizzarlo nella cache, senzascaricare gli altri componenti del monitoraggio del comportamento.

Gli agenti creano il file di cache della firma digitale in base a una pianificazione,configurabile dalla console Web. Questo serve per:

• Aggiungere le firme dei nuovi file introdotti nel sistema dall'ultima volta in cui il filedi cache è stato creato

• Rimuovere le firme dei file che sono stati modificati o eliminati dal sistema

Durante il processo di creazione della cache, gli agenti eseguono un controllo sulleseguenti cartelle per individuare i file attendibili, quindi aggiungono le firme di questi fileal file di cache delle firme digitali:

• %PROGRAMFILES%

• %WINDIR%

Il processo di creazione della cache non influisce sulle prestazioni del dispositivo perchégli agenti utilizzano risorse di sistema minime durante tale processo. Gli agenti sonoanche in grado di riprendere l'attività di creazione della cache che per qualche motivo erastata interrotta, ad esempio quando un computer host viene spento oppure quando unadattatore del dispositivo wireless viene scollegato dall'alimentazione.


7-72

Impostazione cache scansione su richiestaIl file di cache della scansione su richiesta viene utilizzato durante Scansione manuale,Scansione pianificata ed Esegui scansione. Gli Agenti OfficeScan non effettuano lascansione dei file le cui cache sono state aggiunte al file di cache della scansione surichiesta.

Ogniqualvolta si esegue una scansione, l'Agente OfficeScan verifica le proprietà dei fileprivi di minacce. Se un file privo di minacce non è stato modificato per un certo periododi tempo, (è possibile configurare il periodo di tempo), l'Agente OfficeScan aggiunge lacache del file al file di cache della scansione su richiesta. Quando viene eseguita lascansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta.

La cache di un file privo di minacce scade entro un determinato numero di giorni (èpossibile configurare anche il periodo di tempo). Quando si esegue una scansionedurante o dopo la scadenza della cache, l'Agente OfficeScan rimuove la cache scaduta edesegue la scansione del file per verificare la presenza di minacce. Se il file è privo diminacce e non viene modificato, la cache del file viene aggiunta nuovamente al file dicache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato direcente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione lavolta successiva.

La cache per il file privo di minacce scade per impedire di escludere dalla scansione i fileinfetti, così come illustrato nei seguenti esempi:

• È possibile che un file di pattern estremamente obsoleto possa aver considerato unfile infetto non modificato come file privo di minacce. Se la cache non è scaduta, ilfile infetto resta nel sistema fino a quando non viene modificato e rilevato daScansione in tempo reale.

• Se un file memorizzato nella cache è stato modificato e Scansione in tempo realenon è operativa durante la modifica del file, la cache deve scadere in modo che ilfile modificato possa essere sottoposto alla scansione per le minacce.

Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipodi scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minorese l'Agente OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presenti neldispositivo durante Scansione manuale.

Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache dellascansione su richiesta riduce significativamente il tempo di scansione. In un'operazione


7-73

di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deverimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni.Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, alfile di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza piùestesa, ciò significa che dalla scansione vengono esclusi più file.

Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare lacache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguitala scansione successiva.

Configurazione impostazioni cache per le scansioni

Procedura




4. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazionicache per le scansioni.

5. Configurare le impostazioni per la cache della firma digitale.

a. Selezionare Attiva cache firma digitale.

b. In Costruisci cache ogni __ giorni, specificare con quale frequenza l'agentedovrà creare la cache.

6. Configurare le impostazioni per la cache della scansione su richiesta.

a. Selezionare Attiva cache scansione su richiesta.

b. In Aggiungi la cache per i file sicuri non modificati per __ giorni,specificare il numero di giorni per i quali un file deve restare inalterato primadi essere memorizzato nella cache.


7-74

c. In La cache per ogni file sicuro scade tra __ giorni, specificare il numeromassimo di giorni in cui una cache deve restare nel file di cache.

NotaPer evitare che tutte le cache aggiunte nel corso di una scansione scadano lostesso giorno, le cache scadono in modo casuale nell'arco del numero massimodi giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono stateaggiunte 500 cache ed il numero massimo di giorni specificato è 10, una partedelle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Ildecimo giorno, tutte le cache rimaste scadranno.




Privilegio per l'elenco Programmi affidabiliÈ possibile concedere agli utenti finali il privilegio di configurare OfficeScan in modo danon eseguire la scansione dei processi affidabili durante le scansioni in tempo reale e delmonitoraggio del comportamento. Dopo aver aggiunto un programma all'elencoProgrammi affidabili, OfficeScan non sottopone il programma o i processi avviati dalprogramma alla scansione in tempo reale. Per migliorare le prestazioni di scansione deidispositivi, aggiungere i programmi affidabili all'elenco Programmi affidabili.


7-75

Concessione delle impostazioni relative all'elencoProgrammi affidabili

Procedura




4. Nella scheda Privilegi, andare alla sezione Elenco Programmi affidabili.

5. Selezionare Visualizza l'elenco Programmi affidabili nella console dell'agenteOfficeScan.




Impostazioni globali di scansioneLe impostazioni globali di scansione possono essere applicate agli agenti in diversi modi.

• Un'impostazione di scansione particolare può essere applicata a tutti gli agentigestiti dal server o solo agli agenti con determinati privilegi di scansione. Adesempio, se è stato configurato di rinviare la durata di Scansione pianificata, solo gliagenti con tale privilegio utilizzeranno questa impostazione.


7-76

• Un'impostazione di scansione particolare può essere applicata a tutti i tipi discansione o a uno in particolare. Ad esempio, negli dispositivi in cui sono installatisia il server OfficeScan che l'Agente OfficeScan, è possibile escludere il databasedel server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solodurante Scansione in tempo reale.

• Un'impostazione di scansione particolare può essere applicata alla scansione perrilevare virus/minacce informatiche o a quella per rilevare spyware/graywareoppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durantela scansione per rilevare spyware/grayware.

Configurazione delle impostazioni di scansione globali

Procedura


2. Fare clic sulla scheda Impostazioni di sicurezza e configurare le impostazioni discansione globali in tutte le sezioni disponibili.

• Sezione impostazioni di scansione a pagina 7-78

• Sezione Impostazioni scansione pianificata a pagina 7-84


4. Nella sezione Impostazioni servizio certificato Safe Software, configurarel'impostazione Attiva il servizio certificato Safe Software per il monitoraggiodel comportamento, il firewall e le scansioni antivirus.

Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare lasicurezza di un programma rilevato da Blocco del comportamento malware,Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizioCertified Safe Software per ridurre la possibilità di falsi allarmi.


7-77

Nota

Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (permaggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 15-52)prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette,insieme a una connessione Internet intermittente, possono provocare ritardi omancate risposte dai datacenter Trend Micro. Di conseguenza, i programmicontrollati non rispondono.

Inoltre, gli Agenti OfficeScan IPv6 puri non possono inviare query direttamente aidatacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizziIP, ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan dicollegarsi ai datacenter Trend Micro.


6. Nella sezione Impostazioni di banda del registro virus/minacceinformatiche, configurare l'impostazione Consenti agli agenti OfficeScan dicreare un'unica voce sul registro di virus/minacce informatiche per irilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora.

OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioniderivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periododi tempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minacciainformatica più volte, compilando rapidamente il registro relativo a virus/minacceinformatiche e consumando l'ampiezza di banda quando l'Agente OfficeScan inviale informazioni del registro al server. L'attivazione di questa funzione consente diridurre il numero di voci di registro relative a virus/minacce informatiche e laquantità di ampiezza di banda utilizzata dagli Agenti OfficeScan quando segnalanole informazioni del registro dei virus al server.


8. Nella sezione Impostazioni generali, configurare l'impostazione Aggiungiscansione manuale al menu dei collegamenti di Windows negli dispositivo.

Quando questa impostazione è attivata, nel menu di scelta rapida di Esplora risorsedi tutti gli Agenti OfficeScan gestiti dal server viene aggiunta l'opzione Eseguiscansione con OfficeScan. Quando gli utenti fanno clic con il pulsante destro delmouse su un file o una cartella nel desktop di Windows o in Esplora risorse e


7-78

selezionano questa opzione, Scansione manuale esegue la scansione del file o dellacartella per rilevare virus/minacce informatiche e spyware/grayware.

Figura 7-6. Opzione Esegui scansione con OfficeScan


Sezione impostazioni di scansione

La sezione Impostazioni di scansione nella scheda Impostazioni di protezione dellaschermata Impostazioni globali agente consente agli amministratori di configurarequanto segue:

• Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina7-79

• Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 7-79

• Attiva Scansione differita in operazioni su file a pagina 7-80

• Attivazione della protezione dell'avvio dell'anti-malware preliminare sui dispositivi a pagina7-80

• Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 7-80

• Attiva modalità di valutazione a pagina 7-83

• Esegui scansione cookie a pagina 7-84


7-79

Escludi la cartella del database del server OfficeScan dallascansione in tempo reale

Se l'Agente OfficeScan e il server OfficeScan coesistono nello stesso dispositivo, conScansione in tempo reale l'Agente OfficeScan non eseguirà la scansione del database delserver per rilevare virus/minacce informatiche e spyware/grayware.

Suggerimento

Attivare questa impostazione per impedire il verificarsi di eventuali danni al databasedurante la scansione.

Escludi cartelle e file del server Microsoft Exchange dallascansione

Se l'Agente OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nellostesso dispositivo, durante Scansione manuale, Scansione in tempo reale, Scansionepianificata ed Esegui scansione OfficeScan non esegue la scansione delle seguenticartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/grayware:

• Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp eBadMail

• .\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb,pub1.stm e pub1.edb

• .\Exchsrvr\Gruppo di archiviazione

Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunteall'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulleesclusioni dalla scansione, visitare il sito Web riportato di seguito:


Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione,vedere Esclusioni scansione a pagina 7-32.



7-80

Attiva Scansione differita in operazioni su file

Gli amministratori possono configurare OfficeScan per posticipare la scansione dei file.OfficeScan consente all'utente di copiare i file, effettuando la scansione dopo ilcompletamento del processo di copia. Tale scansione differita migliora le prestazioni deiprocessi di copia e scansione.

Nota

La scansione differita richiede che la versione del motore di scansione virus (VSAPI) 9.713o versioni successive. Per maggiori dettagli sull'aggiornamento del server, vedereAggiornamento manuale del server OfficeScan a pagina 6-27.

Attivazione della protezione dell'avvio dell'anti-malwarepreliminare sui dispositivi

OfficeScan supporta la funzione di avvio dell'anti-malware preliminare (ELAM), inclusanell'avvio protetto standard, per proteggere i dispositivi in fase di avvio. Gliamministratori possono attivare questa funzione per avviare gli agenti OfficeScan primadegli altri driver del software di terze parti all'avvio dei dispositivi. Questa funzioneconsente agli agenti OfficeScan di rilevare la minaccia informatica durante il processo diavvio del sistema operativo.

Dopo la scansione dei driver del software di terze parti, l'agente OfficeScan indica leinformazioni di classificazione dei driver al kernel di sistema. Gli amministratoripossono definire le azioni in base alle classificazioni dei driver in Criteri di gruppo diWindows e possono visualizzare i risultati delle scansioni utilizzando Visualizzatoreeventi sui dispositivi.

Nota

La funzione antimalware a esecuzione anticipata è supportata solo in Windows 8, WindowsServer 2012 o versioni successive.

Disinfetta/Elimina file infetti all'interno dei file compressi

Quando tutti gli agenti gestiti dal server rilevano virus/minacce informatiche all'internodei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansione


7-81

pianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i fileinfetti vengono disinfettati o eliminati dagli agenti.

• "Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Perverificare l'azione che OfficeScan esegue sui file infetti, accedere a Agenti >Gestione agente > Impostazioni > Impostazioni di scansione > {Tipo discansione} scheda > Azione.

• Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo dellerisorse del dispositivo durante la scansione potrebbe aumentare e la scansionepotrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan devedecomprimere il file compresso, disinfettare/eliminare i file infetti all'interno delfile compresso e infine comprimere di nuovo il file.

• Il formato di file compresso è supportato. OfficeScan supporta solo alcuni formatidi file compressi, tra cui ZIP e Office Open XML, che utilizzano tecnologie dicompressione ZIP. Office Open XML è il formato predefinito per le applicazioniMicrosoft Office 2007 come Excel, PowerPoint e Word.

NotaPer un elenco completo dei formati file compressi supportati, contattare l'assistenzatecnica.

Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus.Quando Scansione in tempo reale decomprime un file compresso denominato abc.zipe rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc ecomprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essereaperto.

La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta.


7-82

Tabella 7-19. Scenari e risultati dei file compressi

Stato di"Disinfetta/Elimina file

infettiall'internodei file

compressi"

Operazioneche

OfficeScandeve

eseguire

Formato filecompresso Risultato

Attivato Disinfetta oelimina

Non supportato

Ad esempio:def.rar contieneun file infetto123.doc.

OfficeScan codifica def.rar manon disinfetta, elimina o eseguealtre operazioni su 123.doc.

Disattivata Disinfetta oelimina

Supportato/Nonsupportato

Ad esempio:abc.zip contieneun file infetto123.doc.

OfficeScan non disinfetta, eliminao esegue altre operazioni suabc.zip e 123.doc.


7-83

Stato di"Disinfetta/Elimina file

infettiall'internodei file

compressi"

Operazioneche

OfficeScandeve

eseguire

Formato filecompresso Risultato

Attivato/Disattivato

Nondisinfettare oeliminare (inaltre parole,una delleseguenti:Rinomina,Metti inquarantena,Impediscil'accesso oIgnora)

Supportato/Nonsupportato

Ad esempio:abc.zip contieneun file infetto123.doc.

OfficeScan esegue l'operazioneconfigurata (Rinomina, Metti inquarantena, Impedisci l'accesso oIgnora) su abc.zip, non su123.doc.

Se l'operazione è:

Rinomina: OfficeScan rinominaabc.zip in abc.vir, ma nonrinomina 123.doc.

Metti in quarantena: OfficeScanmette in quarantena abc.zip(123.doc e tutti i file non infettivengono messi in quarantena).

Ignora: OfficeScan non eseguealcuna operazione su abc.zip e123.doc, ma registra ilrilevamento del virus.

Impedisci l'accesso: OfficeScanimpedisce l'accesso a abc.zipquando è aperto (123.doc e tutti ifile non infetti non possonoessere aperti).

Attiva modalità di valutazione

Durante la modalità di valutazione, tutti gli agenti gestiti dal server registreranno spywaree grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata,Scansione in tempo reale ed Esegui scansione, ma i componenti spyware e grayware nonverranno disinfettati. La disinfezione interrompe i processi o elimina registri, file, cookiee collegamenti.


7-84

La modalità di valutazione di Trend Micro consente di valutare gli elementi che TrendMicro considera spyware/grayware e di prendere provvedimenti in base alla valutazione.Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per lasicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati.

In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione:

• Ignora: durante l'utilizzo di Scansione manuale, Scansione pianificata ed Eseguiscansione

• Impedisci l'accesso: durante l'utilizzo di Scansione in tempo reale

NotaLa modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configuratedall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansionedurante Scansione manuale, "Ignora" resta l'operazione di scansione quando l'agente è inmodalità di valutazione.

Esegui scansione cookieSelezionare questa opzione se i cookie vengono considerati un potenziale rischio per lasicurezza. Quando l'opzione è selezionata, tutti gli agenti gestiti dal server eseguiranno lascansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansionepianificata, Scansione in tempo reale ed Esegui scansione.

Sezione Impostazioni scansione pianificataLe impostazioni riportate di seguito vengono utilizzate esclusivamente dagli agentiimpostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado dirilevare virus/minacce informatiche e spyware/grayware.

La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansioneconsente agli amministratori di configurare quanto segue:

• Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 7-85

• Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 7-85

• Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __minuti a pagina 7-86


7-85

• Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless èinferiore a __ % e l'adattatore è scollegato dall'alimentazione a pagina 7-86

• Riprendi una scansione pianificata non effettuata a pagina 7-86

Ricorda agli utenti la scansione pianificata __ minuti primadell'esecuzione

OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansionepianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e perricordargli i privilegi della scansione pianificata concessi.

Il messaggio di notifica può essere attivato o disattivato da Agenti > Gestione agente> Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda) >Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria nonviene visualizzato.

Rimanda scansione pianificata fino a __ ore e __ minuti

Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possonoeseguire le operazioni riportate di seguito:

• Rimandare la scansione pianificata prima che venga eseguita e specificare quindi ladurata del ritardo.

• Se Scansione pianificata è in esecuzione, gli utenti possono interrompere lascansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deveintercorrere prima del riavvio della scansione. Al riavvio, i file analizzati inprecedenza vengono di nuovo sottoposti a scansione.

La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negliappositi campi.


7-86

Interrompi automaticamente la scansione pianificata quandol'operazione dura più di __ ore e __ minuti

Quando viene superato il periodo di tempo massimo specificato e la scansione non èancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agliutenti i rischi per la sicurezza rilevati durante la scansione.

Saltare la scansione pianificata quando la durata residua dellabatteria dell'dispositivo wireless è inferiore a __ % e l'adattatoreè scollegato dall'alimentazione

All'avvio di Scansione pianificata, OfficeScan ignora immediatamente la scansione serileva che la durata residua della batteria del dispositivo wireless si sta esaurendo el'adattatore non è collegato all'alimentazione. Se la durata residua della batteria è limitatama l'adattatore è collegato all'alimentazione, la scansione prosegue.

Riprendi una scansione pianificata non effettuata

Quando una scansione pianificata non viene avviata perché OfficeScan non era inesecuzione alla data e all'ora pianificate o se l'utente l'ha interrotta (ad esempio,spegnendo il dispositivo dopo l'inizio della scansione), è possibile specificare quandoOfficeScan deve riprendere la scansione.

Specificare la scansione pianificata da riavviare:

• Riprendi una scansione pianificata interrotta: riprende le scansioni pianificateche l'utente ha interrotto spegnendo il dispositivo

• Riprendi una scansione pianificata non effettuata: riprende le scansionipianificate non effettuate perché il dispositivo non era in esecuzione

Specificare quando riprendere la scansione:

• Stessa ora giorno successivo: se OfficeScan è in esecuzione esattamente allastessa ora il giorno successivo, la scansione viene ripresa.

• __ minuti dopo l'avvio del dispositivo: OfficeScan riprende la scansione undeterminato numero di minuti dopo che l'utente ha acceso il dispositivo. Il numerodi minuti è compreso tra 10 e 120.


7-87

Nota

Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongonodei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altreimpostazioni a pagina 7-62.

Notifiche sui Rischi per la sicurezzaOfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente,altri amministratori OfficeScan e gli utenti Agente OfficeScan sui rischi per la sicurezzarilevati.

Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche deirischi per la sicurezza per gli amministratori a pagina 7-87.

Per ulteriori informazioni sulle notifiche inviate agli utenti dell'Agente OfficeScan,consultare Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-93.

Notifiche dei rischi per la sicurezza per gli amministratori

Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori diOfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quandol'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto,l'intervento dell'utente.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.

Tabella 7-20. Tipi di notifiche sui rischi per la sicurezza

Tipo Riferimento

Virus/minacceinformatiche

Configurazione delle notifiche dei rischi per la sicurezza per gliamministratori a pagina 7-88


7-88

Tipo Riferimento

Spyware/Grayware Configurazione delle notifiche dei rischi per la sicurezza per gliamministratori a pagina 7-88

Trasmissioni di risorsedigitali

Configurazione delle notifiche di Prevenzione perdita di datiper gli amministratori a pagina 11-54

Callback C&C Configurazione delle notifiche di callback C&C per gliamministratori a pagina 12-16

Nota

OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi diWindows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notificaattraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina14-40.

Configurazione delle notifiche dei rischi per la sicurezza pergli amministratori

Procedura

1. Accedere a Amministrazione > Notifiche > Amministratore.

Viene visualizzata la schermata Notifiche amministratore.

2. Nella scheda Criteri:

a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware.

b. Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/minacce informatiche e spyware/grayware o solo quando l'azione eseguitacontro i rischi per la sicurezza non è riuscita.

3. Nella scheda E-mail:

a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti dispyware/grayware.


7-89

b. Selezionare Attiva notifica mediante e-mail.

c. Selezionare Invia notifiche agli utenti con autorizzazioni per i dominidella struttura agente.

È possibile utilizzare il Role-based Administration (RBA) per concedere agliutenti autorizzazioni per il dominio della struttura agente. Se un rilevamento siverifica in un Agente OfficeScan appartenente a un dominio specifico, ilmessaggio e-mail viene inviato all'indirizzo e-mail degli utenti conautorizzazioni per il dominio. La tabella seguente illustra alcuni esempi:

Tabella 7-21. Autorizzazioni e domini della struttura agente

Dominio dellastrutturaagente

Ruoli conautorizzazioniper il dominio

Accountutente con il

ruolo

Indirizzo e-mail

dell'accountutente

Dominio A Amministratore(integrato)

root [email protected]

Role_01 admin_john [email protected]

admin_chris [email protected]

Dominio B Amministratore(integrato)


Role_02 admin_jane [email protected]

Se un Agente OfficeScan appartenente al Dominio A rileva un virus, ilmessaggio e-mail viene inviato a [email protected], [email protected] [email protected].

Se un Agente OfficeScan appartenente al Dominio B rileva uno spyware, ilmessaggio e-mail viene inviato a [email protected] e [email protected].

NotaSe si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominiodevono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notificanon sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Gestione account > Accountutente.


7-90

d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gliindirizzi e-mail.

e. Specificare l'oggetto nel campo Oggetto della notifica e-mail.

f. Specificare i contenuti nel campo Messaggio.

OfficeScan supporta l'uso di token nei campi Oggetto e Messaggio.

Tabella 7-22. Variabili token per notifiche dei rischi per la sicurezza

Tokenvariabile Descrizione

Rilevamenti di virus/minacce informatiche

%v Nome della minaccia alla sicurezza

%s Dispositivo con il rilevamento

%i Indirizzo IP del dispositivo

%c Indirizzo MAC del dispositivo

%m Dominio del dispositivo

%p Posizione di virus/minaccia informatica

%y Data e ora del rilevamento

%e Versione motore di scansione virus

%r Versione del pattern dei virus

%a Azione eseguita per contrastare il rischio per la sicurezza

%n Nome dell'utente che ha effettuato l'accesso nel dispositivo

Rilevamenti di spyware/grayware






7-91



%T Risultato della scansione e presenza di spyware e grayware

4. Fare clic sulla scheda Trap SNMP:


b. Selezionare Attiva notifica mediante trap SNMP.

c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo levariabili token presenti nella seguente tabella per rappresentare i dati nelcampo Messaggio.


Variabile Descrizione














7-92











5. Nella scheda Registro eventi NT:


b. Selezionare Attiva notifica mediante registro eventi NT.

c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo levariabili token presenti nella seguente tabella per rappresentare i dati nelcampo Messaggio.









7-93



















Notifiche dei rischi per la sicurezza per gli utentidell'agente OfficeScan

OfficeScan è in grado di visualizzare i messaggi di notifica sui dispositivi dell'AgenteOfficeScan:


7-94

• Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se losi desidera, modificarne il contenuto.

• Se il riavvio di un dispositivo è necessario per completare la disinfezione dei fileinfetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo lascansione di un rischio per la sicurezza specifico. Con Scansione manuale,Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una voltae solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni dellascansione.

Tabella 7-25. Tipi di notifiche dell'agente sui rischi per la sicurezza

Tipo Riferimento

Virus/minacceinformatiche

Configurazione delle notifiche di virus/minacce informaticheper agenti OfficeScan a pagina 7-96

Spyware/Grayware Configurazione delle notifiche di spyware/grayware a pagina7-96

Violazioni del firewall Modifica del contenuto del messaggio di notifica del firewall apagina 13-30

Violazioni dellareputazione Web

Modifica delle notifiche di minacce Web a pagina 12-15

Violazioni del controllodispositivo

Modifica delle notifiche di controllo dispositivo a pagina 10-18

Violazione ai criteri dimonitoraggio delcomportamento

Modifica del contenuto del messaggio di notifica a pagina9-23


Configurazione delle notifiche di Prevenzione perdita di datiper gli agenti a pagina 11-58

Callback C&C Modifica delle notifiche di minacce Web a pagina 12-15


7-95

Notifica agli utenti del rilevamento di spyware/grayware evirus/minacce informatiche

Procedura



3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioniscansione in tempo reale o su Impostazioni > Impostazioni di scansione >Impostazioni scansione pianificata.

4. Fare clic sulla scheda Azione.


• Visualizza un messaggio di notifica sull'dispositivo agente alrilevamento di virus/minacce informatiche

• Visualizza un messaggio di notifica sull'dispositivo agente alrilevamento di probabili virus/minacce informatiche





7-96

Configurazione delle notifiche di virus/minacce informaticheper agenti OfficeScan

È possibile configurare l'Agente OfficeScan per notificare agli utenti finali il risultato diun tentativo di disinfettare o mettere in quarantena un virus/malware.

Procedura

1. Accedere a Amministrazione > Notifiche > Agente.

2. Dal menu a discesa Tipo, selezionare Virus/minacce informatiche

3. Configurare le impostazioni di rilevamento.

a. Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacceinformatiche o separare le notifiche in base ai seguenti livelli di gravità:

• Alto: l'Agente OfficeScan non è stato in grado di gestire una minacciainformatica grave

• Medio: l'Agente OfficeScan non è stato in grado di gestire una minacciainformatica

• Basso: l'Agente OfficeScan ha risolto tutte le minacce

b. Accettare o modificare i messaggi predefiniti.


Configurazione delle notifiche di spyware/grayware

Procedura


2. Dal menu a discesa Tipo, selezionare Spyware/grayware.

3. Accettare o modificare il messaggio predefinito.


7-97


Notifica del riavvio agli agenti per completare ladisinfezione dei file infetti

Procedura




4. Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica.

5. Selezionare Visualizza un messaggio di notifica se è necessario un riavviodell'dispositivo per completare la disinfezione dei file infetti.




Registri dei rischi per la sicurezzaOfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/graywaree quando ripristina spyware/grayware.


7-98


Visualizzazione dei registri di virus/minacce informaticheQuando rileva virus e minacce informatiche, l'Agente OfficeScan genera i registri e liinvia al server.

Procedura





3. Andare alla schermata Criteri dei registri di virus/minacce informatiche:

• dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri di virus/minacce informatiche.

• Dalla schermata Gestione agente, fare clic su Registri > Registri di virus/minacce informatiche.


5. Visualizzare i registri. I registri contengono le seguenti informazioni:




Minaccia alla sicurezza Nome della minaccia alla sicurezza


7-99



File/oggetto infetto Posizione del file/oggetto nel dispositivo

Tipo di scansione Scansione che ha rilevato la minaccia

Risultato Il risultato dell'azione effettuata

NotaPer ulteriori informazioni sui risultati dellascansione, vedere Risultati della scansioneantivirus/minacce informatiche a pagina 7-99.

Indirizzo IP L'indirizzo IP e il numero di porta dell'dispositivo diorigine

Indirizzo MAC Indirizzo MAC del dispositivo infetto

Dettagli Un collegamento che mostra l'analisi dettagliata delrilevamento specifico

6. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esportatutti in CSV. Aprire il file o salvarlo in una posizione specifica.

Il file CSV contiene le seguenti informazioni:

• Tutte le informazioni dei registri

• Il nome dell'utente collegato all'dispositivo al momento del rilevamento

Risultati della scansione antivirus/minacce informaticheI seguenti risultati della scansione vengono visualizzati nei registri di virus/minacceinformatiche:


7-100

Tabella 7-26. Risultati scansione

Risultato Descrizione

Eliminati • La prima azione è “Elimina” e il file infetto è stato eliminato.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Elimina” e il file infetto è statoeliminato.

In quarantena • La prima azione è “Metti in quarantena” e il file infetto è statomesso in quarantena.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Metti in quarantena” e il fileinfetto è stato messo in quarantena.

Disinfettati È stato disinfettato un file infetto.

Rinominati • La prima azione è “Rinomina” e il file infetto è statorinominato.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Rinomina” e il file infetto èstato rinominato.

Accesso negato • La prima azione è “Impedisci l'accesso” e l'accesso al fileinfetto è stato impedito quando l'utente ha tentato di aprire ilfile.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Impedisci l'accesso” el'accesso al file infetto è stato impedito quando l'utente hatentato di aprire il file.

• Probabile virus/minaccia informatica individuato duranteScansione in tempo reale.

• La scansione in tempo reale impedisce l'accesso ai file chesono stati infettati da virus boot anche nel caso in cui l'azionedi scansione sia impostata su “Disinfetta” (prima azione) e“Metti in quarantena” (seconda azione). Ciò è dovuto al fattoche il tentativo di disinfettare il virus potrebbe danneggiare ilMaster Boot Record (MBR) dell'dispositivo infetto. eseguire lascansione manuale per permettere a OfficeScan didisinfettare o mettere in quarantena il file.


7-101


Ignorati • La prima azione è “Ignora”. OfficeScan non ha eseguitoalcuna azione sul file infetto.

• La prima azione è “Disinfetta”, ma la disinfezione non èriuscita. La seconda azione è “Ignora”, quindi OfficeScan nonha eseguito alcuna azione sul file infetto.

Ignorato unpotenziale rischioper la sicurezza

Questo risultato di scansione viene visualizzato quandoOfficeScan individua un "probabile virus/minaccia informatica"durante Scansione manuale, Scansione pianificata ed Eseguiscansione. Per informazioni su probabili virus/minacceinformatiche e su come inviare file sospetti a Trend Micro perl'analisi, fare riferimento all'Enciclopedia dei virus online di TrendMicro.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=POSSIBLE_VIRUS&VSect=Sn

Impossibiledisinfettare omettere inquarantena il file

“Disinfetta” è la prima azione. “Metti in quarantena” è la secondaazione e non è stato possibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile mettere in quarantena il file/Impossibile rinominare il file a pagina 7-101.

Impossibiledisinfettare oeliminare il file

“Disinfetta” è la prima azione. “Elimina” è la seconda azione e nonè stato possibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile eliminare il file a pagina 7-102.

Impossibiledisinfettare orinominare il file

“Disinfetta” è la prima azione. “Rinomina” è la seconda azione enon è stato possibile effettuare nessuna delle due azioni.

Soluzione: consultare Impossibile mettere in quarantena il file/Impossibile rinominare il file a pagina 7-101.

Impossibilemettere inquarantena il file/Impossibilerinominare il file

Spiegazione 1.

Il file infetto potrebbe essere bloccato da un'altra applicazione,potrebbe essere in esecuzione oppure essere contenuto in unCD. Non appena l'applicazione avrà rilasciato il file o non appenaquesto non sarà più in esecuzione, OfficeScan potrà metterlo inquarantena o rinominarlo.

Soluzione




7-102

Risultato DescrizionePer i file infetti contenuti in un CD, si consiglia di non utilizzare piùil CD in questione in quanto il virus potrebbe infettare altridispositivi in rete.

Spiegazione 2.

Il file infetto si trova nella cartella dei file Internet temporaneidell'dispositivo agente. Poiché l'dispositivo scarica i file durantel'accesso ai siti Web, è possibile che il browser abbia bloccato ilfile infetto. Non appena il browser Web avrà rilasciato il file,OfficeScan potrà metterlo in quarantena o rinominarlo.

Soluzione: nessuna

Impossibileeliminare il file

Spiegazione 1.

Il file infetto potrebbe trovarsi all'interno di un file compresso el'impostazione Disinfetta/Elimina file infetti all'interno dei filecompressi in Agenti > Impostazioni globali agente, schedaImpostazioni di protezione, è disattivata.

Soluzione

Attivare l'opzione Disinfetta/Elimina file infetti all'interno deifile compressi. Quando questa opzione è attivata, OfficeScandecomprime un file compresso, disinfetta/elimina i file infetti nelfile compresso e lo comprime di nuovo.

NotaSe si attiva questa impostazione, l'utilizzo delle risorsedell'dispositivo durante la scansione potrebbe aumentare ela scansione potrebbe richiedere più tempo.

Spiegazione 2.

Il file infetto potrebbe essere bloccato da un'altra applicazione,potrebbe essere in esecuzione oppure essere contenuto in unCD. Non appena l'applicazione avrà rilasciato il file o non appenaquesto non sarà più in esecuzione, OfficeScan lo eliminerà.

Soluzione


7-103

Risultato DescrizionePer i file infetti contenuti in un CD, si consiglia di non utilizzare piùil CD in questione in quanto il virus potrebbe infettare altridispositivi in rete.

Spiegazione 3.

Il file infetto si trova nella cartella dei file Internet temporanei deldispositivo dell'Agente OfficeScan. Poiché l'dispositivo scarica ifile durante l'accesso ai siti Web, è possibile che il browser abbiabloccato il file infetto. Non appena il browser Web avrà rilasciato ilfile, OfficeScan potrà eliminarlo.

Soluzione: nessuna

Impossibile inviareil file da mettere inquarantena allacartella diquarantenaspecificata

Anche se OfficeScan ha messo correttamente in quarantena unfile nella cartella \Suspect del dispositivo dell'Agente OfficeScan,non può inviare il file alla directory di quarantena designata.

Soluzione

Determinare quale tipo di scansione (Scansione manuale,Scansione in tempo reale, Scansione pianificata o Eseguiscansione) ha rilevato il virus o la minaccia informatica, quindicontrollare la directory di quarantena specificata nella schedaAgenti > Gestione agente > Impostazioni > {Tipo discansione} > Azione.

Se la directory di quarantena di trova nel computer serverOfficeScan o in un altro computer server OfficeScan:

1. Verificare che l'agente sia in grado di collegarsi al server.

2. Se per indicare la directory di quarantena si utilizza il formatoURL:

a. Assicurarsi che il nome dell'dispositivo specificato dopohttp:// sia corretto.

b. Controllare la dimensione del file infetto. Se questasupera la dimensione massima per i file specificata inAmministrazione > Impostazioni > Gestore dellaquarantena, modificare l'impostazione adattandola alfile. È anche possibile decidere di compiere altri azionicome eliminare il file.

c. Verificare la dimensione della directory di quarantena edeterminare se ha superato la capacità di cartella


7-104

Risultato Descrizionespecificata in Amministrazione > Impostazioni >Gestore della quarantena. Modificare la capacità dellacartella o eliminare manualmente dei file nella directorydi quarantena.

3. Se si utilizza il percorso UNC, assicurarsi che la directory diquarantena sia condivisa per il gruppo “Tutti” e che tutti imembri del gruppo abbiano i permessi di lettura e scrittura.Verificare inoltre che la directory di quarantena esista e che ilpercorso UNC sia corretto.

Se la directory di quarantena si trova su un altro dispositivo dellarete (per questo scenario è consentito solo il percorso UNC):

1. Verificare che l'Agente OfficeScan sia in grado di connettersial dispositivo.

2. Assicurarsi che la directory di quarantena sia condivisa pertutto il gruppo “Tutti” e che tutti i membri del gruppo abbiano ipermessi di lettura e scrittura.

3. Verificare che la directory di quarantena esista.

4. Verificare che il percorso UNC sia corretto.

Se la directory di quarantena si trova in una directory diversa deldispositivo dell'Agente OfficeScan (per questo scenario èconsentito solo il percorso assoluto), verificare che la cartelladella directory di quarantena esista.

Impossibiledisinfettare il file

Spiegazione 1.

Il file infetto potrebbe trovarsi all'interno di un file compresso el'impostazione “Disinfetta/Elimina file infetti all'interno dei filecompressi” in Agenti > Impostazioni globali agente, schedaImpostazioni di protezione, è disattivata.

Soluzione

Attivare l'opzione Disinfetta/Elimina file infetti all'interno deifile compressi. Quando questa opzione è attivata, OfficeScandecomprime un file compresso, disinfetta/elimina i file infetti nelfile compresso e lo comprime di nuovo.


7-105


NotaSe si attiva questa impostazione, l'utilizzo delle risorsedell'dispositivo durante la scansione potrebbe aumentare ela scansione potrebbe richiedere più tempo.

Spiegazione 2.

Il file infetto si trova nella cartella dei File Internet temporaneidel dispositivo dell'Agente OfficeScan. Poiché l'dispositivo scaricai file durante l'accesso ai siti Web, è possibile che il browser abbiabloccato il file infetto. Non appena il browser Web avrà rilasciato ilfile, OfficeScan potrà disinfettarlo.

Soluzione: nessuna

Spiegazione 3.

Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni,vedere File non disinfettabili a pagina E-16.

Operazionerichiesta

OfficeScan non riesce a completare l'operazione configurata nelfile infetto senza l'intervento dell'utente. Passare il puntatore delmouse sulla colonna Operazione richiesta per visualizzare leseguenti informazioni.

• “Operazione richiesta: contattare il supporto per maggioridettagli sulla rimozione di questa minaccia con lo strumento"Disinfetta boot" di Anti-Threat Tool Kit in Strumenti di utilità diOfficeScan”

• “Operazione richiesta: contattare l'assistenza per maggioridettagli sulla rimozione di questa minaccia con lo strumento"Disco di ripristino" di Anti-Threat Tool Kit in Strumenti diutilità di OfficeScan”

• “Operazione richiesta: contattare l'assistenza per maggioridettagli sulla rimozione di questa minaccia con lo strumento"Buster rootkit" di Anti-Threat Tool Kit in Strumenti di utilità diOfficeScan”

• “Operazione richiesta: OfficeScan rileva una minaccia in unagente infetto. Riavviare l'dispositivo per completare ladisinfezione delle minacce alla sicurezza”


7-106

Risultato Descrizione• “Azione richiesta: è necessario eseguire una scansione

completa del sistema per completare la rimozione di unaminaccia rootkit rilevata dal dispositivo”

Visualizzazione dei registri di ripristino quarantena centrale

Dopo la disinfezione delle minacce informatiche, gli Agenti OfficeScan effettuano ilbackup dei dati delle minacce informatiche. Notificare a un agente online di ripristinare idati di backup, se sono considerati innocui. I registri contengono le informazioni sui datidi backup ripristinati delle minacce informatiche, sul dispositivo interessato e sui risultatidel ripristino.

Procedura

1. Accedere a Registri > Agenti > Ripristino Files in Quarantena.

2. Selezionare le colonne Completato, Operazione non riuscita e In sospeso perverificare se OfficeScan ha ripristinato correttamente i dati della quarantena.

3. Fare clic sui collegamenti dei conteggi per visualizzare le informazioni dettagliate suciascun dispositivo interessato.

Nota

Per il ripristino di Operazione non riuscita, è possibile provare a ripristinare dinuovo il file nella schermata Dettagli ripristino quarantena centrale facendo clicsu Ripristina tutto.


Visualizzazione dei registri di spyware/graywareQuando rileva spyware e grayware, l'Agente OfficeScan genera i registri e li invia alserver.


7-107

Procedura





3. Andare alla schermata Criteri dei registri spyware/grayware:

• dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri spyware/grayware.

• Dalla schermata Gestione agente, fare clic su Registri > Registri spyware/grayware.






Spyware/Grayware Nome della minaccia alla sicurezza

Tipo di scansione Scansione che ha rilevato la minaccia


NotaPer ulteriori informazioni sui risultati dellascansione, vedere Risultati della scansionespyware/grayware a pagina 7-108.



7-108


Indirizzo MAC Indirizzo MAC del dispositivo infetto


6. (Facoltativo) Selezionare gli spyware/grayware rilevati e considerati innocui e fareclic su Aggiungi all'elenco approvati per escludere il programma da ulterioriscansioni.


Il file CSV contiene le seguenti informazioni:

• Tutte le informazioni dei registri

• Il nome dell'utente collegato all'dispositivo al momento del rilevamento

Risultati della scansione spyware/graywareI seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware:

Tabella 7-27. Risultati della scansione spyware/grayware di primo livello


Operazione riuscita,non sononecessarie azioni

Questo è il risultato di primo livello se l'azioni di scansione è statacompletata correttamente. Il risultato di secondo livello può essereuno dei seguenti:

• Disinfettati

• Accesso negato


7-109


Richieste ulterioriazioni

Questo è il risultato di primo livello se l'azioni di scansione non èstata completata correttamente. I risultati di secondo livelloconterranno almeno uno dei seguenti messaggi:

• Ignorato

• Impossibile eliminare gli spyware/grayware nei file di sistemaprotetti

• Scansione spyware/grayware interrotta manualmente.Eseguire una scansione completa

• Spyware/grayware disinfettato. È necessario riavviare ilcomputer. Riavviare il computer

• Impossibile disinfettare spyware/grayware

• Risultato della scansione spyware/grayware non identificato.Contattare l'assistenza tecnica Trend Micro.

Tabella 7-28. Risultati della scansione spyware/grayware di secondo livello

Risultato Descrizione Soluzione

Disinfettati OfficeScan interrompe i processi o eliminaregistri, file, cookie e collegamenti.

N.D.

Accesso negato OfficeScan ha negato all'utente l'accesso(per copia e apertura) ai componentigrayware e spyware rilevati.

N.D.

Ignorato OfficeScan non ha eseguito alcunaoperazione, ma ha registrato il rilevamentodi spyware e grayware per successivevalutazioni.

aggiungerespyware/graywareconsiderati innocuiall'Elenco Approvatispyware/grayware.


7-110

Risultato Descrizione Soluzione

Impossibileeliminare glispyware/graywarenei file di sistemaprotetti

Questo messaggio viene visualizzato nelcaso in cui il motore di scansione spywaretenti di eliminare ogni singola cartella esiano rispettati i criteri di seguito riportati.

• Gli elementi da disinfettare superano i250 MB.

• Il sistema operativo utilizza i filecontenuti nella cartella. La cartellapotrebbe essere necessaria per ilnormale funzionamento del sistema.

• La cartella è una directory principale(come C: o F:)

Contattare ilprovider delsupporto perricevere assistenza.

Scansione spyware/grayware interrottamanualmente.Eseguire unascansione completa

un utente interrompe la scansione primadel completamento.

eseguire unascansione manualee attenderne laconclusione.

Spyware/graywaredisinfettato. Ènecessario riavviareil computer.Riavviare ilcomputer

OfficeScan ha eliminato i componentispyware/grayware, ma per completarel'attività è necessario riavviare ildispositivo.

Riavviare subito ildispositivo.

Impossibiledisinfettarespyware/grayware

Sono stati rilevati spyware/grayware su unCD-ROM o un'unità di rete. OfficeScan nonè in grado di eliminare gli spyware/grayware rilevati in queste posizioni.

rimuoveremanualmente il fileinfetto

Risultato dellascansione spyware/grayware nonidentificato.Contattarel'assistenza tecnicaTrend Micro.

una nuova versione del motore discansione spyware fornisce un nuovorisultato della scansione che laconfigurazione di OfficeScan non è ingrado di gestire.

contattarel'assistenza tecnicaper capire comedeterminare il nuovorisultato dellascansione.


7-111

Visualizzazione dei registri di ripristino spyware/graywareDopo aver eseguito la disinfezione da spyware/grayware, gli Agenti OfficeScaneseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup,se sono considerati innocui. I registri contengono le informazioni sui dati di backup dispyware/grayware ripristinati, sul dispositivo interessato e sui risultati del ripristino.

Procedura

1. Accedere a Registri > Agenti > Ripristino spyware/grayware.

2. Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinatocorrettamente i dati di spyware e grayware.


Visualizzazione dei file delle connessioni sospetteQuando rileva file inclusi nell'elenco dei file sospetti, l'Agente OfficeScan genera iregistri e li invia al server.

Procedura





3. Fare clic su Registri > Registri dei file sospetti o Visualizza registri > Registridei file sospetti.




7-112

• Data e ora del rilevamento del file sospetto

• Dispositivo

• Dominio

• Valore hash SHA-1 dell'origine dell'infezione del file

• Percorso del file

• Tipo di scansione che ha rilevato il file sospetto

• Risultati scansione

Nota

Per ulteriori informazioni sui risultati della scansione, vedere Risultati dellascansione antivirus/minacce informatiche a pagina 7-99.

• Indirizzo IP

Visualizzazione dei registri dell'operazione di scansioneQuando viene eseguita Scansione manuale, Scansione pianificata o Esegui scansione,l'Agente OfficeScan crea un registro della scansione che contiene informazioni sullascansione. È possibile visualizzare il registro della scansione accedendo alla console delserver OfficeScan o dell'Agente OfficeScan.

Per visualizzare i registri dell'operazione di scansione nel server OfficeScan, accedere auna delle seguenti sezioni:

• Registri > Agenti > Rischi per la sicurezza e fare clic su Visualizza registri >Registri dell'operazione di scansione

• Agenti > Gestione agente e fare clic su Registri > Registri dell'operazione discansione

I registri dell'operazione di scansione mostrano le seguenti informazioni:

• Data e ora di inizio della scansione di OfficeScan


7-113

• Data e ora di fine della scansione di OfficeScan

• Stato della scansione

• Completato: la scansione è stata completata normalmente.

• Operazione interrotta: la scansione è stata interrotta dall'utente prima delcompletamento.

• Operazione interrotta in modo imprevisto: la scansione è stata interrottadall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizioScansione in tempo reale di OfficeScan potrebbe essersi interrotto in modoimprevisto oppure l'utente ha forzato il riavvio del dispositivo.

• Tipo di scansione

• Numero di oggetti esaminati

• Numero di rilevamenti infetti da virus/minacce informatiche

• Numero di rilevamenti spyware/grayware

• Versione di Smart Scan Agent Pattern

• Versione del pattern dei virus

• Versione del pattern spyware/grayware

Rischi per la sicurezzaUn rischio per la sicurezza si presenta quando i rilevamenti di virus/minacceinformatiche, spyware/grayware e le sessioni di cartelle condivise superano unadeterminata soglia in un determinato intervallo di tempo. Esistono vari modi per reagiree contenere un'infezione nella rete, tra i quali:

• Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attivitàsospette

• Blocco delle porte e delle cartelle più importanti del dispositivo agente

• lnvio di messaggi di avviso di infezione agli agenti


7-114

• Disinfezione dei dispositivi infetti

Notifiche e criteri dei rischi per la sicurezzaConfigurare OfficeScan per inviare una notifica all'utente e agli amministratori diOfficeScan quando si verifica un'infezione.

Tabella 7-29. Tipi di notifiche di infezione sui rischi per la sicurezza

Tipo Riferimento

• Infezioni di virus/minacceinformatiche

• Infezioni dispyware/grayware

• Infezioni disessioni dicondivisione dellecartelle

Configurazione delle notifiche e dei criteri dei rischi per lasicurezza a pagina 7-115

Infezioni da violazionidel firewall

Configurazione delle notifiche e dei criteri di infezione daviolazione del firewall a pagina 13-33

Infezioni dei callbackC&C

Configurazione delle notifiche e dei criteri delle infezioni deicallback C&C a pagina 12-21

Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo dirilevamento. OfficeScan genera un avviso di infezione quando il numero di rilevamentisupera il valore configurato durante il periodo di rilevamento.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.


7-115

Nota

OfficeScan è in grado di inviare notifiche di infezione riguardanti i rischi per la sicurezzatramite e-mail, trap SNMP e i registri eventi di Windows NT. Per le infezioni delle sessionidi cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare leimpostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali.

Per i dettagli, consultare Impostazioni notifica amministratore a pagina 14-40.

Configurazione delle notifiche e dei criteri dei rischi per lasicurezza

Procedura

1. Accedere a Amministrazione > Notifiche > Infezione.


a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware:

b. Specificare il numero di origini uniche dei rilevamenti.

c. Specificare il numero di rilevamenti e il periodo di rilevamento per ognirischio per la sicurezza.

Suggerimento

Trend Micro consiglia di accettare i valori predefiniti di questa schermata.

OfficeScan invia la notifica dopo che 10 tipi diversi di virus/minacce informatichehanno rilevato un totale di 101 rischi per la sicurezza nell'arco di 5 ore. Se unagente rileva 101 virus/minacce informatiche di qualsiasi tipo nell'arco di 5 ore,anche OfficeScan invia una notifica di infezione


a. Andare alla sezione Sessioni di condivisione delle cartelle.

b. Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete.


7-116

c. In Sessioni di condivisione cartelle registrate, fare clic sul collegamentodel numero per visualizzare i dispositivi con cartelle condivise e i dispositivicon accesso alle cartelle condivise.

d. Specificare il numero di sessioni di condivisione cartelle e il periodo dirilevamento.

OfficeScan invia un messaggio di notifica quando il numero di sessioni dicondivisione cartelle fissato viene superato.


a. Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni dispyware/grayware e Infezioni delle sessioni di condivisione dellecartelle.


c. Specificare i destinatari del messaggio e-mail.

d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare solo variabili token per rappresentare i dati nelcampo Oggetto e Messaggio.

Tabella 7-30. Variabili token per le notifiche dei rischi per la sicurezza


Infezioni di virus/minacce informatiche

%CV Numero totale di virus/minacce informatiche rilevati

%CC Numero totale di dispositivi con virus/minacce informatiche

Infezioni di spyware/grayware

%CV Numero totale di spyware/grayware rilevati

%CC Numero totale di dispositivi con spyware/grayware

Infezioni delle sessioni di condivisione delle cartelle

%S Numero di sessioni di condivisione delle cartelle


7-117


%T Totale periodo di durata delle sessioni di condivisione dellecartelle

%M Periodo di tempo in minuti

e. Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/grayware da includere nel messaggio e-mail. È possibile includere il nomedell'agente/dominio, il nome del rischio per la sicurezza, la data e l'ora delrilevamento, il file infetto, il percorso e il risultato della scansione.

f. Accettare o modificare i messaggi di notifica predefiniti.


a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezionidi spyware/grayware.


c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 7-30: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-116per ulteriori dettagli.


a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezionidi spyware/grayware.


c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 7-30: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-116per ulteriori dettagli.



7-118

Configurazione della prevenzione dei rischi per lasicurezza

Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misuredi prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delleimpostazioni di prevenzione, poiché eventuali errori di configurazione possonoprovocare problemi imprevisti nella rete.

Procedura

1. Accedere a Agenti > Prevenzione delle infezioni virali.


3. Fare clic su Avvia Prevenzione delle infezioni.

4. Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurarele impostazioni per il criterio:

• Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-120

• Blocco delle porte vulnerabili a pagina 7-121

• Divieto di accesso in scrittura a file e cartelle a pagina 7-122

• Divieto di accesso ai file compressi eseguibili a pagina 7-125

• Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche apagina 7-124

5. Selezionare i criteri da applicare.

6. Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Ilvalore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni direte prima che il periodo di prevenzione delle infezioni scada.


7-119

AVVERTENZA!Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Perbloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo ditempo indeterminato, modificare direttamente le impostazioni del dispositivo e dellarete anziché utilizzare OfficeScan.

7. Accettare o modificare il messaggio di notifica predefinito dell'agente.

NotaPer configurare OfficeScan per l'invio di notifiche durante un'infezione, accedere aAmministrazione > Notifiche > Infezione.


Le misure di prevenzione delle infezioni selezionate vengono visualizzate in unanuova finestra.

9. Nella struttura agente Prevenzione delle infezioni virali, selezionare la colonnaPrevenzione delle infezioni virali.

Accanto ai dispositivi a cui vengono applicate le misure di prevenzione delleinfezioni virali viene visualizzato un segno di spunta.

OfficeScan registra i seguenti eventi nei registri eventi di sistema:

• Eventi server (avvio della prevenzione delle infezioni virali e notifica agli agenti perl'attivazione della prevenzione delle infezioni virali)

• Evento Agente OfficeScan (attivazione della prevenzione delle infezioni virali)

Criteri per la prevenzione delle infezioniQuando si verificano le infezioni, implementare i seguenti criteri:

• Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-120

• Blocco delle porte vulnerabili a pagina 7-121

• Divieto di accesso in scrittura a file e cartelle a pagina 7-122


7-120

• Divieto di accesso ai file compressi eseguibili a pagina 7-125

• Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche apagina 7-124

Limitazione/Negazione dell'accesso alle cartelle condivise

Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivisedella rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartellecondivise.

Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle,ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisaregli utenti di non condividere le cartelle durante un'infezione oppure implementare dinuovo il criterio per applicarlo alle nuove cartelle condivise.

Procedura




4. Fare clic su Limita/impedisci l'accesso alle cartelle condivise.

5. Selezionare una delle opzioni seguenti:

• Consenti l'accesso in sola lettura: limita l'accesso alle cartelle condivise

• Impedisci l'accesso

Nota

l'impostazione di accesso in sola lettura non si applica alle cartelle condivise giàconfigurate per impedire l'accesso completo.



7-121

Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delleinfezioni.



Blocco delle porte vulnerabiliDurante le infezioni, è necessario bloccare le porte vulnerabili che virus e minacceinformatiche potrebbero utilizzare per accedere ai dispositivi dell'Agente OfficeScan.

AVVERTENZA!Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione.Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili.Ad esempio, se viene bloccata la porta affidabile, OfficeScan non riesce a comunicare conl'agente per tutta la durata dell'infezione.

Procedura




4. Fare clic su Blocco delle porte.

5. Decidere se selezionare l'opzione Blocca porta affidabile.

6. Selezionare le porte da bloccare nella colonna Porte bloccate.

a. Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata chesi apre, selezionare le porte da bloccare e fare clic su Salva.

• Tutte le porte (ICMP incluso): blocca tutte le porte eccetto quellaaffidabile. Se si desidera bloccare anche la porta affidabile, selezionare lacasella di controllo Blocca porta affidabile nella schermata precedente.


7-122

• Porte specificate

• Porte comunemente usate: selezionare almeno un numero diporta da salvare nelle impostazioni per il blocco delle porte diOfficeScan.

• Porte utilizzate frequentemente dai programmi cavallo diTroia: blocca le porte normalmente utilizzate dai programmi cavallidi Troia.

• Qualsiasi porta compresa tra 1 e 65535 o un intervallo porta: èpossibile specificare la direzione del traffico da bloccare e alcunicommenti, come il motivo per cui devono essere bloccate le portespecificate.

• Protocollo ping (respingi ICMP): fare clic su questa opzione se sidesidera soltanto bloccare i pacchetti ICMP, come ad esempio lerichieste ping.

b. Per modificare le impostazioni per le porte bloccate, fare clic sul numero diporta.

c. Nella schermata che si apre, modificare le impostazioni e fare clic su Salva.

d. Per rimuovere una porta dall'elenco, selezionare la casella di controllo accantoal numero di porta e fare clic su Elimina.





Divieto di accesso in scrittura a file e cartelleI virus e le minacce informatiche sono in grado di modificare o eliminare file e cartellesui dispositivi host. Durante un'infezione è possibile configurare OfficeScan per


7-123

impedire a virus/minacce informatiche di modificare o eliminare file e cartelle suidispositivi Agente OfficeScan.

AVVERTENZA!

OfficeScan non supporta il divieto dell'accesso in scrittura sulle unità di rete collegate.

Procedura




4. Fare clic su Impedisci accesso alla scrittura di file e cartelle.

5. Inserire il percorso directory. Dopo avere digitato il percorso directory daproteggere, fare clic su Aggiungi.

Nota

Digitare il percorso assoluto (non quello virtuale) della directory.

6. Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i filecon determinate estensioni. Per le estensioni dei file, per specificare un'estensionenon compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi.

7. Per proteggere file specifici, in File da proteggere, inserire il nome file completo efare clic su Aggiungi.





7-124


Creazione del trattamento di esclusione reciproca sui file/processi di minacce informaticheÈ possibile configurare Prevenzione delle infezioni virali, come protezione contro leminacce per la sicurezza che utilizzano i processi mutex sovrascrivendo le risorserichieste dalla minaccia per diffondere l'infezione in tutto il sistema. La prevenzione delleinfezioni virali crea esclusioni reciproche su file e processi relazionati alle minacceinformatiche note, prevenendone l'accesso a queste risorse.

Suggerimento

Trend Micro consiglia di conservare queste esclusioni fino all'implementazione di unasoluzione per le minacce informatiche. Contattare l'assistenza per ottenere i nomi mutexcorretti da proteggere durante un'infezione.

Nota

Il trattamento di esclusione reciproca richiede il Servizio prevenzione modifiche nonautorizzate e supporta solo le piattaforme a 32 bit.

Procedura




4. Fare clic su Crea trattamento (mutex) di esclusione reciproca sui file/processi malware.

5. Digitare il nome mutex come protezione contro il campo del testo fornito.

Aggiungere o rimuovere i nomi mutex dall'elenco usando i pulsanti + e -.


7-125

Nota

Prevenzione delle infezioni virali supporta il trattamento di esclusione reciproca perun massimo di sei minacce mutex.





Divieto di accesso ai file compressi eseguibili

Durante le infezioni, impedire l'accesso ai file compressi eseguibili può prevenire ladiffusione nella rete di possibili rischi per la sicurezza che questi file possono contenere.È possibile scegliere di consentire l'accesso ai file affidabili creati dai programmi packereseguibili supportati.

Procedura




4. Fare clic su Impedisci l'accesso a file compressi eseguibili.

5. Selezionare dall'elenco dei programmi packer eseguibili supportati e fare clic suAggiungi, per consentire l'accesso ai relativi file eseguibili creati da tali programmipacker.


7-126

Nota

È possibile approvare solo l'uso dei file compressi creati dai programmi packernell'elenco Packer eseguibili. La Prevenzione delle infezioni virali nega l'accesso a tuttigli altri formati di file compressi eseguibili.





Disattivazione della prevenzione delle infezioni

Se si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati omessi in quarantena da OfficeScan, ripristinare le normali impostazioni di retedisattivando la funzione di prevenzione delle infezioni.

Procedura



3. Fare clic su Ripristina impostazioni.

4. Per informare gli utenti che l'infezione è terminata, selezionare Invia una notificaagli utenti dopo il ripristino delle impostazioni originali.

5. Accettare o modificare il messaggio di notifica predefinito dell'agente.

6. Fare clic su Ripristina impostazioni.


7-127

NotaSe non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristinaautomaticamente trascorso il numero di ore specificato in Ripristinaautomaticamente le normali impostazioni di rete dopo __ ore nella schermataImpostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore.

OfficeScan registra i seguenti eventi nei registri eventi di sistema:

• Eventi server (avvio della prevenzione delle infezioni virali e notifica agliAgenti OfficeScan per l'attivazione della prevenzione delle infezioni virali)

• Evento Agente OfficeScan (attivazione della prevenzione delle infezioni virali)

7. Dopo aver disattivato la prevenzione dalle infezioni virali, effettuare la scansionedei dispositivi di rete per contrastare eventuali rischi per la prevenzione.

8-1

Capitolo 8

Protezione da minacce sconosciuteIn questo capitolo viene descritto come proteggere i dispositivi da minacce sconosciuteche tentano di infiltrarsi nella rete.


• Intelligenza computazionale predittiva a pagina 8-2

• Servizio di connessione sospetta a pagina 8-6

• Invio campione a pagina 8-10

• Registri delle minacce sconosciute a pagina 8-12


8-2

Intelligenza computazionale predittivaIntelligenza computazionale predittiva di Trend Micro utilizza una tecnologia di machinelearning avanzata per correlare le informazioni sulle minacce ed eseguire analisi dei filein modo approfondito per rilevare emergenti rischi per la sicurezza sconosciutiattraverso il fingerprinting DNA digitale, la mappatura API e altre caratteristiche del file.Intelligenza computazionale predittiva esegue anche un'analisi comportamentale suprocessi sconosciuti o di bassa prevalenza per determinare se una minaccia emergente osconosciuta sta tentando di infettare la rete.

Intelligenza computazionale predittiva è uno strumento potente che contribuisca aproteggere l'ambiente da minacce non identificate e dagli attacchi zero-day.

Tipo dirilevamento Descrizione

File Dopo il rilevamento di un file sconosciuto o di bassa prevalenza,l'Agente OfficeScan sottopone il file alla scansione con il Motoreavanzato scansione minacce per estrarne le caratteristiche, quindiinvia la segnalazione al motore di Intelligenza computazionalepredittiva, gestito da Trend Micro Smart Protection Network.Tramite l'utilizzo della modellazione di malware, Intelligenzacomputazionale predittiva confronta l'esempio con un modello dimalware, assegna un punteggio di probabilità e determina ilprobabile tipo di malware contenuto nel file.

A seconda della configurazione della Intelligenza computazionalepredittiva, l'Agente OfficeScan può inoltre tentare di mettere in“quarantena” il file interessato, per evitare che la minaccia sipropaghi nella rete.

Protezione da minacce sconosciute

8-3

Tipo dirilevamento Descrizione

Processo Dopo aver rilevato un processo sconosciuto o di bassaprevalenza, l'Agente OfficeScan monitora il processo con ilMotore di intelligence contestuale, quindi invia la segnalazione delcomportamento rilevato al motore di Intelligenza computazionalepredittiva. Tramite l'utilizzo della modellazione di malwarecomportamentale, Intelligenza computazionale predittivaconfronta il comportamento del processo con il modello, assegnaun punteggio di probabilità e determina il probabile tipo dimalware eseguito dal processo.

Il rilevamento dei processi monitora anche l'esecuzione degliscript. Se il Motore di intelligence contestuale rileva l'esecuzionedi uno script sospetto, Intelligenza computazionale predittivaesegue l'azione configurata.

Intelligenza computazionale predittiva esegue il blocco dello scriptnei seguenti tipi di script:

• cscript

• jar

• powershell

• vbs

• wscript

A seconda della configurazione dell'Intelligenza computazionalepredittiva, l'Agente OfficeScan può inoltre tentare di “terminare” ilprocesso o script interessato e di disinfettare il file che lo haeseguito.


8-4

Configurazione delle configurazioni relativeall'Intelligenza computazionale predittiva

NotaIntelligenza computazionale predittiva richiede che vengano attivati i seguenti servizi:

• Prevenzione modifiche non autorizzate

• Servizio di protezione avanzata

Per ulteriori informazioni, consultare Attivazione o disattivazione dei servizi dell'agente dallaconsole Web a pagina 15-8.

Procedura



3. Fare clic su Impostazioni > Configurazioni relative all'Intelligenzacomputazionale predittiva.

Viene visualizzata la schermata Configurazioni relative all'Intelligenzacomputazionale predittiva.

4. Selezionare Attiva Intelligenza computazionale predittiva.

5. Nella sezione Impostazioni di rilevamento, selezionare il tipo di rilevamenti el'azione che la Intelligenza computazionale predittiva deve eseguire.


8-5

Tipo dirilevamento Azioni

File • Quarantena: selezionare questa azione per mettereautomaticamente in quarantena i file che presentanocaratteristiche di minacce informatiche in base all'analisieseguita da Intelligenza computazionale predittiva

• Solo registrazione: selezionare questa azione pereseguire la scansione dei file sconosciuti e registrarel'analisi della Intelligenza computazionale predittiva dautilizzare per ulteriori indagini interne

Processo • Termina: selezionare questa azione per terminareautomaticamente i processi o gli script che presentanocomportamenti tipici delle minacce informatiche in baseall'analisi della Intelligenza computazionale predittiva

ImportanteIntelligenza computazionale predittiva tenta didisinfettare i file che hanno eseguito processi oscript dannosi. Se l'operazione di disinfezione nonè riuscita, Intelligenza computazionale predittivamette in quarantena i file colpiti.

• Solo registrazione: selezionare questa azione pereseguire la scansione dei processi o degli scriptsconosciuti e registrare l'analisi della Intelligenzacomputazionale predittiva da utilizzare per ulterioriindagini interne

6. Nella sezione Eccezioni, configurare le eccezioni dei file globali della Intelligenzacomputazionale predittiva per impedire a tutti gli agenti di rilevare un file comedannoso.

a. Fare clic su Aggiungi hash file.

Viene visualizzata la schermata Aggiungi file ad Elenco eccezioni.

b. Specificare il valore hash SHA-1 del file per escludere quest'ultimo dallascansione.


8-6

c. È possibile inserire una nota che descriva il motivo dell'eccezione o i nomi fileassociati al valore hash.

d. Fare clic su Aggiungi.

Intelligenza computazionale predittiva aggiunge l'hash file all'elenco delleeccezioni.




Servizio di connessione sospettaIl Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definitidall'utente e controlla il comportamento delle connessioni che i dispositivi stabilisconocon i potenziali server C&C.

• Gli elenchi di indirizzi IP bloccati e approvati definiti dall'utente consentono unulteriore controllo sulla possibilità per gli dispositivo di accedere a indirizzi IPspecifici. Configurare questi elenchi quando si desidera consentire l'accesso a unindirizzo bloccato dall'elenco IP C&C globale oppure bloccare l'accesso a unindirizzo che può rappresentare un rischio per la sicurezza.

Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globalidefiniti dall'utente a pagina 8-7.

• L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete(Network Content Inspection Engine, NCIE), rileva le connessioni di rete con iserver C&C confermati da Trend Micro. Il motore NCIE rileva il contatto del


8-7

server C&C attraverso qualsiasi canale di rete. Il Servizio di connessione sospettaregistra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globaleper la valutazione.

Per informazioni sull'attivazione dell'elenco di indirizzi IP C&C globale, consultareConfigurazione delle impostazioni di connessione sospetta a pagina 8-8.

• Dopo aver rilevato la minaccia informatica sui dispositivi tramite il pattern regola dipertinenza corrispondente sui pacchetti di rete, il Servizio di connessione sospettapuò effettuare ulteriori ricerche sul comportamento della connessione, perdeterminare se si è verificato un callback C&C. Dopo aver individuato un callbackC&C, il Servizio di connessione sospetta può cercare di bloccare e disinfettarel'origine della connessione utilizzando la tecnologia GeneriClean.

Per maggiori dettagli sulla configurazione del Servizio di connessione sospetta,vedere Configurazione delle impostazioni di connessione sospetta a pagina 8-8.

Per ulteriori informazioni su GeneriClean, vedere GeneriClean a pagina E-4.

Attivare il Servizio di connessione sospetta nella schermata Impostazioni aggiuntivedel servizio per proteggere gli agenti dai callback del server C&C. Per i dettagli,consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 15-8.

Configurazione impostazioni degli elenchi di indirizzii IPglobali definiti dall'utente

Gli amministratori possono configurare OfficeScan per consentire, bloccare o registraretutte le connessioni tra gli agenti e indirizzi IP C&C definiti dall'utente.

Nota

Gli elenchi degli indirizzi IP definiti dall'utente supportano solo gli indirizzi IPv4.

Procedura


2. Fare clic sulla scheda Impostazioni di sicurezza.


8-8

3. Accedere alla sezione Impostazioni connessione sospetta.

4. Fare clic su Modifica elenco IP definito dall'utente.

5. Nella scheda Elenco approvati o in quella Elenco bloccati, aggiungere gliindirizzi IP che si desidera monitorare.

Suggerimento

È possibile configurare OfficeScan solo per registrare le connessioni effettuate versogli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per registrare solo leconnessioni effettuate verso indirizzi dell'elenco di indirizzi IP bloccati definitodall'utente, vedere Configurazione delle impostazioni di connessione sospetta a pagina 8-8.

a. Fare clic su Aggiungi.

b. Nella nuova schermata che viene visualizzata, digitare l'indirizzo IP, l'intervallodell'indirizzo IP o l'indirizzo IPv4 e la subnet mask per l'OfficeScan damonitorare.


6. Per rimuovere gli indirizzi IP dall'elenco, selezionare la casella di controllo accantoall'indirizzo e fare clic su Elimina.

7. Dopo aver configurato gli elenchi, fare clic su Chiudi per tornare alla schermataImpostazioni globali agente.

8. Fare clic su Salva per implementare l'elenco aggiornato negli agenti.

Configurazione delle impostazioni di connessionesospetta

L'Agenti OfficeScan è in grado di registrare e bloccare tutte le connessioni effettuate trai dispositivi e gli indirizzi nell'elenco IP C&C globale. È anche possibile registrare econsentire comunque l'accesso agli indirizzi IP configurati nell'elenco di indirizzi IPbloccati definito dall'utente


8-9

Agenti OfficeScan è inoltre in grado di monitorare le connessioni che possono essererisultato di un botnet o di un'altra minaccia informatica. Dopo aver rilevato unaminaccia informatica, Agenti OfficeScan può tentare di eliminare l'infezione.

Procedura



3. Fare clic su Impostazioni > Impostazioni di connessione sospetta.

Viene visualizzata la schermata Impostazioni di connessione sospetta.

4. Attivare l'impostazione Rileva le connessioni di rete effettuate agli indirizzinell'elenco IP C&C globali per monitorare le connessioni effettuate sui serverC&C confermati da Trend Micro e scegliere se gestire le connessioni con l'opzioneSolo registrazione o Blocca.

• Per consentire agli agenti di connettere gli indirizzi nell'elenco di indirizzi IPbloccati definito dall'utente, attivare l'impostazione Registra e consentil'accesso agli indirizzi dell'elenco IP bloccati definito dall'utente.

NotaÈ necessario attivare il registro della connessione di rete prima che Agenti OfficeScanconsenta l'accesso agli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente.

Per ulteriori informazioni sull'elenco IP C&C globale, consultare Servizio diconnessione sospetta a pagina 8-6.

5. Attivare l'impostazione Rileva le connessioni mediante l’impronta di rete dellaminaccia e scegliere se gestire le connessioni con l'opzione Solo registrazione oBlocca.

L'impronta di rete della minaccia esegue la corrispondenza di pattern sulleintestazioni dei pacchetti. Gli Agenti OfficeScan registrano tutte le connessionieffettuate dai pacchetti con intestazioni che corrispondono a minacce informatichenote utilizzando il pattern regola di pertinenza.


8-10

• Per consentire a Agenti OfficeScan di disinfettare le connessioni effettuate suiserver C&C, attivare l'impostazione Disinfetta connessioni sospettequando viene rilevato un callback C&C. Gli Agenti OfficeScan usanoGeneriClean per disinfettare le minacce informatiche e interrompere laconnessione al server C&C.

Nota

È necessario attivare Registra connessioni mediante l'impronta di rete dellaminaccia prima che Agenti OfficeScan tenti di disinfettare le connessioni effettuatesui server C&C rilevate dalla corrispondenza della struttura dei pacchetti.




Invio campioneÈ possibile configurare gli Agenti OfficeScan per l'invio di oggetti file che possonocontenere minacce non precedentemente identificate a un Virtual Analyzer perun'ulteriore analisi. Dopo aver valutato gli oggetti, Virtual Analyzer aggiunge quelli neiquali sono state trovate minacce sconosciute agli elenchi di oggetti sospetti di VirtualAnalyzer e distribuisce tali elenchi ad altri Agenti OfficeScan attraverso la rete.

Per ulteriori informazioni, consultare Impostazioni elenco oggetti sospetti a pagina 14-36.

Per inviare un esempio:


8-11

• È necessario registrare il server OfficeScan con un server Trend Micro ControlManager (6.0 SP3 patch 2 o versioni successive)

• Il server Trend Micro Control Manager deve disporre di una connessione attiva aun server Trend Micro Deep Discovery Analyzer (5.1 o versione successiva)

I file sospetti possono includere:

• Programmi non noti a Trend Micro (scaricati tramite browser Web o canali e-mailsupportati)

• Rilevamenti euristici di processi (scaricati tramite browser Web o canali e-mailsupportati)

• Programmi di esecuzione automatica a bassa prevalenza su archivi rimovibili

Importante

Gli Agenti OfficeScan possono inviare file di esempio con dimensioni fino a 50 MB alVirtual Analyzer per l'analisi.

Configurazione di Invio campione

Procedura



3. Fare clic su Impostazioni > Impostazioni di invio campione.

Viene visualizzata la schermata Impostazioni di invio campione.

4. Selezionare Attiva invio di file sospetti al Virtual Analyzer.



8-12

Registri delle minacce sconosciuteGli Agenti OfficeScan registrano l'attività delle minacce sconosciute e inviano i registri alserver. Un Agente OfficeScan che è sempre in esecuzione raccoglie i registri e li invia aintervalli specificati, per impostazione predefinita ogni 60 minuti.


Visualizzazione dei registri relativi all'Intelligenzacomputazionale predittiva

Procedura





3. Andare alla schermata Criteri dei registri relativi all'Intelligenzacomputazionale predittiva:

• Dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri relativi all'Intelligenza computazionale predittiva.

• Dalla schermata Gestione agente, fare clic su Registri > Registri relativiall'Intelligenza computazionale predittiva.




8-13





Minaccia alla sicurezza Il nome della minaccia per la sicurezza determinato dalmotore di Intelligenza computazionale predittiva


File/oggetto infetto Il nome dell'oggetto file o del programma che haeseguito il processo

Tipo Il tipo di oggetto che ha attivato il rilevamento (“File” o“Processo”)

Percorso file Il percorso dell'oggetto file o del programma che haeseguito il processo



Per ulteriori informazioni, consultare Dettagli delregistro di Intelligenza computazionale predittiva apagina 8-13.


Dettagli del registro di Intelligenza computazionalepredittivaPer una segnalazione completa per ogni rilevamento del registro di Intelligenzacomputazionale predittiva, fare clic sul collegamento Visualizza sotto la colonna deidettagli.

La schermata Dettagli registro comprende due sezioni:


8-14

• Banner superiore: specifici dettagli relativi al rilevamento del registro in questione

• Controlli delle schede inferiori:dettagli relativi alla minaccia rilevata dallaIntelligenza computazionale predittiva, quali i punteggi di probabilità dellaminaccia, informazioni sul file e altri dispositivi nella rete in cui si è verificato lostesso rilevamento

Nella tabella seguente sono riportate le informazioni fornite nel banner superiore.

Tabella 8-1. Dettagli del registro - Banner superiore

Sezione Descrizione

Ora del rilevamento/Azione

Indica il momento in cui si è verificato questo specificorilevamento del registro e l'azione eseguita dall'agente sullaminaccia

Nome file Indica il nome del file che ha attivato il rilevamento sul dispositivospecificato

SuggerimentoFare clic su Aggiungi all'elenco eccezioni per aggiungererapidamente il valore dell'hash del file interessato all'elencoglobale delle eccezioni relative all'Intelligenzacomputazionale predittiva. È possibile visualizzare l'interoelenco delle eccezioni nella schermata Configurazionirelative all'Intelligenza computazionale predittiva.

Per ulteriori informazioni, consultare Configurazione delleconfigurazioni relative all'Intelligenza computazionalepredittiva a pagina 8-4.

ImportanteIl nome del file rilevato per questo rilevamento potrebbeessere diverso da quello rilevato su altri agenti. Pertanto laIntelligenza computazionale predittiva non associa irilevamenti ai nomi specifici dei file, bensì ai valori deglihash del file. Per verificare il nome dei file sugli altridispositivi, passare alla scheda Dispositivi interessati.


8-15

Sezione Descrizione

Informazioni suidispositivi

Visualizza l'utente collegato al momento del rilevamento, nonchéil nome e l'indirizzo IP del dispositivo

Informazioni sulcanale

Visualizza il canale dal quale ha avuto origine la minaccia e ilpercorso della cartella sul dispositivo in cui è stata trasferita laminaccia

Nella tabella seguente sono riportate le informazioni fornite nelle schede inferiori.

Tabella 8-2. Dettagli del registro - Informazioni delle schede

Scheda Descrizione

Indicatori diminacce

Fornisce i risultati dell'analisi della Intelligenza computazionalepredittiva

• Probabilità di minacce: indica il grado di corrispondenza delfile o processo con il modello della minaccia

• Tipo di minaccia probabile: indica il tipo di minaccia piùprobabile contenuto nel file, in seguito al confronto con altreminacce note eseguito dalla Intelligenza computazionalepredittiva

• Identificatori di minacce: fornisce un elenco delle funzioniAPI utilizzate dal file o processo, che potrebbero essereindicative del tipo di minaccia rilevato

ImportanteL'identificazione delle funzioni API è solo uno dei fattoriutilizzati per determinare il tipo di minaccia. LaIntelligenza computazionale predittiva utilizza moltealtre caratteristiche di file e metodi di analisi percalcolare la probabilità di minaccia e il tipo di minacciaprobabile.

• Minacce analoghe conosciute: fornisce un elenco dei tipi diminaccia noti che presentano caratteristiche di file o processisimili a quelle del rilevamento


8-16

Scheda Descrizione

Dettagli file Fornisce dettagli generali relativi alle proprietà del file einformazioni sul certificato per questo specifico registro dirilevamento

Dispositiviinteressati

Presenta un elenco di altri agenti nella rete in cui si è verificato lostesso rilevamento di Intelligenza computazionale predittiva efornisce i dettagli di tali rilevamenti sugli altri agenti

Visualizzazione dei registri delle connessioni sospette

Procedura





3. Andare alla schermata Criteri di registrazione delle connessioni sospette:

• dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri delle connessioni sospette.

• Dalla schermata Gestione agente, fare clic su Registri > Registri delleconnessioni sospette.







8-17


Dominio Il dominio dell'dispositivo oggetto del rilevamento

Processo Il processo tramite il quale è stato tentato il contatto(path\application_name)

IP locale e porta L'indirizzo IP e il numero di porta dell'dispositivo diorigine

IP remoto e porta L'indirizzo IP e il numero di porta dell'dispositivo didestinazione


Origine elenco L'origine dell'elenco C&C che ha identificato il serverC&C

Direzione del traffico La direzione della trasmissione

6. Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il fileo salvarlo in una posizione specifica.

Visualizzazione dei registri di invio campione

OfficeScan archivia i dati di invio campioneo nei registri degli eventi del sistema. Per unriepilogo più completo dei dati di invio campioneo, Trend Micro consiglia di visualizzarei registri utilizzando la console di Control Manager. Control Manager offre un'analisidettagliata del processo di gestione dei file di oggetti sospetti, garantendo una maggiorevisibilità sui possibili danni provocati dagli oggetti sospetti nella rete.

Procedura

1. Accedere a Registri > Eventi di sistema.

2. In Evento, controllare i seguenti tipi di registri:

• “Esempio inviato a Virtual Analyzer [file[<nome_file],SHA1[<valore_SHA1_file>]”


8-18

• “Analisi esempio Virtual Analyzer completa[<data_ora_completamento_analisi>, file[<nome_file],SHA1[<valore_SHA1_file>], virus[<tipo_rilevamento],rule[<tipo_regola_virtual_analyzer]]”

9-1

Capitolo 9

Uso di Monitoraggio delcomportamento

Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzandola funzione di Monitoraggio del comportamento.


• Monitoraggio del comportamento a pagina 9-2

• Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 9-18

• Privilegi di monitoraggio del comportamento a pagina 9-19

• Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina9-22

• Registri di Monitoraggio del comportamento a pagina 9-23


9-2

Monitoraggio del comportamentoIl Monitoraggio del comportamento controlla costantemente gli dispositivo alla ricercadi modifiche insolite al sistema operativo o al software installato. Il Monitoraggio delcomportamento protegge gli dispositivo con il Blocco del comportamento malware eil Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco dieccezioni configurato dall'utente e il servizio Certified Safe software.

Importante

• Il Monitoraggio del comportamento non supporta le piattaforme Windows XP a 64bit o Windows Server 2003 a 64 bit.

• Per impostazione predefinita, il monitoraggio del comportamento è disattivato in tuttele versioni delle piattaforme Windows Server.

Blocco del comportamento malwareIl Blocco del comportamento malware offre uno strato necessario di protezioneaggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso.Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguonovarie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva icomportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questafunzione per garantire un maggior livello di protezione da minacce nuove, sconosciuteed emergenti.

Il Monitoraggio del comportamento può rilevare gli script dannosi eseguiti daprogrammi Windows legittimi e il reale percorso del payload dei file degli script eseguitida DLL legittime per proteggere i dispositivi dai malware nascosti nei vettori di attacchifileless.

Il Blocco del comportamento malware fornisce le seguenti opzioni di scansione deilivelli delle minacce:

• Minacce note: blocca i comportamenti associati alle minacce note del malware.

• Minacce note e potenziali: blocca i comportamenti associati alle minacce note einterviene in caso di comportamenti potenzialmente dannosi.

Uso di Monitoraggio del comportamento

9-3

Dopo aver bloccato un evento con le notifiche attivate, l'Agente OfficeScan visualizzauna notifica sul dispositivo.

Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamentoper gli utenti degli agenti OfficeScan a pagina 9-22.

Protezione ransomwareProtezione ransomware impedisce la modifica o la crittografia non autorizzata dei filesugli agenti da parte di minacce “ransomware”. Un ransomware è un tipo di malware cheimpedisce l'accesso ai file e richiede un pagamento per il ripristino dei file interessati.

OfficeScan fornisce i seguenti metodi per proteggere l'ambiente da minacceransomware.

NotaPer ridurre le possibilità che l'Agente OfficeScan consideri dannoso un processo che inveceè sicuro, verificare che l'agente disponga di accesso a Internet per eseguire ulteriori processidi verifica utilizzando i server Trend Micro.


9-4

Opzione Descrizione

Proteggi ildocumento dacrittografia omodifiche nonautorizzate

È possibile configurare il monitoraggio del comportamento inmodo da rilevare una sequenza specifica di eventi che possonoindicare un attacco ransomware. Quando il monitoraggio delcomportamento verifica che i seguenti criteri sono stati soddisfatti,l'Agente OfficeScan termina e tenta di mettere in quarantena iprogrammi dannosi:

1. Un processo non riconosciuto come sicuro tenta dimodificare, eliminare o rinominare tre file in un determinatointervallo di tempo.

2. Il processo ha tentato di modificare un tipo di estensione fileprotetta

Attivare inoltre Crea automaticamente una copia di backup deifile modificati dai programmi sospetti per creare una copia deifile che vengono crittografati sui dispositivi. Al termine delprocesso di crittografia e dopo il rilevamento di una minacciaransomware da parte di OfficeScan, OfficeScan chiede agli utentidi ripristinare i file interessati senza perdere dati.

NotaIl backup automatico dei file richiede almeno 100 MB dispazio su disco nel dispositivo agente. Inoltre, vieneeseguito il backup soltanto dei file di dimensione inferiore a10 MB.

La cartella di backup sui dispositivi agente si trova nelseguente percorso:<Cartella di installazione dell'agente>\CCSF\module\DRE\data.

AVVERTENZA!Se l'opzione Crea automaticamente una copia di backupdei file modificati dai programmi sospetti non è attivata,OfficeScan non è in grado di recuperare i primi fileinteressati da una minaccia ransomware.


9-5

Opzione Descrizione

Blocca i processicomunementeassociati aransomware

Di solito, prima di assumere il controllo dei file, un programmaransomware distribuisce i file eseguibili in percorsi specificiall'interno dei dispositivi. Il blocco dei processi avviati da questipercorsi impedisce al ransomware di assumere il controllo dei file.

Attiva l'ispezionedel programma perrilevare e bloccarei file eseguibilicompromessi

La funzione di ispezione dei programmi monitora i processi edesegue l'hooking API per determinare se un programma sicomporta in modo imprevisto. Questa procedura aumenta ilnumero di rilevamenti complessivi dei file eseguibili compromessi,tuttavia può causare una diminuzione delle prestazioni delsistema.

SuggerimentoSelezionando Minacce note e potenziali dal menu adiscesa Minacce da bloccare, è possibile aumentare lasicurezza garantita dalla funzione di ispezione deiprogrammi.

ImportanteFunzione non supportata su piattaforme Windows XP a 64bit e Windows Server 2003 senza SP2 (o versionisuccessive).

Protezione da minacceLa protezione da minacce funziona insieme all'ispezione dei programmi per monitorareil comportamento dei programmi e rilevare anomalie che possano segnalare un attaccoche sfrutta la vulnerabilità di un programma. Una volta individuate tali minacce,Monitoraggio del comportamento termina i processi dei programmi coinvolti.

ImportanteProtezione da minacce richiede la selezione dell'opzione Attiva l'ispezione delprogramma per rilevare e bloccare i file eseguibili compromessi.


9-6

Protezione Nuovo programma rilevato

Il monitoraggio del comportamento, insieme ai servizi di reputazione Web e allascansione in tempo reale, verifica la prevalenza dei file scaricati tramite le applicazioni e-mail, i canali Web o gli script di macro di Microsoft Office. Dopo aver rilevato un file"nuovo", gli amministratori possono scegliere di chiedere conferma agli utenti prima dieseguire il file. Trend Micro classifica un programma come nuovo in base al numero dirilevamenti del file o all'età storica del file determinata da Smart Protection Network.

Monitoraggio del comportamento effettua la scansione dei tipi di file seguenti perciascun canale:

• Web (HTTP/HTTPS): esegue la scansione dei file .exe.

• Applicazioni e-mail:esegue la scansione dei file .exe e dei file .exe compressi neifile .zip e .rar non crittografati.

Nota

• Affinché la richiesta possa essere visualizzata, gli amministratori devono attivare iservizi di reputazione Web sull'agente per consentire all'Agente OfficeScan dieffettuare la scansione del traffico HTTP o HTTPS.

• L'Agente OfficeScan abbina i nomi dei file scaricati tramite applicazioni e-maildurante il processo di esecuzione. Se il nome del file è stato modificato, l'utente nonriceve alcun prompt.

Monitoraggio degli eventi

Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchisoftware e malware non autorizzati. Controlla le aree di sistema alla ricerca dideterminati eventi, consentendo agli amministratori di regolare i programmi che attivanoquesti eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezionedel sistema che superano e che esulano da quelli garantiti dal Blocco del comportamentomalware.

La tabella seguente contiene l'elenco degli eventi di sistema monitorati.


9-7

Tabella 9-1. Eventi di sistema controllati

Eventi Descrizione

Duplicazione dei filedi sistema

Molti programmi dannosi creano copie di sé stessi o di altriprogrammi dannosi servendosi dei nomi utilizzati dai file disistema di Windows. Lo scopo è generalmente quello di avere laprecedenza o di sostituirsi ai file di sistema, di evitare ilrilevamento o di disincentivare gli utenti dall'eliminare i filedannosi.

Modifica del fileHosts

Il file Hosts abbina il nome di dominio agli indirizzi IP. Moltiprogrammi dannosi modificano il file Hosts e fanno in modo che ilbrowser Web venga reindirizzato verso siti Web infetti, inesistentio falsificati.

Comportamentosospetto

Per comportamento sospetto si può intendere un'azione specificao una serie di azioni che raramente vengono eseguite daprogrammi legittimi. I programmi che evidenziano uncomportamento sospetto devono essere utilizzati con la massimacautela.

Nuovo plug-in perInternet Explorer

I programmi spyware/grayware spesso installano dei plug-in nonrichiesti per Internet Explorer, come barre degli strumenti e oggettiBHO (Browser Helper Object).

Modifica delleimpostazioni diInternet Explorer

Molti virus/minacce informatiche modificano le impostazioni diInternet Explorer, comprese quelle relative a home page, siti Webaffidabili, impostazioni del server proxy ed estensioni dei menu.

Modifica dei criteridi protezione

Le modifiche ai criteri di protezione di Windows possonoconsentire alle applicazioni indesiderate di essere eseguite e dimodificare le impostazioni di sistema.

Caricamento dilibrerie diprogramma

Molti programmi dannosi configurano Windows in modo che tuttele applicazioni carichino automaticamente una libreria diprogramma (DLL). Questo causa l'esecuzione delle routinedannose nelle DLL ad ogni avvio dell'applicazione.


9-8

Eventi Descrizione

Modifica della shell Molti programmi dannosi modificano le impostazioni della shell diWindows per associare sé stessi a determinati tipi di file. Questaroutine consente ai programmi dannosi di venire avviatiautomaticamente quando l’utente apre i file ad essi associati inEsplora risorse. Le modifiche alle impostazioni della shell diWindows sono anche in grado di consentire ai programmi dannosidi rilevare i programmi utilizzati dall'utente e vengono avviatiinsieme alle applicazioni legittime.

Nuovo servizio I servizi di Windows sono processi con funzioni speciali e ingenere rimangono in esecuzione costante in background conaccesso amministrativo completo. I programmi dannosi spesso siinstallano come servizi, in modo da rimanere nascosti.

Modifica dei file disistema

Alcuni file di sistema di Windows determinano il comportamentodel sistema, compresi i programmi di avvio e le impostazioni delsalvaschermo. Molti programmi dannosi modificano i file disistema per poter essere avviati automaticamente all'avvio econtrollare il comportamento del sistema.

Modifica dei criteridel firewall

I criteri di Windows Firewall determinano quali applicazioni hannoaccesso alla rete, quali porte sono aperte per la comunicazione equali indirizzi IP possono comunicare con il computer dell'utente.Molti programmi dannosi modificano i criteri per aprirsi un varconella rete e in Internet.

Modifica delprocesso di sistema

Molti programmi dannosi eseguono operazioni diverse suiprocessi incorporati di Windows. Tali operazioni possonocomprendere la chiusura o la modifica dei processi in corso.

Nuovo programmadi avvio

Le applicazioni dannose generalmente aggiungono o modificanole voci di avvio automatico del registro Windows per essereeseguite automaticamente ogni volta che viene avviato ilcomputer.

Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azioneconfigurata per l'evento.

La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventidi sistema monitorati.


9-9

Tabella 9-2. Azioni per eventi di sistema controllati

Azione Descrizione

Valuta L'Agente OfficeScan autorizza sempre l'esecuzione dei programmiassociati a un evento e registra l'evento per la valutazione.

Questa è l'azione predefinita per tutti gli eventi di sistemacontrollati.

NotaQuesta opzione non è supportata per il Caricamento dilibrerie di programma sui sistemi a 64 bit.

Consenti L'Agente OfficeScan autorizza sempre l'esecuzione dei programmiassociati a un evento.

Chiedi senecessario

L'Agente OfficeScan chiede agli utenti di consentire o negarel'esecuzione dei programmi associati a un evento e aggiungere iprogrammi all'elenco di eccezioni

Se l'utente non risponde entro un determinato periodo di tempo,l'Agente OfficeScan autorizza automaticamente l'esecuzione delprogramma. Il periodo di tempo predefinito è 30 secondi.

Per modificare il periodo di tempo, consultare Configurazione delleimpostazioni del monitoraggio del comportamento globale a pagina9-18.

NotaQuesta opzione non è supportata per il Caricamento dilibrerie di programma sui sistemi a 64 bit.

Impedisci L'Agente OfficeScan blocca sempre l'esecuzione dei programmiassociati a un evento e registra l'evento.

Dopo aver bloccato un evento con le notifiche attivate, l'AgenteOfficeScan visualizza una notifica sul dispositivo.

Per ulteriori informazioni sulle notifiche, vedere Notifiche diMonitoraggio del comportamento per gli utenti degli agentiOfficeScan a pagina 9-22.


9-10

Elenco eccezioni Monitoraggio del comportamento

L'elenco di eccezioni del monitoraggio del comportamento contiene programmi chel'Agente OfficeScannon controlla con Monitoraggio del comportamento.

• Programmi approvati: l'Agente OfficeScan consente tutti i programmi dell'elencoProgrammi approvati di superare la scansione del monitoraggio delcomportamento.

Nota

Anche se Monitoraggio del comportamento non agisce sui programmi aggiuntiall'elenco Programmi approvati, altre funzionalità di scansione (come la scansionebasata su file) continuano a eseguire la scansione del programma prima di consentirnel'esecuzione.

• Programmi bloccati: l'Agente OfficeScan blocca tutti i programmi nell'elencoProgrammi bloccati. Per configurare l'elenco Programmi bloccati, attivareMonitoraggio degli eventi.

Configurare l'elenco di eccezioni dalla console Web. È anche possibile concedere agliutenti il privilegio di configurare il proprio elenco di eccezioni dalla console AgenteOfficeScan.

Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina 9-19.

Supporto dei caratteri jolly nell'elenco eccezioni

L'elenco Approvati del monitoraggio del comportamento di OfficeScan supporta l'usodei caratteri jolly nella definizione dei tipi di eccezione al percorso, nome ed estensionedei file. Utilizzare le seguenti tabelle per il formato corretto dell'elenco delle eccezioni,per garantire che OfficeScan escluda i file e le cartelle corretti dalla scansione.

Caratteri jolly supportati:

• Asterisco (*): rappresenta qualsiasi carattere o stringa di caratteri.

• Punto interrogativo (?): rappresenta un singolo carattere.


9-11

ImportanteL'elenco Approvati del monitoraggio del comportamento di OfficeScan non supporta l'usodei caratteri jolly per sostituire le designazioni o gli indirizzi UNC dell'unità di sistema.

Tipo dieccezion

e

Utilizzo caratterijolly Corrispondente Non

corrispondente

Directory C:\*

Esclude tutti i file ecartelle dell'unitàspecificata

• C:\sample.exe

• C:\folder\test.doc

• D:\sample.exe

• E:\folder\test.doc

Filespecifici inun livellospecificodellacartella

C:\*\Sample.exe

Esclude il fileSample.exe solo se sitrova in unasottocartella delladirectory C:\

• C:\file\Sample.exe

• C:\temp\file\Sample.exe

• C:\sample.exe

PercorsiUNC

\\<percorso UNC>\*\Sample.exe

Esclude il fileSample.exe solo se sitrova in unasottocartella delpercorso UNCspecificato

• \\<percorsoUNC>\file\Sample.exe

• \\<percorsoUNC>\temp\file\Sample.exe

• R:\file\Sample.exe

Motivo: le unitàmappate non sonosupportate.

• \\<percorsoUNC>\Sample.exe

Motivo: il file nonesiste all'interno diuna sottocartelladel percorso UNC.


9-12

Tipo dieccezion

e


corrispondente

Nomi edestensionidei file

C:\*.*

Esclude tutti i file conqueste estensioni intutte le cartelle esottocartelle delladirectory C:\

• C:\Sample.exe

• C:\temp\Sample.exe

• C:\test.doc

• D:\sample.exe

• C:\Sample

NotaC:\Samplenon disponediun'estensione, pertantonon èesclusodallascansione.

Nomi deifile

C:\*.exe

Esclude tutti i file conl'estensione .exe intutte le cartelle esottocartelle delladirectory C:\

• C:\Sample.exe

• C:\temp\test.exe

• C:\Sample.doc

• C:\temp\test.bat

• C:\Sample



9-13

Tipo dieccezion

e


corrispondente

Estensionidei file

C:\Sample.*

Esclude tutti i file con ilnome Sample eun'estensione qualsiasiin tutte le cartelle esottocartelle delladirectory C:\

• C:\Sample.exe

• C:\temp\Sample.doc

• C:\Sample1.doc

• C:\temp\Samples.bat

• C:\Sample


File nellestrutturedelledirectoryspecificata

C:\*\*\Sample.exe

Esclude tutti i file nelsecondo livello disottocartella e nellecartelle sottostanti delladirectory C:\ con nomedel file ed estensioneSample.exe

• C:\file\temp\Sample.exe

• C:\file\temp\test\Sample.exe

• C:\Sample.exe

• C:\temp\Sample.exe

• C:\file\temp\Sample.doc


9-14

Tipo dieccezion

e


corrispondente

Percorsi onomi difilecomplessi

C:\Sam*e??.exe

Esclude tutti i file connomi che soddisfano leseguenti condizioni:

• Inizia con icaratteri "Sam"

• Il terzultimocarattere del nomedeve essere "e"

• È presente almenoun carattere tra lastringa di apertura"Sam" e la stringadi chiusura "e??"del nome

• Sono presentiesattamente 2caratteri primadell'estensione delfile e dopo le "e"nel nome

• L'estensione delfile è .exe

Se un file rispetta tuttele condizioni e si trovain una sottocartelladella directory C:\,OfficeScan lo escludedalle scansioni.

• C:\Sample12.exe

• C:\test\SametimeAA.exe

• C:\SamSamSample12.exe

• C:\SaSmple12.exe

Motivo: non iniziacon "Sam"

• C:\SamSamSam12.exe

Motivo: ilterzultimocarattere non èuna "e"

• C:\Same12.exe

Motivo: noninclude caratteri trala stringa diapertura "Sam" e ilterzultimocarattere "e"

• C:\Sample1.exe

Motivo: noninclude 2 caratteritra le "e" el'estensione

• C:\Sample12.doc

Motivo: estensionenon corretta


9-15

Configurazione del Blocco del comportamento malware,del Monitoraggio degli eventi e dell'Elenco di Eccezione:

Procedura



3. Fare clic su Impostazioni > Impostazioni del monitoraggio delcomportamento.

4. Fare clic sulla scheda Regole.

5. Nella sezione Blocco del comportamento malware:

a. Selezionare Attiva blocco del comportamento malware e specificare i tipidi minacce da bloccare:

• Minacce note: blocca i comportamenti associati alle minacceinformatiche conosciute

• Minacce note e potenziali: blocca i comportamenti associati alleminacce conosciute e intraprende azioni in caso di comportamentipotenzialmente dannosi

b. Selezionare le funzionalità Protezione ransomware da attivare per proteggersidalle minacce ransomware.

• Proteggi il documento da crittografia o modifiche non autorizzate:interrompe l'eventuale codifica o modifica dei contenuti dei documentida parte di potenziali minacce ransomware

• Crea automaticamente una copia di backup e ripristina i filemodificati dai programmi sospetti: crea copie di backup dei fileche vengono crittografati sui dispositivi, per impedire la perdita didati nel caso venga rilevata una minaccia ransomware


9-16

Nota

Il backup automatico dei file richiede almeno 100 MB di spazio sudisco nel dispositivo agente. Inoltre, viene eseguito il backupsoltanto dei file di dimensione inferiore a 10 MB.

• Blocca i processi comunemente associati a ransomware: blocca iprocessi associati a minacce ransomware conosciute prima di eventualicodifiche o modifiche dei documenti

• Attiva l'ispezione del programma per rilevare e bloccare i fileeseguibili compromessi: La funzione di ispezione dei programmimonitora i processi ed esegue l'hooking API per determinare se unprogramma si comporta in modo imprevisto. Questa procedura aumentail numero di rilevamenti complessivi dei file eseguibili compromessi,tuttavia può causare una diminuzione delle prestazioni del sistema.

Suggerimento

Selezionando Minacce note e potenziali dal menu a discesa Minacceda bloccare, è possibile aumentare la sicurezza garantita dalla funzione diispezione dei programmi.

Per i dettagli, consultare Protezione ransomware a pagina 9-3.

c. In Protezione da minacce, attivare Chiudi i programmi che presentanoun comportamento anomalo associato ad attacchi da minacce perproteggere il sistema da programmi potenzialmente sfruttati da minacce.

Nota

Protezione da minacce richiede la selezione dell'opzione Attiva l'ispezione delprogramma per rilevare e bloccare i file eseguibili compromessi.

Per i dettagli, consultare Protezione da minacce a pagina 9-5.

6. Nella sezione Nuovi programmi rilevati, attivare Monitora i nuovi programmiscaricati tramite Web o applicazioni e-mail e selezionare se effettuare laRichiesta all'utente prima di eseguire il programma scaricato o se consentire aOfficeScan di registrare semplicemente i rilevamenti.


9-17

7. Nella sezione Monitoraggio degli eventi:

a. Selezionare Attiva Monitoraggio degli eventi.

b. Scegliere gli eventi di sistema da controllare e selezionare un'azione perciascuno degli eventi selezionati.

Per informazioni sugli eventi di sistema controllati e le azioni, vedereMonitoraggio degli eventi a pagina 9-6.

8. Fare clic sulla scheda Eccezioni per configurare l'elenco delle eccezioni.

a. In Digitare il percorso completo del programma, digitare l'intero percorsodel programma da approvare o da bloccare.

b. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elencoBloccati.

c. Per eliminare dall'elenco un programma bloccato o approvato, fare clicsull'icona del cestino ( ) accanto al programma.

Nota

OfficeScan accetta un totale combinato massimo di 1024 programmi approvatie programmi bloccati.





9-18

Configurazione delle impostazioni delmonitoraggio del comportamento globale

OfficeScan applica le impostazioni globali agente a tutti gli agenti o solo agli agenti condeterminati privilegi.

Procedura


2. Fare clic sulla scheda Impostazioni di sicurezza.

3. Passare alla sezione Impostazioni del monitoraggio del comportamento .

4. Configurare l'impostazione Esegui automaticamente le operazioni necessariese l'utente non risponde entro __ secondo/i in base alle proprie esigenze.

Questa impostazione funziona solo se è attivato il Monitoraggio degli eventi el'azione per un evento di sistema controllato è "Chiedi se necessario". Questaazione chiede all'utente se consentire o negare i programmi associati all'evento. Sel'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizzaautomaticamente l'esecuzione del programma.

Per i dettagli, consultare Monitoraggio degli eventi a pagina 9-6.


6. Accedere alla sezione Impostazioni servizio certificato Safe Software e attivareil Servizio certificato Safe Software, come necessario.



9-19

NotaAssicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (permaggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 15-52)prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette,insieme a una connessione Internet intermittente, possono provocare ritardi omancate risposte dai datacenter Trend Micro. Di conseguenza, i programmicontrollati non rispondono.



Privilegi di monitoraggio del comportamentoSe gli agenti dispongono dei privilegi di Monitoraggio del comportamento, l'opzioneMonitoraggio del comportamento viene visualizzata nella schermata Impostazioni nella


9-20

console dell'Agente OfficeScan. Gli utenti possono, quindi, gestire il proprio elenco dieccezioni.

Figura 9-1. Opzione Monitoraggio del comportamento nella console dell'AgenteOfficeScan


9-21

Concessione dei privilegi di monitoraggio delcomportamento

Procedura




4. Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio delcomportamento.

5. Selezionare Visualizza le impostazioni Monitoraggio del comportamentonella console agente OfficeScan.





9-22

Notifiche di Monitoraggio del comportamentoper gli utenti degli agenti OfficeScan

OfficeScan può visualizzare un messaggio di notifica sul computer Agente OfficeScansubito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivarel'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio.

Attivazione dell'invio di messaggi di notifica

Procedura




4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni delmonitoraggio del comportamento .

5. Selezionare Visualizza una notifica quando un programma viene bloccato.





9-23

Modifica del contenuto del messaggio di notifica

Procedura


2. Dal menu a discesa Tipo, selezionare Violazioni dei criteri di monitoraggio delcomportamento.

3. Modificare i messaggi predefiniti nella casella di testo disponibile.

• Violazioni dei criteri di monitoraggio del comportamento:specificare ilmessaggio che gli utenti finali ricevono quando Blocco del comportamentomalware rileva una violazione dei criteri.

• Nuovi programmi rilevati: specificare il messaggio che gli utenti finaliricevono quando Blocco del comportamento rileva un programma nonriconosciuto scaricato tramite Web o applicazioni e-mail.


Registri di Monitoraggio del comportamentoGli Agenti OfficeScan registrano le istanze di accesso non autorizzato ai programmi einviano i registri al server. Un Agente OfficeScan che è sempre in esecuzione raccoglie iregistri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti.



9-24

Visualizzazione dei registri di Monitoraggio delcomportamento

Procedura

1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestioneagente.


3. Fare clic su Registri > Registri di Monitoraggio del comportamento oppureVisualizza registri > Registri di Monitoraggio del comportamento.



• Data/Ora di rilevamento del processo non autorizzato

• Dispositivo in cui il processo non autorizzato è stato rilevato

• Dominio del dispositivo

• Violazione, ossia la regola di monitoraggio dell'evento violata dal processo

• Azione eseguita al rilevamento della violazione

• Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso

• Livello di rischio del programma non autorizzato

• Programma, ossia il programma non autorizzato

• Operazione, ossia l'azione eseguita dal programma non autorizzato

• Destinazione, ossia il processo al quale è stato eseguito l'accesso

• Canale di infezione da cui ha origine la minaccia



9-25

Configurazione della pianificazione dell'invio dei registridi Monitoraggio del comportamento:

Procedura

1. Accedere a <Cartella di installazione del server>\PCCSRV.

2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.

3. Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto adessa.

Il valore predefinito è 3600 secondi e la stringa completa èSendBMLogPeriod=3600.

4. Specificare il valore in secondi.

Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in7200.

5. Salvare il file.


7. Fare clic su Salva senza cambiare le impostazioni.

8. Riavviare l'agente

10-1

Capitolo 10

Utilizzo di Controllo dispositivoQuesto capitolo descrive come proteggere i computer dai rischi per la sicurezzautilizzando la funzione di Controllo dispositivo.


• Controllo dispositivo a pagina 10-2

• Autorizzazioni per dispositivi di archiviazione a pagina 10-4

• Autorizzazioni per dispositivi non di archiviazione a pagina 10-11

• Modifica delle notifiche di controllo dispositivo a pagina 10-18

• Registri di controllo dispositivo a pagina 10-19


10-2

Controllo dispositivoControllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorsedi rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e ladispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischiper la sicurezza.

È possibile configurare i criteri di Controllo dispositivo per gli agenti interni ed esterni.Gli amministratori in genere configurano criteri più rigidi per gli agenti esterni.

I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibileapplicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibileapplicare un singolo criterio a tutti gli agenti.

Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definitinella schermata Posizione dispositivo (vedere Posizione dispositivo a pagina 15-2) perdeterminarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni voltache cambia la posizione.

Importante

• Per impostazione predefinita, Controllo dispositivo è disattivato in tutte le versioni diWindows Server 2003, Windows Server 2008, Windows Server 2012 e WindowsServer 2016. Prima di attivarlo su queste piattaforme, leggere le linee guida e leprocedure ottimali descritte in Servizi dell'agente OfficeScan a pagina 15-6.

• Per un elenco dei modelli di dispositivi supportati, consultare gli elenchi di protezione datisu:

http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx

I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendonodall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso inlicenza separatamente che deve essere attivato prima dell'utilizzo. Per ulterioriinformazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina 3-4.



Utilizzo di Controllo dispositivo

10-3

Tabella 10-1. Dispositivi monitorati dal Servizio prevenzione modifiche nonautorizzate

Tipo di dispositivo Descrizione del dispositivo

Dispositivi di archiviazione CD/DVD

ImportanteIl controllo del dispositivo può limitare l'accesso soloa dispositivi di registrazione CD/DVD che utilizzanoil formato Live File System. Alcune applicazioni diterze parti che utilizzano il formato master possonoancora eseguire operazioni di lettura o scritturaanche quando il controllo del dispositivo è attivato.Utilizzare Prevenzione perdita di dati per limitarel'accesso a dispositivi di registrazione CD/DVD cheutilizzano qualsiasi tipo di formato.

Per i dettagli, consultare Blocco dell'accesso aisupporti di registrazione dati (CD/DVD) a pagina11-34.

Dischi floppy

Unità di rete

Dispositivi USB di archiviazione

Tabella 10-2. Dispositivi monitorati da Prevenzione perdita di dati


Dispositivi mobili Dispositivi mobili

Dispositivi di archiviazione CD/DVD

Dischi floppy

Unità di rete

Dispositivi USB di archiviazione


10-4


Dispositivi non diarchiviazione

Adattatori Bluetooth

Porte COM e LPT

Interfaccia IEEE 1394

Dispositivi per l\'acquisizione di immagini

Dispositivi a infrarossi

Modem

Schede PCMCIA

Tasto Stamp

Schede NIC wireless:

Autorizzazioni per dispositivi di archiviazioneLe autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengonoutilizzate per:

• Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy eunità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitareil livello di accesso.

• Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllodispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione,ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibileconsentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.

La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi diarchiviazione.


10-5

Tabella 10-3. Autorizzazioni di Controllo dispositivo per i dispositivi diarchiviazione

Autorizzazioni File nel dispositivo File in entrata

Accesso completo Operazioni consentite: copia,spostamento, apertura,salvataggio, eliminazione,esecuzione

Operazioni consentite:salvataggio, spostamento, copia

Ciò significa che un file puòessere salvato, spostato ecopiato nel dispositivo.

Modifica Operazioni consentite: copia,spostamento, apertura,salvataggio, eliminazione

Operazioni non consentite:esecuzione

Operazioni consentite:salvataggio, spostamento, copia

Lettura edesecuzione

Operazioni consentite: copia,apertura, esecuzione

Operazioni non consentite:salvataggio, spostamento,eliminazione

Operazioni non consentite:salvataggio, spostamento, copia

Lettura Operazioni consentite: copia,apertura

Operazioni non consentite:salvataggio, spostamento,eliminazione, esecuzione


Elenca solocontenutodispositivo

Operazioni non consentite: tuttele operazioni

Il dispositivo e i file che contienesono visibili all'utente (adesempio, da Esplora risorse diWindows).



10-6

Autorizzazioni File nel dispositivo File in entrata

Blocca

(disponibile dopol'attivazione dellaProtezione dati)

Operazioni non consentite: tuttele operazioni

Il dispositivo e i file che contienenon sono visibili all'utente (adesempio, da Esplora risorse diWindows).


La funzione di scansione integra le autorizzazioni ai dispositivi e può prevalere su diesse. Ad esempio, se l'autorizzazione consente l'apertura di un file, ma l'AgenteOfficeScan rileva che il file è infetto per la presenza di malware, viene eseguita un'azionedi scansione sul file per eliminare tali malware. Se l'azione di scansione è Disinfetta, il fileviene aperto dopo la disinfezione. Se, tuttavia, l'azione di scansione è Elimina, il fileviene eliminato.

Suggerimento

Il controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per ilmonitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportatidall'Agente OfficeScan, impostare l'autorizzazione del dispositivo su Blocca per limitarel'accesso a tali dispositivi.

Autorizzazioni avanzate per i dispositivi di archiviazioneLe autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate perla maggior parte dei dispositivi di archiviazione. È possibile applicare una delleautorizzazioni seguenti:

• Modifica

• Lettura ed esecuzione

• Lettura

• Elenca solo contenuto dispositivo

È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per alcuniprogrammi sui dispositivi di archiviazione e sul dispositivo locale.


10-7

Per definire i programmi, configurare gli elenchi di programmi seguenti.

Tabella 10-4. Elenchi di programmi

Elenco diprogrammi Descrizione Valori validi

Programmi conaccesso in letturae scrittura aidispositivi

Questo elenco contiene i programmi locali ei programmi dei dispositivi di archiviazioneche hanno accesso in lettura e scrittura aidispositivi.

Un esempio di programma locale èMicrosoft Word (winword.exe), di solitoinstallato in C:\Programmi\MicrosoftOffice\Office. Se l'autorizzazione per idispositivi di archiviazione USB è "Elencasolo contenuto dispositivo", ma "C:\Programmi\Microsoft Office\Office\winword.exe" è incluso nell'elenco:

• L'utente avrà accesso in lettura e inscrittura a tutti i file del dispositivo diarchiviazione USB a cui Microsoft Wordha accesso.

• L'utente può salvare, spostare ocopiare un file Microsoft Word suldispositivo di archiviazione USB.

Nome e percorso delprogramma

Per i dettagli,consultare Supportodei caratteri jolly perl'elenco Programmiconsentiti inControllo dispositivoa pagina 10-9.


10-8

Elenco diprogrammi Descrizione Valori validi

Programmi sudispositivi a cui èconsentitoeseguire

Questo elenco contiene i programmi deidispositivi di archiviazione che possonoessere eseguiti dagli utenti o dal sistema.

Ad esempio, per consentire agli utenti diinstallare il software da un CD, aggiungerea questo elenco il nome e il percorso delprogramma di installazione, ad esempio "E:\Installer\Setup.exe",

Nome e percorso delprogramma oprovider della firmadigitale

Per ulteriori dettagli,vedere Supporto deicaratteri jolly perl'elenco Programmiconsentiti inControllo dispositivoa pagina 10-9 oSpecifica di unprovider della firmadigitale a pagina10-9.

In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi.Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, seattivato, richiede agli utenti di specificare un nome utente e una password validi primache il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza unprogramma del dispositivo denominato "Password.exe", che è necessario autorizzareaffinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avereaccesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificareil nome utente o la password.

Ciascun elenco di programmi nell'interfaccia utente può contenere fino a 100programmi.

Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al fileofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su comeaggiungere i programmi al file ofcscan.ini, consultare Aggiunta di programmi agli elenchidi controllo dispositivo con ofcscan.ini a pagina 10-17.

AVVERTENZA!

I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio principale(root) e sovrascrivono i programmi nei singoli domini e negli agenti.


10-9

Specifica di un provider della firma digitaleSpecificare un provider di firma digitale se si ritengono affidabili i programmi delprovider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibileconoscere il provider della firma digitale verificando le proprietà di un programma (adesempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).

Figura 10-1. Provider della firma digitale per il programma Agente OfficeScan(PccNTMon.exe)

Supporto dei caratteri jolly per l'elenco Programmiconsentiti in Controllo dispositivoIl nome e il percorso di un programma devono essere composti da un massimo di 259caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibilespecificare solo il nome del programma.

È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi deiprogrammi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo,


10-10

come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a caratteremultiplo, come un nome di un programma.

Nota

I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessariospecificare il nome esatto di una cartella.

Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:

Tabella 10-5. Uso corretto dei caratteri jolly

Esempio Dati corrispondenti

?:\Password.exe Il file "Password.exe" si trova direttamente sotto unaqualsiasi unità

C:\Programmi\Microsoft\*.exe Qualsiasi file in C:\Programmi che abbiaun'estensione di file

C:\Programmi\*.* Qualsiasi file in C:\Programmi che abbiaun'estensione di file

C:\Programmi\a?c.exe Qualsiasi file .exe in C:\Programmi composto da 3caratteri che inizi con la lettera "a" e termini con lalettera "c"

C:\* Qualsiasi file che si trovi direttamente sotto l'unità C:\Programmi con o senza un'estensione di file

Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:

Tabella 10-6. Uso scorretto dei caratteri jolly

Esempio Motivo

??:\Buffalo\Password.exe ?? rappresenta due caratteri, mentre le lettere delleunità sono costituite da un solo carattere alfabetico.

*:\Buffalo\Password.exe * rappresenta dati con più caratteri, mentre le letteredelle unità sono costituite da un solo caratterealfabetico.


10-11

Esempio Motivo

C:\*\Password.exe I caratteri jolly non possono essere usati perrappresentare nomi di cartelle. È necessariospecificare il nome esatto di una cartella.C:\?\Password.exe

Autorizzazioni per dispositivi non diarchiviazione

L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Perquesti dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.

Gestione dell'accesso ai dispositivi esterni(Protezione dati attivata)

Procedura



3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo.

4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agentiesterni o sulla scheda Agenti interni per configurare le impostazioni per gli agentiinterni.

5. Selezionare Attiva controllo dispositivo.

6. Applicare le impostazioni come indicato di seguito:

• Nella scheda Agenti esterni è possibile applicare le impostazioni agli agentiinterni selezionando Applica impostazioni agli agenti interni.


10-12

• Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioniagli agenti esterni selezionando Applica impostazioni agli agenti esterni.

Viene visualizzato un messaggio che richiede la conferma dell'operazione.Attendere che il comando di implementazione propaghi le impostazioni a tutti gliagenti.

7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in undispositivo di archiviazione USB.

8. Configurare le impostazioni per i dispositivi di archiviazione.

a. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione.

Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni perdispositivi di archiviazione a pagina 10-4.

b. Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurareun elenco dei dispositivi approvati. Gli utenti possono accedere a questidispositivi e possono controllare il livello di accesso usando le autorizzazioni.

Consultare Configurazione di un elenco Approvati per i dispositivi USB a pagina10-14.

9. Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.





10-13

Configurazione delle autorizzazioni avanzateAnche se è possibile configurare notifiche e autorizzazioni avanzate per un determinatodispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazionivengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa chefacendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà sidefiniscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.

NotaPer maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente iprogrammi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi diarchiviazione a pagina 10-6.

Procedura

1. Fare clic su Notifiche e autorizzazioni avanzate.


2. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare ilpercorso ed il nome file del programma e fare clic su Aggiungi.

Il provider della firma digitale non viene accettato.

3. Sotto Programmi su dispositivi di archiviazione di cui è consentital'esecuzione:, digitare il percorso ed il nome file del programma oppure ilprovider della firma digitale e fare clic su Aggiungi.

4. Selezionare Visualizza un messaggio di notifica sul dispositivo quandoOfficeScan rileva un accesso non autorizzato.

• L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate suldispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli utentinon potranno salvare, spostare, eliminare o eseguire un file sul dispositivo.

• È possibile modificare il messaggio di notifica. Per i dettagli, consultareModifica delle notifiche di controllo dispositivo a pagina 10-18.

5. Fare clic su Indietro.


10-14

Configurazione di un elenco Approvati per i dispositiviUSB

L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come caratterejolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi chesoddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositiviUSB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elencoapprovati.

Procedura

1. Fare clic su Dispositivi approvati.

2. Immettere il fornitore del dispositivo.

3. Immettere il modello e l'ID di serie del dispositivo.

SuggerimentoUtilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi aglidispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo.

4. Selezionare l'autorizzazione per ciascun dispositivo.

Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi diarchiviazione a pagina 10-4.

5. Per aggiungere altri dispositivi, fare clic sull'icona (+).

6. Fare clic su < Indietro.

Strumento elenco dispositiviEseguire lo Strumento elenco dispositivi localmente su ogni singolo dispositivo pereseguire query sui dispositivi esterni collegati all'dispositivo. Lo strumento analizza undispositivo alla ricerca di dispositivi esterni, quindi visualizza le informazioni suldispositivo in una finestra del browser. Tali informazioni possono quindi essere utilizzate


10-15

durante la configurazione delle impostazioni dei dispositivi per la Prevenzione perdita didati e il Controllo dispositivo.

Esecuzione dello Strumento elenco dispositivi

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server apagina xvi>\PCCSRV\Admin\Utility\ListDeviceInfo.

2. Copiare listDeviceInfo.exe nell'dispositivo di destinazione.

3. Sull'dispositivo, eseguire listDeviceInfo.exe.

4. Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. LaPrevenzione predita di dati e il Controllo dispositivo utilizzano le seguentiinformazioni:

• Fornitore (obbligatorio)

• Modello (facoltativo)

• ID di serie (facoltativo)

Gestione dell'accesso ai dispositivi esterni(Protezione dati non attivata)

Procedura



3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo.


10-16

4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agentiesterni o sulla scheda Agenti interni per configurare le impostazioni per gli agentiinterni.

5. Selezionare Attiva controllo dispositivo.

6. Applicare le impostazioni come indicato di seguito:

• Nella scheda Agenti esterni è possibile applicare le impostazioni agli agentiinterni selezionando Applica impostazioni agli agenti interni.

• Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioniagli agenti esterni selezionando Applica impostazioni agli agenti esterni.

Viene visualizzato un messaggio che richiede la conferma dell'operazione.Attendere che il comando di implementazione propaghi le impostazioni a tutti gliagenti.

7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in undispositivo di archiviazione USB.

8. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione.

9. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per ildispositivo di archiviazione è una delle seguenti: Modifica, Lettura edesecuzione, Lettura o Elenca solo contenuto dispositivo.

Consultare Configurazione delle autorizzazioni avanzate a pagina 10-13.





10-17

Aggiunta di programmi agli elenchi di controllodispositivo con ofcscan.ini

NotaPer maggiori dettagli sugli elenchi di programmi e su come definire i programmi chepossono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi diarchiviazione a pagina 10-6.

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV.

2. Aprire il file ofcscan.ini usando un editor di testo.

3. Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi diarchiviazione:

a. Individuare le righe seguenti:

[DAC_APPROVED_LIST]

Count=x

b. Sostituire "x" con il numero di programmi dell'elenco dei programmi.

c. Sotto "Count=x", aggiungere i programmi digitando quanto segue:

Item<numero>=<nome e percorso del programma o providerdella firma digitale>

Ad esempio:

[DAC_APPROVED_LIST]

Count=3

Item0=C:\Program Files\program.exe

Item1=?:\password.exe

Item2=Microsoft Corporation


10-18

4. Per aggiungere i programmi su dispositivi di archiviazione di cui è consentital'esecuzione:

a. Individuare le righe seguenti:

[DAC_EXECUTABLE_LIST]

Count=x

b. Sostituire "x" con il numero di programmi dell'elenco dei programmi.

c. Sotto "Count=x", aggiungere i programmi digitando quanto segue:

Item<numero>=<nome e percorso del programma o providerdella firma digitale>

Ad esempio:

[DAC_EXECUTABLE_LIST]

Count=3

Item0=?:\Installer\Setup.exe

Item1=E:\*.exe

Item2=Trend Micro, Inc.

5. Salvare e chiudere il file ofcscan.ini .

6. Aprire la console Web OfficeScan e accedere a Agenti > Impostazioni globaliagente.

7. Fare clic su Salva per implementare gli elenchi di programmi in tutti gli agenti.

Modifica delle notifiche di controllo dispositivoI messaggi di notifica sono visualizzati negli dispositivo quando si verificano violazionidel Controllo dispositivo. Se necessario, gli amministratori possono modificare ilmessaggio di notifica predefinito.


10-19

Procedura


2. Dal menu a discesa Tipo, selezionare Violazioni del controllo dispositivo



Registri di controllo dispositivoGli Agenti OfficeScan registrano le istanze di accesso non autorizzato ai dispositivi einviano i registri al server. Qualsiasi agente che è sempre in esecuzione raccoglie i registrie li invia dopo 1 ora. Qualsiasi agente che è stato riavviato controlla l'ultima volta che iregistri sono stati inviati al server. Se il tempo trascorso è superiore a 1 ora, l'agente inviai registri immediatamente.


Visualizzazione dei registri di controllo dispositivo

Nota

I dati dei registri vengono generati solo dai tentativi di accedere ai Dispositivi diarchiviazione. Gli Agenti OfficeScan bloccano o consentono l'accesso ai Dispositivi nondi archiviazione come da configurazione ma non registrano l'operazione.

Procedura



10-20


3. Fare clic su Registri > Registri di controllo dispositivo oppure Visualizzaregistri > Registri di controllo dispositivo.



• Data/Ora di rilevamento dell'accesso non autorizzato

• Dispositivo al quale è connesso un dispositivo esterno o è mappata unarisorsa di rete

• Dominio del dispositivo al quale è connesso un dispositivo esterno o èmappata una risorsa di rete

• Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso

• Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui èstato eseguito l'accesso

• Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso

• Autorizzazioni impostate per la destinazione


11-1

Capitolo 11

Utilizzo di Prevenzione perdita di datiIn questo capitolo vengono descritte le modalità di utilizzo della funzione Prevenzioneperdita di dati


• Prevenzione perdita di dati (DLP) a pagina 11-2

• Criteri di Prevenzione perdita di dati a pagina 11-3

• Tipi di identificatore di dati a pagina 11-5

• Modelli di Prevenzione perdita di dati a pagina 11-20

• Canali DLP a pagina 11-25

• Azioni di Prevenzione perdita di dati a pagina 11-39

• Eccezioni di Prevenzione perdita di dati a pagina 11-42

• Configurazione dei criteri Prevenzione perdita di dati a pagina 11-48

• Notifiche di Prevenzione perdita di dati a pagina 11-54

• Registri di Prevenzione perdita di dati a pagina 11-58


11-2

Prevenzione perdita di dati (DLP)Le soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esternedi raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metàdella storia. Le violazioni dei dati sono diventate di ordinaria amministrazione edespongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – apersone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito aerrori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti,oppure attacchi maligni.

Le violazioni dei dati possono:

• Danneggiare la reputazione del marchio.

• Minare la fiducia del cliente nell'azienda.

• Causare spese superflue a copertura dei rimedi e delle multe per violazione dellanormativa in materia di conformità.

• Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furtodella proprietà intellettuale.

Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggila protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura disicurezza.

Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perditeaccidentali o intenzionali. Prevenzione perdita di dati consente di:

• Identificare le informazioni sensibili che devono essere protette utilizzando gliidentificatori di dati.

• Creare criteri che limitano o impediscono la trasmissione delle risorse digitaliattraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositiviesterni.

• implementare la conformità alle norme vigenti sulla privacy

Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessarioessere in grado di rispondere alle domande seguenti:

Utilizzo di Prevenzione perdita di dati

11-3

• Quali dati è necessario proteggere dagli utenti non autorizzati?

• Dove risiedono i dati sensibili?

• Come sono trasmessi i dati sensibili?

• Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili?

• Quale azione deve essere intrapresa se si verifica una violazione della sicurezza?

Queste importanti domande, in genere, riguardano diversi reparti e impiegati cheutilizzano i dati sensibili nell'ambito dell'organizzazione.

Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibileiniziare a definire gli identificatori di dati e i criteri aziendali.

Criteri di Prevenzione perdita di datiOfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. Icriteri determinano quali file e dati richiedono una protezione dalla trasmissione nonautorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione.

Nota

OfficeScan non monitora le trasmissioni di dati tra il server e gli Agenti OfficeScan.

OfficeScan consente agli amministratori di configurare i criteri per gli Agenti OfficeScaninterni ed esterni. Gli amministratori in genere configurano criteri più rigidi per gli agentiesterni.

Gli amministratori possono applicare criteri specifici a gruppi di agenti o a singoli agenti.

Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nellaschermata Posizione dispositivo (consultare Posizione dispositivo a pagina 15-2) perdeterminare le impostazioni di posizione corretta e il criterio da applicare. Gli agenticambiano criteri ogni volta che cambia la posizione.


11-4

Configurazione dei criteriDefinire i criteri DLP configurando le seguenti impostazioni e implementandole negliagenti selezionati:

Tabella 11-1. Impostazioni per la definizione di un criterio DLP

Impostazioni Descrizione

Regole Una regola DLP è composta da azioni, canali e modelli multipli.Ciascuna regola è un sottoinsieme del criterio DLP che la include.

NotaModelli e regole dei processi di Prevenzione perdita di dati inbase alla priorità. Se una regola è impostata su “Ignora”,Prevenzione perdita di dati elabora la regola successivadell'elenco. Se una regola è impostata su “Blocca” o su“Giustificazione utente”, Prevenzione perdita di dati blocca oaccetta l'operazione dell'utente e non elabora ulteriormentetale regola/modello.

Modelli I modelli DLP combinano identificatori di dati e operatori logici (E,O, Eccetto) per formare istruzioni condizionali. La regola DLP vieneapplicata solo ai file o ai dati che soddisfano una determinataistruzione condizionale.

Prevenzione perdita di dati comprende una serie di modellipredefiniti e consente agli amministratori di creare modellipersonalizzati.

Una regola DLP può contenere uno o più modelli. Prevenzioneperdita di dati utilizza la prima regola corrispondente quandoverifica i modelli. Questo significa che se un file o dei daticorrispondono agli identificatori di dati in un modello, Prevenzioneperdita di dati non esegue la verifica in altri modelli.

Canali I canali sono entità che trasmettono le informazioni sensibili.Prevenzione perdita di dati supporta i comuni canali ditrasmissione, come la posta elettronica, i dispositivi di archiviazionerimovibili e le applicazioni di messaggistica istantanea.


11-5


Azioni Prevenzione perdita di dati esegue una o più azioni quando rilevaun tentativo di trasmissione di informazioni sensibili attraverso unodei canali.

Eccezioni Le eccezioni adottano azioni di sovrascrittura nei confronti delleregole DLP configurate. Configurare le eccezioni per gestiredestinazioni non monitorate, destinazioni monitorate e scansioni difile compressi.

identificatore didati

Prevenzione perdita di dati utilizza gli identificatori di dati peridentificare le informazioni sensibili. Gli identificatori di datiincludono espressioni, attributi di file e parole chiave che agisconocome elementi di costruzione per i modelli DLP.

Tipi di identificatore di datiLe risorse digitali sono i file e i dati che un'organizzazione deve proteggere datrasmissione non autorizzata. Gli amministratori possono definire le risorse digitaliutilizzando i seguenti identificatori di dati:

• Espressioni: dati con una determinata struttura.

Per i dettagli, consultare Espressioni a pagina 11-6.

• Attributi dei file: proprietà dei file, come il tipo e le dimensioni dei file.

Per i dettagli, consultare Attributi di file a pagina 11-11.

• Parole chiave: un elenco di specifiche parole o frasi.

Per i dettagli, consultare Parole chiave a pagina 11-14.

Nota

Gli amministratori non possono eliminare un identificatore di dati utilizzato da un modelloDLP. Eliminare il modello prima di eliminare l'identificatore di dati.


11-6

Espressioni

Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle cartedi credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnn-nnnn", e questo li rende idonei per il rilevamento basato su espressioni.

Gli amministratori possono utilizzare espressioni predefinite e personalizzate.

Per i dettagli, consultare Espressioni predefinite a pagina 11-6 e Espressioni personalizzate apagina 11-7.

Espressioni predefinite

In Prevenzione perdita di dati è inclusa una serie di espressioni predefinite. Questeespressioni non possono essere modificate o eliminate.

Prevenzione perdita di dati verifica queste espressioni usando equazioni matematiche eassociazioni dei pattern. Quando Prevenzione perdita di dati individua possibili daticorrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche.

Per un elenco completo delle espressioni predefinite, consultare gli elenchi di protezione datisu http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Visualizzazione delle impostazioni per le espressioni predefinite

Nota

Le espressioni predefinite non possono essere modificate o eliminate.

Procedura

1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati.

2. Fare clic sulla scheda espressione.

3. Fare clic sul nome dell'espressione.




11-7

4. Viene visualizzata la schermata delle impostazioni.

Espressioni personalizzateCreare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa leesigenze dell'azienda.

Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creareespressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassierrata possono avere un impatto negativo sulle prestazioni.

Durante la creazione delle espressioni:

• Fare riferimento alle espressioni predefinite per ottenere esempi di espressionivalide. Ad esempio, se si crea un'espressione con una data, fare riferimento alleespressioni con il prefisso "Data".

• Si noti che Prevenzione perdita di dati segue i formati di espressioni definiti inPCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE,visitare il seguente sito Web:

http://www.pcre.org/

• Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmio perfezionarle per migliorare i rilevamenti.

Gli amministratori possono scegliere tra vari criteri di creazione delle espressioni.Un'espressione deve soddisfare i criteri scelti prima che Prevenzione perdita di dati viapplichi un criterio DLP. Per ulteriori informazioni sulle diverse opzioni dei parametri,vedere Criteri per le espressioni personalizzate a pagina 11-8.

http://www.pcre.org/


11-8

Criteri per le espressioni personalizzateTabella 11-2. Opzioni dei criteri per le espressioni personalizzate

Criteri Regola Esempio

Nessuna nessuna Tutti - Nomi provenienti dall'USCensus Bureau (Ufficio delcensimento degli Stati Uniti)

• Espressione: [^\w]([A-Z][a-z]{1,12}(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]{1,12})[^\w]

Caratteri specifici Un'espressione devecomprendere i caratterispecificati.

Inoltre il numero deicaratteri dell'espressionedeve essere compresoentro il numero minimo emassimo.

Stati Uniti - Numero di registrazioneABA

• Espressione: [^\d]([0123678]\d{8})[^\d]

• Caratteri: 0123456789

• Numero minimo di caratteri: 9

• Numero massimo di caratteri: 9

Suffisso Il suffisso si riferisceall'ultimo segmento diun'espressione. Un suffissodeve comprendere icaratteri specificati econtenere un certo numerodi caratteri.

Inoltre il numero deicaratteri dell'espressionedeve essere compresoentro il numero minimo emassimo.

Tutti - Indirizzo abitazione

• Espressione: \D(\d+\s[a-z.]+\s([a-z]+\s){0,2} (lane|ln|street|st|avenue|ave| road|rd|place|pl|drive|dr|circle| cr|court|ct|boulevard|blvd)\.? [0-9a-z,#\s\.]{0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?)[^\d-]

• Caratteri suffisso: 0123456789-

• Numero di caratteri: 5

• Numero minimo di caratterinell'espressione: 25

• Numero massimo di caratterinell'espressione: 80


11-9

Criteri Regola Esempio

Separatore acarattere singolo

Un'espressione deve averedue segmenti separati daun carattere. La lunghezzadel carattere deve essere 1byte.

Inoltre il numero deicaratteri a sinistra delseparatore deve esserecompreso entro il numerominimo e massimo. Ilnumero di caratteri a destradel separatore non devesuperare il numeromassimo.

Tutti - Indirizzo e-mail

• Espressione: [^\w.]([\w\.]{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}[a-z\.]{0,10})[^\w.]

• Separatore: @

• Numero minimo di caratteri asinistra: 3

• Numero massimo di caratteri asinistra: 15

• Numero massimo di caratteri adestra: 30

Creazione di un'espressione personalizzata

Procedura





4. Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100byte e il nome non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /

5. Immettere una descrizione la cui lunghezza non superi i 256 byte.

6. Immettere i dati visualizzati.

Ad esempio, se si crea un'espressione per i numeri di documenti di identità,immettere un numero di esempio. Questi dati vengono utilizzati solo perriferimento e non vengono visualizzati nel prodotto.


11-10

7. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per iparametri scelti (vedere Criteri per le espressioni personalizzate a pagina 11-8):

• nessuna

• Caratteri specifici

• Suffisso

• Separatore a carattere singolo

8. Provare l'espressione su dati effettivi.

Ad esempio, se l'espressione si riferisce a un documento di identità, digitare unnumero del documento di identità nella casella di testo Dati di prova, fare clic suProva e verificare i risultati.

9. Se i risultati sono soddisfacenti, fare clic su Salva.

NotaSalvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado dirilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effettonegativo sulle prestazioni.

10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugliagenti. Fare clic su Chiudi.

11. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gliagenti.

Importazione di espressioni personalizzate

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienele espressioni. È possibile generare il file esportando le espressioni dal server a cui si staaccedendo o da un altro server.

NotaI file di espressioni .dat generati da questa versione di Prevenzione perdita di dati nonsono compatibili con le versioni precedenti.

11-11

Procedura



3. Fare clic su Importa e individuare il file .dat che contiene le espressioni.

4. Fare clic sul pulsante Apri.

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Seun'espressione da importare esiste già, viene ignorata.

5. Fare clic su Applica a tutti gli agenti.

Attributi di file

Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributidi file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensionidei file. Ad esempio, una società di sviluppo software potrebbe voler limitare lacondivisione del programma di installazione del software della società al reparto diricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software.In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare latrasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i reparti,ad eccezione di quello di ricerca e sviluppo.

Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nelcontesto dell'esempio precedente, anche i programmi di installazione del software diterzi condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzare gliattributi di file insieme ad altri identificatori di dati DLP per un rilevamento più miratodei file sensibili.

Per un elenco completo dei tipi di file supportati, consultare gli elenchi di protezione dati suhttp://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.


11-12

Elenco di attributi di file predefinitiIn Prevenzione perdita di dati è incluso un elenco di attributi di file predefiniti. Questoelenco non può essere modificato o eliminato. L'elenco ha delle condizioni incorporateche determinano se il modello deve innescare una violazione dei criteri.

Utilizzare l'elenco di attributi di file predefiniti per limitare l'accesso ai supporti diregistrazione dati (CD/DVD).

Per i dettagli, consultare Blocco dell'accesso ai supporti di registrazione dati (CD/DVD) a pagina11-34.

Creazione di un elenco di attributi di file

Procedura


2. Fare clic sulla scheda attributo di file.



4. Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non devesuperare 100 byte e il nome non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /


6. Selezionare i tipi di file effettivi preferiti.

7. Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file edigitare l'estensione del tipo di file. Prevenzione perdita di dati verifica i file conl'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida perspecificare le estensioni dei file:

• Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.)e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta unnome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol etest.pol.


11-13

• Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un puntointerrogativo (?) per indicare un carattere singolo e un asterisco (*) perindicare due o più caratteri. Vedere gli esempi seguenti:

- *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm

- *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr

- *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp

• Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensionein quanto corrispondere a una parte del nome del file o di un'estensione noncorrelata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg eabc.donor12.pdf.

• Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessarioaggiungere uno spazio dopo il punto e virgola.

8. Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensionidel file devono corrispondere a numeri interi maggiori di zero.




Importazione di un elenco di attributi di file

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienegli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributidi file dal server a cui si sta accedo o da un altro server.

Nota

I file di attributi del file .dat generati da questa versione di Prevenzione perdita di dati nonsono compatibili con le versioni precedenti.


11-14

Procedura


2. Fare clic sulla scheda attributo di file.

3. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributidi file.


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unelenco di attributi di file da importare esiste già, viene ignorato.


Parole chiaveLe parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiavecorrelate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi","gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono esserepresenti in un certificato medico. Per impedire la trasmissione di file contenti certificatimedici, è possibile usare queste parole chiave in un criterio DLP e configurarePrevenzione perdita di dati in modo da bloccare i file che contengono tali parole chiave.

È possibile combinare parole di uso comune in modo da formare parole chiavesignificative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo daformare parole chiave che si trovano nei codici sorgente, come "END-IF", "END-READ" e "AT END".

È possibile usare parole chiave predefinite e personalizzate. Per i dettagli, consultareElenchi parole chiave predefinite a pagina 11-14 e Elenchi parole chiave personalizzate a pagina11-16.

Elenchi parole chiave predefinite

In Prevenzione perdita di dati è inclusa una serie di elenchi di parole chiave predefinite.Questi elenchi di parole chiave non possono essere modificati o eliminati. Ciascun


11-15

elenco ha delle condizioni incorporate che determinano se il modello deve innescare unaviolazione dei criteri.

Per maggiori dettagli sugli elenchi di parole chiave predefinite su Prevenzione perdita didati, consultare il documento Elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Funzionamento degli elenchi di parole chiave

Condizione del numero di parole chiave

Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di undeterminato numero di parole chiave in un documento prima che l'elenco attivi unaviolazione.

La condizione del numero di parole chiave contiene i seguenti valori:

• Tutto: tutte le parole chiave dell'elenco devono essere presenti nel documento.

• Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente neldocumento.

• Numero specifico: nel documento deve essere presente almeno il numero diparole chiave specificato. Se nel documento è presente un numero di parolesuperiore a quello specificato, Prevenzione perdita di dati attiva una violazione.

Condizione di distanza

Alcuni elenchi contengono una condizione di “distanza” per determinare se è presenteuna violazione. la “distanza” indica il numero di caratteri tra il primo carattere di unaparola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voceseguente:

First Name:_John_ Last Name:_Smith_

La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) e icampi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente,Prevenzione perdita di dati attiva una violazione poiché il numero di caratteri tra "F" nelcampo “First Name” e "L" nel campo “Last Name” è uguale diciotto (18).




11-16

Di seguito viene riportato un esempio che non costituisce una violazione:

The first name of our new employee from Switzerland is John. His last name isSmith.

In questo esempio, il numero di caratteri tra “f ” nel campo “first name” e “l” nel campo“last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza enon si verifica una violazione.

Elenchi parole chiave personalizzate

Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiavepredefiniti soddisfa le proprie esigenze.

Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Tale elencodeve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi l'elenco adun criterio. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti:

• Qualsiasi parola chiave

• Tutte le parole chiave

• Tutte le parole chiave comprese tra <x> caratteri

• Il punteggio combinato per le parole chiave supera la soglia

Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzatea pagina 11-16.

Elenchi di parole chiave personalizzate

Tabella 11-3. Criteri per un elenco di parole chiave

Criteri Regola

Qualsiasiparola chiave

Un file deve contenere almeno una parola chiave dell'elenco di parolechiave.

Tutte le parolechiave

Un file deve contenere tutte le parole chiave dell'elenco di parolechiave.


11-17

Criteri Regola

Tutte le parolechiavecomprese tra<x> caratteri

Un file deve contenere tutte le parole chiave dell'elenco di parolechiave. Inoltre ogni coppia di parole chiave deve essere separata da unmassimo di <x> caratteri.

Ad esempio, si supponga che le tre parole chiave siano WEB, DISK eUSB e che il numero di caratteri specificato sia 20.

Se Prevenzione perdita di dati rileva tutte le parole chiave nell'ordineDISK, WEB e USB, il numero di caratteri dalla "D" (in DISK) alla "W" (inWEB) e dalla "W" alla "U" (in USB) deve essere inferiore o pari a 20caratteri.

I dati seguenti soddisfano i criteri: DISK####WEB############USB

I seguenti dati non soddisfano i criteri:DISK*******************WEB****USB (23 caratteri tra "D" e "W")

Quando si determina il numero dei caratteri, si tenga presente che unnumero basso, quale 10, consente di ottenere tempi di scansione ridottima copre un'area relativamente piccola. Ciò riduce le probabilità dirilevamento di dati sensibili, in particolare nei file di grandi dimensioni.A un numero maggiore corrisponde un'area maggiore, ma i tempi discansione potrebbero essere maggiori.

Il punteggiocombinato perle parolechiave superala soglia

Un file deve contenere una o più parole chiave dell'elenco di parolechiave. Se viene rilevata solo una parola chiave, il punteggio deveessere maggiore della soglia. Se esistono più parole chiave, ilpunteggio combinato deve essere maggiore della soglia.

Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Unaparola o frase riservata, quale "aumento di stipendio" per il repartoRisorse umane, deve avere un punteggio relativamente alto. Parole ofrasi che non sono molto rilevanti possono avere un punteggio minore.

Quando viene configurata la soglia, occorre considerare i punteggiassegnati alle parole chiave. Ad esempio, se esistono cinque parolechiave e tre hanno una priorità alta, la soglia può essere uguale ominore del punteggio combinato delle tre parole chiave di priorità alta.Ciò significa che il rilevamento di queste tre parole chiave è sufficientea considerare il file come sensibile.


11-18

Creazione di un elenco di parole chiave

Procedura


2. Fare clic sulla scheda parola chiave.



4. Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non devesuperare 100 byte e il nome non deve contenere i seguenti caratteri:

• > < * ^ | & ? \ /


6. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per icriteri scelti:

• Qualsiasi parola chiave

• Tutte le parole chiave

• Tutte le parole chiave comprese tra <x> caratteri

• Il punteggio combinato per le parole chiave supera la soglia

7. Per aggiungere parole chiave all'elenco in modo manuale:

a. Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte especificare se si applica la distinzione tra maiuscole e minuscole.

b. Fare clic su Aggiungi.

8. Per aggiungere parole chiave con l'opzione "importa":

NotaUtilizzare questa opzione se è disponibile un file .csv in formato corretto checontiene le parole chiave. È possibile generare il file esportando le parole chiave dalserver a cui si sta accedendo o da un altro server.


11-19

a. Fare clic su Importa e individuare il file .csv che contiene le parole chiave.

b. Fare clic sul pulsante Apri.

Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Seuna parola chiave da importare esiste già nell'elenco, viene ignorata.

9. Per eliminare le parole chiave, selezionarle e fare clic su Elimina.

10. Per esportare le parole chiave:

Nota

Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppureper importarle su un altro server. Saranno esportate le parole chiave presentinell'elenco. Non è possibile esportare singole parole chiave.

a. Fare clic sul pulsante Esporta.

b. Salvare il file .csv risultante nel percorso desiderato.




Importazione di un elenco di parole chiave

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienegli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parolechiave dal server a cui si sta accedendo o da un altro server.

Nota

I file dell'elenco di parole chiave .dat generati da questa versione di Prevenzione perdita didati non sono compatibili con le versioni precedenti.


11-20

Procedura


2. Fare clic sulla scheda parola chiave.

3. Fare clic su Importa e individuare il file .dat che contiene le parole chiave.


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unelenco di parole chiave da importare esiste già, viene ignorato.


Modelli di Prevenzione perdita di datiI modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto)per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati chesoddisfano una determinata istruzione condizionale.

Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E devecontenere determinati termini legali (parole chiave) E deve contenere numeri ID(espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterioconsente al personale delle Risorse umane di trasmettere il file stampandolo in modo chela copia stampata possa essere firmata da un dipendente. La trasmissione attraverso tuttigli altri canali disponibili, ad esempio la posta elettronica, viene bloccata.

Se sono stati configurati degli identificatori di dati DLP, è possibile creare i proprimodelli. È possibile inoltre usare i modelli predefiniti. Per i dettagli, consultare ModelliDLP personalizzati a pagina 11-21 e Modelli DLP predefiniti a pagina 11-21.

Nota

Non è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modellodal criterio prima di eliminarlo.


11-21

Modelli DLP predefiniti

Prevenzione perdita di dati viene fornito con i seguenti modelli predefiniti che possonoessere utilizzati per conformarsi ai diversi standard normativi. Questi modelli nonpossono essere modificati o eliminati.

• GLBA: Gramm-Leach-Billey Act

• HIPAA: Health Insurance Portability and Accountability Act

• PCI-DSS: Payment Card Industry Data Security Standard

• SB-1386: US Senate Bill 1386

• US PII: United States Personally Identifiable Information

Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengonoprotetti, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Modelli DLP personalizzati

Creare modelli personalizzati se sono stati configurati identificatori di dati. I modellicombinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzionicondizionali.

Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici,vedere Istruzioni condizionali e operatori logici a pagina 11-21.

Istruzioni condizionali e operatori logici

Prevenzione perdita di dati valuta le istruzioni condizionali da sinistra a destra. Prestareattenzione all'uso degli operatori logici durante la configurazione delle istruzionicondizionali. L'uso non corretto genera un'istruzione condizionale non corretta che puòprodurre risultati imprevisti.

Vedere alcuni esempi nella tabella seguente.




11-22

Tabella 11-4. Esempi di istruzioni condizionali

Istruzionecondizionale Interpretazione ed esempio

[Identificatore di dati 1] E[Identificatore di dati 2]Eccetto [Identificatore didati 3]

Un file deve soddisfare [Identificatore di dati 1] e[Identificatore di dati 2] ma non [Identificatore di dati 3].

Ad esempio:

Un file deve essere [un documento Adobe PDF] e devecontenere [un indirizzo e-mail] ma non deve contenere[tutte le parole chiave dell'elenco di parole chiave].

[Identificatore di dati 1] O[Identificatore di dati 2]

Il file deve soddisfare la [Identificatore di dati 1] o[Identificatore di dati 2].

Ad esempio:

Il file deve essere [un documento Adobe PDF] o [undocumento Microsoft Word].

Eccetto [Identificatore didati 1]

Un file non deve soddisfare [Identificatore di dati 1].

Ad esempio:

Un file non deve essere [un file multimediale].

Come indicato nell'ultimo esempio della tabella, il primo identificatore di datinell'istruzione condizionale può avere l'operatore "Eccetto" se un file non devesoddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte deicasi, tuttavia, il primo identificatore di dati non ha un operatore.

Creazione di un modello

Procedura

1. Accedere a Agenti > Prevenzione perdita di dati > Modelli DLP.



3. Inserire un nome per il modello. La lunghezza del nome non deve superare 100byte e il nome non deve contenere i seguenti caratteri:


11-23

• > < * ^ | & ? \ /


5. Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi".

Durante la selezione delle definizioni:

• Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionaregli identificatori di dati.

• Utilizzare la funzionalità di ricerca per cercare una definizione specifica. Èpossibile immettere il nome completo o una parte del nome dell'identificatoredi dati.

• Ogni modello può comprende al massimo 30 identificatori di dati.

6. Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiunginuova espressione. Configurare le impostazioni dell'espressione nella schermatavisualizzata.

7. Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi suAggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco diattributi di file nella schermata visualizzata.

8. Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi suAggiungere nuova parola chiave. Configurare le impostazioni per l'elenco dellekeyword nella schermata visualizzata.

9. Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde alnumero di volte che un'espressione deve ricorrere prima che Prevenzione perdita didati la applichi a un criterio.

10. Scegliere un operatore logico per ciascuna definizione.

Nota

Prestare attenzione all'uso degli operatori logici durante la configurazione delleistruzioni condizionali. L'uso non corretto genera un'istruzione condizionale noncorretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedereIstruzioni condizionali e operatori logici a pagina 11-21.


11-24

11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fareclic sull'icona del cestino.

12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se noncorrisponde all'istruzione desiderata.



15. Nella schermata Modelli DLP, fare clic su Applica a tutti gli agenti.

Importazione di modelli

Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contienei modelli. È possibile generare il file esportando i modelli dal server a cui si staaccedendo o da un altro server.

Nota

Per importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di datiassociati (precedentemente denominati Definizioni). Prevenzione perdita di dati non puòimportare i modelli che non dispongono dei relativi identificatori di dati associati.

Procedura

1. Accedere a Agenti > Prevenzione perdita di dati > Modelli DLP.

2. Fare clic su Importa e individuare il file .dat che contiene i modelli.


Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se unmodello da importare esiste già, viene ignorato.



11-25

Canali DLPGli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScanpuò monitorare i seguenti canali:

• Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocollidi rete, come HTTP e FTP.

• Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesseutilizzando le applicazioni locali e le periferiche nel dispositivo.

Canali di retePrevenzione perdita di dati può monitorare la trasmissione dei dati attraverso i seguenticanali di rete:

• Client di posta elettronica

• FTP

• HTTP e HTTPS

• Applicazioni di messaggistica istantanea

• Protocollo SMB

• Webmail

Per determinare quali trasmissioni di dati monitorare, Prevenzione perdita di dati verifical'ambito della trasmissione, che deve essere configurata dall'utente. A secondadell'ambito selezionato, Prevenzione perdita di dati monitora tutte le trasmissioni di datio solo le trasmissioni al di fuori della rete locale (LAN).

Per ulteriori informazioni sull'ambito della trasmissione, vedere Ambito e destinazioni dellatrasmissione per i canali di rete a pagina 11-29.

Client di posta elettronicaPrevenzione perdita di dati monitora i messaggi e-mail trasmessi tramite diversi clienti diposta elettronica. Prevenzione perdita di dati verifica oggetto, corpo e allegati dei


11-26

messaggi e-mail per rilevare eventuali identificatori di dati. Per un elenco dei client diposta elettronica supportati, consultare Elenco di protezione dati su:


Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di postaelettronica. Se il messaggio contiene identificatori di dati, Prevenzione perdita di datiautorizza oppure blocca il messaggio e-mail.

È possibile definire i domini e-mail interni non monitorati e i sottodomini monitorati.

• Domini e-mail non monitorati: Prevenzione perdita di dati consenteimmediatamente la trasmissione dei messaggi e-mail inviati ai domini nonmonitorati.

Nota

Le trasmissioni di dati ai domini e-mail non monitorati e ai sottodomini e-mailmonitorati in cui l'azione è "Monitoraggio" sono simili perché la trasmissione èconsentita. L'unica differenza consiste nel fatto che per i domini e-mail nonmonitorati, Prevenzione perdita di dati non registra la trasmissione, mentre per isottodomini e-mail monitorati la trasmissione viene sempre registrata.

• Sottodomini e-mail monitorati: quando Prevenzione perdita di dati rilevamessaggi trasmessi a un sottodominio monitorato, verifica l'azione per il criterio. Inbase all'azione, la trasmissione viene consentita o bloccata.

Nota

Se come canali monitorati si selezionano client di posta elettronica, affinché unmessaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Alcontrario, un messaggio e-mail inviato a un sottodominio monitorato vienemonitorato automaticamente, anche se non soddisfa alcun criterio.

Specificare i domini usando i seguenti formati; usare la virgola per separare più domini:

• Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina

• Domini di posta elettronica, come example.com




11-27

Per i messaggi e-mail inviati tramite il protocollo SMTP, Prevenzione perdita di dativerifica se il server SMTP di destinazione è presente negli elenchi seguenti:

1. Destinazioni monitorate

2. Destinazioni non monitorate

NotaPer ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultareDefinizione di destinazioni non monitorate e monitorate a pagina 11-42.

3. Domini di posta elettronica non monitorati

4. Sottodomini e-mail monitorati

Questo significa che se un messaggio e-mail viene inviato a un server SMTP presentenell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se ilserver SMTP non è presente nell'elenco delle destinazioni monitorate, Prevenzioneperdita di dati verifica gli altri elenchi.

Per i messaggi e-mail inviati tramite altri protocolli, Prevenzione perdita di dati verificasolo gli elenchi seguenti:

1. Domini di posta elettronica non monitorati

2. Sottodomini e-mail monitorati

FTPSe OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP,controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è statocaricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca ilcaricamento.

Se si configura un criterio che blocca l'upload di file, ricordare quanto segue:

• Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare dinuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire checarichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è statochiuso il client FTP. Informare gli utenti di questa situazione quando vengonoimplementati i criteri DLP.


11-28

• Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTPpotrebbe essere eliminato.

Per un elenco dei client FTP supportati, consultare gli elenchi di protezione dati su:


HTTP e HTTPS

OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS,OfficeScan controlla i dati prima che vengano crittografati e trasmessi.

Per un elenco di applicazioni e browser Web supportati, consultare gli elenchi di protezionedati su:


Applicazioni di messaggistica istantanea

OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni dimessaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengonocontrollati.

Per un elenco di applicazioni di messaggistica istantanea supportate, consultare gli elenchidi protezione dati su:


Quando OfficeScan blocca un messaggio o un file inviato tramite AOL InstantMessenger, MSN, Windows Messenger o Windows Live Messenger, chiude anchel'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non rispondee gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessunanotifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazionequando vengono implementati i criteri DLP.








11-29

Protocollo SMBOfficeScan controlla la trasmissione dei dati attraverso il protocollo Server MessageBlock (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire,salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file èo contiene identificatori di dati e poi autorizza oppure blocca l'operazione.

NotaL'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, adesempio, Controllo dispositivo non consente lo spostamento di file su unità di retemappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza.

Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni perdispositivi di archiviazione a pagina 10-4.

Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi,consultare gli elenchi di protezione dati su:


WebmailI servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. SeOfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere secontengono identificatori di dati.

Per un elenco di servizi basati sul Web supportati, consultare gli elenchi di protezione datisu:


Ambito e destinazioni della trasmissione per i canali direte

L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canalidi rete che Prevenzione perdita di dati deve monitorare. Per le trasmissioni che devono






11-30

essere monitorate, Prevenzione perdita di dati verifica la presenza di identificatori di datiprima di consentire o bloccare la trasmissione. Per le trasmissioni che non devono esseremonitorate, Prevenzione perdita di dati non verifica la presenza di identificatori di dati econsente subito la trasmissione.

Ambito trasmissione: Tutte le trasmissioni

Prevenzione perdita di dati monitora i dati trasmessi all'esterno del computer host.

Nota

Trend Micro consiglia di scegliere questo ambito per gli agenti esterni.

Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterneal computer host, definire quanto segue:

• Destinazioni non monitorate: Prevenzione perdita di dati non monitora i datitrasmessi a queste destinazioni.

Nota

Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. L'unicadifferenza consiste nel fatto che per le destinazioni non monitorate, Prevenzioneperdita di dati non registra la trasmissione, mentre per le destinazioni monitorate latrasmissione viene sempre registrata.

• Destinazioni monitorate: destinazioni specifiche nell'ambito delle destinazioninon monitorate che devono essere monitorate. Le destinazioni monitorate sono:

• Facoltative, se sono state definite destinazioni non monitorate.

• Non configurabili se non sono state definite le destinazioni non monitorate.

Ad esempio:

Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda:

• Da 10.201.168.1 a 10.201.168.25


11-31

Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tuttigli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, ènecessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi:

Opzione Passaggi

Opzione 1 1. Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni nonmonitorate.

2. Aggiungere gli indirizzi IP del personale part-time dell'ufficio legalealle destinazioni monitorate. Si presupponga che siano disponibili3 indirizzi IP, 10.201.168.21-10.201.168.23.

Opzione 2 Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficiolegale alle destinazioni non monitorate:

• 10.201.168.1-10.201.168.20

• 10.201.168.24-10.201.168.25

Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,consultare Definizione di destinazioni non monitorate e monitorate a pagina 11-42.

Ambito trasmissione: Solo trasmissioni esterne alla LAN(Local Area Network)

Prevenzione perdita di dati esegue il monitoraggio dei dati trasmessi a qualsiasidestinazione esterna alla LAN (Local Area Network).

Nota

Trend Micro consiglia di scegliere questo ambito per gli agenti interni.

Per "Rete" si intende la rete locale di un'azienda. Comprende il network attuale (indirizzoIP dell'dispositivo e netmask) e i seguenti indirizzi IP privati standard:

• Classe A: da 10.0.0.0 a 10.255.255.255

• Classe B: da 172.16.0.0 a 172.31.255.255

• Classe C: da 192.168.0.0 a 192.168.255.255


11-32

Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue:

• Destinazioni non monitorate: definisce destinazioni esterne alla LANconsiderate sicure e che quindi non devono essere monitorate.

Nota

Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. L'unicadifferenza consiste nel fatto che per le destinazioni non monitorate, Prevenzioneperdita di dati non registra la trasmissione, mentre per le destinazioni monitorate latrasmissione viene sempre registrata.

• Destinazioni monitorate: definisce le destinazioni interne alla LAN damonitorare.

Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,consultare Definizione di destinazioni non monitorate e monitorate a pagina 11-42.

Risoluzione dei conflittiSe le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e ledestinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità,in ordine decrescente:

• Destinazioni monitorate

• Destinazioni non monitorate

• Ambito trasmissione

Canali di applicazioni e sistemiPrevenzione perdita di dati può monitorare i seguenti canali di applicazioni e sistemi:

• Cloud storage services

• Supporti di registrazione dati (CD/DVD)

• Applicazioni peer-to-peer


11-33

• Crittografia PGP

• Stampante

• Dispositivi di archiviazione rimovibili

• Software di sincronizzazione (ActiveSync)

• Appunti di Windows

Cloud Storage Service

OfficeScan effettua il monitoraggio di file ai quali gli utenti accedono utilizzando i cloudstorage services. Per un elenco dei cloud storage services supportati, consultare ildocumento Elenchi di protezione dati su:


Nota

Prevenzione perdita di dati supporta la crittografia sui cloud storage services quandoEndpoint Encryption è installato sul dispositivo agente.

Supporti di registrazione dati (CD/DVD)

OfficeScan controlla i dati registrati su CD o DVD. Per un elenco di software e didispositivi di registrazione dei dati supportati, consultare gli elenchi di protezione dati su:


Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi osoftware supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione èBlocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati.Se OfficeScan rileva almeno un identificatore di dati, non verrà registrato alcun file,inclusi quelli che non sono identificatori di dati o che non li contengono. OfficeScanpuò anche impedire l'espulsione del CD o DVD. Se si verifica questo problema,avvertire gli utenti che devono riavviare il processo del software o il dispositivo.






11-34

OfficeScan implementa altre regole di registrazione di CD/DVD:

• Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file:

.bud .dll .gif .gpd .htm .ico .ini

.jpg .lnk .sys .ttf .url .xml

• Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) nonvengono controllati per aumentare le prestazioni.

• OfficeScan non controlla i file nelle seguenti directory:

*:\autoexec.bat *:\Windows

..\Dati applicazioni ..\Cookies

..\Impostazioni locali ..\ProgramData

..\Programmi ..\Users\*\AppData

..\WINNT

• Le immagini ISO create dalle unità e dal software non vengono controllate.

Blocco dell'accesso ai supporti di registrazione dati (CD/DVD)

Il controllo del dispositivo può limitare l'accesso solo a dispositivi di registrazioneCD/DVD che utilizzano il formato Live File System. Alcune applicazioni di terze partiche utilizzano il formato master possono ancora eseguire operazioni di lettura o scritturaanche quando il controllo del dispositivo è attivato. Utilizzare Prevenzione perdita di datiper limitare l'accesso a dispositivi di registrazione CD/DVD che utilizzano qualsiasi tipodi formato.

Procedura




11-35

3. Fare clic su Impostazioni > Impostazioni DLP.

4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agentiesterni oppure sulla scheda Agenti interni per configurare un criterio per gli agentiinterni.

Nota

Se ancora non sono state configurate, configurare le impostazioni della posizionedell'agente. Gli agenti utilizzano tali impostazioni per determinare il corretto criteriodi Prevenzione perdita di dati da applicare. Per i dettagli, consultare Posizione dispositivoa pagina 15-2.

5. Scegliere una delle seguenti opzioni:

• Nella scheda Agenti esterni, è possibile applicare tutte le impostazioni diPrevenzione perdita di dati agli agenti interni selezionando Applica tutte leimpostazioni agli agenti interni.

• Nella scheda Agenti interni, è possibile applicare tutte le impostazioni diPrevenzione perdita di dati agli agenti esterni selezionando Applica tutte leimpostazioni agli agenti esterni.

6. Nella scheda Regole, fare clic su Aggiungi.

7. Selezionare Attiva questa regola.


9. Fare clic sulla scheda Modello.

10. Selezionare il modello Tutte le estensioni di file dall'elenco e fare clic suAggiungi.

11. Fare clic sulla scheda Canale.

12. Nella sezione Canali di applicazioni e sistemi, selezionare Supporti diregistrazione dati (CD/DVD).


14. Selezionare l'azione Blocca.


11-36





Applicazioni peer-to-peerOfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer.

Per un elenco di applicazioni peer-to-peer supportate, consultare gli elenchi di protezionedati su:


Crittografia PGPOfficeScan controlla i dati che devono essere crittografati dal software di crittografiaPGP. OfficeScan controlla i dati prima della crittografia.

Per un elenco dei software di crittografia PGP supportati, consultare gli elenchi diprotezione dati su:


StampanteOfficeScan controlla le operazioni della stampante avviate da varie applicazioni.






11-37

OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono statisalvati perché a questo punto le informazioni di stampa sono solo state salvate inmemoria.

Per un elenco di applicazioni di avvio delle operazioni di stampa supportate, consultaregli elenchi di protezione dati su:


Dispositivi di archiviazione rimovibili

OfficeScan effettua il monitoraggio della trasmissione dei dati verso o all'interno deidispositivi di memoria rimovibili. Attività correlate alla trasmissione dei daticomprendono:

• Creazione di un file nel dispositivo

• Copia di un file dal computer host al dispositivo

• Chiusura di un file modificato nel dispositivo

• Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo

Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppureautorizza la trasmissione.

Nota

• L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se,ad esempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo diarchiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguitaanche se DLP la autorizza.

• Prevenzione perdita di dati supporta la crittografia su dispositivi di archiviazionerimovibili quando Endpoint Encryption è installato sul dispositivo agente.

Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitanole attività di trasmissione di dati supportati, consultare gli elenchi di protezione dati su:




11-38


La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è unprocesso semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Wordpotrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il qualel'utente salva il file). Se il file contiene un identificatore di dati che non deve esseretrasmesso, OfficeScan impedisce il salvataggio del file.

Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue innanzitutto ilbackup del file (se le dimensioni non superano i 75 MB) in %WINDIR%\system32\dgagent\temp prima di elaborarlo. OfficeScan elimina il file di backupse ha autorizzato la trasmissione del file. Se OfficeScan ha bloccato la trasmissione, èpossibile che il file possa essere stato eliminato nel corso del processo. In questo caso,OfficeScan copia il file di backup nella cartella che contiene il file originale.

OfficeScan consente di definire le eccezioni. OfficeScan consente sempre la trasmissionedei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base aifornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi.

SuggerimentoUtilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi aglidispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 10-14.

Software di sincronizzazione (ActiveSync)OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software disincronizzazione.

Per un elenco dei software di sincronizzazione supportati, consultare gli elenchi diprotezione dati su:


Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso laporta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i datisono identificatori di dati prima di autorizzarne o bloccarne la trasmissione.






11-39

Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque esserecreato un file con lo stesso nome contenente caratteri in formato non corretto nellacartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono statecopiate sul dispositivo prima che OfficeScan bloccasse la trasmissione.

Appunti di Windows

OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirneo bloccarne la trasmissione.

OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktopremoto. Il monitoraggio avviene sull'entità con l'Agente OfficeScan. L'AgenteOfficeScan su una macchina virtuale VMware, ad esempio, può impedire la trasmissionedei dati degli appunti della macchina virtuale al computer host. Allo stesso modo, uncomputer host con l'Agente OfficeScan non può copiare i dati degli appunti su undispositivo a cui si accede da desktop remoto.

Azioni di Prevenzione perdita di datiQuando Prevenzione perdita di dati rileva la trasmissione di identificatori di dati,controlla il criterio DLP per gli identificatori di dati rilevati ed esegue l'azioneconfigurata per il criterio.

Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati.

Tabella 11-5. Azioni di Prevenzione perdita di dati

Azione Descrizione

Azioni

Ignora Prevenzione perdita di dati consente e registra latrasmissione.

Blocca Prevenzione perdita di dati blocca e registra latrasmissione.

Ulteriori azioni


11-40

Azione Descrizione

Notifica all'utente dell'agente Prevenzione perdita di dati visualizza un messaggio dinotifica per informare l'utente della trasmissione di dati ese tale operazione è stata bloccata o consentita.

Registra dati Indipendentemente dall'azione primaria, Prevenzioneperdita di dati registra le informazioni sensibili nella<Cartella di installazione del client>\DLPLite\Forensic. Selezionare questa azione per valutare leinformazioni sensibili da contrassegnate da Prevenzioneperdita di dati.

Le informazioni sensibili registrate possono utilizzaretroppo spazio su disco. Quindi, Trend Micro consigliavivamente di scegliere questa opzione solo perinformazioni particolarmente sensibili.

Crittografa i canali supportatiutilizzando la chiave o lapassword specificata(disponibile solo se EndpointEncryption è installato)

NotaQuesta opzione èdisponibile solo per icanali dei servizi deidispositivi diarchiviazionerimovibili e della cloudstorage, nonchéquando vieneselezionata l'azioneIgnora.

Se Trend Micro Endpoint Encryption è installato insiemeall'agente OfficeScan, Prevenzione perdita di dati è ingrado di crittografare automaticamente i file prima diconsentire all'utente di spostarli in un'altra posizione. SeEndpoint Encryption non è installato, Prevenzione perditadi dati esegue l'azione Blocca sui file.

Scegliere una delle seguenti chiavi di crittografia o unapassword fissa:

• Chiave utente: questa chiave, denominata ancheChiave locale, è univoca per ciascun utente econsente l'accesso al file crittografato solo all'utenteche l'ha creato.

• Chiave condivisa: questa chiave fa riferimento allaChiave di gruppo o alla Chiave aziendale el'amministratore di Endpoint Encryption configura iltipo mediante PolicyServer MMC.

• Password fissa: gli utenti specificano manualmenteuna password fissa attraverso una richiesta sulloschermo. Endpoint Encryption crea un pacchettoautoestraente a cui gli utenti possono accedere suqualsiasi dispositivo dopo aver fornito la password didecrittografia.


11-41

Azione Descrizione

Importante

• Per poter crittografare i dati, è necessario cheil dispositivo di destinazione abbia EndpointEncryption installato e che l'utente vi abbiaeseguito l'accesso.

• I file crittografati contenuti in dispositivi USBsono soggetti alla scansione Prevenzioneperdita di dati quando gli utenti provano adescrittografarli. La decrittografia di filecontenenti dati sensibili in un dispositivo USBattiva il protocollo di crittografia USB, con laconseguenza che il sistema richiede che i datisensibili vengano nuovamente crittografati. Perevitare che Prevenzione perdita di dati tenti dicrittografare di nuovo i dati, spostare i filecrittografati in un'unità locale prima di provaread accedere ai dati.

• Prevenzione perdita di dati bocca i tentativi dicaricamento dei file nella cloud storagequando viene utilizzato un client Web.Crittografare i file manualmente prima dicaricarli mediante un client Web.

Giustificazione utente

NotaQuesta opzione èdisponibile solo dopoaver selezionatol'azione Blocca.

Prevenzione perdita di dati chiede conferma all'utenteprima di eseguire l'azione “Blocca”. L'utente può sceglieredi sovrascrivere l'azione “Blocca” fornendo unaspiegazione del perché sia sicuro ignorare i dati sensibili.Le giustificazioni disponibili sono le seguenti:

• Si tratta di un processo aziendale definito.

• Il responsabile ha approvato il trasferimento deidati.

• I dati di questo file non sono riservati.

• Altro: Gli utenti forniscono una spiegazionealternativa nel campo del testo disponibile.


11-42

Eccezioni di Prevenzione perdita di datiLe eccezioni DLP si applicano all'intero criterio, incluse tutte le regole definite all'internodel criterio. Prevenzione perdita di dati applica le impostazioni delle eccezioni a tutte letrasmissioni prima della scansione delle risorse digitali. Se una trasmissione corrispondea una delle regole di eccezione, Prevenzione perdita di dati consente immediatamente latrasmissione o la scansione, in base al tipo di eccezione.

Definizione di destinazioni non monitorate e monitorateDefinire le destinazioni non monitorate e monitorate in base all'ambito di trasmissionenella scheda Canale. Per ulteriori informazioni su come definire le destinazioni nonmonitorate e monitorate per Tutte le trasmissioni, vedere Ambito trasmissione: Tutte letrasmissioni a pagina 11-30. Per ulteriori informazioni su come definire le destinazioni nonmonitorate e monitorate per Solo trasmissioni esterne alla LAN (Local AreaNetwork), vedere Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local AreaNetwork) a pagina 11-31.

Seguire queste istruzioni quando si definiscono le destinazioni monitorate e nonmonitorate:

1. Definire ciascuna destinazione secondo:

• Indirizzo IP

• Nome host

• FQDN

• Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32

Nota

Per la subnet mask, Prevenzione perdita di dati supporta solo una porta di tipo CIDR(Classless Inter-Domain Routing). Questo significa che si dovrà immetteresemplicemente un numero come 32 invece di 255.255.255.0.

2. Per utilizzare come destinazione canali specifici, includere i numeri di portapredefiniti o i numeri di porta definiti dall'azienda per tali canali. Ad esempio, la


11-43

porta 21 in genere è riservata al traffico FTP, la porta 80 al traffico HTTP e la porta443 al traffico HTTPS. Utilizzare i due punti per separare la destinazione dainumeri di porta.

3. È possibile includere anche intervalli di porte. Per includere tutte le porte, ignorarel'intervallo di porte.

Esempi di destinazioni con numeri e intervalli di porte:

• 10.1.1.1:80

• host:5-20

• host.domain.com:20

• 10.1.1.1/32:20

4. Separare le destinazioni con delle virgole.

Regole di decompressioneI file inclusi all'interno di file compressi possono essere sottoposti a scansione perindividuare risorse digitali. Per determinare i file da sottoporre a scansione, Prevenzioneperdita di dati applica le seguenti regole a un file compresso:

• Le dimensioni del file decompresso superano: __ MB (1-512 MB)

• I livelli di compressione superano: __ (1-20)

• Il numero di file da analizzare supera: __ (1-2000)

Regola 1: Dimensioni massime di un file decompresso

Un file compresso, una volta decompresso, deve soddisfare il limite specificato.

Esempio: il limite è impostato a 20 MB.

Scenario 1: se le dimensioni di archive.zip dopo la decompressione sono di 30 MB,nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole nonvengono verificate.


11-44

Scenario 2: se le dimensioni di my_archive.zip dopo la decompressione sono di 10MB:

• Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 eprocede con la Regola 3.

• Se my_archive.zip contiene file compressi, le dimensioni di tutti i filedecompressi devono essere entro il limite. Ad esempio, se my_archive.zipcontiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip:

my_archive.zip

= 10 MB dopo la decompressione

\AAA.rar = 25 MB dopo la decompressione

\BBB.zip = 3 MB dopo la decompressione

\EEE.zip = 1 MB dopo la decompressione

\222.zip

= 2 MB dopo la decompressione

my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in basealla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20MB. AAA.rar viene ignorato.

Regola 2: Numero massimo di livelli di compressioneI file compresi nel numero specificato di livelli vengono contrassegnati per la scansione.

Ad esempio:

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Se il limite è impostato su due livelli:


11-45

• OfficeScan ignora 333.txt perchè si trova al terzo livello.

• OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3:

• DDD.txt (nel primo livello)

• CCC.xls (nel secondo livello)

• 111.pdf (nel secondo livello)

Regola 3: Numero massimo di file da sottoporre a scansioneOfficeScan esegue la scansione dei file fino al limite specificato.OfficeScan esegue lascansione di file e cartelle prima in ordine numerico e poi alfabetico.

Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziatiper la scansione:

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non vienecontrollata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In talmodo, il numero totale di file da anlizzare diventa 5, come indicato di seguito:

my_archive.zip

\7Folder \FFF.doc

\7Folder \GGG.ppt

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf


11-46

\222.zip \333.txt

Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file:

• FFF.doc

• GGG.ppt

• CCC.xls

• DDD.txt

NotaSe i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati.

Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i fileincorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file.

Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i fileincorporati (ad esempio, abc.exe) vengono contati come file separati.

Eventi che innescano le regole di decompressioneI seguenti eventi innescano le regole di decompressione:


11-47

Tabella 11-6. Eventi che innescano le regole di decompressione

Un file compresso che deve esseretrasmesso corrisponde a un criterio el'azione per il file compresso è Ignora(trasmetti il file).

Ad esempio, per monitorare i file .ZIPtrasmessi dagli utenti, è stato definito unattributo di file (.ZIP) e aggiunto a unmodello, quindi il modello è stato usato inun criterio e l'azione è stata impostata suIgnora.

NotaSe l'azione è Blocca, l'intero filecompresso non viene trasmesso e,quindi, non è necessario eseguire lascansione dei file che questocontiene.

Un file compresso che deve esseretrasmesso non corrisponde a un criterio.

In questo caso, OfficeScan applicacomunque le regole di decompressione alfile compresso per determinare quali file inesso contenuti devono essere sottoposti ascansione per verificare la presenza dirisorse digitali e stabilire se l'intero filecompresso deve essere trasmesso omeno.

Entrambi gli eventi hanno gli stessi risultati. Quando OfficeScan rileva un filecompresso:

• Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissionedell'intero file compresso.

• Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole.OfficeScan consente la trasmissione dell'intero file compresso se:

• Tutti i file sottoposti a scansione non corrispondono a un criterio.

• Tutti i file sottoposti a scansione corrispondono a un criterio e l'azioneIgnora.


11-48

La trasmissione dell'intero file compresso viene bloccata se almeno uno deifile sottoposti a scansione corrisponde a un criterio e l'azione è Blocca.

Configurazione dei criteri Prevenzione perditadi dati

È possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configuratogli identificatori di dati e averli organizzati in modelli.

Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessarioconfigurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri diPrevenzione perdita di dati a pagina 11-3.

Creazione di un criterio di Prevenzione perdita di dati

Procedura



3. Fare clic su Impostazioni > Impostazioni DLP.


Nota

Se ancora non sono state configurate, configurare le impostazioni della posizionedell'agente. Gli agenti utilizzano tali impostazioni per determinare il corretto criteriodi Prevenzione perdita di dati da applicare. Per i dettagli, consultare Posizione dispositivoa pagina 15-2.

5. Selezionare Attiva Prevenzione perdita di dati.


11-49

6. Scegliere una delle seguenti opzioni:

• Nella scheda Agenti esterni, è possibile applicare tutte le impostazioni diPrevenzione perdita di dati agli agenti interni selezionando Applica tutte leimpostazioni agli agenti interni.

• Nella scheda Agenti interni, è possibile applicare tutte le impostazioni diPrevenzione perdita di dati agli agenti esterni selezionando Applica tutte leimpostazioni agli agenti esterni.

7. Nella scheda Regole, fare clic su Aggiungi.

Un criterio può contenere un massimo di 40 regole.

8. Configurare le impostazioni delle regole.

Per maggiori dettagli sulla creazione delle regole DLP, vedere Creazione di regole diPrevenzione perdita di dati a pagina 11-50.

9. Fare clic sulla scheda Eccezioni e configurare eventuali impostazioni di eccezionenecessarie.

Per ulteriori informazioni sulle impostazioni di eccezione disponibili, vedereEccezioni di Prevenzione perdita di dati a pagina 11-42.





11-50

Creazione di regole di Prevenzione perdita di dati

Nota

Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se unaregola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successivadell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”,Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elaboraulteriormente tale regola/modello.

Procedura

1. Selezionare Attiva questa regola.


Configurare le impostazioni dei modelli:

3. Fare clic sulla scheda Modello.

4. Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi.

Quando si selezionano i modelli:

• Selezionare più voci facendo clic sui nomi dei modelli che evidenziano ilnome.

• Usare la funzione di ricerca se si pensa a un modello specifico. È possibiledigitare il nome del modello per intero o parziale.

Nota

Ogni regola può comprendere un massimo di 200 modelli.

5. Se il modello che si preferisce utilizzare non si trova nell'elenco Modellidisponibili:

a. Fare clic su Aggiungi nuovo modello.

Viene visualizzata la schermata Modelli di Prevenzione perdita di dati.


11-51

Per istruzioni su come aggiungere i modelli nella schermata Modelli diPrevenzione dati, vedere Modelli di Prevenzione perdita di dati a pagina 11-20.

b. Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi.

Nota

OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questosignifica che se un file o dei dati corrispondono alla definizione di un modello,OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine deimodelli nell'elenco.

Configurare le impostazioni dei canali:

6. Fare clic sulla scheda Canale.

7. Selezionare i canali per la regola.

Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 11-25 e Canali diapplicazioni e sistemi a pagina 11-32.

8. Se sono stati selezionati dei canali di rete, selezionare l'ambito di trasmissione:

• Tutte le trasmissioni

• Solo trasmissioni esterne alla LAN (Local Area Network)

Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 11-29 permaggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazionidipendono dall'ambito della trasmissione e su come definire le destinazionicorrettamente.

9. Se si seleziona Client di posta elettronica:

a. Fare clic su Eccezioni.

b. Specificare domini di posta elettronica interni monitorati e non monitorati.

Per maggiori dettagli sui domini di posta elettronica monitorati e nonmonitorati, vedere Client di posta elettronica a pagina 11-25.

10. Se si seleziona Dispositivi di archiviazione rimovibili:


11-52

a. Fare clic su Eccezioni.

b. Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarliin base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi.

L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) comecarattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti idispositivi che soddisfano gli altri campi.

Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB delfornitore e modello specificati, indipendentemente dall'ID di serie, nell'elencoapprovati.

c. Per aggiungere altri dispositivi, fare clic sull'icona (+).

Suggerimento

Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi aglidispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascundispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 10-14.

Configurare le impostazioni delle azioni:


12. Selezionare un'azione primaria ed eventuali azioni aggiuntive.

Per ulteriori informazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati apagina 11-39.

Nota

Prevenzione perdita di dati supporta solo la crittografia dei dati sensibili su dispositivirimovibili e cloud storage services. Prevenzione perdita di dati esegue l'azione“Ignora” senza crittografia su tutti i canali in cui la crittografia non è supportata. Perpoter crittografare i dati, è necessario che il dispositivo di destinazione abbiaEndpoint Encryption installato e che l'utente vi abbia eseguito l'accesso.

13. Dopo aver configurato le impostazioni Modello, Canale e Azione, fare clic suSalva.


11-53

Importazione, esportazione e copia delle regole DLPGli amministratori possono importare le regole precedentemente definite, contenute inun file .dat adeguatamente formattato, o esportare l'elenco delle regole DLPconfigurate. Con la copia di una regola DLP, l'amministratore può modificare i contenutidi una regola precedentemente definita per risparmiare tempo.

La seguente tabella descrive in che modo opera una funzione.

Tabella 11-7. Funzioni di importazione, esportazione e copia per le regole DLP


Importa L'importazione di un elenco di regole aggiunge regole non esistentiall'elenco di regole DLP esistenti. Prevenzione perdita di dati ignora leregole che esistono già nell'elenco di destinazione. Prevenzione perditadi dati gestisce tutte le impostazioni preconfigurate per ciascuna regola,incluso lo stato di attivato o disattivato.

Esporta Con l'esportazione di un elenco di regole si ottiene l'elenco completo inun file .dat che gli amministratori possono importare e implementare inaltri domini o agenti. Prevenzione perdita di dati salva tutte leimpostazioni delle regole sulla base della configurazione corrente.

Nota

• Gli amministratori devono salvare o applicare eventualiregole nuove o modificate prima di esportare l'elenco.

• Prevenzione perdita di dati non esporta nessuna eccezioneconfigurata per il criterio ma solo le impostazioni configurateper ciascuna regola.

Copia Con la copia di una regola viene creata una replica esatta delleimpostazioni di configurazione correnti per la regola. Gli amministratoridevono digitare un nuovo nome per la regola e possono effettuaremodifiche di configurazione necessarie per la nuova regola.


11-54

Notifiche di Prevenzione perdita di datiOfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informaregli amministratori di OfficeScan e gli utenti dell'agente sulle trasmissioni di risorsedigitali.

Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche diPrevenzione perdita di dati per gli amministratori a pagina 11-54.

Per ulteriori informazioni sulle notifiche inviate agli utenti dell'agente, consultareNotifiche di Prevenzione perdita di dati per gli utenti dell'agente a pagina 11-57.

Notifiche di Prevenzione perdita di dati per gliamministratori

Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notificaquando viene rilevata la trasmissione di risorse digitali o quando la trasmissione vienebloccata.

OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informaregli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggidi notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali.

Nota

OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi diWindows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notificaattraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina14-40.

Configurazione delle notifiche di Prevenzione perdita di datiper gli amministratori

Procedura



11-55

2. Sulla scheda Criteri:

a. Fare clic sulla sezione Trasmissioni di risorse digitali.

b. Specificare se inviare le notifiche per il rilevamento della trasmissione dellerisorse digitali o solo quando la trasmissione è bloccata.

3. Sulla scheda E-mail:




Utilizzare il Role-based Administration (RBA) per assegnare agli utentiautorizzazioni al dominio della struttura agente. Se si verifica una trasmissionesu un agente appartenente a un dominio specifico, la e-mail è inviata agliindirizzi e-mail degli utenti con autorizzazioni per il dominio. La tabellaseguente illustra alcuni esempi:





ruolo

Indirizzo e-mail

dell'accountutente








Se qualsiasi Agente OfficeScan appartenente al Dominio A rileva unatrasmissione di risorse digitali, il messaggio e-mail viene inviato [email protected], [email protected] e [email protected].


11-56

Se qualsiasi Agente OfficeScan appartenente al Dominio B rileva latrasmissione, il messaggio e-mail viene inviato a [email protected] [email protected].

Nota

Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per ildominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-maildi notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gliindirizzi e-mail sono configurati da Amministrazione > Gestione account >Account utente.


e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.Usare solo variabili token per rappresentare i dati nei campi Oggetto eMessaggio.

Tabella 11-9. Variabili token per le notifiche di Prevenzione perdita di dati


%USER% L'utente che accede al dispositivo quando latrasmissione viene rilevata

%COMPUTER% Dispositivo in cui è stata rilevata la trasmissione

%DOMAIN% Dominio del dispositivo

%DATETIME% Data e ora di rilevamento della trasmissione

%CHANNEL% Il canale attraverso il quale viene rilevata la trasmissione

%TEMPLATE% Il modello di risorse digitali che ha avviato il rilevamento

%RULE% Il nome della regola che ha attivato l'incidente.

NotaPer visualizzare il nome della regola nelmessaggio, aggiungere questa variabile nel campoMessaggio.


11-57

4. Sulla scheda Trap SNMP:



c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token perrappresentare i dati nel campo Messaggio. Consultare Tabella 11-9: Variabilitoken per le notifiche di Prevenzione perdita di dati a pagina 11-56 per ulterioridettagli.

5. Sulla scheda Registro eventi NT:



c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 11-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina11-56 per ulteriori dettagli.


Notifiche di Prevenzione perdita di dati per gli utentidell'agente

OfficeScan è in grado di visualizzare i messaggi di notifica sui computer agenteimmediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali.

Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata oconsentita, selezionare l'opzione Notifica all'utenteagente quando si crea un criterio diPrevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedere Configurazionedei criteri Prevenzione perdita di dati a pagina 11-48.


11-58

Configurazione delle notifiche di Prevenzione perdita di datiper gli agenti

Procedura


2. Dal menu a discesa Tipo, selezionare Trasmissioni di risorse digitali

3. Accettare o modificare il messaggio predefinito.


Registri di Prevenzione perdita di datiGli agenti registrano le trasmissioni (bloccate e consentite) delle risorse digitali e invianoimmediatamente i registri al server. Se l'agente non è in grado di inviare i registri, riprovadopo 5 minuti.


Visualizzazione dei registri di Prevenzione perdita di dati

Procedura

1. Accedere a Agenti > Gestione agente o Registri > Agenti > Rischi per lasicurezza.


3. Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizzaregistri > Registri DLP.


11-59


5. Visualizzare i registri.

I registri contengono le seguenti informazioni:

Tabella 11-10. Informazioni del registro Prevenzione perdita di dati

Colonna Descrizione

Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registratol'incidente

Utente Il nome utente che ha effettuato l'accesso al dispositivo

Dispositivo Il nome del dispositivo in cui Prevenzione perdita di dati harilevato la trasmissione

Dominio Il dominio del dispositivo

IP L'indirizzo IP del dispositivo

Nome regola I nomi delle regole che hanno generato l'incidente.

NotaI criteri creati in una versione precedente di OfficeScanvisualizzano come nome predefinitoLEGACY_DLP_Policy.

Canale Il canale attraverso il quale si è verificata la trasmissione

Processo Il processo che ha facilitato la trasmissione di una risorsadigitale (il processo dipende dal canale)

Per i dettagli, consultare Processi per canale a pagina 11-60.

Origine L'origine del file contenente la risorsa digitale o il canale (senon è presente alcuna risorsa disponibile)

Destinazione La destinazione designata del file contenente la risorsadigitale o il canale (se non è disponibile alcuna risorsa )

Azione L'azione eseguita sulla trasmissione


11-60

Colonna Descrizione

Dettagli Un collegamento che include ulteriori informazioni sullatrasmissione

Per i dettagli, consultare Dettagli del registro per Prevenzionedella perdita di dati a pagina 11-63.


Processi per canaleLa tabella seguente contiene un elenco dei processi che vengono visualizzati nellacolonna Processo dei registri di Prevenzione perdita di dati.

Tabella 11-11. Processi per canale

Canale Processo

Software disincronizzazione(ActiveSync)

Il percorso completo e il nome del processo del software disincronizzazione.

Esempio:

C:\Windows\system32\WUDFHost.exe

Supporto diregistrazione dati(CD/DVD)

Percorso completo e nome di processo del supporto diregistrazione dati

Esempio:

C:\Windows\Explorer.exe

Appunti diWindows

Non pertinente

Client di postaelettronica - LotusNotes

Percorso completo e nome di processo di Lotus Notes

Esempio:

C:\Program Files\IBM\Lotus\Notes\nlnotes.exe


11-61

Canale Processo

Client di postaelettronica -Microsoft Outlook

Percorso completo e nome di processo di Microsoft Outlook

Esempio:

C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE

Client di postaelettronica - Tutti iclient che usano ilprotocollo SMTP

Percorso completo e nome di processo del client di postaelettronica

Esempio:

C:\Programmi\Mozilla Thunderbird\thunderbird.exe

Dispositivi diarchiviazionerimovibili

Nome di processo dell'applicazione che ha trasmesso i dati aldispositivo di archiviazione oppure all'interno dello stesso

Esempio:

explorer.exe

FTP Percorso completo e nome di processo del client FTP

Esempio:

D:\Programmi\FileZilla FTP Client\filezilla.exe

HTTP "Applicazione HTTP"

HTTPS Percorso completo e nome di processo del browser odell'applicazione

Esempio:

C:\Programmi\Internet Explorer\iexplore.exe

Applicazione IM Percorso completo e nome di processo dell'applicazione dimessaggistica istantanea

Esempio:

C:\Program Files\Skype\Phone\Skype.exe


11-62

Canale Processo

Applicazione dimessaggisticaistantanea - MSN

• Percorso completo e nome di processo di MSN

Esempio:

C:\Programmi\Windows Live\Messenger\ msnmsgr.exe

• "Applicazione HTTP" se i dati sono trasmessi da una finestradi chat

Applicazione peer-to-peer

Percorso completo e nome di processo dell'applicazione peer-to-peer

Esempio:

D:\Program Files\BitTorrent\bittorrent.exe

Crittografia PGP Percorso completo e nome di processo del software di crittografiaPGP

Esempio:

C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe

Stampante Percorso completo e nome di processo dell'applicazione che haavviato un'operazione della stampante

Esempio:

C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE

Protocollo SMB Percorso completo e nome di processo dell'applicazione da cui èstato effettuato l'accesso ai file condivisi (copia o creazione di unnuovo file)

Esempio:

C:\Windows\Explorer.exe

Webmail (modalitàHTTP)

"Applicazione HTTP"

Webmail (modalitàHTTPS)

Percorso completo e nome di processo del browser odell'applicazione

Esempio:

C:\Programmi\Mozilla Firefox\firefox.exe


11-63

Dettagli del registro per Prevenzione della perdita di dati

La schermata dei dettagli Registri di Prevenzione perdita di dati visualizza datiaggiuntivi sulla trasmissione della risorsa digitale. I dati di una trasmissione variano inbase al canale e al processo attraverso il quale OfficeScan ha rilevato l'incidente.

Nella seguente tabella sono riporta i dati che vengono visualizzati.

Tabella 11-12. Dettagli del registro per Prevenzione della perdita di dati


Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registratol'incidente

ID violazione L'ID univoco dell'incidente

Utente Il nome utente che ha effettuato l'accesso al dispositivo

Dispositivo Il nome del dispositivo in cui Prevenzione perdita di dati harilevato la trasmissione

Dominio Il dominio del dispositivo

IP L'indirizzo IP del dispositivo

Canale Il canale attraverso il quale si è verificata la trasmissione

Processo Il processo che ha facilitato la trasmissione di una risorsa digitale(il processo dipende dal canale)

Per i dettagli, consultare Processi per canale a pagina 11-60.

Origine L'origine del file contenente la risorsa digitale o il canale (se non èpresente alcuna risorsa disponibile)

Mittente e-mail L'indirizzo e-mail dal quale la trasmissione proviene

Oggetto e-mail La riga dell'oggetto del messaggio e-mail contenente la risorsadigitale

Destinatario e-mail Gli indirizzi e-mail di destinazione del messaggio e-mail

URL L'URL di un sito Web o di una pagina Web

Utente FTP Il nome utente usato per accedere al server FTP


11-64


Classe file Il tipo di file nel quale Prevenzione perdita di dati ha rilevato larisorsa digitale

Regola/Modello Un elenco di nomi di regole e modelli esatti che hanno attivato ilrilevamento

NotaCiascuna regola contiene modelli multipli che hannogenerato l'incidente. I nomi dei modelli multipli sonoseparati dalle virgole.

Azione L'azione eseguita sulla trasmissione

Motivogiustificazioneutente

Il motivo fornito dall'utente per il trasferimento continuo di datisensibili

Attivazione del registro di debug per il modulo Protezionedati

Procedura

1. Richiedere il file logger.cfg all'assistenza tecnica.

2. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite (per i sistemi a 32 bit) o HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\DlpLite (peri sistemi a 64 bit):

• Tipo: stringa

• Nome: debugcfg

• Valore: C:\Log\logger.cfg

3. Creare una cartella denominata “Log” nella directory C:\


11-65

4. Copiare logger.cfg nella cartella “Log”.

5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivodella console Web per avviare la raccolta dei registri.

NotaPer disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nellachiave di registro e riavviare il dispositivo.

12-1

Capitolo 12

Utilizzo di Web ReputationIn questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan perproteggere la rete e i computer dalle minacce Web.


• Minacce Web a pagina 12-2

• Servizi di avvisi contatti Command & Control a pagina 12-2

• Reputazione Web a pagina 12-4

• Criteri di reputazione Web a pagina 12-5

• Notifiche di minacce Web per utenti agente a pagina 12-14

• Notifiche di callback C&C per gli amministratori a pagina 12-15

• Infezioni dei callback C&C a pagina 12-20

• Registri delle minacce Web a pagina 12-23


12-2

Minacce WebLe minacce Web comprendono un'ampia gamma di minacce che hanno origine suInternet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano unacombinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori diminacce Web modificano, ad esempio, in modo continuo la versione o la variante di unaminaccia utilizzata. Poiché la minaccia Web si trova in una posizione fissa di un sito Webanziché sul dispositivo infetto, l'autore della minaccia modifica continuamente il suocodice affinché non venga rilevata.

Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spywaresono noti come criminali informatici. Le minacce Web consentono a questi individui diperseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo dilucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità.Il dispositivo infetto può essere utilizzato per un attacco di phishing o per altre attivitàvolte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima diinsicurezza generale nei confronti delle transazioni via Internet e la conseguente perditadi fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo èimpossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro.Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchiDenial-of-Service distribuiti o abuso di annunci "pay-per-click".

Servizi di avvisi contatti Command & ControlI Servizi di avvisi contatti Trend Micro Command & Control (C&C) fornisconofunzionalità migliorate di avviso e rilevamento per ridurre i danni causati da minaccecostanti e attacchi mirati avanzati. I Servizi di avvisi contatti C&C sono integrati con iServizi di reputazione Web che determinano l'azione eseguita sugli indirizzi di callbackrilevati in base al livello di sicurezza della reputazione Web.

L'elenco IP C&C migliora ulteriormente i rilevamenti di callback C&C utilizzando ilMotore di ispezione contenuti della rete per identificare i contatti C&C tramite qualsiasicanale di rete.

Per i dettagli di configurazione del livello di sicurezza dei servizi di reputazione Web,consultare Configurazione dei Criteri di reputazione Web a pagina 12-5.

Utilizzo di Web Reputation

12-3

Tabella 12-1. Caratteristiche dei servizi di avvisi contatti C&C


Elenco GlobalIntelligence

Trend Micro Smart Protection Network compila l'elenco GlobalIntelligence da origini di tutto il mondo e verifica e valuta il livello dirischio di ciascun indirizzo di callback C&C I servizi di reputazioneWeb utilizzano l'elenco Global Intelligence insieme ai punteggi direputazione per i siti Web dannosi al fine di fornire una maggioresicurezza dalle minacce avanzate. Il livello di sicurezza dellareputazione Web determina l'azione eseguita sui siti Web dannosi osui server C&C in base ai livelli di rischio assegnati.

Elenco VirtualAnalyzer

Gli Smart Protection Server possono essere integrati con VirtualAnalyzer per ottenere l'elenco dei server Virtual Analyzer C&C. VirtualAnalyzer valuta i potenziali rischi in un ambiente protetto e, utilizzandoeuristica avanzata e metodi di verifica dei comportamenti, assegna unlivello di rischio alle minacce analizzate. Virtual Analyzer popolal'elenco Virtual Analyzer con le minacce che tentano di connettersi aun possibile server C&C. L'elenco Virtual Analyzer è altamentespecifico per ciascuna azienda e offre una difesa più personalizzatadagli attacchi mirati.

OfficeScan recupera l'elenco da Virtual Analyzer ed è in grado divalutare tutte le possibili minacce C&C attraverso l'elenco GlobalIntelligence e quello Virtual Analyzer locale.

Per ulteriori informazioni sulla connessione degli elenchi di oggettisospetti di Virtual Analyzer, consultare Configurazione delleimpostazioni dell'elenco di oggetti sospetti a pagina 14-36.

Servizio diconnessionesospetta

Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globalie definiti dall'utente e controlla il comportamento delle connessioni chei dispositivi stabiliscono con i potenziali server C&C.

Per i dettagli, consultare Servizio di connessione sospetta a pagina8-6.

Notificheamministratore

Gli amministratori possono scegliere di ricevere notifiche dettagliate epersonalizzabili una volta rilevato un callback C&C.

Per i dettagli, consultare Configurazione delle notifiche di callbackC&C per gli amministratori a pagina 12-16.


12-4


Notificheagente

Gli amministratori possono scegliere di inviare notifiche dettagliate epersonalizzabili agli utenti finali una volta rilevato un callback C&C inun dispositivo.

Per i dettagli, consultare Notifiche di avvisi contatti C&C per gli utentidegli agenti a pagina 12-19.

Notifiche diinfezione

Gli amministratori possono personalizzare le notifiche di infezionespecifiche degli eventi di callback C&C e specificare se l'infezioneavviene in un solo dispositivo o nell'intera rete.

Per i dettagli, consultare Infezioni dei callback C&C a pagina 12-20.

Registri dicallback C&C

I registri forniscono informazioni dettagliate relative a tutti gli eventi dicallback C&C.

Per i dettagli, consultare Visualizzazione dei registri di callback C&C apagina 12-25.

Reputazione WebLa tecnologia di reputazione Web tiene traccia della credibilità dei domini Webassegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, icambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisidel comportamento delle minacce informatiche. Trend Micro analizza continuamentesiti Web e aggiorna i punteggi di reputazione Web per impedire agli utenti di accedere acontenuti potenzialmente dannosi.

Quando un utente tenta di accedere a un sito Web, l'Agente OfficeScan invia una query aun'origine Smart Protection per verificare il livello di rischio dei contenuti. Il criterio direputazione Web configurato per l'Agente OfficeScan determina se consentire l'accessoal sito Web.

Nota

Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini SmartProtection a pagina 4-23.


12-5

Reputazione Web consente di aggiungere siti Web considerati sicuri o pericoli all'elencoApprovati o Bloccato. L'Agente OfficeScan non invia query per il punteggio direputazione Web per siti Web aggiunti agli elenchi, bensì consente o bloccaautomaticamente l'accesso.

Criteri di reputazione WebI criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a unsito Web.

È possibile configurare i criteri per gli agenti interni ed esterni. Gli amministratori diOfficeScan in genere configurano criteri più rigidi per gli agenti esterni.

I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibileapplicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibileapplicare un singolo criterio a tutti gli agenti.

Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nellaschermata Posizione dispositivo (consultare Posizione dispositivo a pagina 15-2) perdeterminare la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni voltache cambia la posizione.

Configurazione dei Criteri di reputazione WebSe è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed ènecessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali perl'autenticazione del server proxy.

Per ulteriori informazioni, consultare Configurazione delle impostazioni proxy degli agenti esternia pagina 15-56.

Procedura


2. Selezionare le destinazioni nella struttura agente.


12-6

• Per configurare un criterio per gli agenti che eseguono piattaforme desktopWindows, selezionare l'icona del dominio principale (root) ( ) oppuredomini o agenti specifici.

NotaQuando si seleziona il dominio principale (root) o domini specifici,l'impostazione viene applicata solo agli agenti con piattaforme desktopWindows. L'impostazione non sarà applicata agli agenti con piattaformeWindows Server anche se fanno parte dei domini.

• Per configurare un criterio per gli agenti con piattaforme Windows Server,selezionare un agente specifico.

3. Fare clic su Impostazioni > Impostazioni di reputazione Web.


SuggerimentoConfigurare le impostazioni della posizione agente se non sono state già configurate.Gli agenti useranno queste impostazioni per determinare i rispettivi percorsi eapplicare il criterio di reputazione Web corretto. Per i dettagli, consultare Posizionedispositivo a pagina 15-2.

5. In Attiva reputazione Web sui seguenti sistemi operativi, selezionare i tipi dipiattaforme Windows da proteggere (Piattaforme desktop Windows ePiattaforme server Windows).

I sistemi operativi elencati nella schermata variano in base alle destinazioniselezionate nel passaggio 1.

SuggerimentoTrend Micro consiglia di disattivare la reputazione Web per gli agenti interni se siutilizza già un prodotto Trend Micro con funzionalità di reputazione Web, comeInterScan Web Security Virtual Appliance.

Quando un criterio di reputazione Web è attivato:


12-7

• Gli agenti esterni inviano query di reputazione Web a Smart ProtectionNetwork.

• Gli agenti interni inviano query di reputazione Web a:

• Gli Smart Protection Server se l'opzione Invia query a SmartProtection Server è attivata. Per ulteriori informazioni su questaopzione, vedere il passaggio 7.

• Gli Smart Protection Network se l'opzione Invia query a SmartProtection Server è attivata.

6. Selezionare Attiva modalità di valutazione.

NotaIn modalità di valutazione, gli Agenti OfficeScan consentono l'accesso a tutti i sitiWeb. Per i siti Web visitati che violano l'impostazione Livello di sicurezzaconfigurata, l'Agente OfficeScan registra l'evento. La modalità di valutazione consentedi monitorare l'accesso ai siti Web e di valutarne la sicurezza prima di bloccarneattivamente l'accesso agli utenti. In base alla valutazione dei registri di accesso, èpossibile aggiungere siti Web affidabili all'elenco URL approvati prima di disattivare lamodalità di valutazione.

7. Selezionare Verifica URL HTTPS.

Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web.Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro,accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siticompromessi, anche quelli con certificati validi, possono ospitare minacceinformatiche e sottrarre informazioni personali. Inoltre, i certificati sonorelativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione diserver Web dannosi che utilizzano HTTPS.

Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessi odannosi che usano HTTPS. Reputazione Web è in grado di monitorare il trafficoHTTPS sui seguenti browser:


12-8

Tabella 12-2. Browser supportati per il traffico HTTPS

Browser Versione

Microsoft Internet Explorer • 8.x

• 9.x

• 10.x

• 11.x

Mozilla Firefox 3.5 o versioni successive

Chrome Ultima versione

Microsoft Edge Ultima versione


12-9

Importante

• La scansione HTTPS supporta solo le piattaforme Windows 8, Windows 8.1,Windows 10 o Windows 2012 in modalità desktop.

• Firefox, Microsoft Edge e Chrome (la scansione HTTPS in questi browser nonè supportata nelle piattaforme Windows XP, Server 2003/2003 R2 o Server2008)

È necessario attivare il servizio Prevenzione modifiche non autorizzate e lafunzione Attiva l'ispezione del programma per rilevare e bloccare i fileeseguibili compromessi di Monitoraggio del comportamento sugli agenti cheeseguono la scansione del traffico HTTPS.

• Dopo aver attivato la scansione HTTPS per la prima volta negli AgentiOfficeScan, è necessario che gli utenti attivino il componente aggiuntivonecessario nel browser prima che la scansione HTTPS sia operativa.

• Internet Explorer 9, 10 e 11

Per gli Agenti OfficeScan con Windows 7, 8, 8.1, 10, Server 2008 R2 oServer 2012, gli utenti devono attivare il componente aggiuntivo TrendMicro Osprey Plugin Class nella finestra popup del browser.

Per gli agenti Agenti OfficeScan con Windows XP, Server 2003 o Server2008, gli utenti devono attivare il componente aggiuntivoTmIEPlugInBHO Class nella finestra popup del browser.

Per informazioni sulla configurazione delle impostazioni di Internet Explorerper Reputazione Web, consultare i seguenti articoli della Knowledge Base:

• http://esupport.trendmicro.com/solution/en-us/1060643.aspx

• http://esupport.trendmicro.com/solution/en-us/1095350.aspx

8. Selezionare Esegui scansione solo delle porte HTTP comuni per limitare lascansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Perimpostazione predefinita, Reputazione Web esegue la scansione di tutto il trafficoin tutte le porte.

Nota

Non supportato in Windows 7, 8, 8.1, 10 o Windows Server 2008 R2, 2012 opiattaforme successive.




12-10

9. Per gli Agenti OfficeScan interni, selezionare Invia query a Smart ProtectionServer se si desidera che gli Agenti OfficeScan inviino query di reputazione Webagli Smart Protection Server.

• Se si attiva questa opzione:

• Gli agenti fanno riferimento all'elenco delle origini Smart Protection perdeterminare a quale Smart Protection Server connettersi.

Per ulteriori informazioni sull'elenco delle origini Smart Protection,consultare Elenco delle origini Smart Protection a pagina 4-23.

• Accertarsi che gli Smart Protection Server siano disponibili. Se nessunoSmart Protection Server è disponibile, gli agenti non inviano query aSmart Protection Network. Le sole origini rimanenti di dati direputazione Web per gli agenti sono gli elenchi di URL approvati ebloccati.

• Se si desidera che gli agenti si connettano agli Smart Protection Servertramite un server proxy, specificare le impostazioni del proxy nellasezione Proxy interno della scheda Amministrazione > Impostazioni> Proxy > Agente.

• Aggiornare gli Smart Protection Server regolarmente in modo damantenere aggiornata la protezione.

• Gli agenti non bloccano i siti Web non testati. Gli Smart ProtectionServer non memorizzano i dati di reputazione Web per questi siti Web.

• Se si disattiva questa opzione:

• Gli agenti inviano query di reputazione Web a Smart ProtectionNetwork. I dispositivi devono essere dotati di una connessione Internetper poter inviare query correttamente.

• Se la connessione a Smart Protection Network richiede l'autenticazionedel server proxy, specificare le credenziali di autenticazione inAmministrazione > Impostazioni > Proxy > scheda Agente >Proxy esterno.


12-11

• Gli agenti possono bloccare i siti Web non testati se si selezional'opzione Blocca le pagine che non sono state testate da TrendMicro.

10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto,Medio o Basso

NotaI livelli di sicurezza determinano se Reputazione Web consentirà o bloccherà l'accessoa un URL. Se, ad esempio, si imposta il livello di sicurezza su Basso, Reputazione Webblocca solo gli URL considerati come minaccia Web. Impostando il livello di sicurezzapiù elevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilitàdi falsi allarmi.

11. Se è stata disattivata l'opzione Invia query a Smart Protection Server, è possibileselezionare Blocca le pagine che non sono state testate da Trend Micro.

NotaAnche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza,gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove opoco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma siimpedisce anche l'accesso alle pagine sicure.

12. Selezionare Blocca le pagine che contengono script dannosi per identificarevulnerabilità dei browser Web e script dannosi e impedire che l'uso di tali minaccecomprometta il browser Web.

Reputazione Web utilizza sia il pattern Prevenzione minaccia browser sia il patternScript Analyzer, per identificare e bloccare le pagine Web prima di esporre ilsistema.


12-12

Tabella 12-3. Browser supportati per Prevenzione minaccia browser

Browser Versione

Microsoft Internet Explorer • 7.x

• 8.x

• 9.x

• 10.x

• 11.x

ImportantePer usare la funzione Prevenzione minaccia browser, è necessario abilitare il Serviziodi protezione avanzata.

Per attivare il Servizio di protezione avanzata, accedere a Agenti > Gestione agentee fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

Dopo avere attivato per la prima volta la funzione Prevenzione minaccia browser suAgenti OfficeScan, gli utenti devono attivare il componente aggiuntivo richiesto nelbrowser prima che Prevenzione minaccia browser sia operativo. Per gli AgentiOfficeScan con Internet Explorer 9, 10 o 11, gli utenti devono attivare il componenteaggiuntivo Trend Micro IE Protection nella finestra popup del browser.

13. Configurare gli elenchi approvati e bloccati.

NotaL'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati.Quando un URL corrisponde a una voce nell'elenco degli URL approvati, gli agenticonsentono sempre l'accesso all'URL, anche se questo è incluso nell'elenco degli URLbloccati.

a. Selezionare Attiva elenco approvati/bloccati.

b. Immettere un URL.

È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL.

Ad esempio:


12-13

• Immettendo www.trendmicro.com/* Reputazione Web approva tuttele pagine nel sito Web di Trend Micro.

• Immettendo *.trendmicro.com/* Reputazione Web approva tutte lepagine dei sottodomini di nel sito Web di trendmicro.com.

È possibile immettere URL che contengono indirizzi IP. Se un URL contieneun indirizzo IPv6, racchiudere l'indirizzo tra parentesi.

c. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elencoBloccati.

d. Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic suSalva.

e. Se l'elenco è stato esportato da un altro server e occorre importarlo in questaschermata, fare clic su Importa e selezionare il file .dat. L'elenco vieneimportato nella schermata.

Importante

Reputazione Web non esegue alcuna scansione sugli indirizzi presenti negli elenchiApprovati e Bloccati.

14. Per inviare un commento sulla Reputazione Web, fare clic sull'URL fornito inValuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di querydella reputazione Web di Trend Micro.

15. Selezionare se consentire che l'Agente OfficeScan invii i registri di reputazione Webal server. Consentire agli agenti di inviare i registri se si desidera analizzare gli URLbloccati da Reputazione Web ed eseguire l'azione appropriata sugli URL il cuiaccesso è considerato sicuro.




12-14


Notifiche di minacce Web per utenti agenteOfficeScan può visualizzare un messaggio di notifica sul dispositivo Agente OfficeScansubito dopo aver bloccato un URL che viola un criterio di reputazione Web. Ènecessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto ditale messaggio.

Attivazione del messaggio di notifica di minacce Web

Procedura




4. Fare clic sulla scheda Altre impostazioni.

5. Nella sezione Impostazioni di reputazione Web, selezionare Visualizza unanotifica quando un sito Web viene bloccato.

6. Nella sezione Impostazioni callback C&C, selezionare Visualizza una notificaquando un callback C&C viene rilevato.


• Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti ea qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini


12-15

futuri sono i domini non ancora creati al momento della configurazione delleimpostazioni.


Modifica delle notifiche di minacce Web

Procedura


2. Dall'elenco a discesa Tipo, selezionare il tipo di notifica di minaccia Web damodificare:

• Violazioni della reputazione Web

• Callback C&C

3. Modificare il messaggio predefinito nella casella di testo disponibile.


Notifiche di callback C&C per gliamministratori

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan dei rilevamenti dei callback C&C. È possibilemodificare i messaggi di notifica e configurare impostazioni aggiuntive in base alleproprie esigenze.


12-16

Configurazione delle notifiche di callback C&C per gliamministratori

Procedura


2. Sulla scheda Criteri:

a. Accedere alla sezione Callback C&C.

b. Specificare se inviare le notifiche quando OfficeScan rileva un callback C&C(l'azione può essere bloccata o registrata) o solo quando il livello di rischiodell'indirizzo di callback è Alto.





Utilizzare il Role-based Administration (RBA) per assegnare agli utentiautorizzazioni al dominio della struttura agente. Se si verifica una trasmissionesu un agente appartenente a un dominio specifico, la e-mail è inviata agliindirizzi e-mail degli utenti con autorizzazioni per il dominio. La tabellaseguente illustra alcuni esempi:


12-17





ruolo

Indirizzo e-mail

dell'accountutente








Se un Agente OfficeScan appartenente al Dominio A rileva un callback C&C,il messaggio e-mail viene inviato a [email protected], [email protected] [email protected].

Se qualsiasi Agente OfficeScan appartenente al Dominio B rileva il callbackC&C, il messaggio e-mail viene inviato a [email protected] e [email protected].

NotaQuando si attiva questa opzione, tutti gli utenti con autorizzazioni per ildominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-maildi notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gliindirizzi e-mail sono configurati da Amministrazione > Gestione account >Account utente.


e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.Utilizzare le variabili token per rappresentare i dati nei campi Oggetto eMessaggio.


12-18

Tabella 12-5. Variabili token per le notifiche dei callback C&C


%CLIENTCOMPUTER%

Dispositivo di destinazione che ha inviato il callback

%IP% Indirizzo IP del dispositivo di destinazione

%DOMAIN% Dominio del dispositivo

%DATETIME% Data e ora di rilevamento della trasmissione

%CALLBACKADDRESS%

L'indirizzo di callback del server C&C

%CNCRISKLEVEL%

Il livello di rischio del server C&C

%CNCLISTSOURCE%

Indica l'elenco delle origini di C&C

%ACTION% Operazione eseguita

4. Sulla scheda Trap SNMP:



c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token perrappresentare i dati nel campo Messaggio. Consultare Tabella 12-5: Variabilitoken per le notifiche dei callback C&C a pagina 12-18 per ulteriori dettagli.

5. Sulla scheda Registro eventi NT:



c. Accettare o modificare il messaggio predefinito. è possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 12-5: Variabili token per le notifiche dei callback C&C a pagina 12-18 perulteriori dettagli.


12-19


Notifiche di avvisi contatti C&C per gli utentidegli agenti

OfficeScan può visualizzare un messaggio di notifica sui computer Agente OfficeScansubito dopo il blocco dell'URL del server C&C. È necessario attivare il messaggio dinotifica e, se lo si desidera, modificare il contenuto del messaggio

Attivazione del messaggio di notifica di callback C&C

Procedura




4. Fare clic sulla scheda Altre impostazioni.

5. Nella sezione Impostazioni callback C&C, selezionare Visualizza una notificaquando un callback C&C viene rilevato.




12-20


Modifica delle notifiche di callback C&C

Procedura


2. Dal menu a discesa Tipo, selezionare Callback C&C.

3. Modificare il messaggio predefinito nella casella di testo disponibile.


Infezioni dei callback C&CDefinire un'infezione dei callback C&C per numero, origine e livello di rischio deicallback.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica in base alle diverse esigenze.

Nota

OfficeScan è in grado di inviare notifiche di infezione dei callback C&C tramite postaelettronica. Configurare le impostazioni della posta elettronica in modo da consentire aOfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notificaamministratore a pagina 14-40.


12-21

Configurazione delle notifiche e dei criteri delle infezionidei callback C&C

Procedura


Viene visualizzata la schermata Notifiche di infezione.

2. Nella scheda Criteri della sezione Callback C&C, configurare quanto segue:

Opzione Descrizione

Stesso hostcompromesso

Selezionare per definire un'infezione basata sui rilevamenti dicallback per dispositivo

Livello di rischioC&C

Specificare se generare un'infezione in tutti i callback C&C osolo sulle origini ad alto rischio

Azione Specificare quali azioni OfficeScan conteggia per determinareuno scenario di infezione

Rilevamenti Specificare il numero di rilevamenti che OfficeScan devesuperare per generare uno scenario di infezione

Periodo di tempo Specificare un periodo di monitoraggio


a. Nella sezione Callback C&C selezionare Attiva notifica mediante e-mail.

b. Specificare i destinatari del messaggio e-mail accanto al campo A.

c. Specificare l'oggetto nel campo Oggetto della notifica e-mail.

d. Specificare i contenuti nel campo Messaggio.

OfficeScan supporta l'uso di token nei campi Oggetto e Messaggio.


12-22

Tabella 12-6. Variabili token per le notifiche dei callback C&C


%C Numero di registri dei callback C&C

%T Periodo di tempo di accumulo dei registri dei callback C&C

e. Specificare i dati di registro aggiuntivi da includere nella notifica (in formatotabulare).

Colonnaregistro Descrizione

Data/Ora Data e ora del rilevamento

Hostcompromesso

Dispositivo con il rilevamento

Indirizzo IP Indirizzo IP dell'host compromesso



URL che ha attivato il rilevamento

Livello dirischio C&C

Livello di rischio dell'indirizzo di callback

Origineelenco C&C

L'origine dell'elenco C&C che ha identificato il server C&C

Azione Azione eseguita per contrastare il rischio per la sicurezza




c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. Consultare


12-23

Tabella 12-6: Variabili token per le notifiche dei callback C&C a pagina 12-22 perulteriori dettagli.




c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solovariabili token per rappresentare i dati nel campo Messaggio. ConsultareTabella 12-6: Variabili token per le notifiche dei callback C&C a pagina 12-22 perulteriori dettagli.


Registri delle minacce WebConfigurare gli agenti esterni e interni in modo che inviino i registri di reputazione Webal server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioniappropriate per gli URL considerati sicuri, consentire tale operazione.


Visualizzazione dei registri di reputazione Web

Procedura





12-24


3. Andare alla schermata Criteri dei registri di reputazione Web:

• dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri di reputazione Web.

• Dalla schermata Gestione agente, fare clic su Registri > Registri direputazione Web.







URL L'URL bloccato dai servizi di reputazione Web

Livello di rischio Il livello di rischio dell'URL

Descrizione Una descrizione della minaccia per la sicurezza

Processo Il processo tramite il quale è stato tentato il contatto(path\application_name)

Azione L'azione eseguita sul rilevamento

6. Fare clic su Aggiungi all'elenco approvati per aggiungere gli URL che non sidesidera bloccare all'elenco URL approvati.



12-25

Visualizzazione dei registri di callback C&C

Procedura





3. Andare alla schermata Criteri dei registri di callback C&C:

• dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri dei callback C&C.

• Dalla schermata Gestione agente, fare clic su Registri > Registri deicallback C&C.





Utente L'utente ha effettuato l'accesso all'ora del rilevamento

Host compromesso L'dispositivo origine del callback

Indirizzo IP L'indirizzo IP dell'host compromesso


Indirizzo di callback L'indirizzo a cui l'dispositivo ha inviato il callback

Origine elenco C&C L'origine dell'elenco C&C che ha identificato il serverC&C

Livello di rischio C&C Il livello di rischio del server C&C


12-26


Protocollo Il protocollo Internet usato per la trasmissione

Processo Il processo che ha avviato la trasmissione (path\application_name)

Azione L'azione eseguita sul rilevamento

6. Se reputazione Web ha bloccato un URL che non si desidera sia bloccato, fare clicsul pulsante Aggiungi a elenco reputazione Web approvati per aggiungerel'indirizzo all'elenco reputazione Web approvati.

NotaOfficeScan può aggiungere solo gli URL all'elenco reputazione Web approvati. Per irilevamenti effettuati dall'elenco di indirizzi IP C&C globale o dall'elenco IP C&CVirtual Analyzer, aggiungere manualmente tali indirizzi IP all'elenco di IP approvatiC&C definito dall'utente.

Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globalidefiniti dall'utente a pagina 8-7.


13-1

Capitolo 13

Utilizzo del firewall di OfficeScanIn questo capitolo vengono descritte le configurazioni e le funzioni del firewallOfficeScan.


• Informazioni sul firewall di OfficeScan a pagina 13-2

• Attivazione o disattivazione del Frewall di OfficeScan a pagina 13-6

• Criteri e profili del firewall a pagina 13-8

• Privilegi firewall a pagina 13-24

• Impostazioni firewall globali a pagina 13-27

• Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan a pagina 13-29

• Registri del firewall a pagina 13-30

• Infezioni da violazione del firewall a pagina 13-32

• Test del firewall OfficeScan a pagina 13-34


13-2

Informazioni sul firewall di OfficeScanIl firewall di OfficeScan protegge gli Agenti OfficeScan e i server della rete grazie a unsistema di "stateful inspection" e alle scansioni di virus della rete a elevate prestazioni.Con la console di gestione centrale, è possibile creare regole per filtrare le connessioniper applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole agruppi diversi di utenti.

NotaÈ possibile attivare, configurare e utilizzare il firewall di OfficeScan sui dispositivi WindowsXP sui quali è stato attivato Windows Firewall. Per fare questo, tuttavia, è necessario gestireattentamente i criteri per evitare di creare conflitti tra i due firewall e ottenere risultati nondesiderati. Per conoscere i dettagli sul firewall di Windows, consultare la documentazioneMicrosoft.

Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito:

• Filtraggio del traffico a pagina 13-2

• Filtro di applicazioni a pagina 13-3

• Elenco software sicuro certificato a pagina 13-3

• Scansione dei virus di rete a pagina 13-3

• Profili e criteri personalizzabili a pagina 13-4

• Stateful Inspection a pagina 13-4

• Sistema di rilevamento anti-intrusione a pagina 13-4

• Monitoraggio delle infezioni di violazione del firewall a pagina 13-6

• Privilegi firewall dell'agente OfficeScan a pagina 13-6

Filtraggio del trafficoIl firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità dibloccare alcuni tipi di traffico in base ai seguenti criteri:

Utilizzo del firewall di OfficeScan

13-3

• Direzione (in entrata/in uscita)

• Protocollo (TCP/UDP/ICMP/ICMPv6)

• Porte di destinazione

• Dispositivi di origine e destinazione

Filtro di applicazioni

Il firewall di OfficeScan filtra il traffico in entrata e in uscita per le applicazionispecificate nell'elenco delle eccezioni del firewall, consentendo a tali applicazioni diaccedere alla rete. La disponibilità delle connessioni di rete dipende dai criteri impostatidall'amministratore.

Elenco software sicuro certificato

L'elenco software sicuro certificato locale contiene un elenco delle applicazioni chepossono evitare i livelli di sicurezza dei criteri del firewall. Il firewall di OfficeScanconsente automaticamente l'esecuzione e l'accesso alla rete delle applicazioni dell'elencosoftware sicuro certificato.

È anche possibile consentire agli Agenti OfficeScan di inviare query all'elenco softwaresicuro certificato globale aggiornato in modo dinamico e ospitato nei server TrendMicro.

Importante

L'invio di query all'elenco software sicuro certificato globale richiede l'attivazione delservizio prevenzione modifiche non autorizzate e del servizio Certified Safe Software.

Scansione dei virus di rete

Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per idettagli, consultare Virus e minacce informatiche a pagina 7-2.


13-4

Profili e criteri personalizzabili

Il firewall di OfficeScan consente di configurare i criteri affinché blocchino oconsentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili,che poi potranno essere implementati negli Agenti OfficeScan specificati. Questocostituisce un metodo molto personalizzabile di organizzare e configurare leimpostazioni del firewall per gli agenti.

Stateful Inspection

Il firewall di OfficeScan usa Stateful Inspection per monitorare e ricordare tutte leconnessioni e gli stati di connessione all'Agente OfficeScan. È in grado di identificarecondizioni specifiche in ogni connessione, prevedere quali azioni seguiranno eindividuare le interruzioni nelle connessioni normali. L'uso efficace del firewall, quindi,non sono implica la creazione di profili e criteri, ma anche l'analisi delle connessioni e ilfiltro dei pacchetti che passano attraverso il firewall.

Sistema di rilevamento anti-intrusione

Il sistema di rilevamento anti-intrusione (IDS) facilita l'identificazione dei pattern neipacchetti di rete che possono indicare un attacco all'Agente OfficeScan.

Il sistema di rilevamento anti-intrusione (IDS) aiuta a impedire le seguenti intrusioninote:

Intrusione Descrizione

frammento troppogrande

Attacco DoS (Denial of Service) in cui un hacker dirige unpacchetto TCP/UDP di dimensioni eccessive sul dispositivo didestinazione. Può causare l'overflow del buffer, che può causare ilblocco o il riavvio del dispositivo.

Ping of Death Attacco DoS (Denial of Service) in cui un hacker dirige unpacchetto ICMP/ICMPv6 di dimensioni eccessive sul dispositivo didestinazione. Può causare l'overflow del buffer, che può causare ilblocco o il riavvio del dispositivo.


13-5


conflitto ARP Tipo di attacco in cui un hacker invia una richiesta ARP (AddressResolution Protocol) a un dispositivo di destinazione utilizzando lostesso indirizzo IP come origine e come destinazione. Ildispositivo oggetto dell'attacco comincia a inviare continuamenteuna risposta ARP (il suo indirizzo MAC) a se stesso, conconseguente blocco del dispositivo.

flooding SYN Attacco DoS (Denial of Service) in cui un programma invia aldispositivo più pacchetti di sincronizzazione (SYN) TCP,causando un invio continuo di risposte di riconoscimento dellasincronizzazione (SYN/ACK) da parte del dispositivo. Ciò puòesaurire la memoria del dispositivo e causare guasti deldispositivo.

frammentisovrapposti

In modo analogo al teardrop, questo attacco DoS (Denial ofService) invia al dispositivo frammenti TCP sovrapposti. Questocausa la sovrascrittura delle informazioni di intestazione del primoframmento TCP che potrebbe così oltrepassare un firewall. Ilfirewall, a questo punto, potrebbe consentire l'accesso aisuccessivi frammenti contenenti il codice maligno permettendoloro di raggiungere il dispositivo di destinazione.

Teardrop Questo attacco DoS (Denial of Service) simile all'attacco aframmenti sovrapposti, utilizza dei frammenti IP. Un valore dioffset errato all'interno del secondo o di altri frammenti IP puòcausare il blocco del sistema operativo del dispositivo riceventenel momento in cui tenta di riassemblare i frammenti.

attacco frammentominuscolo

Tipo di attacco in cui un frammento TCP di dimensioni minimeforza le informazioni di intestazione del primo pacchetto TCPall'interno del frammento successivo. In questo modo potrebberoessere ignorati i frammenti successivi che potrebbero conteneredati dannosi.

IGMP frammentato Attacco DoS (Denial of Service) che invia pacchetti IGMPframmentati a un dispositivo di destinazione, che non riesce aelaborarli correttamente. Ciò può bloccare il dispositivo orallentarne le attività.


13-6


attacco LAND Tipo di attacco che invia al dispositivo pacchetti disincronizzazione (SYN) IP contenenti lo stesso indirizzo comeorigine e come destinazione facendo in modo che il dispositivoinvii la risposta di riconoscimento della sincronizzazione (SYN/ACK) a se stesso. Ciò può bloccare il dispositivo o rallentarne leattività.

Monitoraggio delle infezioni di violazione del firewallQuando le violazioni del firewall superano determinate soglie che potrebbero farpensare a un attacco, il firewall di OfficeScan invia un messaggio di notificapersonalizzato a specifici destinatari.

Privilegi firewall dell'agente OfficeScanÈ possibile concedere agli utenti dell'Agente OfficeScan le autorizzazioni necessarie pervisualizzare le impostazioni del firewall nella console dell'Agente OfficeScan. nonchéquelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per ilmessaggio di notifica della violazione del firewall.

Attivazione o disattivazione del Frewall diOfficeScan

Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare odisattivare il firewall OfficeScan.

Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulleprestazioni, in particolare sulle piattaforme del server (Windows Server 2003, WindowsServer 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall.

Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo perproteggere gli agente da intrusioni, leggere prima le linee guida e le istruzioni in Servizidell'agente OfficeScan a pagina 15-6.


13-7

È possibile attivare o disattivare il firewall su tutti i dispositivi Agente OfficeScan o solosu alcuni.

Attivazione o disattivazione del firewall di OfficeScan suidispositivi selezionati

Per attivare o disattivare il firewall nella console Web, utilizzare uno dei metodi seguenti.

Metodo Procedura

Creare un nuovocriterio e applicarloagli AgentiOfficeScan

1. Creare un nuovo criterio per attivare o disattivare il firewall.

Per istruzioni sulla creazione di un nuovo criterio, vedereAggiunta di un criterio del firewall a pagina 13-11.

2. Applicare il criterio agli Agenti OfficeScan.

Attivare o disattivareil servizio delfirewall dallaconsole Web.

Per la procedura dettagliata, vedere Servizi dell'agenteOfficeScan a pagina 15-6.

NotaLa disattivazione del servizio del firewall disattivaautomaticamente tutti i criteri del firewall sugli agentiselezionati.

Per attivare o disattivare il firewall nei dispositivi selezionati, utilizzare uno dei metodiseguenti.

Metodo Procedura

Attivazione/Disattivazione deldriver del firewall

1. Aprire le Proprietà delle Connessioni di rete Windows.

2. Selezionare o deselezionare la casella di controllo Drivercomune Firewall Trend Micro nella scheda di rete.

Attivazione/Disattivazione delservizio del firewall

1. Aprire il prompt dei comandi e digitare services.msc.

2. Avviare o interrompere OfficeScan NT Firewall da Consoledi gestione Microsoft (MMC).


13-8

Attivazione o disattivazione del firewall di OfficeScan sututti i dispositivi

Procedura

1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto.

2. Andare alla sezione Servizi aggiuntivi.

3. Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per dispositivo, fareclic su Attiva o Disattiva.

Criteri e profili del firewallIl firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodidi protezione dei dispositivi collegati in rete.

Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente puòcreare, configurare o eliminare i criteri e i profili di domini specifici.

SuggerimentoInstallazioni di più firewall sullo stesso dispositivo possono produrre risultati inaspettati.Prima di implementare e attivare il firewall di OfficeScan, è opportuno disinstallare altrifirewall basati su software presenti sugli Agenti OfficeScan.

Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguentioperazioni:

1. Creare un criterio. Il criterio consente di selezionare un livello di sicurezza cheblocca o consente il traffico sui dispositivi collegati in rete e attiva le funzioni delfirewall.

2. Aggiungere delle eccezioni al criterio. Le eccezioni consentono agli AgentiOfficeScan di ignorare quanto stabilito da un criterio. Grazie alle eccezioni, èpossibile specificare gli agenti e consentire o bloccare determinati tipi di traffico


13-9

indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. Èpossibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di agentitramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modoche gli agenti possano accedere al server Web.

3. Creare e assegnare dei profili agli Agenti OfficeScan. Un profilo di firewallcomprende una serie di attributi agente ed è associato a un criterio. Quando unagente corrisponde agli attributi specificati nel profilo, il criterio a esso associatoviene attivato.

Criteri firewallI criteri del firewall di OfficeScan consentono di bloccare o consentire alcuni tipi ditraffico di rete non specificati nell'eccezione ai criteri. Un criterio inoltre definisce qualifunzioni del firewall vengono attivate o disattivate. Assegnare un criterio a uno o piùprofili firewall.

Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente puòcreare, configurare o eliminare i criteri di domini specifici.

Nella tabella seguente sono riportate le impostazioni disponibili per la configurazione diun criterio del firewall.


Livello di sicurezza Un'impostazione generale che blocca o consente tutto il traffico inentrata e/o in uscita nell'Agente OfficeScan dispositivo

Caratteristiche delfirewall

Specificare se attivare o disattivare il firewall di OfficeScan, ilsistema rilevamento anti-intrusione (IDS) e il messaggio di notificadi violazione del firewall.

Per i dettagli, consultare Sistema di rilevamento anti-intrusione apagina 13-4.

Elenco softwaresicuro certificato

specificare se consentire alle applicazioni sicure certificate diconnettersi alla rete.

Per i dettagli, consultare Elenco software sicuro certificato apagina 13-3.


13-10


Elenco eccezioni alcriterio

elenco di eccezioni configurabili che consentono di bloccare oconsentire vari tipi di traffico di rete.

NotaQuando si creano i Profili firewall, è possibile concedere agli utenti finali il privilegio dimodificare il livello di sicurezza e l'elenco delle eccezioni al criterio.

Per i dettagli, consultare Aggiunta di un profilo di firewall a pagina 13-22.

Criteri del firewall predefinitiOfficeScan comprende una serie di criteri predefiniti che è possibile modificare oeliminare.

Nome criterioLivellosicurez

za

Impostazioni

AgenteEccezioni Uso consigliato

Tutti i tipi diaccesso

Basso Attivafirewall

nessuna Da utilizzare perconsentire agli agentiun accesso illimitatoalla rete

Porte dicomunicazioneper Trend MicroControl Manager


Permette tutto iltraffico TCP/UDP inentrata e in uscitatramite le porte 80 e10319

Da utilizzare per gliagenti sui quali èinstallato un MCPAgent

ConsoleScanMail perMicrosoftExchange


Permette tutto iltraffico TCP inentrata e in uscitatramite la porta16372

Da utilizzare quandogli agenti devonoaccedere alla consoleScanMail


13-11

Nome criterioLivellosicurez

za

Impostazioni

AgenteEccezioni Uso consigliato

ConsoleInterScanMessagingSecurity Suite(IMSS)


Permette tutto iltraffico TCP inentrata e in uscitatramite la porta 80

Da utilizzare quandogli agenti devonoaccedere alla consoleIMSS

Aggiunta di un criterio del firewall

Procedura

1. Accedere a Agenti > Firewall > Criteri.

2. Per aggiungere un nuovo criterio, fare clic su Aggiungi.

Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente,selezionare il criterio esistente e fare clic su Copia.

3. Inserire un nome per il criterio.

4. Selezionare un livello di sicurezza.

Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametridelle eccezioni ai criteri del firewall.

5. Selezionare le funzioni del firewall da utilizzare per il criterio.

• Quando il firewall blocca un pacchetto in uscita, viene visualizzato unmessaggio di notifica di violazione del firewall. Per modificare il messaggio,vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 13-30.

• Se l'amministratore attiva tutte le funzioni del firewall e concede agli utentidell'Agente OfficeScan il privilegio di configurazione delle impostazioni delfirewall, gli utenti possono attivare o disattivare le funzionalità, nonchémodificare le impostazioni del firewall nella console dell'Agente OfficeScan.


13-12

AVVERTENZA!Non è possibile utilizzare la console Web OfficeScan per sovrascrivere leimpostazioni della console dell'Agente OfficeScan configurate dall'utente.

• Se non si attivano queste funzioni, le impostazioni del firewall configuratedalla console Web OfficeScan vengono visualizzate in Elenco schede di retenella console dell'Agente OfficeScan.

• Le informazioni che si trovano in Impostazioni nella scheda Firewall dellaconsole dell'Agente OfficeScan corrispondono sempre alle impostazioniconfigurate nella console dell'Agente OfficeScan e non a quelle della consoleWeb del server.

6. Attiva l'elenco software sicuro certificato globale o locale.

NotaPrima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzionemodifiche non autorizzate e il Servizio Certified Safe Software.

7. In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteriqui incluse si basano sul modello di eccezione del firewall. Consultare Modifica delmodello di eccezione del firewall a pagina 13-13 per ulteriori dettagli.

• Per modificare un'eccezione ai criteri esistente fare clic sul nomedell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata.

NotaL'eccezione modificata si applica solo al criterio da creare. Se si desidera renderepermanente la modifica all'eccezione, è necessario apportare la stessa modificaall'eccezione nel modello di eccezione del firewall.

• Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare leimpostazioni nella pagina che si apre.


13-13

NotaAnche l'eccezione ai criteri si applica solo al criterio da creare. Per applicarequesta eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elencodelle eccezioni criteri nel modello di eccezione del firewall.


Modifica di di un criterio del firewall esistente

Procedura


2. Fare clic su un criterio.

3. Modificare gli elementi riportati di seguito:

• Nome criterio

• Livello di sicurezza

• Funzioni firewall da utilizzare per il criterio

• Stato dell'elenco Servizio Certified Safe Software

• Eccezioni ai criteri del firewall da includere nei criteri

• Modificare un'eccezione esistente (fare clic sul nome dell'eccezione emodificare le impostazioni nella pagina che si apre)

• Fare clic su Aggiungi per creare una nuova eccezione ai criteri.Specificare le impostazioni nella pagina che si apre.

4. Fare clic su Salva per applicare le modifiche ai criteri esistenti.

Modifica del modello di eccezione del firewallIl modello di eccezione del firewall contiene eccezioni dei criteri che possono essereconfigurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri di


13-14

porta e agli indirizzi IP del dispositivo Agente OfficeScan. Una volta creata un'eccezioneai criteri, modificare i criteri a cui si applica l'eccezione.

Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione:

• Restrittiva

Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentonotutto il traffico di rete. Un esempio di utilizzo di eccezione restrittiva dei criteri è ilblocco delle porte degli agenti OfficeScan vulnerabili all'attacco, ad esempio leporte utilizzate in genere dai cavalli di Troia.

• Permissiva

Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccanotutto il traffico di rete. Ad esempio, è possibile consentire agli Agenti OfficeScan diaccedere solo al server OfficeScan e a un server Web. In questo caso, è necessarioconsentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con ilserver OfficeScan) e dalla porta che l'Agente OfficeScan utilizza per lacomunicazione HTTP.

Porta di ascolto dell'Agente OfficeScan: Agenti > Gestione agente > Stato. Ilnumero di porta è reperibile in Informazioni di base.

Porta di ascolto del server: Amministrazione > Impostazioni > Connessioneagente. Il numero di porta è reperibile in Impostazioni connessione agente.

OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che èpossibile modificare o eliminare.

Tabella 13-1. Eccezioni predefinite ai criteri del firewall

Nomeeccezione

Azione Protocollo Porta Direzione

DNS Consenti

TCP/UDP 53 In entrata e in uscita

NetBIOS Consenti

TCP/UDP 137, 138,139, 445

In entrata e in uscita

HTTPS Consenti

TCP 443 In entrata e in uscita


13-15

Nomeeccezione

Azione Protocollo Porta Direzione

HTTP Consenti


Telnet Consenti


SMTP Consenti


FTP Consenti


POP3 Consenti


LDAP Consenti

TCP/UDP 389 In entrata e in uscita

Nota

Le eccezioni predefinite vengono applicate a tutti gli agenti. Per applicare un'eccezionepredefinita soltanto a determinati agenti, modificare l'eccezione e specificare gli indirizzi IPdegli agenti.

L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versioneprecedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni,aggiungerla manualmente.

Aggiunta di un'eccezione dei criteri del firewall

Quando si aggiungono nuove eccezioni, assicurarsi di non bloccare le porte utilizzateper la comunicazione tra il server OfficeScan e gli Agenti OfficeScan.

è possibile localizzare le porte di ascolto utilizzate dal server OfficeScan e dagli AgentiOfficeScan nel modo seguente:

• Porta di ascolto del server: accedere a Amministrazione > Impostazioni >Connessione agente. Il numero di porta è reperibile in Impostazioniconnessione agente.


13-16

• Porta di ascolto dell'Agente OfficeScan: Agenti > Gestione agente > Stato. Ilnumero di porta è reperibile in Informazioni di base.

Procedura


2. Fare clic su Modifica modello di eccezione.


4. Digitare un nome per l'eccezione ai criteri.

5. Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazionioppure specificare il percorso o le chiavi del registro di sistema delle applicazioni.

Nota

Verificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione nonsupporta i caratteri jolly.

6. Selezionare l'azione che OfficeScan esegue sul traffico di rete (bloccare oconsentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione deltraffico (traffico di rete in entrata o in uscita sul dispositivo dell'AgenteOfficeScan).

7. Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6.

8. Specificare le porte del dispositivo dell'Agente OfficeScan sulle quali effettuarel'azione.

9. Selezionare gli indirizzi IP del dispositivo dell'Agente OfficeScan da includerenell'eccezione.

Ad esempio, se si sceglie di bloccare tutto il traffico di rete (in entrata e in uscita) esi immette l'indirizzo IP di un singolo dispositivo nella rete, l'Agente OfficeScancon questa eccezione tra i criteri non potrà inviare o ricevere dati da tale indirizzoIP.

• Tutti gli indirizzi IP: include tutti gli indirizzi IP


13-17

• Indirizzo IP singolo: immettere un nome host oppure un indirizzo IPv4 oIPv6.

• Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 oIPv6.

• Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzoIPv6.

• Subnet mask: immettere un indirizzo IPv4 e la relativa subnet mask.


Viene visualizzata la schermata Modifica modello di eccezione con la nuovaeccezione aggiunta.

11. Fare clic su uno dei seguenti pulsanti per applicare la nuova eccezione nell'elenco:

• Salva modifiche al modello: salva le impostazioni del modello di eccezionecorrenti ma non le applica ai criteri esistenti

• Salva e applica ai criteri esistenti: salva le impostazioni correnti dell'elencodei modelli di eccezioni e le applica immediatamente a tutti i criteri esistenti

Modifica di un'eccezione dei criteri del firewall

Procedura



3. Fare clic su un criterio di eccezione.

4. Modificare gli elementi riportati di seguito:

• Nome eccezione ai criteri

• Tipo, nome o percorso dell'applicazione

• Operazione che OfficeScan deve effettuare su traffico di rete e direzione deltraffico


13-18

• Tipo di protocollo di rete

• Numeri di porta relativi all'eccezione

• Indirizzi IP del dispositivo Agente OfficeScan


Salvataggio delle impostazioni dell'elenco eccezioni al criterio

Procedura



3. Fare clic su una delle opzioni di salvataggio riportate di seguito:

• Salva modifiche al modello: salva il modello eccezioni con le eccezioni e leimpostazioni correnti. Questa opzione applica il modello solo ai criteri creatiin futuro, non a quelli esistenti.

• Salva e applica ai criteri esistenti: salva il modello eccezioni con leeccezioni e le impostazioni correnti. Questa opzione applica il modello acriteri esistenti e futuri.

Profili firewallI profili del firewall sono flessibili in quanto consentono di scegliere quali attributi unsingolo agente o un gruppo di agenti deve avere affinché il criterio venga applicato.Creare ruoli utente che permettano di creare, configurare o eliminare i profili di specificidomini.

Gli utenti con account di amministratore integrato o con le autorizzazioni per lagestione completa possono attivare l'opzione Sovrascrivi il livello di sicurezzadell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo AgenteOfficeScan con le impostazioni del server.

I profili comprendono i seguenti elementi:


13-19

• Criterio associato: ogni profilo utilizza un singolo criterio

• Attributi dell'agente: il criterio associato viene applicato agli Agenti OfficeScanche dispongono di almeno uno degli attributi riportati di seguito.

• Indirizzo IP: un indirizzo IP specifico dell'Agente OfficeScan OfficeScan, unindirizzo IP compreso in un determinato intervallo di indirizzi IP o unindirizzo IP appartenente a una subnet specifica

• Dominio: un dominio OfficeScan specifico al quale appartiene l'AgenteOfficeScan

• Dispositivo: l'Agente OfficeScan con un nome di dispositivo specifico

• Piattaforma: un tipo di piattaforma specifico utilizzato da qualsiasi AgenteOfficeScan

• Nome accesso: un dispositivi Agente OfficeScan a cui degli utenti specificihanno effettuato l'accesso

• Descrizione NIC: un dispositivo dell'Agente OfficeScan con una specificadescrizione NIC

• Posizione agente: se l'Agente OfficeScan è online oppure offline

NotaL'Agente OfficeScan è online se è in grado di connettersi al server OfficeScan oa uno dei server di riferimento, mentre è offline se non è in grado di connettersiad alcun server.

OfficeScan include un profilo predefinito denominato "Profilo di tutti gli agenti" cheutilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questoprofilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewallpredefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo statoattuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella consoleWeb. Gestire l'elenco dei profili e implementare tutti i profili sugli Agenti OfficeScan.Gli Agenti OfficeScan archiviano tutti i profili del firewall nel dispositivo dell'agente


13-20

Configurazione dell'elenco profili del firewall

Procedura

1. Accedere a Agenti > Firewall > Profili.

2. Gli utenti che utilizzano l'account di amministratore integrato o gli utenti con leautorizzazioni per la gestione completa, possono facoltativamente attivare l'opzioneSovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni persostituire le impostazioni del profilo dell'Agente OfficeScan con le impostazioni delserver.

3. Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profiloesistente, selezionare il nome del profilo.

Viene visualizzata la schermata per la configurazione del profilo. ConsultareAggiunta e modifica di un profilo firewall a pagina 13-21 per ulteriori informazioni.

4. Per eliminare un profilo esistente, selezionare la casella di controllo accanto alcriterio e fare clic su Elimina.

5. Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controlloaccanto al profilo da spostare e fare clic su Sposta su o Sposta giù.

OfficeScan applica i profili del firewall agli Agenti OfficeScan nell'ordine in cui iprofili compaiono nell'elenco dei profili. Ad esempio, se l'agente corrisponde alprimo profilo, OfficeScan applica le azioni configurate per tale profilo all'agente.OfficeScan ignora gli altri profili configurati per l'agente.

SuggerimentoPiù esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare ilcriterio creato per un unico agente in cima all'elenco, seguito da quelli relativi a unintervallo di agenti, a un dominio di rete e a tutti gli agenti.

6. Per gestire i server di riferimento, fare clic su Modifica elenco server diriferimento. Quando si applicano i profili del firewall, i server di riferimento sonodispositivi che fungono da sostituti per il server OfficeScan. Qualsiasi dispositivonella rete può essere un server di riferimento (per ulteriori informazioni,vedereServer di riferimento a pagina 14-38). Quando si attivano i server di riferimento,OfficeScan parte dai seguenti presupposti:


13-21

• Gli Agenti OfficeScan collegati a server di riferimento sono online, anche segli agenti non possono comunicare con il server OfficeScan.

• I profili del firewall applicati agli Agenti OfficeScan online vengono applicatianche agli Agenti OfficeScan collegati a server di riferimento.

Nota

Solo gli utenti con account di amministratore predefinito o quelli con autorizzazionidi gestione completa possono visualizzare e configurare l'elenco dei server diriferimento.

7. Per salvare le impostazioni correnti e assegnare i profili agli Agenti OfficeScan:

a. Decidere se attivare l'opzione Sovrascrivi il livello di sicurezzadell'agente/l'elenco delle eccezioni. Questa opzione sovrascrive tutte leimpostazioni del firewall configurate dall'utente.

b. Fare clic su Assegna profilo agli utenti. OfficeScan assegna tutti i profilipresenti nell'elenco di profili a tutti gli Agenti OfficeScan.

8. Per verificare di aver assegnato i profili agli Agenti OfficeScan:

a. Accedere a Agenti > Gestione agente. Nell'elenco a discesa disponibile nellavisualizzazione della struttura agente, selezionare Visualizzazione firewall.

b. Verificare che sia presente un segno di spunta verde nella colonna Firewalldella struttura agente. Se i criteri associati al profilo consentono di utilizzare ilsistema IDS (Intrusion Detection System), è presente un segno di spuntaverde anche nella colonna IDS.

c. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criterisono visualizzati nella colonna Criteri del firewall della struttura agente.

Aggiunta e modifica di un profilo firewall

I dispositivi Agente OfficeScan possono richiedere livelli diversi di protezione. I profilidel firewall consentono di specificare i dispositivi agente ai quali si applica un criterioassociato. In linea di massima, per ogni criterio in uso è necessario un profilo.


13-22

Aggiunta di un profilo di firewall

Procedura



3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare ilprofilo sugli Agenti OfficeScan.

4. Inserire un nome per identificare il profilo e una descrizione opzionale.

5. Specificare un criterio per questo profilo.

6. Specificare i dispositivi dell'agente a cui OfficeScan deve applicare il criterio.Selezionare i dispositivi in base ai seguenti criteri:

• Indirizzo IP

• Dominio: fare clic sul pulsante per aprire e selezionare i domini dalla strutturaagente.

NotaSolo gli utenti con autorizzazioni complete per i domini possono selezionarli.

• Nome dispositivo: fare clic sul pulsante per aprire la struttura agente eselezionare i dispositivi dell'Agente OfficeScan.

• Piattaforma

• Nome accesso

• Descrizione NIC: immettere una descrizione totale o parziale, senza caratterijolly.


13-23

Suggerimento

Trend Micro consiglia di immettere il prodottore della scheda NIC perché ledescrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, sesi digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se sidigita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo ledescrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno aquesto criterio.

• Posizione agente: effettuare la selezionare dalle seguenti opzioni:

• Interna - Gli agenti OfficeScan possono connettersi a un server diriferimento configurato

Nota

Fare clic su Modifica elenco server di riferimento per configurare leimpostazioni della posizione.

Per ulteriori informazioni, consultare Server di riferimento a pagina 14-38.

• Esterna - Gli agenti OfficeScan non possono connettersi a unserver di riferimento configurato

7. Specificare se si desidera concedere agli utenti i privilegi necessari per cambiare illivello di sicurezza del firewall o per modificare un elenco configurabile di eccezioniin modo da consentire alcuni tipi di traffico.

Per i dettagli, consultare Criteri firewall a pagina 13-9.


Modifica di un profilo di firewall

Procedura


2. Fare clic su un profilo.


13-24

3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementarequesto profilo sugli Agenti OfficeScan. Modificare gli elementi riportati di seguito:

• Nome profilo e descrizione

• Criterio assegnato al profilo

• Agente OfficeScan Dispositivi agente OfficeScan, in base ai seguenti criteri:

• Indirizzo IP

• Dominio: fare clic sul pulsante per aprire la struttura agente e selezionarei domini.

• Nome dispositivo: fare clic sul pulsante per aprire la struttura agente eselezionare i dispositivi agente.

• Piattaforma

• Nome accesso

• Descrizione NIC: immettere una descrizione totale o parziale, senzacaratteri jolly.

SuggerimentoTrend Micro consiglia di immettere il prodottore della scheda NIC perchéle descrizioni NIC in genere iniziano con il nome del produttore. Adesempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questocriterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R)Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100"corrisponderanno a questo criterio.

• Stato connessione agente


Privilegi firewallConsentono agli utenti di configurare le proprie impostazioni del firewall. Leimpostazioni configurate dagli utenti hanno la precedenza sulle impostazioni


13-25

implementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistemarilevamento anti-intrusione (IDS), ma questo viene attivato nel server OfficeScan, IDSrimane disattivato nel dispositivo dell'Agente OfficeScan.

Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall.

Tabella 13-2. Privilegi firewall

Privilegio Descrizione

Visualizza leimpostazioni delfirewall nellaconsole agenteOfficeScan

L'opzione Firewall visualizza tutte le impostazioni del firewallnell'Agente OfficeScan.

Consenti agliutenti di attivare/disattivare ilfirewall, il sistemadi rilevamentoanti-intrusione e ilmessaggio dinotifica diviolazione delfirewall

Il firewall di OfficeScan protegge gli agenti e i server della retegrazie a un sistema di "stateful inspection", alla scansioneantivirus della rete a elevate prestazioni e all'eliminazione. Se siconcede agli utenti il privilegio di attivare o disattivare il firewall ele relative funzioni, è necessario avvertirli di non disattivare ilfirewall per un periodo di tempo prolungato per evitare di esporreil dispositivo a intrusioni e attacchi di hacker.

Se non si concedono agli utenti tali privilegi, le impostazioni delfirewall configurate dalla console Web del server OfficeScanvengono visualizzate in Elenco schede di rete nella consoledell'Agente OfficeScan.

Consenti agliagenti di inviare iregistri di firewallal serverOfficeScan

Selezionare questa opzione per analizzare il traffico bloccato econsentito dal firewall OfficeScan.

Per ulteriori informazioni sui registri del firewall, consultareRegistri del firewall a pagina 13-30.

Se si seleziona questa opzione, configurare la pianificazione diinvio del registro in Agenti > Impostazioni globali agente, nellascheda Impostazioni di sicurezza. Andare alla sezioneImpostazioni firewall. La pianificazione si applica solamente agliagenti con privilegio di invio del registro del firewall. Per leistruzioni, vedere Impostazioni firewall globali a pagina 13-27.


13-26

Concessione dei privilegi firewall

Procedura




4. Nella scheda Privilegi, andare alla sezione Privilegi firewall.


• Visualizza la scheda Firewall nella console agente OfficeScan a pagina 13-25

• Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall a pagina 13-25

• Consenti agli agenti OfficeScan di inviare i registri del firewall al server OfficeScan a pagina13-25





13-27

Impostazioni firewall globaliLe impostazioni globali del firewall possono essere applicate agli Agenti OfficeScan indiversi modi.

• Una determinata impostazione del firewall può essere applicata a tutti gli agentigestiti dal server.

• Un'impostazione può essere applicata solo agli Agenti OfficeScan con determinatiprivilegi per il firewall. Ad esempio, la pianificazione di invio dei registri del firewallsi applica solo agli Agenti OfficeScan che hanno il privilegio di inviare registri alserver.

Attivare le impostazioni globali seguenti, in base alle necessità.

• Invia i registri del firewall al server

È possibile concedere a determinati Agenti OfficeScan il privilegio di inviareregistri del firewall al server OfficeScan. Configurare la pianificazione per l'invio delregistro. Solo gli agenti con privilegi per inviare registri del firewall potranno usarequesta pianificazione.

Per informazioni sui privilegi del firewall disponibili per gli agenti selezionati,consultare Privilegi firewall a pagina 13-24.

• Aggiorna il driver per firewall OfficeScan solo dopo aver riavviato il sistema

Attivare l'Agente OfficeScan per aggiornare il Driver comune Firewall solo dopo ilriavvio del dispositivo dell'Agente OfficeScan. Attivare questa opzione perimpedire che si verifichino interruzioni (ad esempio la disconnessione temporaneadalla rete) per il dispositivo agente quando viene aggiornato Driver comuneFirewall durante l'aggiornamento dell'agente.

• Invia le informazioni del registro firewall al server OfficeScan ogni ora perrilevare possibili violazioni del firewall

Quando viene attivata questa opzione, gli Agenti OfficeScan inviano i conteggi deiregistri del firewall al server OfficeScan a intervalli di un'ora.

Per ulteriori informazioni sui registri del firewall, consultare Registri del firewall apagina 13-30.


13-28

OfficeScan utilizza i conteggi dei registri e i criteri delle infezioni da violazione delfirewall per determinare la possibilità di un'infezione da violazione del firewall. Incaso di infezione, OfficeScan invia un messaggio e-mail di notifica agliamministratori OfficeScan.

• Accedere alla sezione Impostazioni servizio certificato Safe Software e attivareil Servizio certificato Safe Software, come necessario.


NotaAssicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (permaggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 15-52)prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette,insieme a una connessione Internet intermittente, possono provocare ritardi omancate risposte dai datacenter Trend Micro. Di conseguenza, i programmicontrollati non rispondono.


Configurazione delle impostazioni firewall globali

Procedura


2. Nella scheda Impostazioni di sicurezza, passare alla sezione Impostazioni delfirewall e configurare le opzioni seguenti:

• Invia i registri del firewall al server a pagina 13-27

• Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema a pagina13-27


13-29

• Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibiliviolazioni del firewall a pagina 13-27

3. Nella scheda Sistema, passare alla sezione Impostazioni di Certified SafeSoftware e configurare le opzioni seguenti:

• Attiva il servizio Certified Safe Software per il monitoraggio del comportamento, il firewalle le scansioni antivirus a pagina 13-28


Notifiche di violazione del firewall per gli utentidell'agente OfficeScan

OfficeScan può visualizzare un messaggio di notifica sui dispositivi subito dopo che ilfirewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall.Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica.

Nota

È anche possibile attivare la notifica quando si configura un particolare criterio del firewall.Per configurare un criterio del firewall, vedere Aggiunta di un criterio del firewall a pagina 13-11.

Concessione agli utenti del privilegio di attivare/disattivare il messaggio di notifica

Procedura





13-30

4. Nella scheda Privilegi, andare alla sezione Privilegi firewall.

5. Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema dirilevamento anti-intrusione e il messaggio di notifica di violazione delfirewall.




Modifica del contenuto del messaggio di notifica delfirewall

Procedura


2. Dal menu a discesa Tipo, selezionare Violazioni del firewall



Registri del firewallI registri del firewall disponibili nel server vengono inviati dagli Agenti OfficeScan chedispongono dei privilegi per tale invio. Concedere questo privilegio ad agenti specificiper monitorare e analizzare il traffico nei dispositivi che il firewall di OfficeScan blocca.


13-31

Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 13-24.


Visualizzazione dei registri firewall

Quando rileva violazioni del firewall, l'Agente OfficeScan genera i registri e li invia alserver.

Procedura





3. Andare alla schermata Criteri dei registri firewall:

• dalla schermata Registri dei rischi per la sicurezza, fare clic su Visualizzaregistri > Registri del firewall.

• Dalla schermata Gestione agente, fare clic su Registri > Registri delfirewall.

4. Per avere a disposizione i registri più recenti, fare clic su Invia una notifica agliagenti. Prima di procedere al passaggio successivo, attendere il tempo necessarioper consentire agli agenti di inviare i registri del firewall.




13-32




Dominio Il dominio su cui si è verificato il rilevamento

Host remoto L'indirizzo IP dell'host remoto

Host locale L'indirizzo IP dell'host locale

Protocollo Il protocollo utilizzato

Porta Il numero della porta

Direzione • Ricezione: indica che il traffico è in ingresso

• Invio: indica che il traffico è in uscita

Processo Il programma eseguibile o il servizio in esecuzione suldispositivo che ha causato la violazione del firewall

Descrizione Specifica il rischio alla protezione reale (quali virus direte o attacchi IDS) o la violazione dei criteri delfirewall


Infezioni da violazione del firewallDefinire i parametri di un'infezione da violazione del firewall in base al numero diviolazioni del firewall e al periodo di rilevamento.

OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utentee altri amministratori di OfficeScan della presenza di un'infezione. È possibilemodificare i messaggi di notifica in base alle diverse esigenze.


13-33

Nota

OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica.Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan diinviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina14-40.

Configurazione delle notifiche e dei criteri di infezione daviolazione del firewall

Procedura



a. Andare alla sezione Violazioni del firewall.

b. Selezionare Controlla le violazioni del firewall negli agenti OfficeScan.

c. Specificare il numero dei registri di IDS, dei registri di firewall e dei registri deivirus di rete.

d. Specificare un periodo di rilevamento.

Suggerimento

Trend Micro consiglia di accettare i valori predefiniti di questa schermata.

OfficeScan invia un messaggio di notifica quando il numero di registri vienesuperato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall,100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia lanotifica quando il server riceve 301 registri in 3 ore.


a. Andare alla sezione Infezioni da violazioni del firewall.



13-34

c. Specificare i destinatari del messaggio e-mail.

d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare solo variabili token per rappresentare i dati nelcampo Oggetto e Messaggio.

Tabella 13-3. Variabili token per notifiche di infezione da violazione delfirewall


%A Tipo di registro superato

%C Numero di registri di violazione del firewall

%T Totale periodo di durata dei registri di violazione del firewall


Test del firewall OfficeScanPer avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire un testsu un Agente OfficeScan o un gruppo di Agenti OfficeScan.

AVVERTENZA!

Eseguire il test delle impostazioni del programma Agente OfficeScan solo in un ambientecontrollato. Non eseguire test su dispositivi collegati alla rete o a Internet. Questaoperazione potrebbe esporre i dispositivi Agente OfficeScan a virus, attacchi di hacker ealtri rischi.

Procedura

1. Creare e salvare un criterio per il test. Configurare le impostazioni affinché venganobloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire laconnessione dell'Agente OfficeScan a Internet, effettuare le operazioni riportate diseguito:


13-35

a. Impostare il livello di sicurezza su Basso (per consentire tutto il traffico inentrata e in uscita).

b. Selezionare Invia una notifica agli utenti quando si verifica unaviolazione del firewall.

c. Creare un'eccezione che blocchi il traffico HTTP (o HTTPS).

2. Creare e salvare un profilo per il test, selezionando gli agenti su cui si desideranocontrollare le funzioni del firewall. Associare i criteri del test al profilo del test.

3. Fare clic su Assegna profilo agli utenti.

4. Verificare l'implementazione.

a. Fare clic su Agenti > Gestione agente.

b. Selezionare il dominio a cui appartiene l'agente.

c. Selezionare Visualizzazione firewall dalla visualizzazione della strutturaagente.

d. Verificare che sia presente un segno di spunta verde nella colonna Firewalldella struttura agente. Se è stato attivato il Sistema rilevamento anti-intrusioneper l'agente, verificare che sia presente un segno di spunta verde anche nellacolonna IDS.

e. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criterisono visualizzati nella colonna Criteri del firewall della struttura agente.

5. Eseguire il test del firewall nel dispositivo agente tentando di inviare o ricevere iltipo di traffico configurato nei criteri.

6. Per eseguire il test di un criterio configurato per evitare che l'agente acceda aInternet, aprire un browser Web sul dispositivo agente. Se OfficeScan è statoconfigurato per visualizzare un messaggio di notifica per le violazioni del firewall, ilmessaggio viene visualizzato sul dispositivo agente quando si verifica unaviolazione del traffico in uscita.

Parte IIIGestione degli agenti e del

server OfficeScan

14-1

Capitolo 14

Gestione del server OfficeScanIn questo capitolo vengono descritte le configurazioni e la gestione del serverOfficeScan.


• Role-based Administration (RBA) a pagina 14-3

• Trend Micro Control Manager a pagina 14-23

• Impostazioni elenco oggetti sospetti a pagina 14-36

• Server di riferimento a pagina 14-38

• Impostazioni notifica amministratore a pagina 14-40

• Registri eventi di sistema a pagina 14-43

• Gestione dei registri a pagina 14-44

• Licenze a pagina 14-48

• OfficeScan Database Backup a pagina 14-51

• Strumento di migrazione SQL Server a pagina 14-53

• Impostazioni connessione agente/server Web OfficeScan a pagina 14-57

• Comunicazione agente server a pagina 14-58


14-2

• Password della console Web a pagina 14-64

• Configurazione delle impostazioni della console Web a pagina 14-64

• Gestore della quarantena a pagina 14-65

• Server Tuner a pagina 14-66

• Smart Feedback a pagina 14-69

Gestione del server OfficeScan

14-3

Role-based Administration (RBA)Utilizzare la Role-based Administration per garantire e controllare l'accesso alla consoleWeb OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propriaorganizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegidi console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioninecessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accessoalla struttura agente assegnando loro uno o più domini da gestire. Inoltre, è possibileconcedere ai non amministratori l'accesso alla console Web in modalità "sola lettura".

A ciascun utente (amministratore o non amministratore) viene assegnato un ruolospecifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono allaconsole Web utilizzando gli account utente personalizzati o gli account Active Directory.

Role-based Administration comprende le operazioni riportate di seguito:

1. Definire i ruoli utente. Per ulteriori dettagli, consultare Ruoli utente a pagina 14-13.

2. Configurare gli account utente e assegnare un ruolo particolare a ciascun accountutente. Per maggiori dettagli, consultare Account utente a pagina 14-3.

Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema.Vengono registrate le attività riportate di seguito:

• Accesso alla console Web

• Modifica della password

• Disconnessione dalla console

• Timeout di sessione (l'utente viene disconnesso automaticamente)

Account utenteConfigurare gli account utente manuali o utilizzare gli account Active Directory perassegnare le autorizzazioni per visualizzare o configurare i dati, le operazioni e leimpostazioni granulari dell'agente, disponibili nella struttura agente. È necessarioassegnare un determinato ruolo a ciascun utente, che determina le voci del menu dellaconsole Web che l'utente può visualizzare o configurare. È possibile utilizzare gli


14-4

account utente OfficeScan per eseguire la funzione "Single Sign-on" in OfficeScan dallaconsole Trend Micro Control Manager.

Durante l'installazione del server OfficeScan, il programma di installazione crea unaccount integrato denominato "root" (account principale). Gli utenti che accedonoutilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non èconsentito eliminare l'account principale (root) ma è possibile modificare i dettaglidell'account quali la password e il nome completo oppure la descrizione dell'account.Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenzatecnica per reimpostarla.

Nota

Dopo l'aggiornamento del server OfficeScan, è necessario modificare gli accountpersonalizzati e attivare manualmente tutte le nuove funzionalità nella schermataPassaggio 3 Definire l'ambito della struttura agente per gli account personalizzatiaggiunti precedentemente.

Per ulteriori informazioni sulle autorizzazioni, vedere Definizione delle autorizzazioni per idomini a pagina 14-11.

La seguente tabella definisce le attività disponibili nella schermata Account utente.

Operazione Descrizione

Aggiungere unaccount

Fare clic su Aggiungi per creare un nuovo account utente.

Per ulteriori informazioni, consultare Aggiunta di un accountutente a pagina 14-7.

Eliminare accountesistenti

Selezionare gli account utente preesistenti e fare clic su Elimina.

Modificare accountesistenti

Fare clic sul nome di un account utente preesistente pervisualizzarne o modificarne le impostazioni correnti.

Voci menu Gestione agente

La seguente tabella elenca le voci di menu di Gestione agente:


14-5

NotaLe voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plug-in. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco nonviene visualizzata alcuna voce di menu per Prevenzione perdita di dati.

Tabella 14-1. Voci menu Gestione agente

Voce di menuprincipale Menu secondari

Stato N.D.

Operazioni • Esegui scansione

• Disinstallazione dell'agente

• Ripristino quarantena centrale

• Ripristino spyware/grayware


14-6


Impostazioni • Impostazioni di scansione

• Metodi di scansione

• Impostazioni scansione manuale

• Impostazioni scansione in tempo reale

• Impostazioni scansione pianificata

• Impostazioni funzione Esegui scansione

• Impostazioni di reputazione Web

• Impostazioni connessione sospetta

• Impostazione del monitoraggio del comportamento

• Impostazioni di controllo dispositivo

• Impostazioni DLP

• Invio campione

• Impostazioni Update Agent

• Privilegi e altre impostazioni

• Impostazioni aggiuntive del servizio

• Elenco Approvati spyware/grayware

• Elenco Programmi affidabili

• Configurazioni relative all'Intelligenza computazionalepredittiva

• Esporta impostazioni

• Importa impostazioni


14-7


Registri • Registri di virus/minacce informatiche

• Registri di spyware/grayware

• Registri del firewall

• Registri di reputazione Web

• Registri delle connessioni sospette

• Registri dei file sospetti

• Registri di callback C&C

• Registri di Monitoraggio del comportamento

• Registri relativi all'Intelligenza computazionale predittiva

• Registri di controllo dispositivo

• Registri di Prevenzione perdita di dati

• Registri dell'operazione di scansione

• Elimina registri

Gestione strutturaagente

• Aggiungi dominio

• Rinomina dominio

• Sposta agente

• Rimuovi dominio/agente

Esporta N.D.

Aggiunta di un account utenteConfigurare gli account utente manuali o utilizzare gli account Active Directory perassegnare le autorizzazioni per visualizzare o configurare i dati, le operazioni e leimpostazioni granulari dell'agente, disponibili nella struttura agente.


14-8

Procedura

1. Accedere a Amministrazione > Gestione account > Account utente.


Viene visualizzata la schermata Fase 1 Informazioni utente.

3. Selezionare Attiva questo account.

4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.

Per ulteriori informazioni, consultare Aggiunta di una regola personalizzata a pagina14-16.

5. Nella sezione Informazioni utente, configurare quanto segue:

• Account personalizzato: selezionare per creare un account utente manuale especificare le informazioni richieste

• Nome utente: digitare un nome utente univoco per l'account

• Descrizione: immettere una descrizione per l'account

• Password: immettere e confermare la password utilizzata dall'accountper accedere alla console Web di OfficeScan

ImportanteImpossibile utilizzare il nome utente come password dell'account.Immettere una password diversa dal nome utente.

• Indirizzo e-mail: immettere l'indirizzo e-mail associato all'accountutente

NotaOfficeScan invia le notifiche a questo indirizzo e-mail. Le notificheinformano il destinatario sui rilevamenti dei rischi per la sicurezza e letrasmissioni di risorse digitali.

Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per lasicurezza per gli amministratori a pagina 7-87.


14-9

• Utente o gruppo Active Directory: selezionare se si desidera utilizzareaccount o gruppi Active Directory esistenti per accedere alla console Web diOfficeScan

NotaL'opzione Utente o gruppo Active Directory viene visualizzata solo se è giàstata configurata l'integrazione con Active Directory.

a. Nel campo Nome utente o gruppo, immettere l'account ActiveDirectory che si desidera utilizzare.

b. Nel campo Dominio, immettere il dominio Active Directory a cuiappartiene il Nome utente o gruppo.

c. Fare clic su Cerca.

d. Dall'elenco Utenti e gruppi, effettuare la selezione dai risultati dellaricerca e fare clic su > per aggiungere l'account all'elenco Utenti egruppi selezionati.


Viene visualizzata la schermata Fase 2 Controllo dominio agente.

7. Selezionare l'account principale (root) per autorizzare l'account alla visualizzazionedi tutti i domini OfficeScan oppure selezionare domini OfficeScan specifici a cuil'account utente può accedere nella struttura agente.

ImportanteOfficeScan visualizza solo i domini selezionati quando l'account utente accede allastruttura agente. Se non si seleziona un dominio, OfficeScan nasconde il dominionella struttura agente.


Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.

9. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazioneper ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,vedere Voci menu Gestione agente a pagina 14-4.


14-10

L'ambito della struttura agente configurato nella fase 8 determina il livello diautorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione.L'ambito della struttura agente può essere il dominio principale (root) (tutti gliagenti) oppure i domini specifici della struttura agente.

Tabella 14-2. Voci di menu di gestione degli agenti e ambito della strutturaagente

CriteriAmbito della struttura agente

Dominio root Domini specifici

Autorizzazioneper le voci dimenu

Configura, Visualizza o Nessunaccesso

Configura, Visualizza o Nessunaccesso

Destinazione Dominio principale (root) (tuttigli agenti) o domini specifici

È possibile, ad esempio,concedere a un ruolol'autorizzazione "Configura" perla voce di menu "Operazioni"della struttura agente. Se ladestinazione è il dominioprincipale (root), l'utente puòavviare le operazioni su tutti gliagenti. Se le destinazioni sonoi domini A e B, le operazionipossono essere avviatesoltanto sugli agenti dei dominiA e B.

Solo domini selezionati

È possibile, ad esempio,concedere a un ruolol'autorizzazione "Configura" perla voce di menu "Impostazioni"della struttura agente. Ciòsignifica che l'utente puòimplementare le impostazioni,ma solo verso gli agenti neidomini selezionati.

La struttura agente verrà visualizzata solo se l'autorizzazione allavoce di menu Gestione agente in "Voci menu per server/agenti" è"Visualizza".

• Se viene selezionata la casella di controllo in Configura, la casella di controlloin Visualizza viene configurata automaticamente.

• Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessunaccesso".


14-11

• Se si configurano autorizzazioni per un dominio specifico, è possibile copiarele autorizzazioni su altri domini facendo clic su Copiare le impostazioni deldominio selezionato negli altri domini.

10. Fare clic su Fine.

11. Inviare i dettagli dell'account all'utente.

Definizione delle autorizzazioni per i domini

Quando si definiscono le autorizzazioni per i domini, OfficeScan applicaautomaticamente le autorizzazioni di un dominio principale a tutti i sottodomini chegestisce. Un sottodominio non può avere meno autorizzazioni del suo dominioprincipale. Ad esempio, se l'amministratore di sistema ha l'autorizzazione per visualizzaree configurare tutti gli agenti gestiti da OfficeScan (il dominio “Server OfficeScan”), leautorizzazioni per i sottodomini devono consentire all'amministratore di sistema diaccedere a queste funzioni di configurazione. Se si rimuove un'autorizzazione da unsottodominio, l'amministratore di sistema non avrà le autorizzazioni complete per laconfigurazione di tutti gli agenti.

Per la procedura seguente, la struttura del dominio è come segue:

Ad esempio, per concedere all'account utente “Chris” le autorizzazioni per visualizzare econfigurare voci di menu specifiche per il sottodominio “Dipendenti” ma soltantol'autorizzazione per visualizzare i registri nel dominio principale “Manager”, eseguire laprocedura seguente.


14-12

Tabella 14-3. Autorizzazioni per l'account utente “Chris”

Dominio Autorizzazioni desiderate

Server OfficeScan Nessuna autorizzazione particolare

Manager Visualizza registri

Dipendenti Visualizza e configura operazioni

Visualizza e configura registri

Visualizza impostazioni:

Vendite Nessuna autorizzazione particolare

Procedura

1. Accedere alla schermata Account utente: Fase 3 Definire il menu dellastruttura agente.

2. Fare clic sul dominio “Server OfficeScan”.

3. Deselezionare tutte le caselle di controllo Visualizza e Configura.

NotaIl dominio “Server OfficeScan” può essere configurato solo se sono selezionati tutti irelativi sottodomini nella schermata Account utente: Fase 2 Controllo dominioagente.

4. Fare clic sul dominio “Vendite”.

5. Deselezionare tutte le caselle di controllo Visualizza e Configura.

NotaIl dominio “Vendite” viene visualizzato solo se viene selezionato nella schermataAccount utente: Fase 2 Controllo dominio agente.

6. Fare clic sul dominio “Manager”.

7. Selezionare “Visualizza registri” e deselezionare tutte le altre caselle di controlloVisualizza e Configura.


14-13

8. Fare clic sul dominio “Dipendenti”.

9. Selezionare una delle seguenti voci di menu per Chris:

• Operazioni: visualizza e configura

• Registri: visualizza e configura

• Impostazioni: visualizza

Chris ora può visualizzare e configurare le voci di menu selezionate per il dominio“Dipendenti” e può soltanto visualizzare i Registri per il dominio “Manager”.

Se Chris ha le autorizzazioni per visualizzare e configurare il dominio “Manager”,OfficeScan concede automaticamente le stesse autorizzazioni anche al sottodominio“Dipendenti”. Questo accade perché il dominio “Manager” gestisce tutti i suoisottodomini.

Ruoli utente

Definire e assegnare ruoli utente per limitare l'accesso ad account utente specifici sudeterminate schermate della console Web. È possibile definire i ruoli utente in modo danascondere completamente le schermate della console Web, limitare l'accesso a “Solalettura” o concedere i diritti di configurazione completi.

la seguente tabella definisce le attività disponibili nella schermata Ruoli utente.


Aggiungere un ruolopersonalizzato

Fare clic su Aggiungi per creare un nuovo ruolo personalizzato.

Per ulteriori informazioni, consultare Aggiunta di una regolapersonalizzata a pagina 14-16.

ImportanteSolo l'account o gli utenti “principali” (root) con il ruolo diamministratore integrato possono creare e assegnare ruoliutente personalizzati agli account utente.


14-14


Copiare leimpostazioni da unruolo personalizzatoesistente

Selezionare un ruolo personalizzato preesistente e fare clic suCopia. Viene visualizzata la schermata Copia ruolo, checonsente di creare un nuovo ruolo personalizzato basato sulleimpostazioni originali.

Eliminare ruolipersonalizzatiesistenti

Selezionare ruoli personalizzati preesistenti e fare clic su Elimina.

ImportanteNon è possibile eliminare i ruoli attualmente assegnati adaccount utente.

Esportare ruolipersonalizzati

Selezionare ruoli personalizzati preesistenti, fare clic sul pulsanteEsporta e selezionare una delle seguenti opzioni:

• Esporta in DAT: esporta i ruoli selezionati in un file DAT daimportare in un altro server OfficeScan

• Esporta in CSV: esporta i ruoli selezionati in un file CSV dautilizzare per visualizzare le impostazioni dei ruoli

ImportanteNon è possibile importare il file CSV generato nelserver OfficeScan.

Importare ruolipersonalizzati

Fare clic su Importa per importare le impostazioni dei ruoli utenteda un file DAT dei ruoli utente precedentemente esportato.

Per ulteriori informazioni, consultare Importazione o esportazionedi regole personalizzate a pagina 14-22.

Modificare i ruolipersonalizzatiesistenti

Fare clic sul nome di un ruolo utente preesistente pervisualizzarne o modificarne le impostazioni.

NotaNon è possibile modificare il contenuto di un ruolo utentepredefinito.

Per ulteriori informazioni, consultare Ruoli utente integrati apagina 14-15.


14-15

Ruoli utente integratiOfficeScan comprende una serie di ruoli utente integrati che non possono esseremodificati o eliminati. I ruoli integrati sono riportati di seguito:

Tabella 14-4. Ruoli utente integrati

Nome ruolo Descrizione

Amministratore È possibile concedere questo ruolo agli utenti o amministratori diOfficeScan che hanno una buona conoscenza di OfficeScan.

Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tuttele voci di menu.

NotaSolo gli utenti con il ruolo “Amministratore (integrato)”hanno accesso alla voce di menu Plug-in.

Utente ospite È possibile concedere questo ruolo agli utenti che desideranovisualizzare la console Web per riferimento.

• Gli utenti con questo ruolo non hanno accesso alle voci dimenu seguenti:

• Plug-in

• Amministrazione > Gestione account > Ruoli utente

• Amministrazione > Gestione account > Accountutente

• Gli utenti con accesso di visualizzazione a tutte le altre voci dimenu.

Utente espertoTrend

(ruolo soloaggiornamento)

Questo ruolo è disponibile solamente se si eseguel'aggiornamento della versione da OfficeScan 10.

Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" inOfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione"Configura" per tutti i domini della struttura agente, ma non hannoaccesso alle nuove funzioni di questa versione.


14-16

Aggiunta di una regola personalizzata

Aggiungere nuovi ruoli utente personalizzati se i ruoli integrati disponibili nonsoddisfano i requisiti dell'utente.

Per ulteriori informazioni, consultare Ruoli utente integrati a pagina 14-15.

Procedura

1. Accedere a Amministrazione > Gestione account > Ruoli utente.


Viene visualizzata la schermata Aggiungi ruolo.

3. Nella sezione Informazioni ruolo, specificare quanto segue:

• Nome: digitare un nome univoco per il ruolo

• Descrizione: (facoltativa)

4. Nella sezione Autorizzazioni ruolo:

a. Selezionare le voci del menu a cui gli account utente assegnati al ruolopossono accedere.

• Voci menu per server/agenti: include l'Agente OfficeScan globale e idati, le operazioni e le impostazioni del server OfficeScan

Per ulteriori informazioni, consultare Voci del menu per server e client a pagina14-17.

• Voci menu per domini gestiti: include i dati, operazioni e impostazionigranulari dell'Agente OfficeScan disponibili fuori dalla strutturadell'agente

Per ulteriori informazioni, consultare Voci menu per domini gestiti a pagina14-20.

b. Selezionare le autorizzazioni di accesso degli account utente assegnati al ruoloper le voci del menu selezionate.


14-17

• Configura: consente l'accesso completo a una voce di menu

Gli utenti sono in grado di configurare tutte le impostazioni, eseguiretutte le operazioni e visualizzare i dati di una voce di menu.

• Visualizza: consente agli utenti di visualizzare soltanto le impostazioni,le operazioni e i dati di una voce di menu

NotaDeselezionare le caselle di controllo Configura e Visualizza per nasconderecompletamente una voce del menu. Le voci del menu non vengono visualizzateper gli account utente assegnati al ruolo.


Il nuovo ruolo viene visualizzato nella schermata Ruoli utente.

Voci del menu per server e client

Nella seguente tabella sono riportate le voci di menu per server/agenti.

NotaLe voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plug-in. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco nonviene visualizzata alcuna voce di menu per Prevenzione perdita di dati. Un programmaplug-in aggiuntivo viene visualizzato nella voce di menu Plug-in.

Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menuPlug-in.


14-18

Tabella 14-5. Voci menu Agenti

Voce di menu di primolivello Voce di menu

Agenti • Gestione agente

• Raggruppamento agenti

• Impostazioni globali agente

• Posizione dispositivo


• Verifica connessione

• Prevenzione delle infezioni virali

Tabella 14-6. Voci menu Registri

Voce di menu di primolivello Voce di menu

Registri • Agenti

• Rischi per la sicurezza

• Aggiornamento componente agente

• Aggiornamenti server

• Eventi di sistema

• Manutenzione registri


14-19

Tabella 14-7. Voci menu Aggiornamenti

Voce di menudi primolivello

Voce di menu Voce di menu secondario

Aggiornamenti Server • Aggiornamento pianificato

• Aggiornamento manuale


Agenti • Aggiornamento automatico


Rollback N.D.

Tabella 14-8. Voci menu Amministrazione



Amministrazione

Gestione account • Account utente

• Ruoli utente

NotaSolo gli utenti cheutilizzano l'account diamministratore integratopossono accedere adAccount utente e Ruoliutente.

Smart Protection • Origini Smart Protection

• Server integrato

• Smart Feedback

Active Directory • Active Directory Integration

• Sincronizzazione pianificata


14-20



Notifiche • Impostazioni generali

• Infezione

• Agente

Impostazioni • Proxy

• Connessione agente

• Agenti inattivi

• Gestore della quarantena

• Licenza del prodotto

• Control Manager

• Console Web

• Database Backup

• Elenco oggetti sospetti

• Edge Relay

• Migrazione server

Voci menu per domini gestiti

Nella seguente tabella sono riportate le voci di menu per i domini gestiti.

Tabella 14-9. Voce di menu Dashboard

Voce di menu principale Voce di menu

Dashboard

NotaTutti gli utenti possono accedere a questapagina, indipendentementedall'autorizzazione.

N.D.


14-21

Tabella 14-10. Voci menu Valutazione



Valutazione Conformità sicurezza • Segnalazione manuale

• Segnalazione pianificata

Dispositivo non gestiti N.D.

Tabella 14-11. Voci menu Agenti



Agenti Firewall • Criteri

• Profili

Installazione agente • Basato su browser

• Remota

Tabella 14-12. Voci menu Registri



Registri Agenti • Verifica connessione

• Ripristino Files inQuarantena

• Ripristino spyware/grayware


14-22

Tabella 14-13. Voci menu Aggiornamenti



Aggiornamenti Riepilogo N.D.

Agenti Aggiornamento manuale

Tabella 14-14. Voci menu Amministrazione



Amministrazione

Notifiche Amministratore

Importazione o esportazione di regole personalizzate

Procedura

1. Accedere a Amministrazione > Gestione account > Ruoli utente.

2. Per esportare i ruoli personalizzati in un file .dat, che può essere importato in unaltro server OfficeScan:

a. Selezionare i ruoli e fare clic su Esporta > Esporta in DAT.

b. Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare ilfile .dat per importare i ruoli personalizzati in quel server.

Nota

È possibile esportare i ruoli solo tra server con la stessa versione.

3. Per esportare i ruoli personalizzati in un file .csv:

a. Selezionare i ruoli e fare clic su Esporta > Esporta in CSV.


14-23

b. Salvare il file .csv. Utilizzare questo file per verificare le informazioni e leautorizzazioni per i ruoli selezionati.

4. Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e sidesidera importarli nel server OfficeScan attuale, fare clic su Importa e individuareil file .dat contenente i ruoli personalizzati.

• Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa unruolo con lo stesso nome.

• È possibile importare i ruoli solo tra server con la stessa versione.

• Ruolo importato da un altro server OfficeScan:

• Conserva le autorizzazioni per le voci di menu per server/agenti e le vocidi menu per i domini gestiti.

• Applica le autorizzazioni predefinite per le voci di menu di gestione degliagenti. Sull'altro server, registrare le autorizzazioni del ruolo per le voci dimenu di gestione degli agenti, quindi riapplicarle al ruolo che è statoimportato.

Trend Micro Control ManagerTrend Micro™ Control Manager™ è una console di gestione centralizzata che consentedi gestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server difile e di desktop aziendale. La console di gestione basata su Web di Control Managercostituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete.

Control Manager consente agli amministratori di sistema di monitorare ed emettererapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus.Gli amministratori di sistema possono scaricare e implementare i componenti attraversola rete e così essere sicuri di disporre di una protezione coerente e aggiornata. ControlManager consente aggiornamenti manuali e pianificati e la possibilità di configurare eamministrare i prodotti individualmente o in gruppi per una maggiore flessibilità.


14-24

Integrazione di Control Manager in questa versione diOfficeScan

Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione diOfficeScan per la gestione dei server OfficeScan da Control Manager.

• Creazione, gestione e implementazione di criteri antivirus per Prevenzione perditadi dati e Controllo dispositivo di OfficeScan e assegnazione di privilegidirettamente agli Agenti OfficeScan dalla console di Control Manager.

La tabella seguente elenca le configurazioni dei criteri disponibili in ControlManager 6.0 SP3 patch 2.


14-25

Tabella 14-15. Tipi di gestione dei criteri di OfficeScan in Control Manager

Tipo di criterio Caratteristiche

Impostazioni dell'agente e antivirusOfficeScan


• Impostazione del monitoraggio delcomportamento

• Impostazioni di controllo dispositivo


• Configurazioni relativeall'Intelligenza computazionalepredittiva


• Impostazioni scansione in temporeale

• Invio campione

• Metodi di scansione

• Impostazioni funzione Eseguiscansione



• Impostazioni connessione sospetta


• Impostazioni Update Agent

• Impostazioni di reputazione Web


14-26

Tipo di criterio Caratteristiche

Protezione dati Impostazioni dei criteri Prevenzioneperdita di dati

NotaGestione delle autorizzazioni diControllo dispositivo perProtezione dati nei criteri degliagenti OfficeScan.

Per ulteriori informazioni sulla migrazione delle impostazioni dei criteri degli agentiOfficeScan nel server Control Manager, vedere Strumento di esportazione delleimpostazioni di OfficeScan a pagina 14-30.

• Replicare le impostazioni riportate di seguito da un server OfficeScan a un altroutilizzando la console di Control Manager:

• Tipi di identificatore di dati a pagina 11-5

• Modelli di Prevenzione perdita di dati a pagina 11-20

Nota

Se queste impostazioni vengono replicate sui server OfficeScan in cui non è stata attivata lalicenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione dellalicenza.

Versioni di Control Manager supportateQuesta versione di OfficeScan supporta le seguenti versioni di Control Manager:

• Control Manager 6.0 SP3 Patch 2 o versione successiva

Per dettagli sugli indirizzi IP che il server OfficeScan e gli Agenti OfficeScan segnalano aControl Manager, consultare Schermate che visualizzano gli indirizzi IP a pagina A-6.

Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Managerper consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fix


14-27

più recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Microall'indirizzo seguente:

http://www.trendmicro.com/download/emea/?lng=it

Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurarele impostazioni per OfficeScan nella console di gestione di Control Manager. Perinformazioni sulla gestione dei server OfficeScan, consultare la documentazione di ControlManager.

Registrare OfficeScan al servizio Control Manager

ImportanteDopo l'aggiornamento a OfficeScan XG o versioni successive da OfficeScan 10.6 SP3 oversioni precedenti, è necessario annullare la registrazione della connessione al serverControl Manager e registrarla di nuovo se si desidera utilizzare l'autorizzazione tramitecertificato.

Procedura

1. Accedere a Amministrazione > Impostazioni > Control Manager.

2. Specificare il nome di entità visualizzato, che corrisponde al nome del serverOfficeScan visualizzato in Control Manager.

Per impostazione predefinita, il nome di entità visualizzato comprende il nome hostdel computer server e il nome di questo prodotto (ad esempio, Server01_OSCE).

NotaIn Control Manager i server OfficeScan e gli altri prodotti gestiti tramite ControlManager vengono definiti "entità".

3. Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numerodi porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi inmodo più sicuro con HTTPS.

• Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager ol'indirizzo IP (IPv4 o IPv6, se disponibile).

http://www.trendmicro.com/download/emea/?lng=it


14-28

• Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Managero l'indirizzo IPv4.

• Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Managero l'indirizzo IPv6.

4. Fare clic su Sfoglia... accanto a Certificato di Control Manager e selezionare ilfile del certificato scaricato dal server Control Manager di destinazione.

Per ottenere il file del certificato di Control Manager, passare al server ControlManager e copiare il file del certificato nel server OfficeScan dal seguente percorso:

<Cartella di installazione di Control Manager>\Certificate\CA\TMCM_CA_Cert.pem

Importante

Se l'azienda utilizza un certificato personalizzato sul server Control Manager, ènecessario caricare il certificato Root CA durante la registrazione di Control Manager.

Per ulteriori informazioni, consultare Autorizzazione del certificato di Control Manager apagina 14-29.

5. Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nomeutente e password.

6. Se si utilizza un server proxy per collegarsi al server Control Manager, specificare leseguenti impostazioni proxy:

• Protocollo proxy

• FQDN del server o porta e indirizzo IPv4/IPv6

• ID utente e password per l'autenticazione del server proxy

7. Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali obidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta.

8. Per verificare che OfficeScan si colleghi al server Control Manager in base alleimpostazioni specificate, fare clic su Test di connessione.

Se il tentativo di connessione è riuscito, fare clic su Registra.


14-29

9. Se la versione del server Control Manager è 6.0 SP1 o successiva, viene visualizzatoun messaggio che chiede all'utente di usare il server Control Manager come originiaggiornamenti per OfficeScan integrated Smart Protection Server. Fare clic su OKper usare il server Control Manager come origine aggiornamenti di IntegratedSmart Protection Server o Annulla per continuare a usare l'origine aggiornamenticorrente (per impostazione predefinita, il server ActiveUpdate).

10. Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clicsu Impostazioni di aggiornamento dopo aver modificato le impostazioni pernotificare le modifiche al server Control Manager.

Nota

Se il server Control Manager è connesso a Deep Discovery, il processo automatico disottoscrizione inizia dopo il completamento della registrazione. Per ulterioriinformazioni, consultare Impostazioni elenco oggetti sospetti a pagina 14-36.

11. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clicsu Annulla registrazione.

Autorizzazione del certificato di Control Manager

Prima di registrare OfficeScan per il server Control Manager, occorre ottenere il file delcertificato Control Manager dal server Control Manager dal seguente percorso:

<Cartella di installazione di Control Manager>\Certificate\CA\TMCM_CA_Cert.pem

OfficeScan e Control Manager utilizzano il certificato e la crittografia di chiave pubblicaper garantire che la comunicazione tra i server sia limitata alle sole operazioni autorizzatedi registrazione e gestione dei criteri. Se uno dei due server rileva comunicazioni nonautorizzate, il server rifiuta le impostazioni di registrazione o dei criteri ricevute.

Importante

Se l'azienda utilizza un certificato personalizzato sul server Control Manager, è necessariocaricare il certificato Root CA durante la registrazione di Control Manager.


14-30

Verifica dello stato di OfficeScan nella console di gestioneControl Manager

Procedura

1. Aprire la console di gestione Control Manager.

Per aprire la console di Control Manager in qualsiasi dispositivo della rete, aprire unbrowser Web e immettere:

https://<nome server Control Manager>/Webapp/login.aspx

dove <nome server Control Manager> è l'indirizzo IP o il nome host delserver Control Manager

2. Nel menu principale fare clic su Directory > Prodotti.

3. Nella struttura visualizzata, andare alla cartella [server Control Manager] >Cartella locale > Nuova entità.

4. Controllare che venga visualizzata l'icona del server OfficeScan.

Strumento di esportazione delle impostazionidi OfficeScan

OfficeScan fornisce lo strumento di esportazione delle impostazioni di OfficeScan, checonsente agli amministratori di copiare le impostazioni di OfficeScan dalle versioniprecedenti di OfficeScan alla versione corrente. Lo strumento di esportazione delleimpostazioni di OfficeScan esegue la migrazione delle impostazioni seguenti:


14-31

Funzione Impostazioni migrate

Gestione agente

NotaLo strumentodiesportazionedelleimpostazionidi OfficeScanesegue lamigrazionedelleimpostazioniapplicabili digestione degliagenti neipacchettiOfficeScan_Agent_DLP_Policies.zipeOfficeScan_Agent_Policies.zip, chevengono usatidurantel'importazionein un serverControlManager.

• Scansione manuale



• Esegui scansione

• Metodo di scansione

• Reputazione Web




• Privilegi e altreimpostazioni

• Impostazioni aggiuntive delservizio


• Intelligenzacomputazionale predittiva

• Connessione sospetta


Nota

• Lo Strumento di migrazione del server non effettua lamigrazione delle directory di backup di Scansionemanuale, Scansione pianificata, Scansione in temporeale ed Esegui scansione.

• Le impostazioni mantengono le configurazioni sia alivello principale sia al livello di dominio.

Raggruppamentoagenti

Tutte le impostazioni

NotaLe strutture di dominio di Active Directory vengonovisualizzate dopo la prima sincronizzazione con ActiveDirectory.


14-32


Impostazioni globaliagente


Posizionedispositivo

• Impostazioni di Location Awareness

• Indirizzo IP gateway ed elenchi MAC

Prevenzione perditadi dati

• identificatore di dati

• Modelli

Firewall • Criteri

• Profili

Manutenzioneregistri


Origineaggiornamentoagente

• Origine aggiornamenti agente

• Elenco origini di aggiornamento personalizzate

Origini SmartProtection

Elenco origini Smart Protection personalizzate

Notifiche • Impostazioni generali di notifica

• Impostazioni notifica amministratore

• Impostazioni notifica infezioni

• Impostazioni notifica agente

Proxy Tutte le impostazioni

Agenti inattivi Tutte le impostazioni

Gestore dellaquarantena


Console Web Tutte le impostazioni

Impostazioni diofcscan.ini

• [INI_CLIENT_INSTALLPATH_SECTION] WinNT_InstallPath

• [INI_REESTABLISH_COMMUNICATION_SECTION]: tutte leimpostazioni


14-33


Impostazioni diofcserver.ini

[INI_SERVER_DISK_THRESHOLD]: tutte le impostazioni

Nota

• Lo strumento non effettua il backup degli elenchi dell'Agente OfficeScan nel serverOfficeScan ma solo delle strutture dei domini.

• L'Agente OfficeScan esegue la migrazione solo delle funzioni disponibili sulla versioneprecedente del server dell'Agente OfficeScan. Per funzioni che non sono disponibilisulla versione precedente, l'Agente OfficeScan applica le impostazioni predefinite.

Utilizzo dello strumento di esportazione delleimpostazioni di OfficeScan

NotaQuesta versione di OfficeScan supporta le seguenti migrazioni:

• Server OfficeScan locali: dalla versione OfficeScan 10.6 Service Pack 3 in poi

• Server OfficeScan SaaS: dalla versione OfficeScan XG Service Pack 1

Per un elenco completo delle impostazioni di cui lo strumento di esportazione delleimpostazioni di OfficeScan effettua la migrazione, vedere Strumento di esportazione delleimpostazioni di OfficeScan a pagina 14-30.

Le precedenti versioni di OfficeScan potrebbero non contenere tutte le impostazionidisponibili nell'ultima versione. OfficeScan applica automaticamente le impostazionipredefinite per ogni funzione non migrata nella versione del server OfficeScan precedente.

Procedura

1. Localizzare il pacchetto Strumento di migrazione del server

• Dalla console Web di OfficeScan, accedere ad Amministrazione >Impostazioni > Migrazione del server e fare clic sul collegamento Scaricalo strumento di esportazione delle impostazioni di OfficeScan.


14-34

• Nel computer server OfficeScanXG Service Pack 1, accedere a <Cartella diinstallazione del server>\PCCSRV\Admin\Utility\PolicyExportTool.

2. Copiare lo strumento di esportazione delle impostazioni di OfficeScan sulcomputer server di OfficeScan di origine.

Importante

Per garantire la corretta formattazione di tutti i dati per il nuovo server didestinazione, è necessario utilizzare lo strumento di esportazione delle impostazionidi OfficeScan di OfficeScanXG Service Pack 1 della versione server di OfficeScan.OfficeScan XG Service Pack 1 non è compatibile con le versioni precedenti delloStrumento di migrazione del server.

3. Fare doppio clic su OfficeScanSettingsExportTool.exe per avviare lostrumento di esportazione delle impostazioni di OfficeScan.

Viene eseguito lo strumento di esportazione delle impostazioni di OfficeScan.

Nota

I nomi predefiniti dei pacchetti di esportazione sono:

• OfficeScan_Agent_DLP_Policies.zip (per importare le impostazioni deicriteri DLP in Control Manager)

• OfficeScan_Agent_Policies.zip (per importare tutte le altreimpostazioni dei criteri degli agenti di OfficeScan in Control Manager)

• OfficeScan_Server_Migration.zip (per importare tutte le impostazionidei criteri degli agenti di OfficeScan e le impostazioni del server OfficeScan inun altro server locale o OfficeScan Cloud Console)

4. Copiare i pacchetti di esportazione in una posizione alla quale il server OfficeScano Control Manager di destinazione possa accedere.

5. Per importare le impostazioni nel server OfficeScan di destinazione:

a. Dalla console Web di OfficeScan, accedere ad Amministrazione >Impostazioni > Migrazione del server e fare clic sul pulsante Importaimpostazioni....


14-35

b. Individuare il pacchetto OfficeScan_Server_Migration.zip e fare clicsu Apri.

c. Verificare che il server contenga tutte le impostazioni della versione diOfficeScan precedente.

6. Per importare le impostazioni dei criteri degli agenti di OfficeScan nella consoleControl Manager di destinazione:

a. Dalla console Web di Control Manager, accedere a Criteri > Gestionecriteri.

b. Nel menu a discesa Prodotto, selezionare Agente OfficeScan.

c. Fare clic su Importa impostazioni.

d. Individuare il pacchetto OfficeScan_Agent_Policies.zip e fare clic suApri.

7. Per importare le impostazioni dei criteri DLP degli agenti OfficeScan nella consoleControl Manager di destinazione:

a. Dalla console Web di Control Manager, accedere a Criteri > Gestionecriteri.

b. Nel menu a discesa Prodotto, selezionare Prevenzione perdita di dati diOfficeScan.

c. Fare clic su Importa impostazioni.

d. Individuare il pacchetto OfficeScan_Agent_DLP_Policies.zip e fareclic su Apri.

8. Spostare gli Agenti OfficeScan nel nuovo server OfficeScan.

Per ulteriori informazioni sullo spostamento degli Agenti OfficeScan, consultareSpostamento degli Agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-61 oAgent Mover a pagina 15-23.


14-36

Impostazioni elenco oggetti sospettiGli oggetti sospetti sono elementi digitali risultanti da un'analisi effettuata dai prodottiTrend Micro Deep Discovery o da altre origini. OfficeScan è in grado di sincronizzaregli oggetti sospetti e di recuperare le azioni eseguite su tali oggetti da un ControlManager 6.0 SP3 Patch 2 connesso a Deep Discovery o da una versione successiva delserver locale.

Dopo aver effettuato la sottoscrizione a Control Manager, selezionare i tipi di oggettisospetti per monitorare i callback C&C o i possibili attacchi mirati identificati dagliagenti nella rete. Gli oggetti sospetti comprendono:

• Elenco URL sospetti

• Elenco IP sospetti

• Elenco file sospetti

• Elenco domini sospetti

NotaDa OfficeScan 10.6 alla versione 11.0, l'origine primaria degli oggetti sospetti è DeepDiscovery Analyzer. A partire da OfficeScan 11.0 SP1, l'origine primaria è Control Manager6.0 SP3, che offre un processo di gestione e trattamento degli oggetti sospetti più solido.

Se è stata effettuata la sottoscrizione di OfficeScan a Deep Discovery Analyzer, èdisponibile solo l'elenco URL sospetti. Dopo aver annullato la sottoscrizione di OfficeScana Deep Discovery Analyzer, non è possibile effettuarla di nuovo. Per sincronizzare glioggetti sospetti, è necessario effettuare la sottoscrizione di OfficeScan a un ControlManager connesso a Deep Discovery.

Per ulteriori informazioni sul modo in cui Control Manager gestisce gli oggetti sospetti,consultare la Guida per l'amministratore di Trend Micro Control Manager.

Configurazione delle impostazioni dell'elenco di oggettisospetti

Durante la registrazione di OfficeScan nel Control Manager locale, quest'ultimoimplementa una chiave API su OfficeScan per avviare il processo di sottoscrizione. Per


14-37

attivare il processo di sottoscrizione automatico, verificare la corretta configurazionedelle impostazioni richieste e la connessione di Control Manager a Deep Discovery conl'amministratore di Control Manager.

Per dettagli sulla registrazione a un server Control Manager, consultare RegistrareOfficeScan al servizio Control Manager a pagina 14-27.

Procedura

1. Accedere a Amministrazione > Impostazioni > Elenco oggetti sospetti.

2. Selezionare l'elenco da attivare negli agenti.

• Elenco URL sospetti

• Elenco IP sospetti (disponibile solo quando si sottoscrive al server ControlManager registrato)

• Elenco file sospetti (disponibile solo quando si sottoscrive al server ControlManager registrato)

• Elenco domini sospetti (disponibile solo quando si effettua la sottoscrizione alserver Control Manager registrato)

Gli amministratori sono in grado di sincronizzare manualmente gli elenchi dioggetti sospetti in qualsiasi momento facendo clic sul pulsante Sincronizzaadesso.

3. In Aggiornare gli elenchi degli oggetti sospetti sugli agenti OfficeScan,specificare quando gli agenti aggiornano gli elenchi di oggetti sospetti.

• In base alla pianificazione dell'aggiornamento del componentedell'agente: gli Agenti OfficeScan aggiornano gli elenchi di oggetti sospetti inbase alla pianificazione di aggiornamento corrente.

• Automaticamente dopo l'aggiornamento dell'elenco di oggetti sospettinel server: gli Agenti OfficeScan aggiornano automaticamente gli elenchi dioggetti sospetti dopo che il server OfficeScan riceve gli elenchi aggiornati.


14-38

Nota

Durante la sincronizzazione, gli Agenti OfficeScan non configurati per la ricezionedegli aggiornamenti da Update Agent eseguono aggiornamenti incrementali deglielenchi di oggetti sospetti in sottoscrizione.


Server di riferimentoUno dei modi in cui l'Agente OfficeScan determina quale criterio o profilo utilizzareconsiste nella verifica dello stato della connessione con il server OfficeScan. Se unAgente OfficeScan interno (o un agente nella rete aziendale) non riesce a connettersicon il server, lo stato dell'agente diventa offline. L'agente applica quindi un criterio o unprofilo destinato agli agenti esterni. I server di riferimento risolvono questo problema.

Un Agente OfficeScan che perde la connessione con il server OfficeScan proverà acollegarsi ai server di riferimento. Se l'agente riesce a stabilire una connessione con unserver di riferimento, applica il profilo o il criterio per gli agenti interni.

Criteri e profili gestiti dai server di riferimento includono:

• Profili firewall

• Criteri di reputazione Web

• Criteri di protezione dati

• Criteri di controllo dispositivo

È necessario ricordare quanto segue:

• Assegnare come server di riferimento computer con funzionalità server, come unserver Web, un server SQL o un server FTP. È possibile specificare un massimo di320 server di riferimento.

• Gli Agenti OfficeScan si collegano al primo server dell'elenco dei server diriferimento. Se il collegamento non riesce, l'agente prova a collegarsi al serversuccessivo dell'elenco.


14-39

• Gli Agenti OfficeScan utilizzano i server di riferimento per determinare leimpostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio delcomportamento, Controllo dispositivo, profili di firewall, criterio di reputazioneWeb). I server di riferimento non gestiscono gli agenti né implementanoaggiornamenti e impostazioni agente. Il server OfficeScan esegue questeoperazioni.

• Un Agente OfficeScan non è in grado di inviare registri ai server di riferimento outilizzare i server come origini aggiornamenti.

Gestione dell'elenco server di riferimento

Procedura

1. Accedere a Agenti > Firewall > Profili o Agenti > Posizione dispositivo.

2. In base alla schermata visualizzata, attenersi alle seguenti istruzioni.

• Nella schermata Profili firewall per gli agenti, fare clic su Modifica elencoserver di riferimento.

• Nella schermata Posizione dispositivo, fare clic su Elenco server diriferimento.

3. Selezionare Attiva l'elenco server di riferimento.

4. Per aggiungere un dispositivo all'elenco, fare clic su Aggiungi.

a. Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully QualifiedDomain Name) del dispositivo, ad esempio:

• computer.nomerete

• 12.10.10.10

• ilmiocomputer.dominio.com

b. Inserire la porta attraverso la quale gli agenti comunicano con il dispositivo.Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul serverdi riferimento.


14-40

Nota

Per specificare un altro numero di porta per lo stesso server di riferimento,ripetere i passaggi 2a e 2b. L'Agente OfficeScan utilizza il primo numero diporta dell'elenco e, se la connessione non riesce, passa al numero di portasuccessivo.


5. Per modificare le impostazioni di un dispositivo dell'elenco, fare clic sul nome deldispositivo. Modificare il nome o la porta del dispositivo e fare clic su Salva.

6. Per rimuovere un dispositivo dall'elenco, selezionare il nome del dispositivo e fareclic su Elimina.

7. Per consentire ai dispositivi di agire come server di riferimento, fare clic suAssegna agli agenti.

Impostazioni notifica amministratoreConfigurare le impostazioni di notifica per l'amministratore per consentire a OfficeScandi inviare notifiche tramite e-mail e trap SNMP. OfficeScan è anche in grado di inviarenotifiche tramite il registro eventi di Windows NT, ma per questo canale di notifica nonci sono impostazioni configurate.

OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quandorileva:

Tabella 14-16. Rilevamenti che determinano l'invio di notifiche all'amministratore

Rilevamenti

Canali di notifica

E-mail Trap SNMPRegistrieventi di

Windows NT

Virus e minacceinformatiche

Sì Sì Sì


14-41

Rilevamenti

Canali di notifica

E-mail Trap SNMPRegistrieventi di

Windows NT

Spyware e grayware Sì Sì Sì


Sì Sì Sì

Callback C&C Sì Sì Sì

Infezioni da spyware eminacce informatiche

Sì Sì Sì

Infezioni da spyware egrayware

Sì Sì Sì

Infezioni da violazione delfirewall

Sì No No

Infezioni delle sessioni dicondivisione delle cartelle

Sì No No

Infezioni dei callback C&C Sì Sì Sì

Configurazione delle impostazioni di notifica generali

Procedura

1. Accedere a Amministrazione > Notifiche > Impostazioni generali.

2. Configurare le impostazioni di notifica e-mail

a. Nel campo Server SMTP, specificare il nome del dispositivo o l'indirizzoIPv4 o IPv6 del server SMTP.

b. Specificare la porta utilizzata dal server SMTP.

I numeri di porta validi sono da 1 a 65535.


14-42

c. Nel campo Da, specificare l'indirizzo e-mail che viene visualizzato comemittente della notifica.

Se si desidera attivare l'ESMTP nel passaggio successivo, specificare unindirizzo e-mail valido.

d. Facoltativamente, attivare ESMTP.

e. Specificare il nome utente e la password per l'indirizzo e-mail specificato nelcampo Da.

f. Scegliere un metodo per autenticare l'agente sul server:

• Accesso: la funzione di accesso è una vecchia versione di Mail UserAgent. Il server e l'agente usano entrambi BASE64 per l'autenticazionedel nome utente e della password.

• Testo semplice: il testo semplice è il più facile, ma anche il meno sicuroperché il nome utente e la password vengono inviati come una stringa ecodificati come BASE64 prima di essere inviati tramite Internet.

• CRAM-MD5: CRAM-MD5 utilizza una combinazione di unmeccanismo di autenticazione con risposta e di un algoritmo MessageDigest 5 crittografato per scambiare e autenticare le informazioni.

3. Configurare le impostazioni di notifica mediante trap SNMP.

a. Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campoIndirizzo IP del server.

b. Specificare un nome community difficile da indovinare.

Nota

Per questioni di sicurezza, il nome community viene visualizzato come valoremascherato mediante il carattere asterisco (*). Il valore predefinito assegnato è:“public”.



14-43

Registri eventi di sistemaOfficeScan trascrive nei registri gli eventi correlati al programma server, come adesempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i serviziOfficeScan funzionino correttamente.


Visualizzazione dei registri degli eventi di sistema

Procedura

1. Accedere a Registri > Eventi di sistema.

2. Nella sezione Evento, controllare i registri che richiedono un'azione. OfficeScanregistra i seguenti eventi:

Tabella 14-17. Registri eventi di sistema

Tipo di registro Eventi

OfficeScan MasterService e serverdatabase

• Servizio principale avviato

• Servizio principale interrotto correttamente

• Servizio principale interrotto correttamente

Prevenzione delleinfezioni virali

• Prevenzione delle infezioni attivata

• Prevenzione delle infezioni disattivata

• Numero di sessioni di cartelle condivise negli ultimi<numero di minuti>

Database backup • Backup del database riuscito

• Backup del database non riuscito


14-44

Tipo di registro Eventi

Accesso alla consoleWeb basato sui ruoli

• Accesso alla console Web

• Modifica della password

• Disconnessione dalla console

• Timeout di sessione (utente automaticamentedisconnesso)

Autenticazione delserver

• L'Agente OfficeScan ha ricevuto comandi non valididal server

• Certificato di autenticazione non valido o scaduto

Virtual Analyzer • Campione inviato per l'analisi

• Analisi del campione completata

• Virtual Analyzer ha segnalato l'invio di unprecedente campione duplicato da un altro serverOfficeScan connesso


Gestione dei registriOfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per lasicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare icriteri di protezione della propria organizzazione e di identificare gli Agenti OfficeScanesposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre dicontrollare la connessione agente-server e di verificare che gli aggiornamenti deicomponenti siano stati completati.

OfficeScan utilizza inoltre un meccanismo centralizzato di verifica dell'orario pergarantire la coerenza temporale tra gli agenti e il server OfficeScan. Tale verifica previenele incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale chepossono generare confusione nell'analisi dei registri.


14-45

NotaOfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degliaggiornamenti del server e degli eventi di sistema.

Il server OfficeScan riceve i seguenti registri dagli Agenti OfficeScan:

• Visualizzazione dei registri di virus/minacce informatiche a pagina 7-98

• Visualizzazione dei registri di spyware/grayware a pagina 7-106

• Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-111

• Visualizzazione dei registri firewall a pagina 13-31

• Visualizzazione dei registri di reputazione Web a pagina 12-23

• Visualizzazione dei registri delle connessioni sospette a pagina 8-16

• Visualizzazione dei file delle connessioni sospette a pagina 7-111

• Visualizzazione dei registri di callback C&C a pagina 12-25

• Visualizzazione dei registri di Monitoraggio del comportamento a pagina 9-24

• Visualizzazione dei registri relativi all'Intelligenza computazionale predittiva a pagina 8-12

• Visualizzazione dei registri di controllo dispositivo a pagina 10-19

• Visualizzazione dei registri dell'operazione di scansione a pagina 7-112

• Visualizzazione dei registri di Prevenzione perdita di dati a pagina 11-58

• Visualizzazione dei registri di aggiornamenti dell'agente OfficeScan a pagina 6-55

• Visualizzazione dei registri di verifica connessione a pagina 15-47

Il server OfficeScan genera i seguenti registri:

• Registri di aggiornamento del server OfficeScan a pagina 6-28

• Registri eventi di sistema a pagina 14-43

I seguenti registri sono inoltre disponibili sul server OfficeScan e sugli AgentiOfficeScan:


14-46

• Registri eventi di Windows a pagina 18-26

• Registri del server OfficeScan a pagina 18-3

• Registri dell'agente OfficeScan a pagina 18-15

Manutenzione registriPer evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,eliminare i registri manualmente oppure configurare una pianificazione per eliminarlidalla console Web.

Eliminazione dei registri in base alla pianificazione

Procedura

1. Accedere a Registri > Manutenzione registri.

2. Selezionare Attiva eliminazione pianificata dei registri.

3. Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, adeccezione dei registri di debug, possono essere eliminati in base ad unapianificazione. Per i registri di debug, disattivare la registrazione di debug perinterrompere la raccolta dei registri.

Nota

Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati daalcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware egrayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulterioriinformazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.

4. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelliprecedenti a un certo numero di giorni.

5. Specificare la frequenza e l'ora di eliminazione dei registri.



14-47

Eliminazione manuale dei registri

Procedura



3. Eseguire una delle operazioni riportate di seguito.

• Se si accede alla schermata Registri dei rischi per la sicurezza, fare clic suElimina registri.

• Se si accede alla schermata Gestione agente, fare clic su Registri > Eliminaregistri.

4. In Tipi di registro da eliminare, selezionare il tipo di dati di registro darimuovere:

• Registri di Monitoraggio del comportamento

• Registri di callback C&C

• Registri di Prevenzione perdita di dati

• Registri di controllo dispositivo


• Registri relativi all'Intelligenza computazionale predittiva


• Registri dell'operazione di scansione

• Registri delle connessioni sospette

• Registri dei file sospetti

• Registri di virus/minacce informatiche


14-48

• Registri di reputazione Web

Nota

Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati daalcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware egrayware, è possibile eliminare i registri di alcuni tipi di scansione.

Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.

5. In Registri da eliminare, selezionare una delle opzioni illustrate di seguito:

• Tutti i registri dei tipi selezionati: elimina tutti i dati di registro per i tipiselezionati

• Registri datati più di XX giorni: elimina tutti i dati di registro datati più delnumero di giorni specificato per i tipi di registro selezionati

6. Fare clic su Elimina.

LicenzeTramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenzaOfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte delservizio antivirus, che comprende anche l'assistenza per la prevenzione delle infezioni.

Nota

Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto VirtualDesktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate egestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza diProtezione dati a pagina 3-4 e Licenza del supporto Virtual Desktop a pagina 15-82.

Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazioneonline Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScandi connettersi al server per la registrazione, è necessario un server proxy dual-stack in gradodi convertire gli indirizzi IP, come ad esempio DeleGate.


14-49

Visualizzazione delle informazioni sulla Licenza delprodotto

Procedura


2. Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore dellaschermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:

Tabella 14-18. Promemoria per le licenze

Tipo di licenza Promemoria

Versionecompleta

• Durante il periodo di proroga per il prodotto. La durata delperiodo di proroga varia a seconda dell'area geografica.Verificare il periodo di proroga con il rappresentante TrendMicro.

• Alla scadenza della licenza e al termine del periodo diproroga. In questo periodo non sarà possibile ottenerel'assistenza tecnica o effettuare l'aggiornamento deicomponenti. I motori di scansione continueranno aeffettuare l'analisi dei dispositivi, ma con componenti nonaggiornati. Tali componenti obsoleti potrebbero nonproteggere in maniera completa dai più recenti rischi perla sicurezza.

Versione di prova Alla scadenza della licenza. Durante questo periodo,OfficeScan disattiva l'aggiornamento dei componenti. I motoridi scansione continueranno a effettuare l'analisi dei dispositivi,ma con componenti non aggiornati. Tali componenti obsoletipotrebbero non proteggere in maniera completa dai più recentirischi per la sicurezza.

3. Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenzacontiene le seguenti informazioni:

• Servizi: include tutti i servizi della licenza OfficeScan

• Stato: indica se lo stato è "Attivato", "Non attivato", "Scaduto" o "In periododi proroga". Se un servizio prevede diverse licenze e almeno una di queste èancora attiva, lo stato di tale servizio sarà "Attivato".


14-50

• Versione: indica se la versione è "Completa" o se si tratta di una "Versione diprova". Se si dispone sia della versione completa sia della versione di prova, laversione indicata sarà "Completa".

• Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzatal'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007e 30/06/2008, verrà visualizzata la data 30/06/2008.

NotaPer servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà"N.D.".

4. OfficeScan consente di attivare diverse licenze per un servizio di licenza. Pervisualizzare tutte le licenze relative a un servizio (sia quelle attive che quellescadute), fare clic sul nome del servizio stesso.

Attivazione o rinnovo della licenza

Procedura


2. Fare clic sul nome del servizio di licenza.

3. Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic suNuovo codice di attivazione.

4. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic suSalva.

NotaPrima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sullachiave di registrazione e sul codice di attivazione, contattare un rappresentante TrendMicro.

5. Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiornainformazioni per aggiornare la schermata con i nuovi dettagli della licenza e il


14-51

nuovo stato del servizio. Questa schermata contiene anche un collegamento al sitoWeb di Trend Micro dove è possibile visualizzare informazioni dettagliate sullapropria licenza.

OfficeScan Database BackupIl database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese leimpostazioni e i privilegi di scansione. Qualora il database del server dovesse subire undanno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manualedel database in qualsiasi momento oppure configurare una pianificazione per il backup.

Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alladeframmentazione del database e ripara eventuali danni al file dell'indice.

Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Perulteriori informazioni, consultare Registri eventi di sistema a pagina 14-43.

Suggerimento

Trend Micro consiglia di configurare una pianificazione per il backup automatico. Siconsiglia di effettuare il backup del database durante ore non di punta quando il traffico delserver è ridotto.

AVVERTENZA!

Non eseguire il backup con altri strumenti o software. Configurare il backup del databasesolo dalla console Web OfficeScan.

Backup del database di OfficeScan

Procedura

1. Accedere a Amministrazione > Impostazioni > Database Backup.


14-52

2. Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste,selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completodella directory, ad esempio C:\OfficeScan\DatabaseBackup.

Per impostazione predefinita, OfficeScan salva la copia di backup nella seguentedirectory:<Cartella di installazione del server>\DBBackup

Nota

OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartellaindica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS.OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente lecartelle precedenti.

3. Se il percorso di backup è su un computer remoto (con un percorso UNC), inserireun nome account adeguato e la password corrispondente. Accertarsi che l'accountdisponga dei privilegi di scrittura sul computer.

4. Per configurare una pianificazione per il backup:

a. Selezionare Attiva pianificazione di Database Backup.

b. Specificare la frequenza e l'orario del backup.

c. Per eseguire il backup del database e salvare le modifiche apportate, fare clicsu Esegui backup. Per salvare soltanto senza eseguire il backup del database,fare clic su Salva.

Ripristino dei file di backup database

Procedura

1. Interrompere il OfficeScan Master Service.

2. Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV\HTTPDB con i file di backup.

3. Riavviare il OfficeScan Master Service.


14-53

Strumento di migrazione SQL ServerGli amministratori possono eseguire la migrazione del database OfficeScan esistentedallo stile CodeBase nativo al database di SQL Server utilizzando lo strumento dimigrazione di SQL Server. Lo Strumento di migrazione di SQL Server supporta leseguenti migrazioni di database:

• Database OfficeScan CodeBase al nuovo database SQL Server Express

• Database OfficeScan CodeBase al database SQL Server preesistente

• Database OfficeScan SQL (precedentemente migrato) che è stato spostato inun'altra posizione

Utilizzo dello strumento di migrazione SQL Server

Lo Strumento di migrazione SQL Server esegue la migrazione del database CodeBaseesistente al database SQL utilizzando SQL Server 2016 SP1 Express.

Suggerimento

Dopo la migrazione del database OfficeScan, è possibile spostare in un altro SQL Server ildatabase SQL di cui è stata appena effettuata la migrazione. Eseguire di nuovo loStrumento di migrazione SQL Server e selezionare Passare a un database OfficeScanSQL esistente per usare l'altro SQL Server.

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SQL.

2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.

La console di Strumento di migrazione del server SLQ viene aperta.

3. Scegliere il tipo di migrazione:


14-54

Opzione Descrizione

Installa/Crea una nuovaistanza di SQL Server2016 SP1 Express edesegui la migrazione deldatabase OfficeScan

Installa automaticamente SQL Server 2016 SP1Express ed esegue la migrazione del databaseOfficeScan esistente su un nuovo database SQL

NotaOfficeScan assegna automaticamente la porta 1433 aSQL Server.

Eseguire la migrazionedel database OfficeScansu un SQL Serveresistente

Esegue la migrazione del database OfficeScanesistente su un nuovo database SQL, su un SQLServer esistente

Passa a un databaseOfficeScan SQLesistente

Modifica le impostazioni di configurazione OfficeScanper selezionare un database SQL OfficeScan esistentesu un SQL Server esistente

4. Specificare il nome server nel modo seguente: Per le nuove installazioniSQL:<nome host o indirizzo IP di SQL Server>\<nome istanza>

• Per le installazioni SQL: <nome host o indirizzo IP di SQL Server>\<nomeistanza>

• Per le migrazioni di SQL Server: <nome host o indirizzo IP di SQLServer>,<numero porta>\<nome istanza>

• Quando si passa a un database SQLOfficeScan esistente: <nome host oindirizzo IP di SQL Server>,<numero porta>\<nome istanza>

ImportanteOfficeScan crea automaticamente un'istanza per il database OfficeScan quando SQLServer si installa. Quando viene effettuata la migrazione verso un database o un SQLServer esistente, digitare il nome istanza preesistente per l'istanza di OfficeScan suSQL Server.

5. Fornire le credenziali di autenticazione per il database SQL Server.

• Quando si utilizza l'Account Windows per accedere al server, il Nomeutente deve avere il seguente formato:


14-55

nome_dominio\nome_utente o nome_utente

ImportanteL'account utente deve appartenere al gruppo di amministratori locali o algruppo di amministratori integrato di Active Directory (AD) ed è necessarioconfigurare i seguenti criteri di assegnazione dei diritti dell'utente utilizzando laconsole Criteri di protezione locali o Gestione Criteri di gruppo diWindows:

• Accedi come servizio

• Accesso come processo batch

• Consenti accesso locale

L'account utente deve anche avere i seguenti ruoli del database:

• dbcreator

• bulkadmin

• db_owner

6. Per le installazioni SQL Server nuove, digitare una nuova password e confermare.

NotaLe password devono soddisfare i requisiti minimi di complessità elencati di seguito:

a. Lunghezza minima: 8 caratteri

b. Devono contenere almeno 3 dei seguenti elementi:

• Lettere maiuscole: dalla A alla Z

• Lettere minuscole: dalla a alla z

• Numeri: 0 - 9 0 - 9

• Caratteri speciali: !@#$^*?_~-();.+: !@#$^*?_~-();.+:

7. Specificare il Nome database OfficeScan su SQL Server.

Quando viene effettuata la migrazione del database CodeBase OfficeScan verso unnuovo database SQL, OfficeScan crea automaticamente il nuovo database, con ilnome.


14-56

8. Eseguire, facoltativamente, le operazioni riportate di seguito:

• Fare clic su Test di connessione per verificare le credenziali di autenticazioneper l'SQL Server o il database esistente.

• Fare clic su Avviso non disponibile database SQL… per configurare leimpostazioni di notifica del database SQL.

Per i dettagli, consultare Configurazione di Avviso non disponibile database SQL apagina 14-56.

9. Per applicare le modifiche della configurazione, fare clic su Avvia.

Configurazione di Avviso non disponibile database SQLOfficeScan invia automaticamente questo avviso ogni volta che il database SQL diventanon disponibile.

AVVERTENZA!OfficeScan interrompe automaticamente tutti i servizi quando il database diventa nondisponibile. OfficeScan non riesce a registrare informazioni relative ad agenti o eventi, aeseguire aggiornamenti o a configurare gli agenti quando il database non è disponibile.

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SQL.

2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.

La console di Strumento di migrazione del server SLQ viene aperta.

3. Fare clic su Avviso non disponibile database SQL….

La schermata di Avviso non disponibile per SQL Server viene aperta.

4. Digitare gli indirizzi e-mail dei destinatari dell'avviso.

Separare le diverse voci con un punto e virgola (;).


14-57

5. Modificare Oggetto e Messaggio in base alle esigenze.

OfficeScan offre le seguenti variabili token:

Tabella 14-19. Token di Avviso non disponibile database SQL


%x Il nome dell'istanza SQL Server OfficeScan

%s Il nome del server OfficeScan infetto

6. Fare clic su OK.

Impostazioni connessione agente/server WebOfficeScan

Durante l'installazione del server OfficeScan, il programma di installazione impostaautomaticamente un server Web che consente ai computer della rete di collegarsi alserver OfficeScan. Configurare il server Web a cui si collegheranno gli agenti dispositivocollegati in rete.

Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla consoledi gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modificamanualmente l'indirizzo IP del server per i computer in rete o se si assegna al server unindirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative alserver.

AVVERTENZA!La modifica delle impostazioni di connessione può determinare la perdita permanente dellaconnessione tra il server e gli agenti e rendere necessaria una nuova implementazione degliAgenti OfficeScan.


14-58

Configurazione delle impostazioni di connessione

Procedura

1. Accedere a Amministrazione > Impostazioni > Connessione agente.

2. Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta delserver Web.

Nota

Il numero di porta è quello della porta affidabile che il server OfficeScan utilizza percomunicare con gli Agenti OfficeScan.


Comunicazione agente serverÈ possibile configurare OfficeScan in modo da garantire che tutte le comunicazioni tra ilserver e gli agenti siano valide. OfficeScan offre funzionalità di crittografia di chiavepubblica avanzate per proteggere tutte le comunicazioni tra il server e gli agenti.

Per i dettagli sulle funzionalità di protezione della comunicazione, consultare le sezioniseguenti:

• Autenticazione delle comunicazioni avviate dal server a pagina 14-58

• Crittografia avanzata della comunicazione agente-server a pagina 14-63

Autenticazione delle comunicazioni avviate dal serverOfficeScan usa la crittografia di chiave pubblica per autenticare le comunicazioni che ilserver OfficeScan avvia sugli agenti. Grazie alla crittografia di chiave pubblica, il serverdetiene una chiave privata e implementa quella pubblica su tutti gli agenti. Gli agentiusano la chiave pubblica per verificare che le comunicazioni in entrata siano avviate dalserver e siano valide. Gli agenti rispondono se la verifica è corretta.


14-59

Nota

OfficeScan non autentica le comunicazioni che gli agenti avviano nel server.

Le chiavi pubbliche e private sono associate a un certificato Trend Micro. Durantel'installazione del server OfficeScan, il programma di installazione ripristina il certificatonell'archivio dei certificati dell'host. Utilizzare lo strumento Authentication CertificateManager per gestire le chiavi e i certificati Trend Micro.

Quando si decide di usare una singola chiave di autenticazione per tutti i serverOfficeScan, tenere presente quanto segue:

• L'implementazione di un singolo certificato è una prassi comune per tutti i livelli disicurezza standard. Questo approccio compensa il livello di sicurezza diun'organizzazione e riduce il sovraccarico associato alla gestione di più chiavi.

• L'implementazione di più certificati sui server OfficeScan fornisce il livello disicurezza massimo. Questo approccio aumenta la gestione necessaria quando lechiavi dei certificati scadono e devono essere ridistribuite sui server.

Importante

Prima di reinstallare il server OfficeScan, assicurarsi che venga effettuato il backup per ilcertificato esistente. Una volta completata la nuova installazione, importare la copia delcertificato per consentire che l'autenticazione delle comunicazioni tra il server OfficeScan egli Agenti OfficeScan non subisca interruzioni. Se viene creato un nuovo certificatodurante l'installazione del server, gli Agenti OfficeScan non riescono ad autenticare lecomunicazioni del server perché utilizzano ancora il vecchio certificato, che non esiste più.

Per informazioni sull'esecuzione del backup, del ripristino, dell'esportazione edell'importazione dei certificati, vedere Uso di Authentication Certificate Manager a pagina14-59.

Uso di Authentication Certificate Manager

Il server OfficeScan gestisce i certificati scaduti per gli agenti con chiavi pubblichescadute. Ad esempio, gli agenti che non hanno effettuato la connessione al server per unperiodo di tempo prolungato, hanno chiavi pubbliche scadute. Quando gli agentieseguono di nuovo la connessione, associano la chiave pubblica scaduta al certificato


14-60

scaduto, consentendo il riconoscimento delle comunicazioni avviate dal server. Il serverimplementa quindi la chiave pubblica più recente sugli agenti.

Quando vengono configurati i certificati, ricordare quanto segue:

• Per il percorso del certificato, vengono accettati percorsi UNC e unità collegate.

• Scegliere una password complessa e registrarla per riferimenti futuri.

ImportanteQuando si usa lo strumento Authentication Certificate Manager, sono necessari i seguentirequisiti:

• L'utente deve avere i privilegi di amministratore

• Lo strumento è in grado di gestire solo i certificati che si trovano sul dispositivo locale

Procedura

1. Nel server OfficeScan, aprire il prompt dei comandi e modificare la directory in<Cartella di installazione del server>\PCCSRV\Admin\Utility\CertificateManager.

2. Eseguire uno dei seguenti comandi:

Comando Esempio Descrizione

CertificateManager.exe -c[Password_Backup]

CertificateManager.exe -cstrongpassword

Genera un nuovo certificato Trend Microe sostituisce il certificato esistente

Effettuare questa operazione se ilcertificato esistente è scaduto o se èpassato a parti non autorizzate.


14-61


CertificateManager.exe -b[Password][Percorsocertificato]

NotaIl certificatoè in formatoZIP.

CertificateManager.exe -bstrongpasswordD:\Test\TrendMicro.zip

Esegue il backup di tutti i certificatiTrend Micro emessi dal serverOfficeScan corrente

Effettuare il backup per ripristinare ilcertificato su un server OfficeScan.

NotaEffettuando il backup dei certificatidel server OfficeScan consente diusarli se è necessario reinstallareil server OfficeScan.

CertificateManager.exe -r[Password][Percorsocertificato]

NotaIl certificatoè in formatoZIP.

CertificateManager.exe -rstrongpasswordD:\Test\TrendMicro.zip

Ripristina tutti i certificati Trend Micro sulserver

Effettuare tale operazione perripristinare il certificato su un serverOfficeScan reinstallato.


14-62


CertificateManager.exe -e[Percorsocertificato]

CertificateManager.exe -e<Cartella_installazione_agente>\OfcNTCer.dat

Esporta la chiave pubblica dell'AgenteOfficeScan associata al certificatoattualmente utilizzato

Effettuare tale operazione se la chiavepubblica utilizzata dagli agenti vienedanneggiata. Copiare il file .dat nellacartella principale dell'agente,sovrascrivendo il file esistente.

ImportanteIl percorso del file del certificatonell'Agente OfficeScan deveessere:

<Cartella_installazione_agente>\OfcNTCer.dat

CertificateManager.exe -i[Password][Percorsocertificato]

NotaIl nomepredefinitodel file delcertificato è:

OfcNTCer.pfx

CertificateManager.exe -istrongpasswordD:\Test\OfcNTCer.pfx

Importa un certificato Trend Micronell'archivio dei certificati

CertificateManager.exe -l[Percorso CSV]

CertificateManager.exe -l D:\Test\MismatchedAgentList.csv

Elenca gli agenti (in formato CSV) chestanno usando un certificato noncorrispondente


14-63

Crittografia avanzata della comunicazione agente-server

OfficeScan offre la crittografia avanzata della comunicazione tra server e agentiutilizzando l'Advanced Encryption Standard (AES) 256, in conformità alle normativegovernative.

Importante

OfficeScan supporta la crittografia AES-256 solo su server e agenti con OfficeScan 11.0SP1 o versioni successive e Plug-in Manager 2.2 o versioni successive.

AVVERTENZA!

Verificare di aver aggiornato tutti gli Agenti OfficeScan gestiti dal server alla versione 11.0SP1 prima di attivare la crittografia AES-256. Le versioni precedenti dell'Agente OfficeScanpotrebbero non essere in grado di decrittografare la comunicazione crittografata conAES-256. L'attivazione della crittografia AES-256 su versioni precedenti dell'AgenteOfficeScan potrebbe comportare la totale perdita della comunicazione con il serverOfficeScan durante l'utilizzo di un server proxy.

Procedura



3. Andare alla sezione Comunicazione agente-server.

4. Fare clic sul pulsante Modifica accanto a Crittografia AES-256 per lacomunicazione tra il server e gli agenti OfficeScan.

Viene visualizzato un messaggio.

5. Fare clic su Verifica versioni per confermare di aver aggiornato tutti gli agenti aOfficeScan 11.0 SP1 o versioni successive.

6. Fare clic su OK.


14-64

Password della console WebLa schermata per la gestione della password della console Web (o la password perl'account principale (root) creato durante l'installazione del server OfficeScan) èdisponibile solo se il computer server non dispone delle risorse necessarie per utilizzarel'RBA (Role-based Administration). Ad esempio se sul computer server è installatoWindows Server 2003 e Authorization Manager Runtime non è installato, la schermatanon è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata ela password può essere gestita modificando l'account principale (root) nella schermataAccount utente.

Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica perottenere istruzioni su come accedere alla console Web.

Configurazione delle impostazioni dellaconsole Web

Configurare le impostazioni della console Web di OfficeScan per determinare lamodalità di accesso degli utenti alla console Web e la frequenza di aggiornamento delleschermate.

Procedura

1. Accedere a Amministrazione > Impostazioni > Console Web.

2. Configurare le impostazioni richieste.

Sezione Settings

Impostazioniaggiornamentoautomatico

Selezionare Aggiorna automaticamente console Web perconsentire al server OfficeScan di aggiornare i dati delleschermate all'intervallo specificato

• Intervallo di aggiornamento: selezionare la frequenzain secondi con cui la console Web aggiorna i dati delleschermate


14-65

Sezione Settings

Impostazionitimeout

Selezionare Disconnetti automaticamente utenti inattiviper consentire al server OfficeScan di disconnettere gli utentiall'intervallo specificato

• Intervallo di inattività: selezionare il periodo di inattivitàin minuti dopo il quale la console Web disconnetteautomaticamente gli utenti


Gestore della quarantenaQuando l'Agente OfficeScan rileva un rischio per la sicurezza e l'azione di scansione è lamessa in quarantena, il file infetto viene crittografato e spostato nella cartella diquarantena locale in <Cartella di installazione dell'agente>\SUSPECT\Backup.

Dopo aver spostato il file nella directory di quarantena locale, l'Agente OfficeScan loinvia alla directory di quarantena designata. Specificare la directory in Agenti >Gestione agente > Impostazioni > Impostazioni {Tipo di scansione} > schedaAzione. I file nella directory di quarantena vengono crittografati per evitare cheinfettino altri file. Consultare Directory di quarantena a pagina 7-43 per ulterioriinformazioni.

Se la directory di quarantena designata si trova nel computer server OfficeScan,modificarne le impostazioni della directory di quarantena dalla console Web. Il servermemorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV\Virus.

Nota

Se per qualche motivo (come ad esempio un problema di connessione), l'AgenteOfficeScan non è in grado di inviare il file crittografato al server OfficeScan, il filecrittografato rimane nella cartella di quarantena dell'Agente OfficeScan. L'AgenteOfficeScan tenta un nuovo invio del file al successivo collegamento al server OfficeScan.


14-66

Configurazione delle impostazioni della directory diquarantena

Procedura

1. Accedere a Amministrazione > Impostazioni > Gestore della quarantena.

2. Accettare o modificare la capacità predefinita della cartella di quarantena e ledimensioni massime di un file infetto che OfficeScan è in grado di mettere inquarantena.

In questa schermata vengono visualizzati i valori predefiniti.

3. Fare clic su Salva impostazioni di quarantena.

4. Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Eliminatutti i file in quarantena.

Server TunerServer Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando deiparametri per le seguenti problematiche prestazionali relative al server:

• Download

Quando il numero di Agenti OfficeScan (compresi gli Update Agent) cherichiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sulserver, il server sposta la richiesta di aggiornamento dell'agente in una coda edelabora le richieste quando le risorse diventano disponibili. Dopo che l'agente haaggiornato correttamente i componenti dal server OfficeScan, invia una notifica alserver sul completamento dell'aggiornamento. Impostare il numero massimo diminuti per i quali il server OfficeScan deve attendere la notifica di aggiornamentodall'agente. Impostare anche il numero massimo di tentativi che il server deveeffettuare per richiedere all'agente di eseguire un aggiornamento e di applicare lenuove impostazioni di configurazione. Il server effettua nuovi tentativi soltanto senon riceve notifiche dall'agente.


14-67

• Buffer

Quando il server OfficeScan riceve più richieste dagli Agenti OfficeScan come, adesempio, la richiesta di eseguire un aggiornamento, il server elabora il numeromassimo di richieste possibili, spostando le richieste restanti in un buffer. Il serverelabora quindi le richieste salvate nel buffer una per volta, man mano che sirendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi, adesempio, le richieste di aggiornamento dell'agente, e per i report dei registridell'agente.

• Traffico di rete

La quantità di traffico della rete varia nel corso della giornata. Per controllare ilflusso del traffico di rete verso il server OfficeScan e verso altre originiaggiornamenti, specificare il numero di Agenti OfficeScan che possono essereaggiornati contemporaneamente in un determinato orario.

Server Tuner richiede il seguente file: SvrTune.exe

Esecuzione di Server Tuner

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\SvrTune.

2. Fare doppio clic su SvrTune.exe per avviare Server Tuner.

Si apre la console di Server Tuner.

3. Nella sezione Download modificare le seguenti impostazioni:

• Timeout per client: digitare il numero di minuti per i quali il serverOfficeScan deve attendere una risposta di aggiornamento dagli agenti. Sel'agente non risponde entro questo intervallo, il server OfficeScan nonconsidera l'agente come dotato di componenti aggiornati. Quando si verifica iltimeout su un agente notificato, si rende disponibile lo spazio per un altroagente in attesa di notifica.

• Timeout per Update Agent: digitare il numero di minuti per i quali il serverOfficeScan deve attendere una risposta di aggiornamento da un Update


14-68

Agent. Quando si verifica il timeout su un agente notificato, si rendedisponibile lo spazio per un altro agente in attesa di notifica.

• Numero tentativi: digitare il numero massimo di tentativi che il serverOfficeScan deve effettuare per richiedere a un agente di eseguire unaggiornamento o di applicare nuove impostazioni di configurazione.

• Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScandeve attendere tra un tentativo di notifica e quello successivo.

4. Nella sezione Traffico di rete, modificare le seguenti impostazioni:

• Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentanole ore del giorno in cui il traffico di rete è considerato normale.

• Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentanole ore del giorno in cui il traffico di rete è considerato minimo.

• Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano leore del giorno in cui il traffico di rete è considerato massimo.

• Numero massimo connessioni client: digitare il numero massimo di clientche possono simultaneamente aggiornare i componenti da "altra origineaggiornamenti" e dal server OfficeScan. Digitare il numero massimo di clientper ciascuno dei periodi di tempo. Quando viene raggiunto il numeromassimo di connessioni, gli Agenti OfficeScan possono aggiornare icomponenti soltanto dopo la chiusura di una connessione in corso dell'agente(a causa del completamento dell'aggiornamento o del fatto che la rispostadell'agente ha raggiunto il valore di timeout specificato nel campo Timeoutper client o Timeout per Update Agent).

5. Fare clic su OK. Viene visualizzata la richiesta di riavviare il OfficeScan MasterService.

NotaViene riavviato soltanto il servizio, non il computer.

6. Selezionare una delle opzioni di riavvio seguenti:

• fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio.Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio.


14-69

• Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare ilservizio. Per fare in modo che le impostazioni abbiano effetto, riavviare ilOfficeScan Master Service o riavviare il computer su cui è installato il serverOfficeScan.

Smart FeedbackTrend Micro Smart Feedback condivide le informazioni sulle minacce anonime conSmart Protection Network, consentendo a Trend Micro di identificare e trattarerapidamente le nuove minacce. È possibile disattivare Smart Feedback in qualsiasimomento tramite questa console.

Partecipazione al programma Smart Feedback

Procedura

1. Accedere a Amministrazione > Smart Protection > Smart Feedback.

2. Fare clic su Attiva Trend Micro Smart Feedback.

3. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare unvalore nel campo Settore.

4. Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file degliAgenti OfficeScan, selezionare la casella di controllo Attiva feedback per i file diprogramma sospetti.

NotaI file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati soloper eseguire le analisi delle minacce.

5. Per configurare i criteri per l'invio del feedback, selezionare il numero di rilevamentieffettuati nel periodo di tempo specificato che generano il feedback.

6. Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan perinviare feedback e ridurre le interruzioni della rete.


14-70


15-1

Capitolo 15

Gestione dell'agente OfficeScanIn questo capitolo vengono descritte le configurazioni e la gestione dell'AgenteOfficeScan.


• Posizione dispositivo a pagina 15-2

• Gestione del programma agente OfficeScan a pagina 15-6

• Connessione agente server a pagina 15-28

• Impostazioni proxy dell'Agente OfficeScan a pagina 15-52

• Visualizzazione delle informazioni sull'agente OfficeScan a pagina 15-59

• Importazione ed esportazione delle impostazioni degli agenti a pagina 15-59

• Conformità sicurezza a pagina 15-61

• Supporto Trend Micro Virtual Desktop a pagina 15-79

• Impostazioni globali agente a pagina 15-93

• Configurazione dei privilegi dell'agente e altre impostazioni a pagina 15-95


15-2

Posizione dispositivoOfficeScan fornisce una funzione di Location Awareness in grado di determinare sel'Agente OfficeScan si trova nella rete interna o esterna. Location Awareness vieneutilizzata nelle seguenti funzioni e servizi di OfficeScan:

Tabella 15-1. Funzioni e servizi che usano Location Awareness

Funzione/Servizio Descrizione

Servizi direputazione file

Per gli agenti Smart Scan, la posizione dell'Agente OfficeScandetermina l'origine Smart Protection a cui l'Agente OfficeScan inviale query di scansione.

Gli Agenti OfficeScan esterni inviano query di scansione a SmartProtection Network mentre gli Agenti OfficeScan interni inviano lequery di scansione alle origini definite nell'elenco delle origini SmartProtection.

Per ulteriori informazioni, consultare Origini Smart Protection apagina 4-6.

Reputazione Web La posizione dell'Agente OfficeScan determina se l'AgenteOfficeScan applica le impostazioni dei criteri interni o esterni. Gliamministratori in genere applicano criteri più rigidi per gli AgentiOfficeScan esterni.

Per ulteriori informazioni, consultare:

• Criteri di reputazione Web a pagina 12-5.

• Criteri di Prevenzione perdita di dati a pagina 11-3

• Controllo dispositivo a pagina 10-2

Prevenzioneperdita di dati


Criteri di localitàSpecificare se il percorso si basa sull'indirizzo IP del gateway del dispositivo AgenteOfficeScan o sullo stato della connessione dell'Agente OfficeScan con il serverOfficeScan o un server di riferimento.

• Stato della connessione agente: se l'Agente OfficeScan può collegarsi al serverOfficeScan o a uno dei server di riferimento assegnati della intranet, la posizione

Gestione dell'agente OfficeScan

15-3

del dispositivo è interna. Inoltre, se un dispositivo al di fuori della rete aziendale èin grado di stabilire una connessione al server OfficeScan o al server di riferimento,anche quella posizione è interna. Se non si applica nessuna di queste condizioni, laposizione del dispositivo è esterna.

• Indirizzo MAC e IP gateway: se l'indirizzo IP gateway del dispositivo AgenteOfficeScan corrisponde a un indirizzo IP gateway specificato nella schermataPosizione dispositivo, la posizione del dispositivo è interna. Altrimenti, laposizione del dispositivo è esterna.

Configurazione delle impostazioni della località

Procedura

1. Accedere a Agenti > Posizione dispositivo.

2. Indicare se il percorso si basa su Stato della connessione agente o Indirizzo IPe MAC del gateway.

3. Se si sceglie Stato della connessione agente, occorre decidere se utilizzare unserver di riferimento.

Consultare Server di riferimento a pagina 14-38 per ulteriori dettagli.

a. Se non viene specificato un server di riferimento, l'Agente OfficeScan verificalo stato della connessione con il server OfficeScan quando si verificano glieventi seguenti:

• L'Agente OfficeScan passa dalla modalità Indipendente a quella normale(online/offline).

• L'Agente OfficeScan passa da un metodo di scansione a un altro.

Consultare Tipi di metodi di scansione a pagina 7-8 per ulteriori dettagli.

• L'Agente OfficeScan rileva una variazione dell'indirizzo IP per ildispositivo.

• L'Agente OfficeScan viene riavviato.


15-4

• Il server avvia una verifica della connessione.

Consultare Icone dell'agente OfficeScan a pagina 15-28 per ulteriori dettagli.

• I parametri della località di reputazione Web vengono modificati durantel'applicazione delle impostazioni globali

• I criteri di difesa dalle infezioni non vengono più applicati e vengonoripristinate le impostazioni precedenti all'infezione.

b. Quando si specifica un server di riferimento, se la connessione al serverOfficeScan non riesce, l'Agente OfficeScan verifica lo stato della connessioneprima con il server OfficeScan, poi con il server di riferimento. L'AgenteOfficeScan verifica lo stato della connessione ogni ora e quando si verificanogli eventi sopra citati.

4. Se si seleziona l'indirizzo IP e MAC del gateway:

a. Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo.

b. Inserire l'indirizzo MAC.

c. Fare clic su Aggiungi.

Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizziMAC appartenenti all'indirizzo IP specificato.

d. Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway chesi desidera aggiungere.

e. Utilizzare lo strumento Utilità di importazione impostazioni gateway perimportare un elenco delle impostazioni del gateway.

Consultare Utilità di importazione impostazioni gateway a pagina 15-4 per ulterioridettagli.


Utilità di importazione impostazioni gatewayOfficeScan verifica la posizione del dispositivo per determinare il criterio di reputazioneWeb da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità con


15-5

cui OfficeScan identifica la posizione è la verifica dell'indirizzo IP e MAC del gatewaydel dispositivo.

Configurare le impostazioni del gateway nella schermata Posizione dispositivo oppureutilizzare l'Utilità di importazione impostazioni gateway per importare un elenco diimpostazioni del gateway nella schermata Posizione dispositivo.

Uso dell'utilità di importazione impostazioni gateway

Procedura

1. Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway.In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo).

Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096.

Ad esempio:

10.1.111.222,00:17:31:06:e6:e7

2001:0db7:85a3:0000:0000:8a2e:0370:7334

10.1.111.224,00:17:31:06:e6:e7

2. Sul computer server, passare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\GatewaySettingsImporter.

3. Fare clic con il pulsante destro del mouse sul file GSImporter.exe e scegliereEsegui come amministratore.

Nota

Non è possibile eseguire lo strumento Utilità di importazione impostazioni gatewaydai servizi terminal.

4. Nella schermata Utilità di importazione impostazioni gateway, trovare il filecreato al passaggio 1 e fare clic su Importa.

5. Fare clic su OK.


15-6

Le impostazioni del gateway vengono visualizzate nella schermata Posizionedispositivo e il server OfficeScan implementa le impostazioni negli AgentiOfficeScan.

6. Per eliminare tutte le voci, fare clic su Cancella tutto.

Per rimuovere solo una voce specifica, rimuoverla nella schermata Posizionedispositivo.

7. Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare ilnome e il tipo di file.

Gestione del programma agente OfficeScanI seguenti argomenti illustrano modi per gestire e proteggere il programma AgenteOfficeScan:

• Servizi dell'agente OfficeScan a pagina 15-6

• Riavvia Servizio Agente OfficeScan a pagina 15-11

• Protezione automatica dell'agente OfficeScan a pagina 15-12

• Restrizione di accesso alla console dell'agente OfficeScan a pagina 15-17

• Rimozione e sblocco dell'agente OfficeScan a pagina 15-18

• Agente OfficeScan con privilegio di modalità Indipendente a pagina 15-19

• Agent Mover a pagina 15-23

• Agenti OfficeScan inattivi a pagina 15-27

Servizi dell'agente OfficeScan

L'Agente OfficeScan gestisce i servizi riportati nella tabella seguente. È possibilevisualizzare lo stato di questi servizi da Console di gestione Microsoft.


15-7

Servizio Funzioni controllate

Servizio prevenzionemodifiche non autorizzatedi Trend Micro(TMBMSRV.exe)



• Servizio Certified Safe Software

OfficeScan NT Firewall(TmPfw.exe)

Firewall di OfficeScan

Servizio Protezione datiOfficeScan (dsagent.exe)



OfficeScan NT Listener(tmlisten.exe)

Comunicazione tra l'Agente OfficeScan e il serverOfficeScan

OfficeScan NT ProxyService (TmProxy.exe)

• Reputazione Web

• Scansione e-mail POP3

OfficeScan NT RealTimeScan (ntrtscan.exe)



• Scansione manuale/Esegui scansione

Framework soluzione clientcomune OfficeScan(TmCCSF.exe)

Servizio di protezione avanzata

• Prevenzione minaccia browser

• Scansione memoria

I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllopossono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguonoapplicazioni a elevato utilizzo delle risorse del sistema:


• OfficeScan NT Firewall (TmPfw.exe)

• Servizio Protezione dati OfficeScan (dsagent.exe)

Per questo motivo, per impostazione predefinita questi servizi sono disattivati sullepiattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server2012). Se si desidera attivare questi servizi:


15-8

• Tenere costantemente sotto controllo le prestazioni del sistema e prendere gliopportuni provvedimenti se si nota un calo delle prestazioni.

• Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni aelevato utilizzo delle risorse del sistema dai criteri di monitoraggio delcomportamento. È possibile utilizzare uno strumento di ottimizzazione delleprestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema.

Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 15-10.

Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delleprestazioni.

Attivazione o disattivazione dei servizi dell'agente dallaconsole Web

Procedura


2. Per gli Agenti OfficeScan con sistemi operativi Windows XP, 7, 8, 8.1 o 10:

a. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) perincludere tutti gli agenti oppure selezionare domini o agenti specifici.

Nota

Quando si seleziona il dominio principale (root) o domini specifici,l'impostazione viene applicata solo agli agenti con piattaforme desktopWindows. L'impostazione non viene applicata agli agenti che eseguonopiattaforme Windows Server anche se fanno parte dei domini.

b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

c. Selezionare per attivare il servizio richiesto in computer desktop Windows opiattaforme Windows Server nelle seguenti sezioni:

• Servizio prevenzione modifiche non autorizzate

• Servizio firewall


15-9

• Servizio di connessione sospetta

• Servizio Protezione dati


d. Fare clic su Salva per applicare le impostazioni ai domini. Se è stataselezionata l'icona del dominio principale, scegliere una delle opzioni riportatedi seguito:

• Applica a tutti gli agenti: applica le impostazioni a tutti gli agentidesktop Windows esistenti e a qualsiasi nuovo agente aggiunto a undominio corrente o futuro. I domini futuri sono i domini non ancoracreati al momento della configurazione delle impostazioni.

• Applica soltanto ai domini futuri: applica le impostazioni solo agliagenti desktop Windows aggiunti ai domini futuri. Questa opzione nonapplica le impostazioni ai nuovi agenti aggiunti a un dominio esistente.

3. Per gli Agenti OfficeScan con piattaforme Windows Server:

a. Selezionare un solo agente che esegue una piattaforma Windows Server nellastruttura agente.

b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.

c. Selezionare per attivare il servizio richiesto in computer desktop Windows opiattaforme Windows Server nelle seguenti sezioni:

• Servizio prevenzione modifiche non autorizzate

• Servizio firewall

• Servizio di connessione sospetta

• Servizio Protezione dati


d. Fare clic su Salva.


15-10

Uso di Trend Micro Performance Tuning Tool

Procedura

1. Scaricare Trend Micro Performance Tuning Tool da:


2. Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe.

3. Posizionare TMPerfTool.exe nella <Cartella di installazione dell'agente> o nellastessa cartella di TMBMCLI.dll.

4. Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionareEsegui come amministratore.

5. Leggere e accettare il contratto per l'utente finale e fare clic su OK.

6. Fare clic su Analizza.

Figura 15-1. Processo a elevato utilizzo delle risorse del sistema evidenziato



15-11

Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. Iprocessi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso.

7. Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sulpulsante Aggiungi a elenco eccezioni (consenti) ( ).

8. Controllare se le prestazioni del sistema o dell'applicazione migliorano.

9. Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsanteRimuovi da elenco eccezioni ( ).

10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito:

a. Prendere nota del nome dell'applicazione.

b. Fare clic su Interrompi.

c. Fare clic sul pulsante Genera segnalazione ( ) e salvare il file .xml.

d. Esaminare le applicazioni identificate come in conflitto e aggiungerleall'elenco eccezioni del monitoraggio del comportamento.

Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina9-10.

Riavvia Servizio Agente OfficeScanOfficeScan riavvia i servizi dell'Agente OfficeScan che improvvisamente nonrispondono senza essere stati interrotti da un processo di sistema normale. Per ulterioriinformazioni sui servizi dell'agente, consultare Servizi dell'agente OfficeScan a pagina 15-6.

Configurare le impostazioni necessarie per consentire il riavvio dei servizi dell'AgenteOfficeScan.

Configurazione delle impostazioni del servizio di riavvio

Procedura



15-12


3. Passare alla sezione Riavvio servizi.

4. Selezionare Riavvia automaticamente il servizio agente OfficeScan se vieneinterrotto in modo imprevisto.

5. Configurare gli elementi riportati di seguito.

• Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti)che deve trascorrere prima che OfficeScan riavvii un servizio.

• Se il primo tentativo di riavvio del servizio non riesce, riprovare __ volte:specificare il numero massimo di tentativi di riavviare il servizio. Se unservizio rimane interrotto dopo il numero massimo di tentativi di riavvio,riavviarlo manualmente.

• Reimposta il conteggio dei riavvii non riusciti dopo __ ora/e: se unservizio rimane interrotto dopo il numero massimo di tentativi di riavvio,OfficeScan attende alcune ore prima di azzerare il conteggio dei riavvii nonriusciti. Se un servizio rimane interrotto dopo il numero di ore specificato,OfficeScan riavvia il servizio.

Protezione automatica dell'agente OfficeScan

La protezione automatica dell'Agente OfficeScan consente all'Agente OfficeScan diproteggere i processi e le altre risorse necessarie per il corretto funzionamento. Laprotezione automatica dell'Agente OfficeScan contribuisce a impedire i tentativi diprogrammi o di utenti di disattivare la protezione contro le minacce informatiche.

La protezione automatica dell'Agente OfficeScan fornisce le seguenti opzioni:

• Proteggi i servizi dell'agente OfficeScan a pagina 15-13

• Proteggi i file nella cartella d'installazione dell'agent OfficeScan a pagina 15-14

• Proteggi le chiavi di registro dell'agente OfficeScan a pagina 15-16

• Proteggi i processi dell'agente OfficeScan a pagina 15-16


15-13

Configurazione delle impostazioni di protezione automaticadell'agente OfficeScan

Procedura




4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Protezioneautomatica dell'agente OfficeScan.

5. Attivare le seguenti opzioni:

• Proteggi i servizi dell'agente OfficeScan a pagina 15-13

• Proteggi i file nella cartella d'installazione dell'agent OfficeScan a pagina 15-14

• Proteggi le chiavi di registro dell'agente OfficeScan a pagina 15-16

• Proteggi i processi dell'agente OfficeScan a pagina 15-16




Proteggi i servizi dell'agente OfficeScanOfficeScan blocca tutti i tentativi di interrompere i servizi dell'Agente OfficeScan:


15-14

• OfficeScan NT Listener (TmListen.exe)

• OfficeScan NT RealTime Scan (NTRtScan.exe)

• OfficeScan NT Proxy Service (TmProxy.exe)

• OfficeScan NT Firewall (TmPfw.exe)

• Servizio Protezione dati OfficeScan (dsagent.exe)


NotaSe questa opzione è attivata, l'Agente OfficeScan può impedire l'installazione diprodotti di terzi sui dispositivi. Se si verifica questo problema, è possibile disattivaretemporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi.

• Framework soluzione client comune Trend Micro (TmCCSF.exe)

Proteggi i file nella cartella d'installazione dell'agentOfficeScanPer impedire ad altri programmi e anche all'utente di modificare o eliminare i filedell'Agente OfficeScan, OfficeScan offre diverse funzionalità di protezione avanzate.

Dopo aver attivato Proteggi i file nella cartella d'installazione dell'agenteOfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazione dell'agente>principale:

• Tutti i file con firma digitale con estensione .exe, .dll e .sys

• Alcuni file senza firma digitale, compresi i seguenti:


15-15

• bspatch.exe

• bzip2.exe

• INETWH32.dll

• libcurl.dll

• libeay32.dll

• libMsgUtilExt.mt.dll

• msvcm80.dll

• MSVCP60.DLL

• msvcp80.dll

• msvcr80.dll

• OfceSCV.dll

• OFCESCVPack.exe

• patchbld.dll

• patchw32.dll

• patchw64.dll

• PiReg.exe

• ssleay32.dll

• Tmeng.dll

• TMNotify.dll

• zlibwapi.dll

Dopo aver attivato Proteggi i file nella cartella d'installazione dell'agenteOfficeScan e Scansione in tempo reale per rilevare minacce virus/malware, OfficeScanesegue le operazioni seguenti:

• Verifica l'integrità dei file prima di aprire i file .exe nella cartella d'installazione

Durante gli aggiornamenti di ActiveUpdate, OfficeScan verifica che l'emittente delfile che ha attivato l'aggiornamento sia Trend Micro. Se l'emittente non vienericonosciuto come Trend Micro e ActiveUpdate non è in grado di sostituire il filenon corretto, OfficeScan registra l'incidente nei registri eventi di Windows e bloccal'aggiornamento.

• Impedisce l'hijack delle DLL

Alcuni sviluppatori di malware copiano i file delle librerie di collegamento dinamico(DLL) nella cartella d'installazione dell'Agente OfficeScan o nella cartella delmonitoraggio del comportamento, allo scopo di caricare questi file prima delcaricamento dell'agente. Questi file tentano di interrompere la protezione offerta daOfficeScan. Per impedire la copia dei file manomessi nelle cartelle dell'AgenteOfficeScan, OfficeScan impedisce la copia dei file nella cartella d'installazione e inquella del monitoraggio del comportamento.

• Impedisce il blocco dei file utilizzando l'impostazione “SHARE:NONE” inWindows


15-16

Proteggi le chiavi di registro dell'agente OfficeScan

L'Agente OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuovevoci nelle chiavi e sottochiavi di registro riportate di seguito:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AMSP

Proteggi i processi dell'agente OfficeScan

L'Agente OfficeScan blocca tutti i tentativi di terminare i processi riportati nella tabellaseguente:

Processo Descrizione

TmListen.exe Riceve comandi e notifiche dal server OfficeScan e facilita lacomunicazione dall'Agente OfficeScan al server

NTRtScan.exe esegue la scansione in tempo reale, pianificata e manuale sugliAgenti OfficeScan

TmProxy.exe esegue la scansione del traffico di rete prima di passarloall'applicazione di destinazione

TmPfw.exe fornisce funzioni di firewall a livello di pacchetti, scansione di virusdi rete e rilevamento intrusioni

TMBMSRV.exe regola l'accesso ai dispositivi di memorizzazione esterni eimpedisce le modiche non autorizzate alle chiavi di registro e aiprocessi

DSAgent.exe effettua il monitoraggio della trasmissione dei dati sensibili econtrolla l'accesso ai dispositivi

PccNTMon.exe questo processo è responsabile dell'avvio della consoledell'Agente OfficeScan


15-17

Processo Descrizione

TmCCSF.exe: esegue Prevenzione minaccia browser e la scansione dellamemoria

L'Agente OfficeScan può proteggere anche dall'aggiunta di processi nei Criterirestrizione software di Microsoft. I Criteri restrizione software impediscono l'esecuzionedelle applicazioni elencate sul dispositivo. Per impedire l'aggiunta di processi AgenteOfficeScan nell'elenco dei Criteri restrizione software:

1. Attivare Proteggi i processi dell'agente OfficeScan.

2. Attivare il Servizio prevenzione modifiche non autorizzate.

Per i dettagli, consultare Attivazione o disattivazione dei servizi dell'agente dalla console Weba pagina 15-8.

Restrizione di accesso alla console dell'agenteOfficeScan

Questa impostazione disattiva l'accesso alla console dell'Agente OfficeScan dalla barradelle applicazioni o dal menu Start di Windows. L'unico modo in cui gli utenti possonoaccedere alla console dell'Agente OfficeScan è facendo doppio clic su PccNTMon.exenella cartella <Cartella di installazione dell'agente>. Dopo aver configurato questaimpostazione, caricare di nuovo l'Agente OfficeScan per applicarla.

Questa impostazione non disattiva l'Agente OfficeScan. L'Agente OfficeScan è attivo inbackground e continua a fornire protezione contro i rischi per la sicurezza.

Restrizione dell'accesso alla console dell'agente OfficeScan

Procedura




15-18


4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Restrizione diaccesso agente OfficeScan.

5. Selezionare Impedisce agli utenti di accedere alla console agente OfficeScandalla barra delle applicazioni o dal menu Start di Windows.




Rimozione e sblocco dell'agente OfficeScan

Il privilegio di rimozione e sblocco dell'Agente OfficeScan consente agli utenti diinterrompere l'Agente OfficeScan o di accedere alle funzioni avanzate della console Webcon o senza password.

Concessione del privilegio di rimozione e sbloccodell'agente

Procedura




15-19


4. Nella scheda Privilegi, accedere alla sezione Rimuovi e sblocca.

5. Per consentire la rimozione dell'Agente OfficeScan senza una password,selezionare Password non richiesta.

• Se è necessaria una password, selezionare Richiedi una password, digitare lapassword e confermarla.




Agente OfficeScan con privilegio di modalitàIndipendente

Se alcuni eventi agente-server interferiscono con le attività degli utenti, è possibileassegnare a determinati utenti il privilegio di modalità Indipendente dell'AgenteOfficeScan. Ad esempio, un utente che fa spesso presentazioni può attivare la modalitàIndipendente prima di iniziare una presentazione per impedire al server OfficeScan diimplementare le impostazioni dell'Agente OfficeScan e di avviare le scansionisull'Agente OfficeScan.

Se gli Agenti OfficeScan sono in modalità Indipendente:

• Gli Agenti OfficeScan non inviano registri al server OfficeScan, neppure inpresenza di una connessione funzionale tra il server e gli agenti.


15-20

• Il server OfficeScan non avvia operazioni né implementa le impostazionidell'Agente OfficeScan sugli agenti, neppure in presenza di una connessionefunzionale tra il server e gli agenti.

• Gli agenti OfficeScan aggiornano i componenti se sono in grado connettersi a unadelle rispettive origini degli aggiornamenti. Le origini sono il server OfficeScan, gliUpdate Agents oppure un origine di aggiornamento personalizzata.

Gli eventi seguenti attivano un aggiornamento sugli agenti in modalitàIndipendente:

• L'utente esegue un aggiornamento manuale.

• Viene eseguito l'aggiornamento automatico dell'agente. È possibile disattivarel'aggiornamento automatico dell'agente sugli agenti in modalità Indipendente.

Per i dettagli, consultare Disattivazione dell'aggiornamento automatico dell'agente negliagenti indipendenti a pagina 15-21.

• Viene eseguito l'aggiornamento pianificato. Solo gli agenti con i privilegirichiesti possono eseguire aggiornamenti pianificati. È possibile revocarequesto privilegio in qualsiasi momento.

Per i dettagli, consultare Revoca del privilegio per l'aggiornamento pianificato sugliagenti indipendenti a pagina 15-22.

Concessione del privilegio di modalità Indipendenteall'Agente

Procedura




4. Nella scheda Privilegi, accedere alla sezione Modalità indipendente.


15-21

5. Selezionare Attiva modalità Indipendente.




Disattivazione dell'aggiornamento automatico dell'agentenegli agenti indipendenti

Procedura

1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.

2. Passare alla sezione Aggiornamento provocato da un evento.

3. Disattivare Includi agenti in roaming e offline.

NotaQuesta opzione viene disattivata automaticamente se si disattiva Avvial'aggiornamento dei componenti degli agenti subito dopo che il serverOfficeScan ha scaricato un nuovo componente.


15-22

Revoca del privilegio per l'aggiornamento pianificato sugliagenti indipendenti

Procedura


2. Nella struttura agente, fare clic sull'icona del dominio root ( ) oppure selezionaredomini o agenti specifici.


4. Nella scheda Privilegi, accedere alla sezione Aggiornamenti dei componenti.

5. Deselezionare l'opzione Attiva/Disattiva aggiornamenti pianificati.


Configurazione della lingua dell'agente OfficeScanÈ possibile configurare tutti gli Agenti OfficeScan da visualizzare utilizzando leimpostazioni della lingua del server OfficeScan oppure quelle della lingua dell'utentecollegato localmente. Dopo aver installato o aggiornato il programma AgenteOfficeScan, l'agente applica le impostazioni della lingua configurate nella schermataImpostazioni globali.

Per impostazione predefinita, se l'Agente OfficeScan non supporta le impostazioni dellalingua dell'utente collegato, la lingua viene impostata su quella del server OfficeScan.

Configurazione delle impostazioni di lingua dell'agenteOfficeScan

Procedura




15-23

3. Passare alla sezione Configurazione lingua agente.

4. Specificare il modo in cui l'Agente OfficeScan applica le impostazioni di lingua:

• Impostazioni di lingua locali nel dispositivo: l'Agente OfficeScan vienevisualizzato in base alle impostazioni di lingua dell'utente che ha effettuatol'accesso.

NotaSe l'Agente OfficeScan non supporta le impostazioni di lingua dell'utente che haeffettuato l'accesso, l'agente applica la lingua del server OfficeScan. Se ildispositivo non supporta la lingua del server OfficeScan, il testo vienevisualizzato in inglese.

• Lingua del server OfficeScan: l'Agente OfficeScan viene visualizzato inbase alla lingua del server OfficeScan.

NotaSe il dispositivo non supporta la lingua del server OfficeScan, il testo vienevisualizzato in inglese.


Agent MoverSe nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento AgentMover per trasferire gli Agenti OfficeScan da un server OfficeScan a un altro. Questostrumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo serverOfficeScan alla rete, si desidera trasferire gli Agenti OfficeScan esistenti sul nuovoserver.


15-24

Nota

I due server devono avere la stessa versione di lingua. Se si usa Agent Mover per spostareun Agente OfficeScan con una versione precedente in un server della versione corrente, laversione dell'Agente OfficeScan sarà aggiornata automaticamente.

Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questostrumento.

Esecuzione di Agent Mover

Procedura

1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\IpXfer.

2. Copiare il file IpXfer.exe nel dispositivo dell'Agente OfficeScan. Se il dispositivodell'Agente OfficeScan esegue una piattaforma di tipo x64, copiare invece il fileIpXfer_x64.exe.

3. Sul dispositivo dell'Agente OfficeScan, aprire un prompt dei comandi e accederealla cartella nella quale è stato copiato il file eseguibile.

4. Eseguire Agent Mover utilizzando la sintassi riportata di seguito.

<nome file eseguibile> -s <nome server> -p <porta diascolto del server> -c <porta di ascolto dell'agente> -d<dominio o gerarchia dominio> -e <nome file e posizione delcertificato> -pwd <password privilegio di rimozione esblocco dell'agente>

Tabella 15-2. Parametri di Agent Mover

Parametro Spiegazione

<nome fileeseguibile>.

IpXfer.exe oppure IpXfer_x64.exe

-s <nome server> Il nome del server OfficeScan di destinazione (il server incui verrà trasferito l'Agente OfficeScan)


15-25


-p <porta diascolto del server>

La porta di ascolto (o porta affidabile) del serverOfficeScan di destinazione (solo per server locali)

Per visualizzare la porta di ascolto della console WebOfficeScan, fare clic su Amministrazione >Impostazioni > Connessione agente nel menuprincipale.

-sp <porta diascolto del serverHTTPS>

La porta di ascolto (o porta affidabile) del serverOfficeScan di destinazione (solo per server SaaS)

-c <porta diascoltodell'agente>

Il numero della porta usata dal dispositivo dell'AgenteOfficeScan per comunicare con il server

-d <dominio ogerarchia dominio>

Il dominio o sottodominio della struttura agente in cuiverrà raggruppato l'agente

La gerarchia di domini deve indicare il sottodominio.

-e <nome file eposizione delcertificato>

Importa un nuovo certificato di autenticazione perl'Agente OfficeScan durante il processo di spostamento

Se non viene usato questo parametro, l'AgenteOfficeScan recupera automaticamente il certificato diautenticazione corrente dal suo server di gestione nuovo.

NotaLa posizione predefinita del certificato nel serverOfficeScan è:

<Cartella di installazione del server>\PCCSRV\Pccnt\Common\OfcNTCer.dat.

Quando viene usato un certificato da un'originediversa da OfficeScan, assicurarsi che certificatosia in formato DER (Distinguished EncodingRules).


15-26


-pwd <passwordprivilegio dirimozione e sbloccodell'agente>

La password del privilegio di rimozione e sbloccoconfigurata in Privilegi e altre impostazioni

NotaSe la password per le operazioni di rimozione esblocco è necessaria ma non viene fornita, AgentMover la richiede prima di tentare di spostare gliagenti.

-dbg Consente la connessione del registro di debug

Esempi:

• Per le installazioni sul server OfficeScan locale:

ipXfer.exe -s Server01 -p 8080 -c 21112 -d Workgroup -pwd unlock

ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Workgroup\Group01 -pwd unlock

• Per i server SaaS OfficeScan:

ipXfer.exe -s Server01 -sp 443 -p 8080 -c 21112 -dWorkgroup -pwd unlock -dbg 1

5. Per confermare che ora l'Agente OfficeScan invia le notifiche all'altro server,effettuare le seguenti operazioni:

a. Sul dispositivo dell'Agente OfficeScan, fare clic con il pulsante destro delmouse sull'icona del programma Agente OfficeScan nella barra delleapplicazioni.

b. Selezionare Versioni componenti.

c. Verificare il server OfficeScan a cui fa riferimento l'Agente OfficeScan nelcampo Nome server/porta.


15-27

Nota

Se l'Agente OfficeScan non viene visualizzato nella struttura agente del nuovoserver OfficeScan che lo gestisce, riavviare il Master Service del nuovo server(ofservice.exe).

Agenti OfficeScan inattiviSe si utilizza il programma di disinstallazione dell'Agente OfficeScan per rimuovere unprogramma Agente OfficeScan dai dispositivi, il programma invia automaticamente unanotifica al server. Quando il server riceve questa notifica, l'icona dell'Agente OfficeScanviene rimossa dalla struttura agente per indicare che l'agente non esiste più.

Se tuttavia l'Agente OfficeScan viene rimosso con altri metodi, ad esempioriformattando il disco rigido del dispositivo oppure eliminando manualmente i filedell'Agente OfficeScan, OfficeScan non ne rileva la rimozione e l'Agente OfficeScanviene quindi visualizzato come inattivo. Se un utente rimuove o disattiva l'AgenteOfficeScan per un periodo di tempo prolungato, anche il server visualizza l'AgenteOfficeScan come inattivo.

Per fare in modo che la struttura agente visualizzi soltanto gli agenti attivi, configurareOfficeScan in modo da rimuovere automaticamente gli agenti inattivi dalla strutturaagente.

Rimozione automatica degli agenti inattivi

Procedura

1. Accedere a Amministrazione > Impostazioni > Agenti inattivi.

2. Selezionare Attiva rimozione automatica degli agenti inattivi.

3. Selezionare il numero di giorni che devono trascorrere prima che OfficeScanconsideri inattivo un Agente OfficeScan.



15-28

Connessione agente serverL'Agente OfficeScan deve mantenere una connessione continua al server principale inmodo da poter aggiornare i componenti, ricevere le notifiche e applicaretempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano comecontrollare lo stato della connessione dell'Agente OfficeScan e risolvere i problemi diconnessione:

• Indirizzi IP dell'agente a pagina 5-10

• Icone dell'agente OfficeScan a pagina 15-28

• Verifica della connessione agente server a pagina 15-46

• Registri di verifica connessione a pagina 15-47

• Agenti non raggiungibili a pagina 15-48

Icone dell'agente OfficeScanL'icona dell'Agente OfficeScan presente nella barra delle applicazioni offre suggerimentivisivi che indicano lo stato corrente dell'Agente OfficeScan e chiedono agli utenti dieseguire determinate azioni. In qualsiasi momento, l'icona mostra una combinazione deiseguenti suggerimenti visivi.


15-29

Tabella 15-3. Stato dell'Agente OfficeScan indicato dall'icona dell'AgenteOfficeScan

Statoagente Descrizione Suggerimento visivo

Connessionedell'agenteal serverOfficeScan

Gli agenti online sonoconnessi al serverOfficeScan. Il server puòavviare attività eimplementare impostazionisu questi agenti

L'icona contiene un simbolo che somiglia aun battito cardiaco (Heartbeat).

Il colore di sfondo è una tonalità di blu orosso, a seconda dello stato del servizioscansione in tempo reale.

Gli agenti offline sonodisconnessi dal serverOfficeScan. Il server non èin grado di gestire questiagenti.

L'icona contiene un simbolo che somigliaalla perdita di un battito cardiaco(Hearbeat).


Un agente può essere offline anche se èconnesso alla rete. Per ulteriori informazionisu questo problema, vedere Soluzioni aiproblemi riportati nelle icone dell'agenteOfficeScan a pagina 15-42.

Gli agenti indipendentipossono essere in grado dicomunicare con il serverOfficeScan oppure no.

L'icona contiene i simboli del desktop e delsegnale.


Per ulteriori informazioni sui agenti inmodalità Indipendente, vedere AgenteOfficeScan con privilegio di modalitàIndipendente a pagina 15-19.


15-30


Disponibilitàdi originiSmartProtection

Le origini Smart Protectioncomprendono gli SmartProtection Server e TrendMicro Smart ProtectionNetwork.

Gli agenti con scansioneconvenzionale si colleganoalle origini Smart Protectionper le query di reputazioneWeb.

Gli agenti Smart Scan sicollegano alle origini SmartProtection per le query discansione e reputazioneWeb.

L'icona comprende un segno di spunta se èdisponibile un'origine Smart Protection.

L'icona comprende una barra diavanzamento se non sono disponibili originiSmart Protection e l'agente sta tentando distabilire la connessione alle origini.

Per ulteriori informazioni su questoproblema, vedere Soluzioni ai problemiriportati nelle icone dell'agente OfficeScan apagina 15-42.

Per gli agenti con scansione convenzionale,non viene visualizzato alcun segno dispunta o una barra di avanzamento se lareputazione Web è stata disattivatanell'agente.


15-31


Statoservizioscansionein temporeale

OfficeScan utilizza ilservizio di scansione intempo reale non solo per lascansione in tempo reale,ma anche per la scansionemanuale e pianificata.

Il servizio deve esserefunzionante per evitare diesporre l'agente a rischi perla sicurezza.

Se il servizio scansione in tempo reale èfunzionante, tutta l'icona è ombreggiata dicolore blu. Due tonalità di blu vengonoutilizzate per indicare il dell'agente.

• Per la scansione convenzionale:

• Per Smart Scan:

Se il servizio scansione in tempo reale èstato disattivato o non è funzionante, l'interaicona è ombreggiata di colore rosso.

Due tonalità di rosso vengono utilizzate perindicare il metodo di scansione dell'agente.

• Per la scansione convenzionale:

• Per Smart Scan:



15-32


Statoscansionein temporeale

La scansione in temporeale offre la protezioneproattiva effettuando lascansione dei file peridentificare rischi per lasicurezza mentre vengonocreati, modificati orecuperati.

Non ci sono suggerimenti visivi se èabilitata la scansione in tempo reale.

Se la scansione in tempo reale èdisabilitata, l'intera icona è circondata da uncerchio rosso e contiene una lineadiagonale rossa.


Statoaggiornamento pattern

Gli agenti devonoaggiornare il patternregolarmente perproteggere l'agente dalleminacce più recenti.

Non ci sono suggerimenti visivi se il patternè aggiornato o leggermente non aggiornato.

L'icona comprende un punto esclamativo seil pattern è obsoleto. Significa che il patternnon è stato aggiornato recentemente.

Per ulteriori informazioni sulle modalità diaggiornamento degli agenti, vedereAggiornamenti dell'agente OfficeScan apagina 6-29.

Stato dellalicenza diprova direputazionedel serverOfficeScan

Gli agenti online sonoconnessi a un serverOfficeScan che stautilizzando una licenza diprova scaduta.

Questa icona indica che la licenza di provanel server OfficeScan è scaduta.


15-33

Icone Smart ScanQuando gli Agenti OfficeScan usano la scansione Smart Scan, viene visualizzata unadelle icone elencate di seguito.

Tabella 15-4. Icone Smart Scan

Icona

Connessione alserver

OfficeScan

Disponibilità diorigini Smart

Protection

Servizioscansione intempo reale


Online Disponibili Funzionante Attivato

Online Disponibili Funzionante Disattivato

Online Disponibili Disattivato o nonfunzionante

Disattivato o nonfunzionante

Online Non disponibile,nuova connessionealle origini in corso

Funzionante Attivato


Funzionante Disattivata




Offline Disponibili Funzionante Attivato

Offline Disponibili Funzionante Disattivata

Offline Disponibili Disattivato o nonfunzionante



15-34

Icona

Connessione alserver

OfficeScan

Disponibilità diorigini Smart

Protection

Servizioscansione intempo reale


Offline Non disponibile,nuova connessionealle origini in corso







Indipendente Disponibili Funzionante Attivato

Indipendente Disponibili Funzionante Disattivata

Indipendente Disponibili Disattivato o nonfunzionante


Indipendente Non disponibile,nuova connessionealle origini in corso







Icone scansione convenzionale

Quando gli Agenti OfficeScan usano la scansione convenzionale, viene visualizzata unadelle seguenti icone.


15-35

Tabella 15-5. Icone scansione convenzionale

Icona

Connessione alserverOfficeScan

Servizi direputazioneWeb fornitidalle origini

SmartProtection

Servizioscansionein temporeale

Scansionein temporeale

Patterndei virus

Online Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Online Non disponibile,nuovaconnessione alleorigini in corso

Funzionante Attivato Aggiornato oleggermentenonaggiornato

Online Disponibili Funzionante Attivato Obsoleto


Funzionante Attivato Obsoleto

Online Disponibili Funzionante Disattivato Aggiornato oleggermentenonaggiornato


Funzionante Disattivata Aggiornato oleggermentenonaggiornato

Online Disponibili Funzionante Disattivata Obsoleto


Funzionante Disattivata Obsoleto


15-36

Icona



SmartProtection



Patterndei virus

Online Disponibili Disattivato ononfunzionante

Disattivato ononfunzionante

Aggiornato oleggermentenonaggiornato





Online Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto

Offline Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Offline Non disponibile,nuovaconnessione alleorigini in corso


Offline Disponibili Funzionante Attivato Obsoleto




15-37

Icona



SmartProtection



Patterndei virus

Offline Disponibili Funzionante Disattivata Aggiornato oleggermentenonaggiornato



Offline Disponibili Funzionante Disattivata Obsoleto



Offline Disponibili Disattivato ononfunzionante







Offline Disponibili Disattivato ononfunzionante


Obsoleto




Obsoleto


15-38

Icona



SmartProtection



Patterndei virus

Indipendente

Disponibili Funzionante Attivato Aggiornato oleggermentenonaggiornato

Indipendente

Non disponibile,nuovaconnessione alleorigini in corso


Indipendente

Disponibili Funzionante Attivato Obsoleto

Indipendente



Indipendente

Disponibili Funzionante Disattivata Aggiornato oleggermentenonaggiornato

Indipendente



Indipendente

Disponibili Funzionante Disattivata Obsoleto

Indipendente




15-39

Icona



SmartProtection



Patterndei virus

Indipendente

Disponibili Disattivato ononfunzionante



Indipendente





Indipendente

Disponibili Disattivato ononfunzionante


Obsoleto

Indipendente




Obsoleto

Online Non applicabile(funzione direputazione Webdisattivatasull'agente)







15-40

Icona



SmartProtection



Patterndei virus










Obsoleto

Offline Non applicabile(funzione direputazione Webdisattivatasull'agente)







15-41

Icona



SmartProtection



Patterndei virus










Obsoleto

Indipendente

Non applicabile(funzione direputazione Webdisattivatasull'agente)


Indipendente



Indipendente




15-42

Icona



SmartProtection



Patterndei virus

Indipendente



Indipendente





Indipendente




Obsoleto

Soluzioni ai problemi riportati nelle icone dell'agenteOfficeScanSe l'icona dell'Agente OfficeScan indica una delle seguenti condizioni, eseguire le azioninecessarie:

Condizione Descrizione

Il file di pattern nonè stato aggiornatorecentemente

Gli utenti dell'Agente OfficeScan devono aggiornare i componenti.Dalla console Web, configurare le impostazioni di aggiornamentodei componenti in Aggiornamenti > Agenti > Aggiornamentoautomatico oppure concedere agli utenti il privilegio diaggiornamento in Agenti > Gestione agente > Impostazioni >Privilegi e altre impostazioni > scheda Privilegi >Aggiornamenti dei componenti.


15-43

Condizione Descrizione

Servizio scansionein tempo reale èstato disattivato onon è funzionante

Se Servizio scansione in tempo reale (OfficeScan NT RealTimeScan) è stato disattivato o non è funzionante, gli utenti devonoavviare il servizio manualmente da Console di gestione Microsoft.

Scansione in temporeale disattivata

Attivare la scansione in tempo reale dalla console Web (Agenti >Gestione agente > Impostazioni > Impostazioni di scansione> Impostazioni scansione in tempo reale).

La scansione intempo reale è statadisattivata el'Agente OfficeScanè in modalitàindipendente

Gli utenti devono innanzitutto disattivare la modalità indipendente.Dopo aver disattivato la modalità indipendente, attivare lascansione in tempo reale dalla console Web.

L'Agente OfficeScanè connesso alla retema risulta offline.

Verificare la connessione tramite la console Web (Agenti >Verifica connessione), quindi controllare i registri di verifica dellaconnessione (Registri > Agenti > Registri di verificaconnessione).

Se dopo la verifica, l'Agente OfficeScan è ancora offline:

1. Se lo stato della connessione è offline sia nel server chenell'Agente OfficeScan, verificare la connessione di rete.

2. Se lo stato della connessione dell'Agente OfficeScan è offlinema online sul server, il nome di dominio del server potrebbeessere stato modificato e l'Agente OfficeScan continua acollegarsi al server usando il nome di dominio (se è statoselezionato il nome di dominio durante l'installazione delserver). Registrare il nome di dominio del server OfficeScannel server DNS o WINS oppure aggiungere il nome didominio e le informazioni IP nel file "hosts" nella cartellaseguente sul dispositivo agente:<Cartella Windows>\system32\drivers\etc

3. Se lo stato della connessione dell'Agente OfficeScan è onlinema offline sul server, verificare le impostazioni del firewallOfficeScan. Il firewall potrebbe bloccare la comunicazione dalserver all'agente, ma consentire quella dall'agente al server.

4. Se lo stato della connessione dell'Agente OfficeScan è onlinema offline sul server, è possibile che l'indirizzo IP dell'Agente


15-44

Condizione DescrizioneOfficeScan sia stato modificato, ma che il suo stato non siaaggiornato sul server (ad esempio, al caricamentodell'agente). Provare a implementare di nuovo l'AgenteOfficeScan.

Origini SmartProtection nondisponibili

Se un agente perde la connessione alle origini Smart Protection,effettuare queste operazioni:

1. Nella console Web, accedere alla schermata Posizionedispositivo (Agenti > Posizione dispositivo) e controllarese sono state configurate correttamente le seguentiimpostazioni della posizione del dispositivo:

• Server di riferimento e numeri di porta

• Indirizzi IP gateway

2. Nella console Web, accedere alla schermata Origine SmartProtection (Amministrazione > Smart Protection > OriginiSmart Protection) quindi effettuare le seguenti operazioni:

a. Verificare se le impostazioni dello Smart ProtectionServer nell'elenco standard o personalizzato delle originisono corrette.

b. Verificare se la connessione ai server riesce.

c. Fare clic su Invia una notifica tutti gli agenti dopo averconfigurato l'elenco delle origini.

3. Verificare che i seguenti file di configurazione presenti inSmart Protection Server e nell'Agente OfficeScan sianosincronizzati:

• sscfg.ini

• ssnotify.ini

4. Aprire l'editor del Registro di sistema e verificare che l'agentesia connesso alla rete aziendale.

Chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\iCRC Scan\Scan Server


15-45

Condizione Descrizione• Se LocationProfile=1, l'Agente OfficeScan è

connesso alla rete e dovrebbe essere in grado dicollegarsi a Smart Protection Server.

• Se LocationProfile=2, l'Agente OfficeScan non èconnesso alla rete e dovrebbe connettersi a SmartProtection Network. Da Internet Explorer, verificare se ildispositivo Agente OfficeScan è in grado di accedere allepagine Web su Internet.

5. Verificare le impostazioni del proxy interno ed esternoutilizzate per connettersi a Smart Protection Network e agliSmart Protection Server.

Per ulteriori informazioni, consultare Configurazione delleimpostazioni proxy degli agenti interni a pagina 15-55 eConfigurazione delle impostazioni proxy degli agenti esterni apagina 15-56.

6. Per gli agenti con scansione convenzionale che eseguonoWindows XP, Server 2003 e Server 2008, verificare cheOfficeScan NT Proxy Service (TmProxy.exe) sia inesecuzione. Se questo servizio viene interrotto, gli agenti nonsono in grado di connettersi alle origini Smart Protection perla reputazione Web.

Per gli agenti con scansione convenzionale che eseguonoWindows 7, Server 2012 e versioni successive, verificare cheil driver tmusa sia in esecuzione. Se questo driver vieneinterrotto, gli agenti non sono in grado di connettersi alleorigini Smart Protection per la Web Reputation.


15-46

Verifica della connessione agente serverLo stato della connessione dell'agente con il server OfficeScan viene visualizzato nellastruttura agente della console Web OfficeScan.

Figura 15-2. Nella struttura agente viene visualizzato lo stato della connessionedell'agente con il server OfficeScan

Alcune condizioni potrebbero impedire alla struttura agente di visualizzarecorrettamente lo stato della connessione dell'agente. Se, ad esempio, il cavo di rete deldispositivo agente viene involontariamente scollegato, l'agente non sarà in grado dinotificare al server di essere offline. Questo agente verrà pertanto visualizzato ancoracome online nella struttura agente.

Verificare la connessione agente server manualmente o eseguire la verifica pianificatamediante OfficeScan. Non è possibile verificare lo stato della connessione di domini oagenti specifici dopo averli selezionati. OfficeScan verifica lo stato della connessione ditutti gli agenti registrati.

Verifica delle connessioni agente-server

Procedura

1. Accedere a Agenti > Verifica connessione.

2. Per verificare la connessione agente-server manualmente, accedere alla schedaVerifica manuale e fare clic su Verifica ora.


15-47

3. Per verificare la connessione agente-server automaticamente, accedere alla schedaVerifica pianificata.

a. Selezionare Attiva la verifica pianificata.

b. Selezionare la frequenza e l'ora di inizio della verifica.

c. Fare clic su Salva per salvare la pianificazione della verifica.

4. Controllare la struttura agente per verificare lo stato o visualizzare i registri diverifica della connessione.

Registri di verifica connessione

OfficeScan mantiene dei registri di verifica della connessione per consentire dideterminare se il server OfficeScan è in grado di comunicare con tutti gli agentiregistrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica dellaconnessione agente server dalla console Web.


Visualizzazione dei registri di verifica connessione

Procedura

1. Accedere a Registri > Agenti > Registri di verifica connessione.

2. I risultati della verifica della connessione sono contenuti all'interno della colonnaStato.



15-48

Agenti non raggiungibiliGli Agenti OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti direte dietro un gateway NAT, sono quasi sempre offline perché il server non riesce astabilire una connessione diretta con gli agenti. Di conseguenza, il server non è in gradodi inviare notifiche agli agenti per:

• Scaricare la versione più recente dei componenti.

• Applicare le impostazioni dell'agente configurate dalla console Web. Ad esempio,quando si modifica la frequenza della Scansione pianificata dalla console Web, ilserver invia immediatamente una notifica agli agenti per applicare la nuovaimpostazione.

Gli agenti non raggiungibili quindi non sono in grado di eseguire queste attivitàtempestivamente. Eseguono queste attività solo quando si connettono al server, ovveroquando:

• Eseguono la registrazione sul server dopo l'installazione.

• Eseguono il riavvio o il ricaricamento. Questo evento non si verificafrequentemente e in genere richiede l'intervento dell'utente.

• L'aggiornamento manuale o pianificato viene attivato nell'agente. Anche questoevento non si verifica frequentemente.

Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettivitàdegli agenti e li considera online. Tuttavia, poiché il server non è ancora è in grado distabilire una connessione con gli agenti, il server cambia immediatamente lo stato suoffline.

OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere iproblemi riguardanti gli agenti non raggiungibili. Con queste funzioni, il serverinterrompe la notifica agli agenti degli aggiornamenti dei componenti e delle modifichedelle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesadell'invio di heartbeat o dell'avvio di polling da parte degli agenti. Quando rileva uno diquesti eventi, il server considera gli agenti come online.


15-49

NotaEventi iniziati dall'Agente e non correlati a heartbeat e polling del server, comel'aggiornamento manuale dell'agente e l'invio del registro, non determinanol'aggiornamento dello stato degli agenti non raggiungibili da parte del server.

HeartbeatGli Agenti OfficeScan inviano messaggi heartbeat per notificare al server che laconnessione dell'agente è funzionante. Quando riceve un messaggio heartbeat, il serverconsidera l'agente come online. Nella struttura agente, lo stato dell'agente può essereuno dei seguenti:

• Online: per gli agenti online normali

• Non raggiungibile/Online: per gli agenti online nella rete non raggiungibile

NotaGli Agenti OfficeScan non aggiornano i componenti né applicano nuove impostazioniquando inviano messaggi di heartbeat. Gli agenti normali eseguono queste operazionidurante gli aggiornamenti di routine (consultare Aggiornamenti dell'agente OfficeScan a pagina6-29). Gli agenti nella rete non raggiungibile eseguono queste operazioni durante il pollingdel server.

La funzione di heartbeat consente di risolvere il problema degli Agenti OfficeScan nellereti non raggiungibili che risultano sempre offline, anche quando in realtà sono in gradodi connettersi al server.

Un'impostazione nella console Web controlla la frequenza di invio dei messaggi diheartbeat da parte degli agenti. Se non riceve heartbeat, il server non consideraimmediatamente l'agente come offline. Un'altra impostazione controlla il periodo ditempo senza heartbeat che deve trascorrere prima di cambiare lo stato dell'agente su:

• Offline: per gli Agenti OfficeScan offline normali

• Non raggiungibile/Offline: per gli Agenti OfficeScan offline nella rete nonraggiungibile

Nella scelta delle impostazioni di heartbeat più idonee, è consigliabile trovare il giustocompromesso tra l'esigenza di visualizzare le informazioni di stato dell'agente aggiornate


15-50

e le esigenze di gestione delle risorse di sistema. L'impostazione predefinita è adeguataper la maggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazionedell'heartbeat, tenere conto di quanto segue:

Tabella 15-6. Impostazioni consigliate per Heartbeat

FrequenzaHeartbeat Raccomandazione

Intervalli di heartbeatlunghi (maggiori di 60minuti)

Più lungo è l'intervallo tra gli heartbeat, maggiore è il numerodi eventi che possono verificarsi prima che il server aggiornilo stato dell'agente nella console Web.

Intervalli di Heartbeatbrevi (minori di 60minuti)

Intervalli di tempo brevi consentono di mantenere lo statodell'agente più aggiornato, ma richiedono un maggioreutilizzo dell'ampiezza di banda.

Polling del serverLa funzione di polling del server consente di risolvere il problema degli AgentiOfficeScan non raggiungibili che non ricevono tempestivamente le notifiche relative agliaggiornamenti dei componenti e alle modifiche alle impostazioni dell'agente. Questafunzione è indipendente dalla funzione di heartbeat.

Con la funzione di polling del server:

• Gli Agenti OfficeScan avviano automaticamente la connessione con il serverOfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling,considera l'agente come "Non raggiungibile/Online".

• Gli Agenti OfficeScan si connettono a una o più delle rispettive originiaggiornamenti per scaricare eventuali componenti aggiornati e applicare nuoveimpostazioni per l'agente. Se l'origine aggiornamenti principale è il serverOfficeScan o un Update Agent, gli agenti ottengono sia i componenti che le nuoveimpostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un UpdateAgent, gli agenti possono scaricare solo i componenti aggiornati e devonoconnettersi al server OfficeScan o all'Update Agent per ottenere le nuoveimpostazioni.


15-51

Configurazione di heartbeat e funzioni di polling del server

Procedura



3. Passare alla sezione Rete non raggiungibile.

4. Configurare le impostazioni del polling del server.

Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina15-50.

a. Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibiledigitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza.

Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure unprefisso IPv6 e la lunghezza se il server è un IPv6 puro.

Quando l'indirizzo IP di un agente corrisponde a un indirizzo IPdell'intervallo, l'agente applica le impostazioni relative al polling e all'heartbeatdel server e considera l'agente come appartenente alla rete non raggiungibile.

Nota

Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a unserver OfficeScan dual-stack.

Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a unserver OfficeScan dual-stack.

Gli agenti dual-stack possono connettersi al server OfficeScan dual-stack, IPv4puro o IPv6 puro.

b. In Gli agenti eseguono il polling del server per le impostazioni e icomponenti aggiornati ogni __ minuti, specificare la frequenza del pollingdel server. Digitare un valore compreso tra 1 e 129600 minuti.


15-52

SuggerimentoTrend Micro consiglia di impostare una frequenza di polling del server almenotre volte superiore alla frequenza di invio di heartbeat.

5. Configurare le impostazioni Heartbeat.

Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 15-49.

a. Selezionare Consenti agli agenti di inviare heartbeat al server.

b. Selezionare Tutti gli agenti o Solo gli agenti della rete non raggiungibile.

c. In Gli agenti inviano heartbeat ogni __ minuto/i, specificare la frequenzacon la quale gli agenti inviano heartbeat. Digitare un valore compreso tra 1 e129600 minuti.

d. In L'agente è offline se non c'è heartbeat dopo __ minuto/i, specificarel'intervallo di tempo che deve trascorrere senza heartbeat prima che il serverOfficeScan consideri l'agente come offline. Digitare un valore compreso tra 1e 129600 minuti.


Impostazioni proxy dell'Agente OfficeScanLa seguente tabella definisce le impostazioni proxy dell'Agente OfficeScan disponibiliper la connessione a server interni ed esterni.


15-53

Configurazioneproxy Descrizione

Agenti interni Configurare le impostazioni proxy degli agenti interni per leconnessioni ai seguenti server:

• Server OfficeScan: il computer server ospita il serverOfficeScan e lo Smart Protection Server integrato. Gli AgentiOfficeScan si connettono al server OfficeScan per aggiornarei componenti, ottenere le impostazioni di configurazione einviare i registri. Agenti OfficeScan si connette a IntegratedSmart Protection Server per inviare query di scansione.

• Smart Protection Server: gli Smart Protection Servercomprendono gli Smart Protection Server standalone eIntegrated Smart Protection Server di altri server OfficeScan.Gli Agenti OfficeScan si connettono ai server per inviarequery di scansione e di Web Reputation.

Per ulteriori informazioni, consultare Configurazione delleimpostazioni proxy degli agenti interni a pagina 15-55.

Agenti esterni Per connettersi a Trend Micro Smart Protection Network, gliAgenti OfficeScan esterni utilizzano le impostazioni proxyconfigurate in Internet Explorer.

Per ulteriori informazioni, consultare Configurazione delleimpostazioni proxy degli agenti esterni a pagina 15-56.


15-54

Configurazioneproxy Descrizione

Servizio SmartProtection globale

Gli Agenti OfficeScan utilizzano le impostazioni proxy configurateper il servizio Smart Protection per inviare query alle origini SmartProtection relative alle seguenti funzioni:



NotaSe Integrated Smart Protection Server non è disponibile,per eseguire le query gli Agenti OfficeScan si connettono aTrend Micro Smart Protection Network.

Per ulteriori informazioni, consultare Configurazione delleimpostazioni proxy globali del servizio Smart Protection a pagina15-57.

Privilegi proxy degliutenti degli agenti

È possibile concedere agli utenti agente il privilegio di configurarele impostazioni proxy. Gli Agenti OfficeScan utilizzano leimpostazioni proxy configurate dall'utente solo nei seguenti casi:

• Quando gli Agenti OfficeScan effettuano l'operazione"Aggiorna ora".

• Quando gli utenti disattivano le impostazioni automatiche delproxy oppure l'Agente OfficeScan non è in grado di rilevarle.

AVVERTENZA!Impostazioni del proxy configurate in modo erratodall'utente possono causare problemi di aggiornamento.Prestare attenzione quando si consente agli utenti diconfigurare le proprie impostazioni proxy.

Per ulteriori informazioni, consultare Concessione dei privilegi diconfigurazione del proxy a pagina 15-58.


15-55

Configurazione delle impostazioni proxy degli agentiinterni

Procedura


2. Fare clic sulla scheda Agente.

3. Andare alla sezione Proxy interno.

4. Selezionare il tipo di impostazioni proxy che gli Agenti OfficeScan interni usanoper la connessione al server OfficeScan o agli Smart Protection Server.

• Nessun proxy: gli Agenti OfficeScan interni non richiedono un server proxyper la connessione al server OfficeScan o agli Smart Protection Server

• Usa impostazioni proxy Windows: gli agenti interni possono usare solo leimpostazioni dei server proxy configurate nelle Opzioni Internet di Windowsper la connessione al server OfficeScan o agli Smart Protection Server.

NotaSe necessario, specificare le credenziali di autenticazione proxy.

• Usa più server proxy: gli agenti interni possono usare diversi server per laconnessione al server OfficeScan o agli Smart Protection Server.

Per le connessioni al server OfficeScan:

a. Selezionare Proxy agente OfficeScan per la connessione al serverOfficeScan interno.

b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta delserver proxy.

c. Se necessario, specificare le credenziali di autenticazione proxy.

Per la connessione agli Smart Protection Server standalone:

a. Selezionare Proxy agente OfficeScan per la connessione agli SmartProtection Server standalone.


15-56

b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta delserver proxy.

c. Se necessario, specificare le credenziali di autenticazione proxy.

• Usa proxy di configurazione automatica (incluso PAC): selezionare perutilizzare le impostazioni proxy configurate dall'amministratore utilizzandoDHCP, DNS o uno script di configurazione automatica

• Rileva automaticamente impostazioni proxy di rete: gli agenti internirilevano le impostazioni proxy configurate dall'amministratore tramiteDHCP o DNS.

• Usa file di script di configurazione automatica proxy (PAC)specificato: gli agenti interni utilizzano lo script di configurazioneautomatica proxy (PAC) impostato dall'amministratore di rete per rilevareil server proxy appropriato

Nota

Digitare l'indirizzo URL dello script PAC.


Configurazione delle impostazioni proxy degli agentiesterni

Gli agenti esterni possono usare solo le impostazioni dei server proxy configurate nelleOpzioni Internet di Windows per la connessione al server OfficeScan o agli SmartProtection Server.

Procedura


2. Fare clic sulla scheda Agente.

3. Andare alla sezione Proxy esterno.


15-57

4. Se necessario, specificare le credenziali di autenticazione proxy.


Configurazione delle impostazioni proxy globali delservizio Smart Protection

Gli Agenti OfficeScan utilizzano le impostazioni proxy configurate per il servizio SmartProtection per inviare query alle origini Smart Protection relative alle seguenti funzioni:



NotaSe Integrated Smart Protection Server non è disponibile, per eseguire le query gli AgentiOfficeScan si connettono a Trend Micro Smart Protection Network.

Procedura



3. Passare alla sezione Servizio proxy Smart Protection.

4. Attivare Usare Fonti di Smart Protection configurate per query di servizio.


15-58

Importante

Il servizio proxy Smart Protection supporta solo il protocollo HTTPS per le query direputazione file. È necessario assicurarsi che tutti gli Smart Protection Serverconfigurati, che forniscono servizi di reputazione file, utilizzino il protocollo HTTPS.

Per impostazione predefinita, lo Smart Protection Server integrato non utilizza lacomunicazione HTTPS. Per modificare il metodo di comunicazione, vedereConfigurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-22.

Per verificare il metodo di comunicazione utilizzato dagli Smart Protection Serverstandalone, vedere Configurazione degli elenchi personalizzati di Origini Smart Protection apagina 4-28.


Concessione dei privilegi di configurazione del proxy

Procedura




4. Nella scheda Privilegi, accedere alla sezione Impostazioni proxy.

5. Selezionare Consente di configurare le impostazioni proxy.




15-59


Visualizzazione delle informazioni sull'agenteOfficeScan

La schermata Visualizza stato mostra importanti informazioni sugli Agenti OfficeScan,come privilegi, informazioni sul software dell'agente ed eventi di sistema.

Procedura



3. Fare clic su Stato.

4. Visualizzare le informazioni di stato espandendo il nome del dispositivo agente. Sesono stati selezionati più agenti, fare clic su Espandi tutti per visualizzare leinformazioni di stato di tutti gli agenti selezionati.

5. (Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischiper la sicurezza.

Importazione ed esportazione delleimpostazioni degli agenti

OfficeScan consente di esportare le impostazioni della struttura agente che un AgenteOfficeScan o dominio specifico applica a un file. Il file può quindi essere importato perapplicare le impostazioni ad altri agenti o domini oppure a un altro server OfficeScandella stessa versione.


15-60

Verranno esportate tutte le impostazioni della struttura agente, ad eccezione delleimpostazioni di Update Agent.

Esportazione delle impostazioni dell'agente OfficeScan

Procedura



3. Fare clic su Impostazioni > Esporta impostazioni.

4. Fare clic su uno dei collegamenti per visualizzare le impostazioni dell'AgenteOfficeScan o del dominio selezionato.

5. Fare clic su Esporta per salvare le impostazioni.

Le impostazioni vengono salvate in un file .dat.

6. Fare clic su Salva e specificare la posizione in cui salvare il file .dat.


Importazione delle impostazioni dell'agente

Procedura



3. Fare clic su Impostazioni > Importa impostazioni.

4. Fare clic su Sfoglia per individuare il file .dat nel dispositivo, quindi fare clic suImporta.


15-61

Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogodelle impostazioni.

5. Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni discansione o dei privilegi da importare.

6. Importare le impostazioni.

• Se è stata selezionata l'icona del dominio principale, selezionare Applica atutti i domini, quindi fare clic su Applica alla destinazione.

• Se sono stati selezionati i domini, selezionare Applica a tutti i computer cheappartengono ai domini selezionati, quindi fare clic su Applica alladestinazione.

• Se sono stati selezionati più agenti, fare clic su Applica alla destinazione.

Conformità sicurezzaUtilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione emantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempirichiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibrotra sicurezza e funzionalità.

La conformità di sicurezza può essere forzata sui due tipi di dispositivi riportati diseguito:

• Gestiti: Dispositivo con Agenti OfficeScan gestiti dal server OfficeScan. Per idettagli, consultare Conformità sicurezza per gli agenti gestiti a pagina 15-62.

• Non gestiti: comprende i seguenti elementi:

• Agenti OfficeScan non gestiti dal server OfficeScan

• Dispositivo senza Agenti OfficeScan installati

• Dispositivo non raggiungibili dal server OfficeScan

• Dispositivo il cui stato di sicurezza non può essere verificato


15-62

Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina15-74.

Conformità sicurezza per gli agenti gestiti

Conformità sicurezza genera una Segnalazione conformità che facilita la valutazionedello stato di sicurezza degli Agenti OfficeScan gestiti dal server OfficeScan. Conformitàsicurezza genera la segnalazione su richiesta o secondo un programma.

Nella scheda Valutazione manuale vengono visualizzate le informazioni riportate diseguito:

• Servizi: usare questa scheda per verificare che i servizi degli agenti sianofunzionanti.

Per i dettagli, consultare Servizi a pagina 15-63.

• Componenti: utilizzare questa scheda per verificare che i componenti degli AgentiOfficeScan siano aggiornati.

Per i dettagli, consultare Componenti a pagina 15-64.

• Compatibilità scansione: utilizzare questa scheda per verificare che gli AgentiOfficeScan eseguano regolarmente le scansioni.

Per i dettagli, consultare Compatibilità scansione a pagina 15-66.

• Impostazioni: usare questa scheda per verificare che le impostazioni dell'agentesiano coerenti con quelle del server.

Per i dettagli, consultare Impostazioni a pagina 15-68.

Nota

La scheda Componenti può visualizzare gli Agenti OfficeScan in cui è installata la versionecorrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo gli AgentiOfficeScan con la versione 10.5, 10.6 o gli Agenti OfficeScan.


15-63

Importante

• Conformità sicurezza verifica lo stato di connessione degli Agenti OfficeScan prima digenerare una Segnalazione conformità. Nella segnalazione sono inclusi gli agentionline e offline, ma non gli agenti in modalità indipendente.

• Per account utente basati sui ruoli:

• Ciascun account utente della console Web dispone di un insieme completamenteindipendente di impostazioni Segnalazione conformità. Eventuali modifiche alleimpostazioni Segnalazione conformità di un account utente non hanno effettosulle impostazioni degli altri account utente.

• L'ambito della segnalazione dipende dalle autorizzazioni di dominio dell'agenteper l'account utente. Se, ad esempio, si assegnano a un account utenteautorizzazioni per gestire i domini A e B, le segnalazioni dell'account utentemostrano solo i dati degli agenti che appartengono ai domini A e B.

Per ulteriori informazioni sugli account utente, vedere Role-based Administration(RBA) a pagina 14-3.

Servizi

Conformità sicurezza controlla se i seguenti servizi dell'Agente OfficeScan sonofunzionanti:

• Antivirus

• Anti-spyware

• Firewall

• Reputazione Web

• Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizioprevenzione modifiche non autorizzate di Trend Micro)

• Protezione dati



15-64

Un agente non conforme viene contato almeno due volte nella Segnalazione conformità.

Figura 15-3. Segnalazione conformità - scheda Servizi

• Nella categoria Dispositivo con servizi non conformi

• Nella categoria per la quale l'Agente OfficeScan non è conforme. Se, ad esempio, ilservizio Antivirus dell'Agente OfficeScan non è funzionante, l'agente viene contatonella categoria Antivirus. Se più servizi non sono funzionanti, l'agente vienecontato in ciascuna categoria per la quale non è conforme.

Riavviare i servizi non funzionanti dalla console Web o dall'Agente OfficeScan. Se iservizi sono funzionanti dopo il riavvio, l'agente non viene più visualizzato come nonconforme nella valutazione successiva.

ComponentiConformità sicurezza consente di determinare le incoerenze delle versioni deicomponenti tra il server OfficeScan e gli Agenti OfficeScan. In genere le incoerenze siverificano quando gli agenti non riescono a connettersi al server per aggiornare icomponenti. Se l'agente ottiene un aggiornamento da un'altra origine (ad esempio, dal


15-65

server ActiveUpdate di Trend Micro), è possibile che la versione di un componentedell'agente sia più recente rispetto alla versione del server.

Conformità sicurezza controlla i seguenti componenti:

• Patter agente Smart Scan

• Pattern antivirus

• Pattern IntelliTrap


• Motore di scansione virus a 32 e a 64bit

• Pattern spyware/grayware

• Pattern di monitoraggio attivo spyware

• Motore di scansione spyware/grayware a 32/64 bit

• Modello Damage Cleanup

• Motore Damage Cleanup a 32 e a 64bit

• Pattern comune per firewall

• Driver comune per firewall a 32/64 bit

• Driver principale per il monitoraggiodel comportamento a 32 e a 64 bit

• Servizio principale monitoraggio delcomportamento a 32 e a 64 bit

• Pattern di configurazione monitoraggiodel comportamento

• Pattern firma digitale

• Pattern implementazione dei criteri

• Pattern di rilevamento monitoraggiodel comportamento a 32 e a 64 bit

• Elenco degli indirizzi IP C&C globale

• Pattern Relevance Rule

• Driver Early Boot Cleanup a 32/64 bit

• Pattern per l'attivazione dellascansione memoria (32/64 bit)

• Pattern di scansione memoria

• Pattern di prevenzione contro gliattacchi al browser

• Pattern unificato relativo allo ScriptAnalyzer

• Pattern di monitoraggio dellascansione del programma

• Pattern Damage Recovery

• Pattern per l'avvio anticipato dell'anti-malware a 32/64 bit

• Motore di intelligence contestuale a32/64 bit

• Pattern di intelligence contestuale

• Responsabile delle query diintelligence contestuale a 32/64 bit

• Motore avanzato scansione minacce a32/64 bit

• Pattern avanzato correlazioneminacce

• Versione del programma


15-66


Figura 15-4. Segnalazione conformità - scheda Componenti

• Nella categoria Dispositivo con versioni componenti non conformi

• Nella categoria per la quale l'agente non è conforme. Se, ad esempio, la versione delpattern agente Smart Scan dell'agente è diversa da quella del server, l'agente vienecontato nella categoria Pattern agente Smart Scan. Se la versione di più di uncomponente non è coerente, l'agente viene contato in ciascuna categoria per laquale non è conforme.

Per risolvere le differenze nelle versioni dei componenti, aggiornare i componentiobsoleti degli agenti o del server.

Compatibilità scansione

Conformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificatavengono eseguite regolarmente e se vengono completate in tempi ragionevoli.


15-67

Nota

Conformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansionepianificata è attivata sugli agenti.

Conformità sicurezza usa i seguenti parametri di compatibilità scansione:

• Non è stata eseguita l'opzione Esegui scansione o Scansione pianificatanegli ultimi (x) giorni: l'Agente OfficeScan non è conforme se non ha eseguitoEsegui scansione o Scansione pianificata nell'arco del numero di giorni specificato.

• Durata di Esegui scansione o Scansione pianificata superata (x) ore: l'AgenteOfficeScan non è conforme se l'ultima operazione Esegui scansione o Scansionepianificata è durata oltre il numero di ore specificato.


Figura 15-5. Segnalazione conformità - scheda Compatibilità scansione

• Nella categoria Dispositivo con scansioni non aggiornate


15-68

• Nella categoria per la quale l'agente non è conforme. Se, ad esempio, l'ultimaScansione pianificata è durata più del numero di ore specificato, l'agente vienecontato nella categoria Durata di Esegui scansione o Scansione pianificatasuperata <x> ore. Se l'agente soddisfa più di un parametro di compatibilitàscansione, viene contato in ciascuna categoria per la quale non è conforme.

Eseguire le funzioni Esegui scansione o Scansione pianificata su agenti che non hannoeffettuato operazioni di scansione o che non sono stati in grado di completare lascansione.

ImpostazioniConformità sicurezza consente di determinare se gli agenti e i relativi domini principalinella struttura agente hanno le stesse impostazioni. Le impostazioni potrebbero esserediverse se si trasferiscono agenti in un altro dominio che applica un insieme diimpostazioni diverso o se un utente dell'agente con privilegi particolari ha configuratomanualmente le impostazioni nella console dell'Agente OfficeScan.

OfficeScan verifica le impostazioni riportate di seguito:



• Impostazioni scansione in tempo reale


• Impostazioni funzione Eseguiscansione



• Reputazione Web




• Impostazioni di Prevenzione perdita didati



• Invio campione



15-69


Figura 15-6. Segnalazione conformità - scheda Impostazioni

• Nella categoria Dispositivo con impostazioni di configurazione non conformi

• Nella categoria per la quale l'agente non è conforme. Se, ad esempio, leimpostazioni del metodo di scansione nell'agente e nel relativo dominio root nonsono coerenti, l'agente viene contato nella categoria Metodo di scansione. Se piùdi un gruppo di impostazioni non è coerente, l'agente viene contato in ciascunacategoria per la quale non è conforme.

Per risolvere le differenze di impostazione, applicare all'agente le impostazioni deldominio.

Segnalazioni conformità su richiestaConformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazionifacilitano la valutazione dello stato di sicurezza degli Agenti OfficeScan gestiti dal serverOfficeScan.


15-70

Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gliagenti gestiti a pagina 15-62.

Generazione di una segnalazione di conformità su richiesta

Procedura

1. Accedere a Valutazione > Conformità sicurezza > Segnalazione manuale.

2. Accedere alla sezione Ambito della struttura agente.

3. Selezionare il dominio principale oppure un dominio e fare clic su Valuta.

4. Visualizzare la segnalazione di conformità per i servizi degli agenti.

Per ulteriori informazioni sui servizi dell'agente, consultare Servizi a pagina 15-63.

a. Fare clic sulla scheda Servizi.

b. In Dispositivo con servizi non conformi, selezionare il numero di agenticon servizi non conformi.

c. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessatinella struttura agente.

d. Selezionare gli agenti nei risultati della query.

e. Fare clic su Riavvia agente OfficeScan per riavviare il servizio.

Nota

Se, dopo un'altra valutazione, l'agente risulta ancora non conforme, riavviaremanualmente il servizio sul dispositivo dell'agente.

f. Per salvare l'elenco degli agenti in un file, fare clic su Esporta.

5. Visualizzare la segnalazione di conformità per i componenti degli agenti.

Per ulteriori informazioni sui componenti dell'agente, consultare Componenti a pagina15-64.


15-71

a. Fare clic sulla scheda Componenti.

b. In Dispositivo con versioni componenti non conformi, selezionare ilnumero di agenti con versioni di componenti diverse da quelle sul server.


NotaSe in almeno un agente è presente un componente più aggiornato rispetto alserver OfficeScan, aggiornare il server OfficeScan manualmente.


e. Fare clic su Aggiorna ora per forzare il download dei componenti negliagenti.

Nota

• Per assicurare che gli agenti possano aggiornare il programma dell'agente:

i. Accedere a Agenti > Gestione agente.

ii. Fare clic sulla scheda Impostazioni > Privilegi e altreimpostazioni > Altre impostazioni.

iii. Andare alla sezione Impostazioni di aggiornamento.

iv. Nell'elenco a discesa Solo i seguenti componenti vengonoaggiornati dagli agenti OfficeScan, selezionare Tutti icomponenti (inclusi gli hotfix e i programmi agente).

v. Fare clic su Applica a tutti gli agenti.

• Per aggiornare Driver comune Firewall, riavviare il dispositivo anziché fareclic su Aggiorna ora.


6. Visualizzare la Segnalazione conformità per le scansioni.

Per ulteriori informazioni sulle scansioni, vedere Compatibilità scansione a pagina15-66.


15-72

a. Fare clic sulla scheda Compatibilità scansione.

b. In Dispositivo con scansioni non aggiornate, configurare i seguentielementi:

• Numero di giorni durante i quali l'agente non ha eseguito l'opzioneEsegui scansione o Scansione pianificata.

• Numero di ore di Esegui scansione o Scansione pianificata in esecuzione

Nota

Se il numero dei giorni o delle ore viene superato, l'agente vieneconsiderato non conforme.

c. Fare clic su Valuta accanto alla sezione Ambito della struttura agente.

d. In Dispositivo con scansioni non aggiornate, selezionare il numero diagenti che soddisfano i parametri di scansione.

e. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessatinella struttura agente.

f. Selezionare gli agenti nei risultati della query.

g. Fare clic su Esegui scansione per avviare la scansione immediata sugliagenti.

Nota

Per evitare di ripetere la scansione, l'opzione Esegui scansione sarà disattivatase l'operazione ha impiegato più tempo rispetto al numero di ore specificate.

h. Per salvare l'elenco degli agenti in un file, fare clic su Esporta.

7. Visualizzare la Segnalazione conformità per le impostazioni.

Per ulteriori informazioni sulle impostazioni, vedere Impostazioni a pagina 15-68.

a. Fare clic sulla scheda Impostazioni.


15-73

b. In Computer con impostazioni di configurazione non conformi,selezionare il numero di agenti con impostazioni non conformi alleimpostazioni del dominio della struttura agente.



e. Fare clic su Applica impostazioni dominio.


Segnalazioni conformità pianificateConformità sicurezza può generare segnalazioni di conformità in base a un programma.Le segnalazioni facilitano la valutazione dello stato di sicurezza degli Agenti OfficeScangestiti dal server OfficeScan.

Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gliagenti gestiti a pagina 15-62.

Configurazione delle impostazioni per le segnalazioni diconformità pianificate

Procedura

1. Accedere a Valutazione > Conformità sicurezza > Segnalazione pianificata.

2. Selezionare Abilita segnalazioni pianificate.

3. Specificare un titolo per questa segnalazione.

4. Selezionare tutte o una delle voci elencate di seguito:

• Servizi a pagina 15-63

• Componenti a pagina 15-64


15-74

• Compatibilità scansione a pagina 15-66

• Impostazioni a pagina 15-68

5. Specificare gli indirizzi e-mail destinatari delle notifiche sulle Segnalazioniconformità pianificate.

Nota

Configurare le impostazioni delle notifiche e-mail per assicurare il corretto invio dellenotifiche. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 14-40.

6. Specificare la pianificazione.


Conformità sicurezza per dispositivo non gestiti

Conformità sicurezza può eseguire query sui dispositivi non gestiti nella rete alla qualeappartiene il server OfficeScan. Utilizzare Active Directory e gli indirizzi IP per eseguirequery sui dispositivi.

La sicurezza degli dispositivo non gestiti può avere uno degli stati riportati di seguito:

Tabella 15-7. Stato sicurezza degli dispositivo non gestiti

Stato Descrizione

Gestito da un altroserver OfficeScan

Gli Agenti OfficeScan installati nei computer sono gestiti da unaltro server OfficeScan. Gli Agenti OfficeScan sono online edeseguono questa versione di OfficeScan oppure una versioneprecedente.

Nessun AgenteOfficeScan installato

L'Agente OfficeScan non è installato nel dispositivo.

Non raggiungibile Il server OfficeScan non è in grado di connettersi al dispositivoper determinare lo stato di sicurezza.


15-75

Stato Descrizione

Valutazione di ActiveDirectory non risolta

Il dispositivo appartiene a un dominio Active Directory, ma ilserver OfficeScan non è in grado di determinarne lo stato disicurezza.

NotaIl database del server OfficeScan contiene un elencodegli agenti gestiti dal server. Il server invia query adActive Directory per richiedere i GUID dei computer e poili confronta con i GUID memorizzati nel database. Se unGUID non è nel database, il dispositivo viene assegnatoalla categoria Valutazione di Active Directory non risolta.

Per eseguire una valutazione di sicurezza, effettuare le operazioni riportate di seguito:

1. Definire l'ambito della query. Per i dettagli, consultare Definizione di ambito ActiveDirectory/indirizzo IP e query. a pagina 15-75.

2. Selezionare i computer non protetti dal risultato della query. Per i dettagli,consultare Visualizzazione dei risultati della query a pagina 15-78.

3. Installare l'Agente OfficeScan. Per i dettagli, consultare Installazione con Conformitàsicurezza a pagina 5-62.

4. Configurare le query pianificate. Per i dettagli, consultare Configurazione dellavalutazione di query pianificate a pagina 15-79.

Definizione di ambito Active Directory/indirizzo IP e query.Quando si esegue una query per la prima volta, definire l'Ambito Active Directory/indirizzo IP che comprende gli oggetti Active Directory e gli indirizzi IP a cui il serverOfficeScan deve inviare le query su richiesta o periodicamente. Dopo aver definitol'ambito, avviare l'elaborazione delle query.

NotaPer definire un ambito Active Directory, è necessario che OfficeScan sia prima integratocon Active Directory. Per ulteriori informazioni sull'integrazione, vedere Active DirectoryIntegration a pagina 2-35.


15-76

Procedura


2. Nella sezione Ambito Active Directory/indirizzo IP, fare clic su Definireambito.


3. Per definire un ambito Active Directory:

a. Accedere alla sezione Ambito Active Directory.

b. Selezionare Utilizza valutazione su richiesta per eseguire query in temporeale al fine di ottenere risultati più precisi. Se si disattiva questa opzione,OfficeScan esegue le query sul database anziché su ogni singolo AgenteOfficeScan. L'esecuzione delle query solo sul database può risultare più rapidama è meno precisa.

c. Selezionare gli oggetti sui quali eseguire la query. Se è la prima volta che vieneinviata una query, selezionare un oggetto con meno di 1.000 account eprendere nota del tempo impiegato per completare la query. Utilizzare questidati per il confronto delle prestazioni.

4. Per definire un ambito dell'indirizzo IP:

a. Passare alla sezione Ambito indirizzo IP.

b. Selezionare Attiva ambito indirizzo IP.

c. Specificare un intervallo di indirizzi IP. Fare clic sul pulsante con il segno più omeno per aggiungere o eliminare gli intervalli di indirizzi IP.

• Per un server OfficeScan IPv4 puro, digitare un intervallo di indirizzi IPv4.

• Per un server OfficeScan IPv6 puro, digitare un prefisso IPv6 e la lunghezza.

• Per un server OfficeScan dual stack, digitare un intervallo di indirizzi IPv4 e/oil prefisso IPv6 e la lunghezza.

L'intervallo di indirizzi IPv6 ha un limite di 16 bit, simile al limite per gliintervalli di indirizzi IPv4. La lunghezza del prefisso deve essere compresapertanto tra 112 e 128.


15-77

Tabella 15-8. Lunghezza dei prefissi e numero di indirizzi IPv6

Lunghezza Numero di indirizzi IPv6

128 2

124 16

120 256

116 4,096

112 65,536

5. In Impostazioni avanzate, specificare le porte utilizzate dai server OfficeScan percomunicare con gli agenti. Il programma genera i numeri di porta in modo casualedurante l'installazione del server OfficeScan.

Per visualizzare la porta di comunicazione utilizzata dal server OfficeScan, accederea Agenti > Gestione agente e selezionare un dominio. La porta viene visualizzataaccanto alla colonna degli indirizzi IP. Trend Micro consiglia di tenere traccia deinumeri di porta per riferimento futuro.

a. Fare clic su Specifica porte.

b. Digitare il numero di porta e fare clic su Aggiungi. Ripetere questo passaggioper aggiungere tutti i numeri di porta necessari.


6. Per verificare la connettività dei dispositivi utilizzando un numero di portaparticolare, selezionare Segnala che un dispositivo non è raggiungibile dopo laverifica della relativa porta <x>. Quando non è possibile stabilire unaconnessione, OfficeScan considera subito il dispositivo come irraggiungibile. Ilnumero di porta predefinito è 135.

Attivare questa impostazione velocizza la query. Quando non è possibile stabilireuna connessione ai dispositivi, il server OfficeScan non deve più eseguire le altreoperazioni di verifica della connessione prima di considerare i dispositiviirraggiungibili.

7. Per salvare l'ambito e avviare la query, fare clic su Salva e rivaluta. Per salvare solole impostazioni, fare clic su Salva soltanto.


15-78

Il risultato della query viene visualizzato nella schermata Gestione server esterni.

Nota

La query potrebbe richiedere molto tempo, soprattutto se l'ambito della query èampio. Non eseguire un'altra query fino a quando il risultato non viene visualizzatonella schermata Gestione server esterni. In caso contrario la sessione di query attualeviene interrotta e l'elaborazione della query inizia di nuovo.

Visualizzazione dei risultati della queryIl risultato della query viene visualizzato nella sezione Stato della sicurezza. Undispositivo non gestito avrà uno degli stati seguenti:

• Gestito da un altro server OfficeScan

• Nessun Agente OfficeScan installato

• Non raggiungibile

• Valutazione di Active Directory non risolta

Procedura

1. Nella sezione Stato protezione, fare clic su un collegamento numerato pervisualizzare tutti i computer interessati.

2. Utilizzare le funzioni di ricerca e ricerca avanzata per eseguire la ricerca evisualizzare solo i computer che corrispondono ai criteri selezionati.

Se si utilizza la funzione di ricerca avanzata, specificare le opzioni riportate diseguito:

• Intervallo di indirizzi IPv4

• Prefisso IPv6 e lunghezza (il prefisso deve essere compreso tra 112 e 128)

• Nome dispositivo

• Nome server OfficeScan


15-79

• Struttura Active Directory

• Stato della sicurezza

OfficeScan non restituisce un risultato se il nome è incompleto. Se non si è sicuridel nome completo, utilizzare un carattere jolly (*).

3. Per salvare l'elenco dei computer in un file, fare clic su Esporta.

4. Per gli Agenti OfficeScan gestiti da un altro server OfficeScan, utilizzare lostrumento Agent Mover per fare in modo che gli Agenti OfficeScan siano gestitidal server OfficeScan attuale. Per ulteriori informazioni su questo strumento,vedere Agent Mover a pagina 15-23.

Configurazione della valutazione di query pianificateConfigurare il server OfficeScan in modo da eseguire periodicamente query su ActiveDirectory e sugli indirizzi IP e garantire in tal modo che le linee guida di sicurezza sianoimplementate.

Procedura


2. Fare clic su Definire pianificazione nella parte superiore della struttura agente.

3. Attivare la query pianificata.

4. Specificare la pianificazione.


Supporto Trend Micro Virtual DesktopIl supporto Trend Micro Virtual Desktop consente di ottimizzare la protezione deldesktop virtuale. Questa funzione consente di controllare le operazioni sugli AgentiOfficeScan che risiedono sullo stesso server virtuale.


15-80

L'esecuzione di vari desktop sullo stesso server e di scansioni su richiesta o diaggiornamenti di componenti utilizza una quantità notevole di risorse di sistema. Questafunzione è utile per impedire agli agenti di eseguire scansioni e aggiornare i componenticontemporaneamente.

Se, ad esempio, un server VMware vCenter dispone di tre desktop virtuali che eseguonoAgenti OfficeScan, OfficeScan può avviare Esegui scansione e implementare gliaggiornamenti sui tre agenti contemporaneamente. Il supporto Virtual Desktop è ingrado di rilevare che gli agenti sono sullo stesso server fisico. Il supporto VirtualDesktop consente di eseguire un'operazione sul primo agente e di attendere che siaterminata prima di eseguire la stessa operazione sugli altri due agenti.

Il supporto Virtual Desktop può essere utilizzato sulle seguenti piattaforme:

• VMware vCenter™ (VMware View™)

• Citrix™ XenServer™ (Citrix XenDesktop™)

• Microsoft Hyper-V™ Server

Per gli amministratori che utilizzano altre applicazioni di virtualizzazione, il serverOfficeScan può anche fungere da hypervisor emulato per gestire gli agenti virtuali.

Per ulteriori informazioni su queste piattaforme, fare riferimento ai siti Web di VMwareView, Citrix XenDesktop o Microsoft Hyper-V.

Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScanper ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base ogolden.

Installazione del supporto Virtual Desktop

Il supporto Virtual Desktop è una funzione OfficeScan nativa ma concessa in licenzaseparatamente. Dopo l'installazione del server OfficeScan, questa funzione è disponibilema non è funzionante. L'installazione della funzione prevede il download di un file dalserver ActiveUpdate (o da un'origine di aggiornamento personalizzata, se configurata).Una volta incorporato il file nel server OfficeScan, è possibile attivare il supporto VirtualDesktop per attivare la funzionalità completa. L'installazione e l'attivazione vengonoeseguite da Plug-in Manager.

http://www.vmware.com/products/view/overview.html

http://www.vmware.com/products/view/overview.html

http://www.citrix.com/virtualization/desktop/xendesktop.html

https://www.microsoft.com/en-us/server-cloud/solutions/virtualization.aspx


15-81

NotaIl supporto Virtual Desktop non è supportato completamente negli ambienti IPv6 puri. Peri dettagli, consultare Limitazioni del server IPv6 puro a pagina A-3.

Installazione del supporto Virtual Desktop

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend MicroVirtual Desktop e fare clic su Download.

La dimensione del pacchetto viene visualizzata accanto al pulsante Download.

Plug-in Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product.

NotaSe Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamentedopo 24 ore. Per effettuare manualmente il download del pacchetto di Plug-inManager, riavviare il servizio OfficeScan Plug-in Manager da Console di gestioneMicrosoft.

3. Monitorare l'avanzamento del download. Nel corso del download è possibileeffettuare altre operazioni.

Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto,controllare i registri di aggiornamento server sulla console del prodotto OfficeScan.Nel menu principale, fare clic su Registri > Aggiornamento server.

Dopo che Plug-in Manager ha scaricato il file, il supporto Virtual Desktop vienevisualizzato in una nuova schermata.

NotaSe il supporto Virtual Desktop non viene visualizzato, vedere le cause e le soluzioni inRisoluzione dei problemi di Plug-in Manager a pagina 17-12.


15-82

4. Per installare il supporto Virtual Desktop immediatamente, fare clic su Installaora. Per eseguire l'installazione in un secondo momento:

a. Fare clic su Installa in un secondo momento.

b. Aprire la schermata Plug-in Manager.

c. Andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic suInstalla.

5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.

L'installazione viene avviata.

6. Monitorare lo stato di avanzamento dell'installazione. Al termine dell'installazione,viene visualizzata la versione del supporto Virtual Desktop.

Licenza del supporto Virtual DesktopVisualizzare, attivare e rinnovare la licenza del supporto Virtual Desktop da Plug-inManager.

Richiedere il codice di attivazione a Trend Micro e utilizzarlo per attivare la funzionalitàcompleta del supporto Virtual Desktop.

Attivazione o rinnovo del supporto Virtual Desktop

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend MicroVirtual Desktop e fare clic su Gestione programma.

3. Fare clic su Visualizza Informazioni sulla licenza.

4. Nella schermata Dettagli della licenza del prodotto, fare clic su Nuovo codicedi attivazione.


15-83

5. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic suSalva.

6. Quando riappare la schermata Dettagli della licenza del prodotto, fare clic suAggiorna informazioni per aggiornare la schermata con i nuovi dettagli dellalicenza e il nuovo stato della funzione. Questa schermata contiene anche uncollegamento al sito Web di Trend Micro dove è possibile visualizzare informazionidettagliate sulla propria licenza.

Visualizzazione delle informazioni sulla licenza del supportoVirtual Desktop

Procedura

1. Aprire la console Web di OfficeScan e fare clic su Plug-in > [Supporto TrendMicro Virtual Desktop] Gestione programma nel menu principale.

2. Fare clic su Visualizza Informazioni sulla licenza.

3. Visualizzare le informazioni sulla licenza nella schermata.

La sezione Dettagli licenza per supporto Virtual Desktop contiene le seguentiinformazioni:

• Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto".

• Versione: indica se la versione è "Completa" o se si tratta di una "Versione diprova". Se si dispone sia della versione completa sia della versione di prova, laversione indicata sarà "Completa".

• Data di scadenza: se il supporto Virtual Desktop prevede più licenze, verràvisualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono31.12.10 e 30.06.10, verrà visualizzata la data 31.12.10.

• Postazioni: visualizza il numero degli Agenti OfficeScan che possonoutilizzare il supporto Virtual Desktop

• Codice di attivazione: visualizza il codice di attivazione

Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:


15-84

Se si dispone di una licenza per la versione completa:

• Durante il periodo di proroga del prodotto. La durata del periodo di prorogavaria a seconda dell'area geografica. Verificare il periodo di proroga con ilrappresentante Trend Micro.

• Alla scadenza della licenza e al termine del periodo di proroga. In questoperiodo non sarà possibile ottenere l'assistenza tecnica.

Se si dispone di una licenza per la versione di prova

• Alla scadenza della licenza. In questo periodo non sarà possibile ottenerel'assistenza tecnica.

4. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza sul sito Web di Trend Micro.


Connessioni al server virtualePer ottimizzare la scansione su richiesta o gli aggiornamenti dei componenti, aggiungereVMware vCenter 4 (VMware View 4), Citrix XenServer 5.5 (Citrix XenDesktop 4) oMicrosoft Hyper-V Server. I server OfficeScan comunicano con i server virtualispecificati per determinare gli Agenti OfficeScan che sono sullo stesso server fisico.

Per altri server VDI, il server OfficeScan fornisce un'emulazione di hypervisor virtualeper gestire gli agenti su altre piattaforme. L'hypervisor di OfficeScan elabora le richiestedell'agente virtuale nell'ordine in cui il server riceve le richieste. Il server OfficeScanelabora una richiesta alla volta e mette tutte le richieste in una coda.

Aggiunta delle connessioni server

Procedura



15-85

2. Selezionare VMware vCenter Server, Citrix XenServer, Microsoft Hyper-V oAltre applicazioni di virtualizzazione.

Nota

Quando si seleziona Altre applicazioni di virtualizzazione, non sono necessariealtre informazioni. Il server OfficeScan risponde alle richieste dell'agente virtualenell'ordine in cui le riceve.

3. Attivare la connessione al server.

4. Inserire le seguenti informazioni:

• Per i server VMware vCenter e Citrix XenServer:

• Indirizzo IP

• Porta

• Protocollo di connessione (HTTP or HTTPS)

• Nome utente

• Password

• Per i server Microsoft Hyper-V:

• Nome host o indirizzo IP

• Dominio\nome utente

Nota

L'account di accesso deve essere un account di dominio del gruppoAmministratori.

• Password

5. Facoltativamente, attivare la connessione del proxy per VMware vCenter o CitrixXenServer.

a. Specificare il nome o l'indirizzo IP e la porta del server proxy.


15-86

b. Se il server proxy richiede l'autenticazione, specificare il nome utente e lapassword.

6. Fare clic su Test di connessione per verificare che il server OfficeScan sia ingrado di connettersi al server.

Nota

Per informazioni sulla risoluzione dei problemi per la connessioni Microsoft Hyper-V,consultare Risoluzione dei problemi delle connessioni di Microsoft Hyper-V a pagina 15-88.


Aggiunta di connessioni server aggiuntive

Procedura


2. Fare clic su Aggiungi nuova connessione vCenter, Aggiungi nuovaconnessione XenServer o Aggiungi nuova connessione Hyper-V.

3. Ripetere la procedura per fornire le informazioni del server corrette.


Eliminazione dell'impostazione della connessione

Procedura

1. Aprire la console Web di OfficeScan e accedere a Plug-in > [Supporto TrendMicro Virtual Desktop] Gestione programma nel menu principale.

2. Fare clic su Elimina connessione.

3. Fare clic su Ok per confermare l'eliminazione dell'impostazione.


15-87


Modifica della capacità di scansione VDIGli amministratori possono aumentare il numero di dispositivi VDI che eseguono unascansione simultanea modificando il file vdi.ini. Trend Micro consiglia di monitorarerigorosamente l'effetto della modifica della capacità VDI per assicurare che le risorse delsistema siano in grado di gestire qualsiasi aumento delle scansioni.

Procedura

1. Sul computer del server OfficeScan, accedere a <Cartella di installazione delserver>PCCSRV\Private\vdi.ini.

2. Cercare le impostazioni [TaskController].

Le impostazioni TaskController predefinite sono riportate di seguito:

• Per i client OfficeScan 10.5:

[TaskController]

Controller_00_MaxConcurrentGuests=1


Dove:

• Controller_00_MaxConcurrentGuests=1 è pari al numeromassimo di client che possono effettuare scansioni simultanee.

• Controller_01_MaxConcurrentGuests=3 è pari al numeromassimo di client che possono effettuare aggiornamenti simultanei.

• Per i client OfficeScan 10.6 e gli agenti OfficeScan 11.0 (o versionisuccessive):

[TaskController]




15-88

Dove:

• Controller_02_MaxConcurrentGuests=1 è pari al numeromassimo di client che possono effettuare scansioni simultanee.

• Controller_03_MaxConcurrentGuests=3 è pari al numeromassimo di client che possono effettuare aggiornamenti simultanei.

3. Aumentare o diminuire il conteggio in ciascun controller in base alle esigenze.

Il valore minimo per tutte le impostazioni è 1.

Il valore massimo per tutte le impostazioni è 65536.

4. Salvare e chiudere il file vdi.ini.


6. Monitorare le risorse di CPU, memoria e utilizzo del disco degli dispositivo VDI.Modificare le impostazioni del controller per aumentare o diminuire ulteriormenteil numero di scansioni simultanee per adattarle al meglio all'ambiente VDI,ripetendo i passaggi dall'1 al 5.

Risoluzione dei problemi delle connessioni di MicrosoftHyper-V

La connessione Microsoft Hyper-V usa Strumentazione gestione Windows (WMI) eDCOM per le comunicazioni agente-server. I criteri del firewall possono bloccare questecomunicazioni, impedendo la connessione al server Hyper-V.

La porta di ascolto predefinita del server Hyper-V è la porta 135 e, per altrecomunicazioni, viene scelta una porta configurata casualmente. Se il firewall blocca iltraffico WMI o una di queste due porte, la comunicazione con il server non riesce. Gliamministratori possono modificare i criteri del firewall per consentire la comunicazionecon il server Hyper-V.

Verificare che tutte le impostazioni per la connessione, inclusi indirizzo IP, dominio\nome utente e password siano corrette prima di effettuare le modifiche seguenti nelfirewall.


15-89

Comunicazione di WMI tramite il Windows Firewall

Procedura

1. Sul server Hyper-V, aprire la schermata Programmi consentiti di WindowsFirewall .

Sui sistemi Windows 2008 R2, andare a Panello di controllo > Sistema esicurezza > Windows Firewall > Consenti programma con WindowsFirewall.

2. Selezionare Strumenti di gestione Windows (WMI).

Figura 15-7. Schermata Consenti ai programmi di comunicare con WindowsFirewall



15-90

4. Verificare di nuovo la connessione di Hyper-V.

Apertura della comunicazione delle porte tramite WindowsFirewall o un firewall di terze parti

Procedura

1. Sul server the Hyper-V, assicurarsi che il firewall consenta la comunicazione tramitela porta 135 e provare di nuovo la connessione di Hyper-V.

Per informazioni sull'apertura delle porte, consultare la documentazione delfirewall.

2. Se non è possibile stabilire la connessione al server Hyper-V, configurare WMI perusare una porta fissa.

Per informazioni sull'Impostazione di una porta fissa per WMI, consultare:

http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447(v=vs.85).aspx

3. Apre le porte 135 e la nuova porta (24158) per le comunicazioni attraverso ilfirewall.

4. Verificare di nuovo la connessione di Hyper-V.

Strumento di generazione del modello di prescansioneVDI

Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScanper ottimizzare le scansioni su richiesta o rimuovere i GUID dalle immagini di base ogolden. Questo strumento esegue la scansione dell'immagine di base o golden e lacertifica. Durante la scansione dei duplicati di questa immagine, OfficeScan controllasolo le parti che sono cambiate. In tal modo il tempo di scansione viene ridotto.




15-91

Suggerimento

Trend Micro consiglia di generare il modello di prescansione dopo aver applicato unaggiornamento di Windows o dopo aver installato una nuova applicazione.

Creazione di un modello di prescansione

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TCacheGen.

2. Scegliere una versione dello Strumento di generazione del modello di prescansioneVDI. Sono disponibili le versioni riportate di seguito:

Tabella 15-9. Versioni dello Strumento di generazione del modello diprescansione VDI

Nome file Istruzioni

TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 32 bit.

TCacheGen_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 64 bit.

TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 32 bit.

TCacheGenCli_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 64 bit.

3. Copiare nel dispositivo la versione scelta per lo strumento nel passaggioprecedente.

4. Eseguire lo strumento.

• Per eseguire lo strumento direttamente:

a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe.

b. Selezionare Genera modello di prescansione e fare clic su Avanti.


15-92

• Per eseguire lo strumento dell'interfaccia della riga di comando:

a. Aprire il prompt dei comandi e accedere alla directory <Cartella diinstallazione dell'agente>.

b. Digitare i seguenti comandi:

TCacheGenCli Generate_Template

O

TcacheGenCli_x64 Generate_Template

Nota

Lo strumento esegue la scansione dell'immagine per rilevare minacce alla sicurezza prima digenerare il modello di prescansione e rimuovere il GUID.

Dopo aver generato il modello di prescansione, lo strumento rimuove l'Agente OfficeScan.Non ricaricare l'Agente OfficeScan. Se l'Agente OfficeScan viene ricaricato, sarà necessariocreare di nuovo un modello di prescansione.

Rimozione di GUID dai modelli

Procedura

1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TCacheGen.

2. Scegliere una versione dello Strumento di generazione del modello di prescansioneVDI. Sono disponibili le versioni riportate di seguito:

Tabella 15-10. Versioni dello Strumento di generazione del modello diprescansione VDI


TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 32 bit.


15-93


TCacheGen_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente su una piattaforma a 64 bit.

TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 32 bit.

TCacheGenCli_x64.exe

Scegliere questo file se si desidera eseguire lo strumentodirettamente dalla riga di comando di una piattaforma a 64 bit.

3. Copiare nel dispositivo la versione scelta per lo strumento nel passaggioprecedente.

4. Eseguire lo strumento.

• Per eseguire lo strumento direttamente:

a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe.

b. Selezionare Rimuovi modello da GUID e fare clic su Avanti.

• Per eseguire lo strumento dell'interfaccia della riga di comando:

a. Aprire il prompt dei comandi e accedere alla directory <Cartella diinstallazione dell'agente>.

b. Digitare i seguenti comandi:

TCacheGenCli Remove GUID

O

TcacheGenCli_x64 Remove GUID

Impostazioni globali agenteOfficeScan applica le impostazioni globali agente a tutti gli agenti o solo agli agenti condeterminati privilegi.


15-94

Procedura



Tabella 15-11. Impostazioni globali agente

Scheda Impostazione Riferimento

Impostazione diprotezione

Impostazioni di scansione Sezione impostazioni di scansione apagina 7-78

Impostazioni scansionepianificata

Sezione Impostazioni scansionepianificata a pagina 7-84

Impostazioni del firewall Impostazioni firewall globali a pagina13-27

Impostazioni connessionesospetta

Configurazione impostazioni deglielenchi di indirizzii IP globali definitidall'utente a pagina 8-7

Impostazione delmonitoraggio delcomportamento

Configurazione delle impostazioni delmonitoraggio del comportamentoglobale a pagina 9-18

Sistema Impostazioni serviziocertificato Safe Software

Configurazione delle impostazioni discansione globali a pagina 7-76

Servizio proxy SmartProtection

Configurazione delle impostazioni proxyglobali del servizio Smart Protection apagina 15-57

Aggiornamenti • Server ActiveUpdate come originedegli aggiornamenti dell'agenteOfficeScan a pagina 6-40

• Configurazione dello spazio sudisco riservato per gliaggiornamenti degli agentiOfficeScan a pagina 6-52

Riavvio servizi Riavvia Servizio Agente OfficeScan apagina 15-11


15-95

Scheda Impostazione Riferimento

Rete Indirizzo IP preferito Indirizzi IP dell'agente a pagina 5-10

Comunicazione agenteserver

Crittografia avanzata dellacomunicazione agente-server a pagina14-63

Impostazioni di banda delregistro virus/minacceinformatiche

Configurazione delle impostazioni discansione globali a pagina 7-76

Rete non raggiungibile Agenti non raggiungibili a pagina 15-48

Controllodell'agente

Impostazioni generali Configurazione delle impostazioni discansione globali a pagina 7-76

Impostazioni avvisi Configurazione delle notifiche diaggiornamento dell'agente OfficeScan apagina 6-54

Configurazione linguaagente

Configurazione della lingua dell'agenteOfficeScan a pagina 15-22


Configurazione dei privilegi dell'agente e altreimpostazioni

Concedere agli utenti i privilegi necessari per modificare determinate impostazioni edeffettuare operazioni di livello elevato sulla console dell'Agente OfficeScan.

NotaLe impostazioni antivirus vengono visualizzate solo dopo l'attivazione della funzioneantivirus OfficeScan.


15-96

Suggerimento

Per implementare impostazioni e criteri uniformi nell'organizzazione, concedere privilegilimitati agli utenti.

Procedura




4. Nella scheda Privilegi, configurare i seguenti privilegi per gli utenti:

Tabella 15-12. Privilegi agente

Privilegi agente Riferimento

Privilegio di modalità Indipendente Agente OfficeScan con privilegio di modalitàIndipendente a pagina 15-19

Privilegi scansione Privilegi tipo di scansione a pagina 7-59

Privilegi scansione pianificata Privilegi scansione pianificata e altreimpostazioni a pagina 7-62

Privilegi firewall Privilegi firewall a pagina 13-24

Privilegi di monitoraggio delcomportamento

Privilegi di monitoraggio del comportamento apagina 9-19

Elenco Programmi affidabili Privilegio per l'elenco Programmi affidabili apagina 7-74

Privilegi scansione e-mail Privilegi scansione e-mail e altre impostazionia pagina 7-68

Privilegi impostazioni proxy Concessione dei privilegi di configurazione delproxy a pagina 15-58

Privilegi aggiornamentocomponenti

Configurazione dei privilegi di aggiornamentoe altre impostazioni a pagina 6-49


15-97

Privilegi agente Riferimento

Rimozione e sblocco Concessione del privilegio di rimozione esblocco dell'agente a pagina 15-18

Disinstallazione Assegnazione dei privilegi di disinstallazionedell'agente OfficeScan a pagina 5-73

5. Fare clic sulla scheda Altre impostazioni e configurare le impostazioni riportate diseguito:

Tabella 15-13. Altre impostazioni dell'agente

Impostazione Riferimento

Aggiorna impostazioni Configurazione dei privilegi di aggiornamentoe altre impostazioni a pagina 6-49

Impostazioni di reputazione Web Notifiche di minacce Web per utenti agente apagina 12-14

Impostazioni del monitoraggio delcomportamento

Privilegi di monitoraggio del comportamento apagina 9-19

Impostazioni di avvisi contatti C&C Notifiche di avvisi contatti C&C per gli utentidegli agenti a pagina 12-19

Impostazioni avvisi di ripristinoquarantena centrale

Visualizza un messaggio di notificanell'dispositivo dopo il ripristino di un file diquarantena

Configurazioni relativeall'Intelligenza computazionalepredittiva

Visualizza un messaggio di notifica suldispositivo dopo il rilevamento di unaminaccia sconosciuta

Protezione automatica dell'agenteOfficeScan

Protezione automatica dell'agente OfficeScana pagina 15-12

Impostazioni scansione pianificata Concessione privilegi scansione pianificata evisualizzazione notifica dei privilegi a pagina7-63

Impostazioni cache per lescansioni

Impostazioni cache per le scansioni a pagina7-70


15-98

Impostazione Riferimento

Impostazioni POP3 Mail Scan Concessione dei privilegi scansione e-mail eattivazione di POP3 Mail Scan a pagina 7-69

Restrizione di accesso agenteOfficeScan

Restrizione di accesso alla consoledell'agente OfficeScan a pagina 15-17

Riavvia notifica Notifiche dei rischi per la sicurezza per gliutenti dell'agente OfficeScan a pagina 7-93




Parte IVProtezione aggiuntiva

16-1

Capitolo 16

Protezione degli agenti fuori sedeIn questo capito vengono descritte le operazioni di installazione e configurazione delserver Edge Relay necessarie per proteggere gli Agenti OfficeScan quando esconodall'intranet aziendale.


• Server Edge Relay a pagina 16-2

• Requisiti di sistema del server Edge Relay a pagina 16-3

• Installazione del server Edge Relay a pagina 16-4

• Connessione al server Edge Relay a pagina 16-13

• Gestione della connessione al server Edge Relay a pagina 16-14

• Gestione dei certificati del server Edge Relay a pagina 16-16


16-2

Server Edge RelayIl server Edge Relay di OfficeScan offre agli amministratori visibilità e maggioreprotezione dei dispositivi utilizzati dagli utenti all'esterno della intranet aziendale.Installando il server Edge Relay nella DMZ (zona demilitarizzata), gli Agenti OfficeScanfuori sede che non sono in grado di stabilire una connessione funzionante al serverOfficeScan potranno comunque eseguire le attività elencate nella tabella di seguito.

ImportanteIl server Edge Relay non supporta la comunicazione IPv6.


Sincronizzazionedegli elenchi dioggetti sospetti

Il server Edge Relay riceve gli elenchi di oggetti sospettiaggiornati dal server OfficeScan in base alla pianificazioneconfigurata e li distribuisce agli agenti fuori sede.

Per ulteriori informazioni, consultare Impostazioni elenco oggettisospetti a pagina 14-36.

Invio campione Gli agenti fuori sede che rilevano una minaccia sconosciutapossono inviare l'oggetto sospetto al Virtual Analyzer configurato.L'invio di oggetti sospetti dagli agenti fuori sede a Virtual Analyzerviene eseguito come segue:

1. Gli agenti fuori sede inviano l'oggetto al server Edge Relay.

2. Il server Edge Relay passa l'oggetto al server OfficeScandurante la successiva sincronizzazione configurata.

3. Il server OfficeScan passa quindi l'oggetto a Virtual Analyzerper l'analisi.

Per ulteriori informazioni, consultare Invio campione a pagina8-10.

Invio di registri Il server Edge Relay raccoglie i registri degli agenti fuori sede einvia periodicamente i dati dei registri al server OfficeScansecondo la pianificazione configurata.

Protezione degli agenti fuori sede

16-3


Segnalazione dellostato

Gli agenti fuori sede inviano aggiornamenti di stato al server EdgeRelay, ad esempio il file di pattern corrente e le versioni deicomponenti.

Dopo la configurazione del server Edge Relay, gli Agenti OfficeScan ricevono leimpostazioni e inviano automaticamente le segnalazioni al server Edge Relay quando laconnessione al server OfficeScan non è disponibile.

La comunicazione tra il server Edge Relay, il server OfficeScan e gli Agenti OfficeScan ècrittografata tramite autenticazione del certificato.

Per ulteriori informazioni, consultare Gestione dei certificati del server Edge Relay a pagina16-16.

Requisiti di sistema del server Edge RelayPrima di installare il server Edge Relay, verificare che il computer server di destinazionesoddisfi i requisiti minimi di sistema.

Risorse Requisiti

Processore Dual core da 2 GHz

Memoria 4 GB

Spazio su disco 50 GB

Sistema operativo • Windows Server 2016

• Windows Server 2012 R2


16-4

Risorse Requisiti

Scheda di rete • 2 schede di rete

• Una per la connessione intranet al serverOfficeScan

• Una per la connessione esterna a AgentiOfficeScan fuori sede

• 1 scheda di rete configurata per l'utilizzo di portediverse per connessioni intranet e Internet

Database • SQL Server™ 2008 R2 Express (o versionisuccessive)

• SQL Server™ 2008 R2 (o versioni successive)

NotaIl programma di installazione del server Edge Relaydi OfficeScan permette di installare SQL Server2016 SP1 Express durante il processo diinstallazione.

Installazione del server Edge RelayPrima di installare il server Edge Relay, verificare che il computer server di destinazionesoddisfi i requisiti minimi di sistema.

Per ulteriori informazioni, consultare Requisiti di sistema del server Edge Relay a pagina 16-3.

ImportanteIl server Edge Relay non supporta la comunicazione IPv6.

Procedura

1. Individuare la <Cartella di installazione del server>\PCCSRV\Admin\Utility\EdgeServer sul computer server OfficeScan e copiarla sul computer serverEdge Relay di destinazione.


16-5

2. Sul server Edge Relay di destinazione, aprire la cartella EdgeServer ed eseguire ilfile setup.exe per avviare il processo di installazione.

Il pacchetto di installazione verifica che nel server siano presenti i componentirichiesti.

3. Se alcuni dei componenti seguenti non sono presenti nel server, fare clic suInstalla per consentire al programma di installazione di installare i componentimancanti durante il processo di installazione del server Edge Relay.

• Microsoft .NET Framework 4.6.1

• Microsoft Visual C++ 2012 Update 4 Pacchetto di distribuzione (x64)

• Microsoft SQL Server System CLR Types 13.0.1601 (x64)

• SQL Server Transact-SQL ScriptDom 13.0.1061 (x64)

• Microsoft SQL Server Data-Tier Application Framework (x64)

• Microsoft ODBC Driver 13 per SQL Server (x64)

• Microsoft SQL Server 2012 Native Client 11.2.5058.0 (x64)

Viene visualizzata la schermata di benvenuto.



16-6

Viene visualizzata la schermata Percorso di installazione.

5. Accettare la directory di installazione predefinita oppure fare clic su Cambia... perselezionare un altro percorso.


16-7

6. Fare clic su Avanti>.

Viene visualizzata la schermata Server Edge Relay - Connessione agenteOfficeScan.

7. Specificare le seguenti impostazioni, utilizzate dagli Agenti OfficeScan fuori sedeper connettersi al server Edge Relay:

• Nome di dominio interamente qualificato (FQDN): immettere l'FQDNdel server Edge Relay.

• Indirizzo IP:selezionare il formato dell'indirizzo IP.

Importante

Il server Edge Relay non supporta la comunicazione IPv6.

• Porta: accettare la porta predefinita o specificare una porta.


16-8

Importante

è necessario configurare il firewall e il gateway per consentire:

• Il reindirizzamento delle comunicazioni dell'agente OfficeScan da Internetal server Edge Relay;

• La comunicazione tramite la porta specificata.


Viene visualizzata la schermata Server Edge Relay - Connessione serverOfficeScan.

9. Specificare le seguenti impostazioni, utilizzate dal server OfficeScan per connettersial server Edge Relay:

• Indirizzo IP: selezionare il formato dell'indirizzo IP.


16-9

Importante

Il server Edge Relay non supporta la comunicazione IPv6.

• Porta:accettare la porta predefinita o specificare una porta.

Importante

• La porta utilizzata per il server OfficeScan deve essere diversa da quellaconfigurata per gli Agenti OfficeScan fuori sede.

• Assicurarsi che il firewall consenta la comunicazione tramite la portaspecificata.


Viene visualizzata la schermata Certificato SSL.


16-10

11. Specificare e confermare la password utilizzata per il certificato del server EdgeRelay.


Viene visualizzata la schermata Server database.

13. Specificare il database SQL Server utilizzato dal server Edge Relay:

• Installa una nuova istanza di SQL Server 2016 SP1 Express

• Utilizza un server database SQL esistente: fare clic su Sfoglia... perselezionare uno dei server disponibili elencati.


16-11

14. Specificare la password utilizzata per la connessione al database SQL Server. Se siinstalla un nuovo database SQL Server Express, confermare la password.


Viene visualizzata la schermata Informazioni di installazione.

16. Fare clic su Avanti > per iniziare l'installazione.


16-12

Al termine dell'installazione, viene visualizzata la schermata InstallShield Wizardcompletata.

17. Fare clic su Fine.


16-13

Il server Edge Relay è pronto all'uso. è possibile configurare il server OfficeScanper la connessione con il server Edge Relay.

Per ulteriori informazioni, consultare Connessione al server Edge Relay a pagina 16-13.

Connessione al server Edge RelayDopo l'installazione del server Edge Relay, è necessario configurare le impostazioni dellaconnessione al server Edge Relay sul server OfficeScan. Dopo la connessione al serverEdge Relay, gli Agenti OfficeScan che fanno riferimento al server OfficeScan ricevono leimpostazioni di connessione e potranno quindi comunicare automaticamente con ilserver Edge Relay dall'esterno dell'intranet aziendale.


16-14

Procedura

1. Nella console Web di OfficeScan, accedere a Amministrazione > Impostazioni> Edge Relay.

Viene visualizzata la schermata Impostazioni di Edge Relay.

2. Immettere l'indirizzo IP e la porta del server Edge Relay.

NotaAccertarsi che l'indirizzo IP e la porta specificati corrispondano a quelli configuratiper la comunicazione intranet con il server Edge Relay.

3. Se l'ambiente richiede un server proxy per comunicare con il server Edge Relaynella DMZ (zona demilitarizzata), attivare Connetti utilizzando le impostazionidel server proxy esterno.

Per configurare le impostazioni del proxy esterno, fare clic sulle impostazioni delserver proxy esterno per passare alla schermata Impostazioni proxy.Configurare le informazioni proxy richieste nella sezione Aggiornamenti serverOfficeScan.

Per ulteriori informazioni, consultare Configurazione delle impostazioni proxy del server apagina 6-21.

4. Fare clic su Connetti.

Una volta stabilita la connessione al server Edge Relay, la schermata si aggiorna conle informazioni sulla connessione.

Per ulteriori informazioni, consultare Gestione della connessione al server Edge Relay apagina 16-14.

Gestione della connessione al server EdgeRelay

Dopo la connessione al server Edge Relay, gli Agenti OfficeScan che fanno riferimentoal server OfficeScan ricevono le impostazioni di connessione e potranno quindi


16-15

comunicare automaticamente con il server Edge Relay dall'esterno dell'intranetaziendale. È quindi possibile monitorare lo stato della connessione al server Edge Relay,configurare la pianificazione della sincronizzazione ed eseguire la sincronizzazioneimmediata dalla schermata Impostazioni di Edge Relay.

Procedura

1. Nella console Web di OfficeScan, accedere a Amministrazione > Impostazioni> Edge Relay.

Viene visualizzata la schermata Impostazioni di Edge Relay.

2. Monitorare o configurare le impostazioni del server Edge Relay.


Indirizzo IP Indirizzo IP corrente del server Edge Relay

Per configurare nuove impostazioni di connessione al serverEdge Relay, fare clic su Disconnetti e riconfigurare leimpostazioni di connessione.

Per ulteriori informazioni, consultare Connessione al serverEdge Relay a pagina 16-13.

Stato Lo stato di connessione “Online” oppure “Offline” tra il serverOfficeScan e il server Edge Relay

Sincronizzato L'ultima sincronizzazione del server Edge Relay con il serverOfficeScan

Fare clic su Sincronizza adesso per eseguire lasincronizzazione immediata tra il server OfficeScan e il serverEdge Relay.

Sincronizzazionepianificata

La frequenza con cui il server OfficeScan si sincronizza con ilserver Edge Relay

A seconda della larghezza di banda disponibile, configurare lafrequenza di sincronizzazione come Frequenza orariaoppure Ogni 15 minuti.



16-16

Gestione dei certificati del server Edge RelayOfficeScan offre uno strumento della riga di comando che permette di creare orinnovare il certificato del server Edge Relay utilizzato dagli agenti per la comunicazione.Dopo aver creato un nuovo certificato, il server Edge Relay lo invia al server OfficeScan,il quale lo implementa negli agenti durante la successiva connessione al serverOfficeScan.

Importante

Gli Agenti OfficeScan fuori sede devono connettersi al server OfficeScan per ottenere ilnuovo certificato per il server Edge Relay. Gli agenti fuori sede che non ricevono ilcertificato aggiornato non possono più comunicare con il server Edge Relay, finché chenon sarà stata stabilita una connessione con il server OfficeScan.

Procedura

1. Nel server Edge Relay, aprire un editor della riga di comando e passare allaseguente directory:

C:\Programmi\Trend Micro\OfficeScan Edge\OfcEdgeSvc\web\service

2. Eseguire lo strumento per certificati mediante il seguente comando:

OfcEdgeCfg.exe --renewcert -certpwd <password>

Dove:

• --renewcert: crea il nuovo certificato

• -certpwd <password>: specifica la password per il pacchetto delcertificato

Il server Edge Relay crea il pacchetto del nuovo certificato e invia automaticamenteil certificato al server OfficeScan. Alla successiva segnalazione degli AgentiOfficeScan al server OfficeScan, il server OfficeScan implementa il nuovocertificato negli Agenti OfficeScan.

17-1

Capitolo 17

Uso di Plug-in ManagerQuesto capitolo descrive come impostare Plug-in Manager e offre una panoramica dellesoluzioni plug-in disponibili con Plug-in Manager.


• Informazioni su Plug-in Manager a pagina 17-2

• Installazione di Plug-in Manager a pagina 17-3

• Gestione delle funzioni native di OfficeScan a pagina 17-4

• Gestione dei Programmi plug-in a pagina 17-4

• Disinstallazione di Plug-in Manager a pagina 17-12

• Risoluzione dei problemi di Plug-in Manager a pagina 17-12


17-2

Informazioni su Plug-in ManagerOfficeScan include una struttura denominata Plug-in Manager che integra nuovesoluzioni nell'ambiente OfficeScan esistente. Per semplificare la gestione di questesoluzioni, Plug-in Manager fornisce dati immediati per le soluzioni sotto forma diwidget.

Nota

Attualmente, nessuna delle soluzioni plug-in supporta Pv6. Il server è in grado di scaricaretali soluzioni, ma non di implementarle su Agenti OfficeScan IPv6 puri o su host IPv6 puri.

Plug-in Manager offre le seguenti funzioni:

• Funzioni dei prodotti native

Alcune funzioni OfficeScan native vengono fornite con licenze separate e attivatetramite Plug-in Manager. In questa versione, due funzioni rientrano in talecategoria: Supporto Trend Micro Virtual Desktop e Protezione datiOfficeScan.

• Programmi plug-in

I programmi plug-in non fanno parte del programma OfficeScan. I programmiplug-in hanno licenze e console di gestione separate. Accedere alle console digestione dalla console Web OfficeScan. Esempi di programmi plug-in sono:Strumenti di utilità di OfficeScan e Trend Micro Security (per Mac).

• Widget e schede Dashboard

La schermata OfficeScan Dashboard richiede Plug-in Manager per visualizzare leschede e i widget utilizzati per monitorare lo stato della protezione dell'agente e delserver OfficeScan.

Il presente documento fornisce una panoramica generale sull'installazione e la gestionedei programmi plug-in e illustra i dati dei programmi plug-in disponibili nei widget. Perinformazioni dettagliate sulla configurazione e la gestione di un programma plug-inspecifico, consultare la relativa documentazione.

Uso di Plug-in Manager

17-3

Agenti dei programmi plug-in su dispositivoAlcuni programmi plug-in (come Trend Micro Security (per Mac)) dispongono di agentiche vengono installati sui sistemi operativi Windows del dispositivo. Il Plug-in Managerdell'Agente OfficeScan in esecuzione con il nome di processo CNTAoSMgr.exe gestiscetali agenti.

OfficeScan installa CNTAoSMgr.exe con l'Agente OfficeScan. L'unico requisito disistema aggiuntivo per CNTAoSMgr.exe è Microsoft XML Parser (MSXML) 3.0 oversione successiva.

NotaGli atri programmi plug-in hanno agenti che non si installano nei sistemi operativiWindows e non sono gestiti dal Plug-in Manager dell'Agente OfficeScan. L'agente di TrendMicro Security (per Mac) è un esempio di questo tipo di agenti.

WidgetUsare i widget per visualizzare dati immediati per le soluzioni plug-in implementate.Questi widget sono disponibili nella schermata Dashboard del server OfficeScan. Unwidget speciale, denominato OfficeScan e Plug-in Mashup, combina i dati degliAgenti OfficeScan e delle soluzioni plug-in e quindi li visualizza nella struttura agente.

In questa Guida per l'amministratore viene fornita una panoramica sui widget e sullesoluzioni che li supportano.

Installazione di Plug-in ManagerNelle versioni precedenti di Plug-in Manager, era possibile scaricare il pacchetto diinstallazione di Plug-in Manager dal server ActiveUpdate di Trend Micro e installarlosullo stesso computer del server OfficeScan. In questa versione, il pacchetto è inclusonel pacchetto di installazione del server OfficeScan, nel seguente percorso:

<Cartella di installazione del server>\PCCSRV\Admin\Utility\PLM\PLMSetup.exe

Per installare Plug-in Manager, eseguire il file PLMSetup.exe.


17-4

Una volta completata l'installazione di OfficeScan, i nuovi utenti di OfficeScan avrannoinstallati il server OfficeScan e Plug-in Manager. Gli utenti che eseguonol'aggiornamento a questa versione di OfficeScan e hanno installato Plug-in Manager inprecedenza devono interrompere il servizio Plug-in Manager prima di eseguire ilpacchetto di installazione.

Operazioni post-installazione

Dopo avere installato Plug-in Manager, eseguire i passaggi descritti di seguito:

Procedura


2. Gestire le soluzioni plug-in.

3. Accedere alla dashboard di Dashboard sulla console Web OfficeScan per gestire iwidget per le soluzioni plug-in.

Gestione delle funzioni native di OfficeScanLe funzioni OfficeScan native vengono installate con OfficeScan e attivate dagliamministratori dal Plug-in Manager. La gestione di alcune funzioni, come il supportoTrend Micro Virtual Desktop, sono gestite dal Plug-in Manager, mentre altre, comeProtezione dati OfficeScan, sono gestite dalla console Web OfficeScan.

Gestione dei Programmi plug-inInstallare e attivare programmi plug-in in modo indipendente da OfficeScan. Ogni plug-in fornisce la propria console per la gestione del prodotto. Le console di gestione sonoaccessibili dalla console Web OfficeScan.


17-5

Installazione dei programmi plug-inI programmi plug-in vengono visualizzati nella console di Plug-in Manager. Utilizzarela console per scaricare, installare e gestire i programmi. Plug-In Manager scarica ilpacchetto di installazione per il programma plug-in dal server ActiveUpdate di TrendMicro o da un'origine aggiornamenti personalizzata, se ne è stata impostata una in modocorretto. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria una connessioneInternet.

Quando Plug-in Manager scarica il pacchetto di installazione o avvia l'installazione,disattiva temporaneamente le altre funzioni del programma plug-in, quali download,installazioni e aggiornamenti.

Plug-in Manager non supporta l'installazione o la gestione di un programma plug-intramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager.

Installazione di Programmi plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Download.

La dimensione del pacchetto del programma plug-in viene visualizzata a lato delpulsante Download. Plug-in Manager archivia il pacchetto scaricato in<Cartella d'installazione del server>\PCCSRV\Download\Product.

Plug-in Manager archivia il pacchetto scaricato in <Cartellad'installazione del server>\PCCSRV\Download\Product

Nel corso del download è possibile monitorare l'avanzamento o effettuare altreoperazioni.


17-6

Nota

Se OfficeScan riscontra problemi nel download o nell'installazione del pacchetto,controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nelmenu principale, fare clic su Registri > Aggiornamento server.

3. Fare clic su Installa ora o Installa in un secondo momento.

• Dopo aver fatto clic su Installa ora, l'installazione ha inizio e vienevisualizzata una schermata di avanzamento.

• Dopo aver fatto clic su Installa in un secondo momento, viene visualizzatala schermata Plug-in Manager.

Installare il programma plug-in facendo clic sul pulsante Installa presentenella relativa sezione della schermata Plug-in Manager.

Viene visualizzata la schermata Contratto di licenza per l'utente finale TrendMicro.

Nota

Non tutti questi programmi plug-in visualizzano tale schermata. Se la schermata nonviene visualizzata, l'installazione del programma plug-in viene avviata.

4. Fare clic su Accetto per installare il programma plug-in.

Nel corso dell'installazione è possibile monitorare l'avanzamento o effettuare altreoperazioni.

Nota

Se OfficeScan riscontra problemi nel download o nell'installazione del pacchetto,controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nelmenu principale, fare clic su Registri > Aggiornamento server.

Al termine dell'installazione, sulla schermata Plug-in Manager viene visualizzata laversione corrente del programma plug-in.


17-7

Attivazione della licenza del Programma plug-in

Procedura



Viene visualizzata la schermata Nuovo codice di attivazione della licenza delprodotto.

3. Digitare o copiare e incollare il codice di attivazione nei campi del testo.


Viene visualizzata la console plug-in.

Informazioni sulla visualizzazione e il rinnovo della licenza

Procedura



3. Accedere alla console plug-in e selezionare il collegamento ipertestuale Visualizzainformazioni sulla licenza.

Non tutti i programmi plug-in visualizzano il collegamento ipertestuale Visualizzainformazioni sulla licenza nello stesso percorso. Per ulteriori informazioni, fareriferimento alla documentazione utente sui programmi plug-in.

4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.

Opzione Descrizione

Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto".


17-8

Opzione Descrizione

Versione Indica se la versione è "Completa" o se si tratta di una "Versionedi prova"

NotaL'attivazione viene visualizzata come "Completa" sia per laversione completa e sia per la versione di prova.

Postazioni Indica quanti dispositivi il programma plug-in è in grado digestire

La licenzascade il

Se il programma plug-in prevede diverse licenze, verràvisualizzata l'ultima data di scadenza.

Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11,verrà visualizzata la data 31.12.11.

Codice diattivazione

visualizza il Codice di attivazione

Promemoria A seconda della versione della licenza corrente, il plug-invisualizza i promemoria sulla data di scadenza della licenzadurante il periodo di proroga (solo nelle versioni complete)oppure quando scade la licenza.

Nota

La durata del periodo di proroga varia a seconda dell'area geografica. Verificare ilperiodo di proroga di in programma plug-in con un rappresentante Trend Micro.

Quando la licenza di un programma plug-in scade, questo continua a funzionare magli aggiornamenti e l'assistenza non sono più disponibili.

5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sullalicenza corrente sul sito Web di Trend Micro.


7. Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codicedi attivazione della licenza del prodotto.


17-9

Per i dettagli, consultare Attivazione della licenza del Programma plug-in a pagina 3-4.

Gestione di un programma plug-inConfigurare le impostazioni ed eseguire le operazioni relative al programma dallaconsole di gestione del programma plug-in, accessibile dalla console Web OfficeScan. Leoperazioni comprendono l'attivazione del programma e potenzialmentel'implementazione dell'agente del programma plug-in sui dispositivi. Per informazionidettagliate sulla configurazione e la gestione di un programma plug-in specifico,consultare la relativa documentazione.

Gestione dei Programmi plug-in

Procedura



Figura 17-1. Pulsante Gestione programma

Quando viene gestito per la prima volta, il programma plug-in potrebbe richiederel'attivazione. Per i dettagli, consultare Attivazione della licenza del Programma plug-in apagina 3-4.

Aggiornamenti del Programma plug-inUna nuova versione di un programma plug-in installato viene visualizzato nella consoledi Plug-in Manager. Scaricare il pacchetto ed effettuare l'aggiornamento del programma


17-10

plug-in nella console. Plug-in Manager scarica il pacchetto dal server ActiveUpdate diTrend Micro o da una origine aggiornamenti personalizzata, se ne è stata impostata unain modo adeguato. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria unaconnessione Internet.

Quando Plug-in Manager scarica il pacchetto di installazione o avvia un aggiornamento,disattiva temporaneamente le altre funzioni del programma plug-in, quali download,installazioni e aggiornamenti.

Plug-in Manager non supporta l'aggiornamento della versione di un programma plug-intramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager.

Aggiornamento di Programmi plug-in

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Download.

La dimensione del pacchetto di aggiornamento viene visualizzata a lato del pulsanteDownload.

Nel corso del download è possibile monitorare l'avanzamento o effettuare altreoperazioni.

NotaSe OfficeScan riscontra problemi nel download o nell'installazione del pacchetto,controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nelmenu principale, fare clic su Registri > Aggiornamento server.

3. Una volta completato il download del pacchetto, viene visualizzata una nuovaschermata:

4. Fare clic su Aggiorna ora o Aggiorna in un secondo momento.

• Dopo aver fatto clic su Aggiorna subito, l'aggiornamento ha inizio e vienevisualizzata la relativa schermata di avanzamento.


17-11

• Dopo aver fatto clic su Aggiorna in un secondo momento, vienevisualizzata la schermata Plug-in Manager.

Aggiornare il programma plug-in facendo clic sul pulsante Aggiorna presentenella sezione del programma plug-in della schermata Plug-in Manager.

Al termine dell'aggiornamento, potrebbe essere necessario riavviare il servizio Plug-inManager; la schermata Plug-in Manager potrebbe, pertanto, essere momentaneamentenon disponibile. Quando la schermata torna a essere disponibile, viene visualizzata laversione corrente del programma plug-in.

Disinstallazione del Programma plug-inDisinstallare un programma plug-in nei modi seguenti:

• Disinstallare un programma plug-in dalla console di Plug-in Manager.

• Disinstallare il server OfficeScan, che determina la disinstallazione automatica diPlug-in Manager e di tutti i programmi plug-in installati. Per istruzioni sulladisinstallazione del server OfficeScan, consultare la Guida all'installazione eall'aggiornamento di OfficeScan.

Per i programmi plug-in con agenti sul dispositivo:

• Per verificare se la disinstallazione di un programma plug-in determina ladisinstallazione dell'agente plug-in, consultare la documentazione del programmaplug-in.

• Per gli agenti plug-in installati sullo stesso dispositivo dell'Agente OfficeScan, ladisinstallazione dell'Agente OfficeScan disinstalla gli agenti plug-in e Plug-inManager per l'Agente OfficeScan (CNTAoSMgr.exe).


17-12

Disinstallazione di un programma plug-in dalla console diPlug-in Manager

Procedura


2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in efare clic su Disinstalla.

3. Nel corso della disinstallazione è possibile monitorare l'avanzamento o effettuarealtre operazioni.

4. Dopo la disinstallazione, aggiornare la schermata Plug-in Manager.

Il programma plug-in è di nuovo disponibile per l'installazione.

Disinstallazione di Plug-in ManagerDisinstallare il server OfficeScan per disinstallare automaticamente Plug-in Manager chetutti i programmi plug-in installati. Per istruzioni sulla disinstallazione del serverOfficeScan, consultare la Guida all'installazione e all'aggiornamento di OfficeScan.

Risoluzione dei problemi di Plug-in ManagerControllare i registri di debug del server OfficeScan e dell'Agente OfficeScan per leinformazioni di debug su Plug-In Manager e sui programmi plug-in.


17-13

Il programma plug-in non viene visualizzato nella consoledi Plug-in Manager

Qualsiasi programma plug-in disponibile per il download e l'installazione potrebbe nonessere visualizzato sulla console di Plug-in Manager per i seguenti motivi:

Procedura

1. Plug-in Manager sta ancora eseguendo il download del programma plug-in, chepotrebbe richiedere un po' di tempo se il pacchetto del programma è di dimensionielevate. Controllare la schermata ogni tanto per verificare se il programma vienevisualizzato.

NotaSe Plug-in Manager non è in grado di scaricare un programma plug-in, tenteràautomaticamente di scaricarlo di nuovo dopo 24 ore. Per avviare manualmente ildownload del programma plug-in da Plug-in Manager, riavviare il servizio OfficeScanPlug-in Manager.

2. Il server non riesce a collegarsi a Internet. Se il server si collega a Internet tramiteun server proxy, assicurarsi che la connessione Internet possa essere stabilitautilizzando le impostazioni proxy.

3. L'origine degli aggiornamenti di OfficeScan non è il server ActiveUpdate. Nellaconsole Web di OfficeScan, accedere a Aggiornamenti > Server > Origineaggiornamenti e verificare l'origine dell'aggiornamento. Se l'origine degliaggiornamenti non è il server ActiveUpdate, sono disponibili le opzioni seguenti:

• Selezionare il server ActiveUpdate come origine degli aggiornamenti.

• Se si seleziona Altra fonte di aggiornamenti, selezionare la prima vocenell'elenco Altra fonte di aggiornamenti come origine aggiornamenti everificare che la connessione al server ActiveUpdate avvenga correttamente.Plug-in Manager supporta solo la prima voce dell'elenco.


17-14

• Se si seleziona Percorso Intranet contenente una copia del file corrente,controllare che il dispositivo nella rete Intranet possa connettersi anche alserver ActiveUpdate.

Problemi riguardanti la visualizzazione e l'installazione diPlug-in Agent sui dispositivi

È possibile che l'installazione dell'agente del programma sul dispositivo non riescaoppure che l'agente non sia visualizzato nella console dell'Agente OfficeScan per iseguenti motivi:

Procedura

1. Plug-in Manager (CNTAosMgr.exe) non è in esecuzione sul dispositivo. Neldispositivo dell'Agente OfficeScan, aprire Gestione attività di Windows ed eseguireil processo CNTAosMgr.exe.

2. Il pacchetto di installazione dell'agente plug-in non è stato scaricato nella cartelladel dispositivo dell'Agente OfficeScan in <Cartella di installazionedell'agente>\AU_Data\AU_Temp\{xxx}AU_Down\Product. Controllare ilfile Tmudump.txt nel percorso \AU_Data\AU_Log\ verificare eventuali errori didownload.

Nota

Se un agente è installato correttamente, le relative informazioni sono disponibili in<Cartella di installazione dell'agente>\AOSSvcInfo.xml

3. L'installazione dell'agente non è riuscita o richiede ulteriori azioni. È possibileverificare lo stato dell'installazione dalla console di gestione del programma plug-ined eseguire ulteriori azioni come, ad esempio, riavviare il dispositivo dell'AgenteOfficeScan dopo l'installazione o installare le patch necessarie del sistema operativoprima dell'installazione.


17-15

Non è possibile avviare agenti sui dispositivi se leimpostazioni dello script di configurazione automatica diInternet Explorer reindirizzano a un server proxy.

Il plug-in Manager per l'Agente OfficeScan (CNTAosMgr.exe) non è in grado diavviare gli agenti sui dispositivi perché il comando di avvio dell'agente reindirizza a unserver proxy. Questo problema si verifica solamente se le impostazioni proxyreindirizzano il traffico HTTP dell'utente all'indirizzo 127.0.0.1.

Per risolvere il problema, utilizzare dei criteri relativi al server proxy ben definiti. Adesempio non reindirizzare il traffico HTTP all'indirizzo 127.0.0.1.

Se si ha la necessità di utilizzare la configurazione proxy in modo che controlli lerichieste HTTP 127.0.0.1, effettuare le seguenti azioni:

Procedura

1. Configurare il firewall di OfficeScan nella console Web OfficeScan.

Nota

Eseguire questo passaggio se si attiva il firewall OfficeScan sugli Agenti OfficeScan.

a. Nella console Web, accedere a Agenti > Firewall > Criteri e fare clic suModifica modello di eccezione.

b. Sulla schermata Modifica modello di eccezione fare clic su Aggiungi.

c. Usare le seguenti informazioni:

• Nome: inserire un nome

• Azione: consentire il traffico di rete

• Direzione: in entrata

• Protocollo: TCP

• Porta(e): un numero di porta compreso tra 5000 e 49151


17-16

d. Indirizzo/i IP: selezionare Indirizzo IP singolo e specificare l'indirizzo IPdel server proxy (consigliato) o selezionare Tutti gli indirizzi IP.

e. Fare clic su Salva.

f. Sulla schermata Modifica modello di eccezione fare clic su Salva e Applica aicriteri esistenti.

g. Accedere a Agenti > Firewall > Profili e fare clic su Assegna profilo agliagenti.

Se non è presente alcun profilo firewall, crearne uno facendo clic su Aggiungi.Usare le seguenti impostazioni:

• Nome: inserire un nome

• Descrizione: inserire una descrizione

• Criterio: tutti i criteri di accesso

Dopo aver salvato il nuovo profilo, fare clic su Assegna profilo agli agenti.

2. Modificare il file ofcscan.ini.

a. Aprire il file ofcscan.ini nella <Cartella di installazione delserver> utilizzando un editor di testo.

b. Cercare [Global Setting] e aggiungere FWPortNum=21212 nella rigasuccessiva. Sostituire il valore "21212" con il numero di porta specificato nelpassaggio c sopra.

Ad esempio:

[Global Setting]FWPortNum=5000

c. Salvare il file.

3. Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clicsu Salva.

Si è verificato un errore nel sistema, nel modulo diaggiornamento o nel programma Plug-in Manager e il


17-17

messaggio di errore contiene un determinato codice dierrore

Plug-in Manager può visualizzare uno qualsiasi dei seguenti codici di errore in unmessaggio di errore. Se non è possibile risolvere il problema dopo aver consultato lesoluzioni proposte nella tabella seguente, contattare l'assistenza tecnica.

Tabella 17-1. Codici di errore di Plug-in Manager

Codice

errore

Messaggio, causa e soluzione

001 Si è verificato un errore nel programma Plug-in Manager.

Il modulo di aggiornamento di Plug-in Manager non risponde quando si verifical'avanzamento di un aggiornamento. È possibile che il modulo o il gestore deicomandi non sia stato inizializzato.

Riavviare il servizio OfficeScan Plug-in Manager ed eseguire nuovamentel'operazione.

002 Si è verificato un errore di sistema.

Il modulo di aggiornamento di Plug-in Manager non è in grado di aprire lachiave di registro SOFTWARE\TrendMicro\OfficeScan\service\AoS in quantopotrebbe essere stata eliminata.

Attenersi alla procedura riportata di seguito:

1. Aprire l'Editor del Registro e accedere a HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a1.0.1000.

2. Riavviare il servizio Plug-in Manager di OfficeScan.

3. Scaricare/disinstallare il programma plug-in.


17-18

Codice

errore


028 Si è verificato un errore di aggiornamento.

Cause possibili:

• Il modulo di aggiornamento di Plug-in Manager non è stato in grado discaricare un programma plug-in. Verificare che la connessione di retefunzioni correttamente e riprovare.

• Il modulo di aggiornamento di Plug-in Manager non è in grado di installareil programma plug-in perché l'agente patch AU ha restituito un errore.L’agente patch AU è il programma che lancia l’installazione di nuoviprogrammi plug-in. Per determinare la causa esatta dell'errore, controllareil registro di debug del modulo ActiveUpdate "TmuDump.txt" in \PCCSRV\Web\Service\AU_Data\AU_Log.


1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a1.0.1000.

2. Eliminare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_ADDON_xxxx relativa alprogramma plug-in.


4. Scaricare e installare un programma plug-in.

170 Si è verificato un errore di sistema.

Il modulo di aggiornamento di Plug-in Manager non è in grado di elaborarel’operazione richiesta perché al momento sta gestendo un’altra operazione.

Eseguire l'operazione in un secondo momento.


17-19

Codice

errore



Il programma Plug-in Manager non è in grado di gestire un'operazione inesecuzione nella console Web.

Aggiornare la console Web o aggiornare la versione di Plug-in Manager, se èdisponibile un aggiornamento per il programma.


Il programma Plug-in Manager ha rilevato un errore di comunicazione tra iprocessi (IPC) nel tentativo di comunicare con i servizi backend di Plug-inManager.

Riavviare il servizio OfficeScan Plug-in Manager ed eseguire nuovamentel'operazione.

Altricodicidierrore:

Si è verificato un errore di sistema.

Quando si scarica un nuovo programma plug-in, Plug-in Manager verifical'elenco dei programmi plug-in nel server ActiveUpdate. Plug-in Manager non èstato in grado di ottenere l'elenco.


1. Aprire l'Editor del Registro di configurazione e accedere aHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore su1.0.1000.


3. Scaricare e installare un programma plug-in.

18-1

Capitolo 18

Risorse per la risoluzione deiproblemi

Questo capitolo contiene un elenco di risorse utilizzabili per risolvere eventuali problemiriscontrati sul server OfficeScan e sull'Agente OfficeScan.


• Sistema di supporto intelligente a pagina 18-2

• Case Diagnostic Tool a pagina 18-2

• Trend Micro Performance Tuning Tool a pagina 18-2


• Registri dell'agente OfficeScan a pagina 18-15


18-2

Sistema di supporto intelligenteIl Sistema di supporto intelligente è una pagina nella quale è possibile inviare facilmentefile da analizzare a Trend Micro. Questo sistema determina il GUID del serverOfficeScan e invia tale informazione con il file inviato. Il GUID del server OfficeScanconsente a Trend Micro di inviare feedback riguardo ai file inviati per la valutazione.

Case Diagnostic ToolQuando si verifica un problema, Trend Micro Case Diagnostic Tool (CDT) raccoglie leinformazioni di debugging necessarie dal prodotto del cliente. Attiva e disattivaautomaticamente lo stato di debug del prodotto e raccoglie i file necessari a secondadella categoria del problema. Queste informazioni vengono utilizzate da Trend Microper risolvere i problemi legati al prodotto.

Eseguire lo strumento su tutte le piattaforme supportate da OfficeScan. Per ottenerequesto strumento e la relativa documentazione, contattare il centro di assistenza piùvicino.

Trend Micro Performance Tuning ToolTrend Micro fornisce uno strumento standalone di ottimizzazione delle prestazioni perindividuare le applicazioni che potrebbero provocare problemi alle prestazioni. TrendMicro Performance Tuning Tool, disponibile nella Knowledge Base di Trend Micro,deve essere eseguito in un'immagine di workstation standard e/o in altre workstation inun processo pilota volto a prevenire problemi di prestazioni nell'implementazione attualedi Monitoraggio del comportamento e Controllo dispositivo.

Per maggiori dettagli, visitare http://esupport.trendmicro.com/solution/en-us/1056425.aspx.



Risorse per la risoluzione dei problemi

18-3

Registri del server OfficeScanOltre ai registri disponibili nella console Web, per risolvere i problemi del prodotto, èpossibile utilizzare altri registri (come i registri di debug).

AVVERTENZA!I registri di debug possono influenzare le prestazioni del server e occupare una significativaquantità di spazio su disco. Attivare i registri di debug solo quando è necessario e disattivarliimmediatamente quando i dati di debug non sono più necessari. Per liberare spazio sudisco, rimuovere il file di registro.

Registri di debug del server tramite LogServer.exeUtilizzare LogServer.exe per raccogliere i registri di debug per quanto segue:

• Registri di base del server OfficeScan

• Trend Micro Vulnerability Scanner

• Registri di Active Directory Integration

• Registri di raggruppamento agenti

• Registri di conformità della sicurezza

• Role-based Administration (RBA)

• Smart scan

Attivazione del registro di debug

Procedura

1. Accedere alla console Web.

2. Sul banner della console Web, fare clic sulla prima "O" di "OfficeScan".

3. Selezionare Attiva registro di debug.


18-4

4. Specificare le impostazioni del registro di debug.


6. Controllare il file di registro (ofcdebug.log) nella posizione predefinita: <Cartelladi installazione del server>\PCCSRV\Log.

Disattivazione del registro di debug

Procedura

1. Accedere alla console Web.

2. Sul banner della console Web, fare clic sulla prima "O" di "OfficeScan".

3. Deselezionare Attiva registro di debug.


Attivazione del registro di debug per l'installazione el'aggiornamento del serverAttivare i registri di debug prima di effettuare le seguenti operazioni:

• Disinstallare e reinstallare il server.

• Aggiornare OfficeScan a una nuova versione.

• Eseguire l'installazione remota o l'aggiornamento remoto (i registri di debugvengono attivati sul dispositivo sul quale è stato avviato il programma diconfigurazione e non sul dispositivo remoto).

Procedura

1. Copiare la cartella LogServer situata in <Cartella di installazione del server>\PCCSRV\Private in C:\.

2. Creare un file denominarlo ofcdebug.ini con il seguente contenuto:


18-5

[debug]

debuglevel=9

debuglog=c:\LogServer\ofcdebug.log

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

3. Salvare il file ofcdebug.ini in C:\LogServer.

4. Effettuare l'operazione per la quale si desidera il debug (cioè l'installazione o lareinstallazione del server, l'aggiornamento a una nuova versione, l'installazioneremota o l'aggiornamento remoto).

5. Controllare ofcdebug.log in C:\LogServer.

Registri di installazione• Registri di installazione/aggiornamento locale

Nome file: OFCMAS.LOG

Posizione: %windir%

• Registri di installazione/aggiornamento remoto

• Nel dispositivo sul quale è stato avviato il programma di installazione:

Nome file: ofcmasr.log

Posizione: %windir%

• Nel dispositivo di destinazione:

Nome file: OFCMAS.LOG

Posizione: %windir%


18-6

Registri di Active Directory

• Nome file: ofcdebug.log

• Nome file: ofcserver.ini

Posizione: <Cartella di installazione del server>\PCCSRV\Private\

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

• dbADPredefinedScope.cdx

• dbADPredefinedScope.dbf

• dbCredential.cdx

• dbCredential.dbf

Posizione: <Cartella di installazione del server>\PCCSRV\HTTPDB\

Registri di Role-based Administration

Per ottenere le informazioni su Role-Based Administration, effettuare una delleoperazioni riportate di seguito:

• Eseguire Trend Micro Case Diagnostics Tool. Per informazioni, vedere CaseDiagnostic Tool a pagina 18-2.

• Raccogliere i registri riportati di seguito:

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Private\AuthorStore.



18-7

Registri di raggruppamento dell'agente OfficeScan• Nome file: ofcdebug.log



• Nome file: SortingRule.xml

Percorso: <Cartella d'installazione del server>\PCCSRV\Private\SortingRuleStore\

• Nomi dei file:

• dbADScope.cdx

• dbADScope.dbf

Posizione: <Cartella di installazione del server>\HTTPDB\

Registri di aggiornamento dei componentiNome file: TmuDump.txt

Posizione: <Cartella di installazione del server>\PCCSRV\Web\Service\AU_Data\AU_Log

Come ottenere informazioni dettagliate sull'aggiornamentodel server

Procedura

1. Creare un file nominato aucfg.ini con il seguente contenuto:

[Debug]

level=-1

[Downloader]


18-8

ProxyCache=0

2. Salvare il file in <Cartella di installazione del server>\PCCSRV\Web\Service.


Interruzione della raccolta delle informazioni dettagliatesull'aggiornamento del server

Procedura

1. Eliminare il file aucfg.ini.


Registri di Agent Packager

Attivazione del registro per la creazione di Agent Packager

Procedura

1. Modificare ClnExtor.ini in <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager nel modo seguente:

[Common]

DebugMode=1

2. Controllare ClnPack.log in C:\.


18-9

Disattivazione del registro per la creazione di AgentPackager

Procedura

1. Aprire ClnExtor.ini.

2. Modificare il valore "DebugMode" da 1 a 0.

Registri di segnalazioni della conformità sicurezzaPer ottenere informazioni dettagliate sulla conformità di sicurezza, raccogliere leinformazioni seguenti:

• Nome file: RBAUserProfile.ini

Percorso: <Cartella di installazione del server>\PCCSRV\Private\AuthorStore\

• Tutti i file in <Cartella di installazione del server>\PCCSRV\Log\Segnalazione della conformità sicurezza.


Registri di gestione server esterni• Nome file: ofcdebug.log



• Tutti i file in <Cartella di installazione del server>\PCCSRV\Log\Segnalazione Gestione server esterni\.

• Nomi dei file:

• dbADScope.cdx


18-10

• dbADScope.dbf

• dbClientInfo.cdx

• dbclientInfo.dbf


Registri di eccezioni di Controllo dispositivo

Per ottenere informazioni dettagliate sulle eccezioni di Controllo dispositivo, raccoglierele informazioni seguenti:

• Nome file: ofcscan.ini

Posizione: <Cartella di installazione del server>\

• Nome file: dbClientExtra.dbf


• Elenco di eccezioni di Controllo dispositivo della console Web OfficeScan.

Registri di Web Reputation di Integrated Smart ProtectionServer

Nome file: diagnostic.log

Percorso: <Cartella di installazione del server>\PCCSRV\LWCS\

Registri dello Strumento di migrazione di server normaliServerProtect

Per attivare il registro di debug per lo strumento di migrazione del server normaleServerProtect:


18-11

Procedura

1. Creare un file nominato ofcdebug.ini con il seguente contenuto:

[Debug]

DebugLog=C:\ofcdebug.log

DebugLevel=9

2. Salvare il file in C:\.

3. Controllare ofcdebug.log in C:\.

Nota

Per disattivare il registro di debug, eliminare il file ofcdebug.ini.

Registri VSEncrypt

OfficeScan crea automaticamente il registro di debug (VSEncrypt.log) nella cartellatemporanea dell'account dell'utente. Ad esempio, C:\Documents and Settings\<Nome utente>\Impostazioni locali\Temp.

Registri di MCP Agent di Control Manager

Eseguire il debug dei file in <Cartella di installazione del server>\PCCSRV\CMAgent.

• Agent.ini

• Product.ini

• Schermata della pagina di impostazioni Control Manager

• ProductUI.zip


18-12

Attivazione del registro di debug per l'MCP Agent

Procedura

1. Modificare product.ini in <Cartella di installazione del server>\PCCSRV\CmAgent nel modo seguente:

[Debug]

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Riavviare il servizio OfficeScan Control Manager Agent da Console di gestioneMicrosoft.

3. Controllare CMAgent_debug.log in C:\.

Disattivazione del registro di debug per l'MCP Agent

Procedura

1. Aprire il file product.ini ed eliminare le seguenti righe:

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log


18-13

2. Riavviare il servizio Control Manager di OfficeScan.

Registri di virus/minacce informatiche

Nome del file:

• dbVirusLog.dbf

• dbVirusLog.cdx

Percorso: <Cartella di installazione del server>\PCCSRV\HTTPDB\

Registri di spyware/grayware

Nome del file:

• dbSpywareLog.dbf

• dbSpywareLog.cdx

Percorso: <Cartella di installazione del server>\PCCSRV\HTTPDB\

Registri infezioni

Tipo di registro File

Registri delle infezioni daviolazione del firewall attuali

Nome file: Cfw_Outbreak_Current.log

Percorso: <Cartella di installazione del server>\PCCSRV\Log\

Registri delle ultimeinfezioni da violazione delfirewall

Nome file: Cfw_Outbreak_Last.log



18-14

Tipo di registro File

Registri delle infezioni davirus/minacce informaticheattuali

Nome file: Outbreak_Current.log


Registri delle ultimeinfezioni da virus/minacceinformatiche

Nome file: Outbreak_Last.log


Registri delle infezionidovute a spyware/graywareattuali

Nome file: Spyware_Outbreak_Current.log


Registri delle ultimeinfezioni dovute a spyware/grayware

Nome file: Spyware_Outbreak_Last.log


Registri del supporto Virtual Desktop• Nome file: vdi_list.ini

Percorso: <Cartella di installazione del server>\PCCSRV\TEMP\

• Nome file: vdi.ini

Percorso: <Cartella d'installazione del server>\PCCSRV\Private\

• Nome file: ofcdebug.txt

Percorso: <Cartella di installazione del server>\PCCSRV\

Per generare ofcdebug.txt, attivare il registro di debug. Per istruzioni su comeattivare il registro di debug, vedere Attivazione del registro di debug a pagina 18-3.


18-15

Registri dell'agente OfficeScanUtilizzare i registri dell'Agente OfficeScan (ad esempio, i registri di debug) per risolvere iproblemi relativi all'Agente OfficeScan.

AVVERTENZA!

I registri di debug possono influenzare le prestazioni dell'agente e occupare una significativaquantità di spazio su disco. Attivare i registri di debug solo quando è necessario e disattivarliimmediatamente quando i dati di debug non sono più necessari. Quando la dimensione delfile di registro diventa notevole, è opportuno eliminare tale file.

Registri di debug dell'agente OfficeScan tramiteLogServer.exe

Per attivare la registrazione del debug per l'Agente OfficeScan:

Procedura

1. Creare un file con il seguente contenuto e denominarlo ofcdebug.ini:

[Debug]

Debuglog=C:\ofcdebug.log

debuglevel=9

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

2. Inviare il file ofcdebug.ini agli utenti e specificare che deve essere salvato in C:\.


18-16

Nota

LogServer.exe viene eseguito automaticamente a ogni avvio del dispositivoAgente OfficeScan. L'utente NON deve chiudere la finestra di comandoLogServer.exe che si apre all'avvio del dispositivo; in caso contrario, OfficeScaninterromperà la registrazione del debug. Se l'utente ha chiuso la finestra di comando,può riavviare la registrazione del debug avviando LogServer.exe in <Cartella diinstallazione dell'agente>.

3. Per ogni dispositivo Agente OfficeScan, controllare il file ofcdebug.log in C:\.

Nota

Per disattivare il registro di debug per l'Agente OfficeScan, è sufficiente eliminare il fileofcdebug.ini.

Registri installazioni da zeroPer le installazioni dei pacchetti MSI:

• Nome file: OFCNT.LOG

• Posizione: <Cartella di installazione dell'agente>

Per le installazioni Web:

• Nome file: WebInstall.log

• Posizione: C:\

Per le installazioni remote:


• Posizione: C:\

Per le installazioni di pacchetti Autopcc ed EXE:


• Posizione: <Cartella di installazione dell'agente>%windir%\


18-17

Registri aggiornamenti e hot fixNome file: upgrade_aaaammgghhmmss.log

Percorso: <Cartella di installazione dell'agente>\Temp

Registri Damage Cleanup Services

Attivazione del registro di debug per Damage CleanupServices

Procedura

1. Aprire TSC.ini in <Cartella di installazione dell'agente>.

2. Modificare la seguenti linea nel modo seguente:

DebugInfoLevel=5

3. Controllare TSCDebug.log in <Cartella di installazionedell'agente>\debug.

Disattivazione del registro di debug per Damage CleanupServicesAprire TSC.ini e modificare il valore "DebugInfoLevel" da 5 a 0.

Registro di disinfezioneNome file: yyyymmdd.log

Posizione: <Cartella di installazione dell'agente>\report\

Registri della scansione e-mailNome file: SmolDbg.txt


18-18

Posizione: <Cartella di installazione dell'agente>

Registri di connessione dell'agente OfficeScanNome file: Conn_AAAAMMGG.log

Percorso: <Cartella di installazione dell'agente>\ConnLog

Registri di aggiornamento dell'agente OfficeScanNome file: Tmudump.txt

Percorso: <Cartella di installazione dell'agente>\AU_Data\AU_Log

Come ottenere informazioni dettagliate sull'aggiornamentodell'agente OfficeScan

Procedura

1. Creare un file nominato aucfg.ini con il seguente contenuto:

[Debug]

level=-1

[Downloader]

ProxyCache=0

2. Salvare il file in <Cartella di installazione dell'agente>.

3. Ricaricare l'Agente OfficeScan.

Nota

Interrompere la raccolta delle informazioni di aggiornamento dettagliate dell'agenteeliminando il file aucfg.ini e ricaricando l'Agente OfficeScan.


18-19

Registri del Motore di scansione virusPer attivare il registro di debug per il motore di scansione virus:

Procedura


2. Accedere a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMFilter\Parameters.

3. Impostare il valore di "DebugLogFlags" su "00003eff".

4. Rieffettuare i passaggi che hanno condotto al problema di scansione riscontrato.

5. Controllare TMFilter.log in %windir%.

Nota

Disattivare il registro di debug reimpostando il valore di "DebugLogFlags" su"00000000".

Registri prevenzione delle infezioniNome file: OPPLogs.log

Percorso: <Cartella di installazione dell'agente>\OppLog

Registro di ripristino della prevenzione delle infezioniNomi dei file:

• TmOPP.ini

• TmOPPRestore.ini

Posizione: <Cartella di installazione dell'agente>\


18-20

Registri di debug di monitoraggio del comportamentoPer attivare il registro di debug per il monitoraggio del comportamento:

Procedura


2. Passare a HKLM\SOFTWARE\TrendMicro\Aegis.

3. Impostare il valore di "DebugLogFlags" su "dword:00000032".

4. Effettuare di nuovo i passaggi che hanno condotto al problema riscontrato.

5. Verificare i seguenti registri nella cartella C:\Programmi (x86)\Trend Micro\BM\log\:

• TmCommengaaaammgg_nn.log

• TMPEMaaaammgg_nn.log

Log del firewall OfficeScan

Attivazione del registro di debug per il Driver comuneFirewall sui computer con Windows Server 2008/7/Server2012/8/8.1/10/Server 2016

Procedura

1. Modificare i seguenti valori del registro:


18-21

Chiave di registro Valori

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmwfp\Parameters

Tipo:valore DWORD(REG_DWORD)

Nome:DebugCtrl

Valore:0x00001111

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmlwf\Parameters

Tipo:valore DWORD(REG_DWORD)

Nome:DebugCtrl

Valore:0x00001111

2. Riavviare il dispositivo.

3. Controllare i file wfp_log.txt e lwf_log.txt in C:\.

Attivazione del registro di debug per il Driver comuneFirewall sui computer con Windows XP e Windows Server2003

Procedura

1. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmcfw\Parameters:

• Tipo: valore DWORD (REG_DWORD)

• Nome: DebugCtrl

• Valore: 0x00001111

2. Riavviare l'dispositivo

3. Controllare cfw_log.txt in C:\.


18-22

Disattivazione del registro di debug per il Driver comunefirewall (tutti i sistemi operativi)

Procedura

1. Eliminare il valore "DebugCtrl" nella chiave di registro.


Attivazione del registro di debug per il servizio firewal NTOfficeScan

Procedura

1. Modificare TmPfw.ini in <Cartella di installazione dell'agente> come segue:

[ServiceSession]

Enable=1

2. Ricaricare l'agente.

3. Controllare ddmmyyyy_NSC_TmPfw.log in C:\temp.

Disattivazione del registro di debug per il servizio firewal NTOfficeScan

Procedura

1. Aprire TmPfw.ini e modificare il valore "Attiva" da 1 a 0.

2. Ricaricare l'Agente OfficeScan.


18-23

Registri della reputazione Web e della scansione e-mailPOP3

Per attivare il registro di debug per la funzionalità diReputazione Web e scansione e-mail POP3

Procedura

• Per agenti con Windows Server 2008.

a. Modificare TmProxy.ini in <Cartella di installazione dell'agente> come segue:

[InteractiveSession]

Enable=1

LogFolder=C:\temp

[ServiceSession]

Enable=1

LogFolder=C:\temp

b. Ricaricare l'Agente OfficeScan.

c. Controllare ddmmyyyy_NSC_TmProxy.log in C:\temp.

• Per agenti con altre versioni di Windows:

a. Modificare TmOsprey.ini in <Cartella di installazione dell'agente> come segue:


Enable=1

LogFolder=C:\temp

[ServiceSession]

Enable=1

LogFolder=C:\temp


18-24


c. Controllare ddmmyyyy_NSC_TmProxy.log in C:\temp.

Per disattivare il registro di debug per la funzionalità diReputazione Web e scansione e-mail POP3

Procedura

• Per agenti con Windows Server 2008.

a. Modificare TmProxy.ini in <Cartella di installazione dell'agente> come segue:


Enable=0

LogFolder=C:\temp

[ServiceSession]

Enable=0

LogFolder=C:\temp


• Per agenti con altre versioni di Windows:

a. Modificare TmOsprey.ini in <Cartella di installazione dell'agente> come segue:


Enable=0

LogFolder=C:\temp

[ServiceSession]

Enable=0

LogFolder=C:\temp


18-25


Registri di elenchi di eccezioni di Controllo dispositivo

Nome file: DAC_ELIST

Posizione: <Cartella di installazione dell'agente>\

Registri di debug di Protezione dati

Per attivare i registri di debug di Protezione dati

Procedura

1. Richiedere il file logger.cfg all'assistenza tecnica.

2. Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite:

• Tipo: stringa

• Nome: debugcfg

• Valore: C:\Log\logger.cfg

3. Creare una cartella denominata “Log” nella directory C:\

4. Copiare logger.cfg nella cartella Log.

5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivodella console Web per avviare la raccolta dei registri.

Nota

Per disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nellachiave di registro e riavviare il dispositivo.


18-26

Registri eventi di WindowsVisualizzatore eventi di Windows registra gli eventi delle applicazioni riusciti, ad esempiol'accesso o la modifica delle impostazioni dell'account.

Procedura

1. Effettuare una delle seguenti operazioni.

• Fare clic su Avvia > Pannello di controllol > Prestazioni e manutenzione> Strumenti amministrativi > Gestione computer.

• Aprire la MMC contenente lo snap-in Visualizzatore eventi.

2. Fare clic su Visualizzatore eventi.

Registri di Transport Driver Interface (TDI)Per attivare i registri di Transport Driver Interface (TDI)

Procedura

1. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\tmtdi\Parameters:

Parametro Valori

Chiave 1 Tipo: valore DWORD (REG_DWORD)

Nome: Debug

Valore: 1111 (esadecimale)

Chiave 2 Tipo: Valore stringa (REG_SZ)

Nome: LogFile

Valore: C:\tmtdi.log



18-27

3. Controllare tmtdi.log in C:\.

NotaPer disattivare il registro di debug per TDI, eliminare Debug e LogFile nella chiave diregistro e riavviare il dispositivo.

19-1

Capitolo 19

Assistenza tecnicaUlteriori informazioni sui seguenti argomenti:

• Risorse per la risoluzione dei problemi a pagina 19-2

• Come contattare Trend Micro a pagina 19-3

• Invio di contenuti sospetti a Trend Micro a pagina 19-4

• Altre risorse a pagina 19-5


19-2

Risorse per la risoluzione dei problemiPrima di contattare l'assistenza tecnica, consultare le seguenti risorse online di TrendMicro.

Utilizzo del portale di supportoIl portale di supporto Trend Micro è una risorsa online attiva 24 ore su 24, sette giornisu sette, che contiene le informazioni più aggiornate su problemi sia comuni che insoliti.

Procedura

1. Accedere a http://esupport.trendmicro.com.

2. Effettuare la selezione tra i prodotti disponibili o fare clic sull'apposito pulsante peravviare la ricerca di soluzioni.

3. Per cercare le soluzioni possibili, utilizzare la casella Cerca assistenza.

4. Se non viene individuata alcuna soluzione, fare clic su Contatta supporto eselezionare il tipo di supporto necessario.

Suggerimento

Per segnalare un caso di assistenza online, visitare la pagina al seguente URL:

http://esupport.trendmicro.com/srf/srfmain.aspx

Il caso viene esaminato da un addetto all'assistenza tecnica di Trend Micro e larisposta giungerà nell'arco di 24 al massimo.

Enciclopedia delle minacceLa maggior parte delle minacce informatiche di oggi è costituita da minacce miste,ovvero dalla combinazione di due o più tecnologie ideata per bypassare i protocolli disicurezza dei computer. Trend Micro ostacola queste minacce complesse con prodotti


http://esupport.trendmicro.com/srf/srfmain.aspx

Assistenza tecnica

19-3

pensati per creare una strategia di difesa personalizzata. L'Enciclopedia delle minaccefornisce un elenco esauriente di nomi e sintomi delle varie miscele di minacce, incluseminacce informatiche conosciute, spam, URL dannosi, nonché vulnerabilità conosciute.

Per ulteriori informazioni, vedere http://about-threats.trendmicro.com/it/threatencyclopedia#malware:

• Minacce informatiche e codici mobili dannosi attualmente attivi o in circolazione

• Pagine informative sulle minacce correlate, per una descrizione degli attacchi Webcompleta.

• Avvisi sulle minacce Internet riguardanti gli attacchi mirati e le minacce per lasicurezza

• Informazioni sull'andamento online e sugli attacchi Web

• Rapporti settimanali sulle minacce informatiche

Come contattare Trend MicroÈ possibile contattare gli addetti di Trend Micro via telefono o e-mail:

Indirizzo TREND MICRO Italy S.r.l.

Edison Park Center

Viale Edison 110 - Edificio C

20099 Sesto San Giovanni (MI)

Italia

Telefono +39 02 925931

Sito Web http://www.trendmicro.it

Indirizzo e-mail [email protected]

• Uffici di assistenza nel mondo:

http://www.trendmicro.com/us/about-us/contact/index.html



http://www.trendmicro.it

mailto:[email protected]

http://www.trendmicro.com/us/about-us/contact/index.html


19-4

• Come contattare Trend Micro:

http://www.trendmicro.it/informazioni/contatti/index.html

• Documentazione dei prodotti Trend Micro

http://docs.trendmicro.com/it-it/home.aspx

Semplificazione della chiamata all'assistenza tecnica

Per migliorare la risoluzione dei problemi, tenere a disposizione le seguentiinformazioni:

• Passaggi che hanno causato il problema

• Informazioni sulla rete o sulle apparecchiature

• Marca e modello del computer ed eventuale hardware aggiuntivo o dispositivicollegati

• Quantità di memoria e spazio libero su disco

• Sistema operativo e versione del service pack

• Versione dell'Agent installato

• Numero di serie o codice di attivazione

• Descrizione dettagliata dell'ambiente di installazione

• Testo esatto di eventuali messaggi di errore ricevuti

Invio di contenuti sospetti a Trend MicroSono disponibili numerose opzioni per inviare contenuti sospetti a Trend Micro perulteriore analisi.

http://www.trendmicro.it/informazioni/contatti/index.html

http://docs.trendmicro.com/it-it/home.aspx

Assistenza tecnica

19-5

Servizi di reputazione e-mailInviare una query per la reputazione di un indirizzo IP specific e indicare un agente ditrasferimento del messaggio da includere nell'elenco approvali globale:

https://ers.trendmicro.com/

Consultare il seguente articolo della Knowledge Base per esempi dei messaggi da inviarea Trend Micro:


Servizi di reputazione fileRaccogliere le informazioni di sistema e inviare il contenuto del file dannoso a TrendMicro:


Annotare il numero di pratica per riferimenti futuri.

Servizi di reputazione WebInviare una query sulla classificazione della sicurezza e sul tipo di contenuto di un URLsospettato di phishing o di altri cosiddetti "vettori di infezioni" (fonte intenzionale diminacce Internet quali spyware e minacce informatiche).

http://global.sitesafety.trendmicro.com/

se la classificazione assegnata è corretta, reinviare una nuova richiesta di classificazione aTrend Micro.

Altre risorseOltre alle soluzioni e all'assistenza, online sono disponibili molte altre risorse perrimanere aggiornati, conoscere le innovazioni ed essere informati sulle ultime novità cheriguardano la sicurezza.

https://ers.trendmicro.com/



http://global.sitesafety.trendmicro.com/


19-6

Centro di downloadPeriodicamente, Trend Micro rilascia una patch per il problema noto riportato oppureun aggiornamento applicabile ad un servizio o a un prodotto specifico. Per consultare lepatch disponibili, accedere a:

http://downloadcenter.trendmicro.com/index.php?regs=it

Se una patch non è stata applicata (ogni patch ha una data) aprire il file Readme edeterminare se si tratta di una patch rilevante per l'ambiente di riferimento. Il fileReadme contiene inoltre le istruzioni per l'installazione.

Riscontri sulla documentazioneTrend Micro si impegna continuamente a migliorare la propria documentazione. Perdomande, commenti o suggerimenti riguardanti questo o qualsiasi documento TrendMicro, visitare il seguente sito:


http://downloadcenter.trendmicro.com/index.php?regs=it


AppendiciAppendici

A-1

Appendice A

Supporto dell'IPv6 in OfficeScanLa lettura di questa appendice è necessaria per gli utenti che intendono implementareOfficeScan in un ambiente che supporta l'indirizzamento IPv6. Questa appendicecontiene informazioni sull'entità del supporto IPv6 in OfficeScan.

Trend Micro presume che il lettore conosca bene i concetti relativi a IPv6 e le attivitànecessarie per configurare una rete che supporti l'indirizzamento IPv6.


A-2

Supporto IPv6 per server OfficeScan e agentiIl supporto IPv6 per OfficeScan è stato introdotto nella versione 10.6. Nelle versioniprecedenti di OfficeScan, l'indirizzamento IPv6 non era supportato. Il supporto IPv6viene attivato automaticamente dopo l'installazione o l'aggiornamento della versione delserver OfficeScan e degli Agenti OfficeScan che soddisfano i requisiti IPv6.

Requisiti del server OfficeScanDi seguito sono elencati i requisiti IPv6 per il server OfficeScan:

• Il server deve essere installato in computer con Windows Server 2008, WindowsServer 2012 o Windows Server 2016.

• Il server deve usare un server Web IIS.

• Se il server deve gestire Agenti OfficeScan IPv4 e IPv6, deve disporre siadell'indirizzo IPv4 che IPv6 e deve essere identificato tramite il suo nome host. Seil server viene identificato tramite il suo indirizzo IPv4, gli Agenti OfficeScan IPv6non possono collegarsi al server. Lo stesso problema si verifica se gli agenti IPv4puri si collegano a un server identificato tramite il suo indirizzo IPv6.

• Se il server deve gestire solo agenti IPv6, il requisito minimo è un indirizzo IPv6. Ilserver può essere identificato tramite il nome host o l'indirizzo IPv6. Se il serverviene identificato tramite il nome host, è preferibile utilizzare il suo nome didominio completo (FQDN). Infatti, in un ambiente IPv6 puro, un server WINSnon può tradurre un nome host nel suo corrispondente indirizzo IPv6.

Nota

Il nome di dominio completamente qualificato (FQDN) può essere specificato soloquando si esegue un'installazione locale del server. Non è supportato sulleinstallazioni remote.

Requisiti dell'agente OfficeScanL'Agente OfficeScan deve essere installato su:

Supporto dell'IPv6 in OfficeScan

A-3

• Windows 7

• Windows Server 2008

• Windows 8

• Windows 8.1


• Windows 10


Preferibilmente, l'Agente OfficeScan dovrebbe disporre di indirizzi IPv4 e IPv6, inquanto alcune delle entità alle quali si connette supportano solo l'indirizzamento IPv4.

Limitazioni del server IPv6 puro

La tabella seguente elenca le limitazioni che si applicano ai server OfficeScan dotati solodi indirizzo IPv6.

Tabella A-1. Limitazioni del server IPv6 puro

Elemento Limitazione

Gestionedell'agente

Un server IPv6 puro non è in grado di:

• Implementare gli Agenti OfficeScan nei dispositivi IPv4 puri.

• Gestire gli Agenti OfficeScan IPv4 puri.

Aggiornamenti egestionecentralizzata

Un server IPv6 puro non è in grado di eseguire l'aggiornamento daorigini IPv4 pure, come:



Registrazione delprodotti,attivazione erinnovo

Un server IPv6 puro non è in grado di connettersi al server per laregistrazione online di Trend Micro per registrare il prodotto, ottenerela licenza e attivare o rinnovare la licenza.


A-4

Elemento Limitazione

Connessioneproxy

Un server IPv6 puro non è in grado di stabilire la connessioneattraverso un server proxy IPv4 puro.

Soluzioni plug-in Un server IPv6 puro dispone di Plug-in Manager, ma non è in gradodi implementare le soluzioni plug-in a:

• Gli Agenti OfficeScan IPv4 puri o host IPv4 puri (a causadell'assenza di una connessione diretta).

• Gli Agenti OfficeScan IPv6 puri o gli host IPv6 puri in quantonessuna delle soluzioni plug-in supporta IPv6.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate). Posizionareil server proxy tra il server OfficeScan e le entità alle quali si connette o che serve.

Limitazioni del Agente OfficeScan IPv6 puroLa tabella seguente elenca le limitazioni che si applicano quando il Agente OfficeScan haun solo indirizzo IPv6.

Tabella A-2. Limitazioni del Agente OfficeScan IPv6 puro

Voce Limitazione

Server OfficeScanprincipale

I Agenti OfficeScan IPv6 puri non possono essere gestiti daun server OfficeScan IPv4 puro.

Aggiornamenti Un Agente OfficeScan IPv6 puro non può eseguirel'aggiornamento da fonti aggiornamento IPv4 pure come:

• Trend Micro ActiveUpdate Server


• Un Update Agent IPv4 puro

• Qualsiasi origine aggiornamenti personalizzata IPv4pura


A-5

Voce Limitazione

Query di scansione,query di reputazioneWeb e Smart Feedback

Un Agente OfficeScan IPv6 puro non può inviare query aorigini Smart Protection come:


NotaIl supporto IPv6 per Smart Protection Server èstato introdotto nella versione 2.5.

• Trend Micro Smart Protection Network (anche per SmartFeedback)

Sicurezza del software I Agenti OfficeScan IPv6 puri non possono connettersi alServizio Certified Safe Software di Trend Micro.

Soluzioni plug-in Gli Agenti OfficeScan IPv6 puri non sono in grado diinstallare le soluzioni plug-in in quanto nessuna di questesupporta IPv6.

Connessione proxy Un client Agente OfficeScan IPv6 puro non può connettersimediante un server proxy IPv4 puro.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate). Posizionareil server proxy tra i Agenti OfficeScan e le entità a cui sono connessi.

Configurazione indirizzi IPv6La console Web consente di configurare un indirizzo IPv6 o un intervallo di indirizziIPv6. Di seguito sono riportate alcune istruzioni per la configurazione.

• OfficeScan accetta presentazioni di indirizzi IPv6 standard.

Ad esempio:

2001:0db7:85a3:0000:0000:8a2e:0370:7334

2001:db7:85a3:0:0:8a2e:370:7334


A-6

2001:db7:85a3::8a2e:370:7334

::ffff:192.0.2.128

• OfficeScan accetta inoltre indirizzi IPv6 con collegamento locale, come:

fe80::210:5aff:feaa:20a2

AVVERTENZA!

Quando si specifica un indirizzo IPv6 con collegamento locale è necessario essereprudenti in quanto, anche se OfficeScan accetta l'indirizzo, potrebbe non funzionarecome previsto in determinate circostanze. Ad esempio, non è possibile aggiornare iAgenti OfficeScan da una fonte aggiornamenti se la fonte si trova in un altrosegmento di rete ed è identificata dal corrispondente indirizzo IPv6 con collegamentolocale.

• Quando l'indirizzo IPv6 fa parte di un URL, racchiuderlo tra parentesi quadre ([]).

• Per gli intervalli di indirizzi IPv6, generalmente sono necessari un prefisso e unalunghezza di prefisso. Per le configurazioni in cui il server esegue query degliindirizzi IP, si applicano le limitazioni della lunghezza del prefisso per evitare che siverifichino problemi di prestazioni quando il server esegue query su un numeroelevato di indirizzi IP. Ad esempio, per la funzionalità Gestione server esterni, lalunghezza del prefisso deve essere compresa tra 112 (65.536 indirizzi IP) e 128 (2indirizzi IP).

• Alcune impostazioni relative agli indirizzi o agli intervalli di indirizzi IPv6 vengonoimplementate sui Agenti OfficeScan ma i Agenti OfficeScan le ignorano. Adesempio, se si configura l'elenco delle origini Smart Protection e si include unoSmart Protection Server identificato dal corrispondente indirizzo IPv6, i AgentiOfficeScan IPv4 puri ignoreranno il server e si collegheranno alle altre originiSmart Protection.

Schermate che visualizzano gli indirizzi IPIn questa argomento sono enumerate le posizioni della console Web in cui sonovisualizzati gli indirizzi IP.


A-7

Percorso Descrizione

Strutturaagente

Ogni volta che la struttura agente viene visualizzata, gli indirizzi IPv6degli Agenti OfficeScan IPv6 puri vengono visualizzati nella colonnaIndirizzo IP. Per gli Agenti OfficeScan dual-stack, gli indirizzi IPv6sono visualizzati se sono stati utilizzati per effettuare la registrazioneal server.

NotaÈ possibile controllare l'indirizzo IP utilizzato dagli AgentiOfficeScan dual-stack per la registrazione al server da Agenti >Impostazioni globali agente > Rete > Indirizzo IP preferito.

Quando si esportano le impostazioni della struttura agente in un file,gli indirizzi IPv6 sono presenti anche nel file esportato.

Stato agente Informazioni dettagliate sull'agente sono disponibili in Agenti >Gestione agente > Stato. In questa schermata, sono visualizzati gliindirizzi IPv6 degli Agenti OfficeScan IPv6 puri e degli AgentiOfficeScan dual-stack che hanno usato gli indirizzi IPv6 per laregistrazione al server.

Registri Gli indirizzi IPv6 degli Agenti OfficeScan dual-stack e IPv6 puri sonovisualizzati nei seguenti registri:

• Registri di virus/minacce informatiche



• Registri di verifica connessione


A-8

Percorso Descrizione

Console diControlManager

Di seguito sono elencati gli indirizzi IP del server e degli AgentiOfficeScan che vengono visualizzati nella console di Control Manager.

• Server dual-stack: IPv4 e IPv6

• Server IPv4 puro: IPv4

• Server IPv6 puro: IPv6

• Agente OfficeScan dual-stack: L'indirizzo IP utilizzato per laregistrazione dell'Agente OfficeScan sul server OfficeScan

• Agente OfficeScan IPv4 puro: IPv4

• Agente OfficeScan IPv6 puro: IPv6

B-1

Appendice B

Supporto per Windows Server CoreIn questa appendice sono riportate le informazioni relative al supporto di OfficeScanper Windows Server Core.


B-2

Supporto per Windows Server CoreWindows Server Core è l'installazione "minima" di una versione di Windows Server. Inun Server Core:

• Molte delle opzioni e delle funzioni di Windows Server non sono disponibili.

• Il server esegue una versione del sistema operativo sensibilmente più ridotta.

• Le operazioni sono eseguite principalmente dall'interfaccia della riga di comando.

• Il sistema operativo esegue un numero inferiore di servizi e richiede meno risorsedurante l'avvio.

OfficeScan supporta le installazioni Agente OfficeScan nelle seguenti versioni diWindows Server Core:

• Windows Server Core 2008

• Windows Server Core 2008 R2


• Windows Server Core 2012 R2


L'Agente OfficeScan supporta Server Core. Questa sezione contiene informazionisull'entità del supporto per Server Core.

Il server OfficeScan non supporta Server Core.

Metodi di installazione per Windows ServerCore

I metodi di installazione riportati di seguito non sono supportati o sono supportati soloparzialmente:

• Pagina di installazione sul Web: questo metodo non è supportato poiché ServerCore non supporta i browser Web.

Supporto per Windows Server Core

B-3

• Trend Micro Vulnerability Scanner: lo strumento Vulnerability Scanner non puòessere eseguito localmente su Server Core. Eseguire lo strumento dal serverOfficeScan o da un altro dispositivo.

Sono supportati i seguenti metodi di installazione:

• Installazione remota. Per i dettagli, consultare Installazione remota dalla console WebOfficeScan a pagina 5-18.

• Impostazione script di accesso

• Agent Packager

Installazione dell'agente OfficeScan utilizzandoImpostazione script di accesso

Procedura

1. Sul dispositivo di destinazione, aprire un prompt dei comandi.

2. Mappare il percorso del file AutoPcc.exe al server OfficeScan digitando ilseguente comando:

net use <lettera dell'unità mappata> \\<nome host oindirizzo IP del server OfficeScan>\ofcscan

Ad esempio:

net use P: \\10.1.1.1\ofcscan

3. Specificare il nome utente e la password per il server di destinazione.

Se il percorso di AutoPcc.exe è stato mappato correttamente, viene visualizzatoun messaggio di notifica.

4. Cambiare il percorso di AutoPcc.exe digitando la lettera dell'unità mappata e duepunti (:). Ad esempio:

P:

5. Per avviare l'installazione, digitare quanto segue:


B-4

AutoPcc.exe

L'immagine seguente mostra i comandi e i risultati sul prompt dei comandi.

Figura B-1. Prompt dei comandi che mostra come installare l'AgenteOfficeScan utilizzando Impostazione script di accesso

Installazione dell'agente OfficeScan utilizzando ilpacchetto dell'agente OfficeScan

Procedura

1. Creare il pacchetto.

Per i dettagli, consultare Installazione con Agent Packager a pagina 5-23.

2. Aprire il prompt dei comandi.

3. Mappare il percorso del pacchetto dell'Agente OfficeScan digitando il seguentecomando:

net use <lettera unità mappata> \\<Percorso del pacchettoagente>


B-5

Ad esempio:

net use P: \\10.1.1.1\Package

Se il percorso del pacchetto dell'Agente OfficeScan è stato mappato correttamente,viene visualizzato un messaggio di notifica.

4. Cambiare il percorso del pacchetto dell'Agente OfficeScan digitando la letteradell'unità mappata e due punti (:). Ad esempio:

P:

5. Copiare il pacchetto dell'Agente OfficeScan in una directory locale sul dispositivoServer Core digitando il seguente comando:

copy <nome file pacchetto> <directory dell'dispositivoServer Core in cui si desidera copiare il pacchetto>

Ad esempio:

copy officescan.msi C:\Pacchetto client

Se il pacchetto dell'Agente OfficeScan è stato copiato correttamente, vienevisualizzato un messaggio di notifica.

6. Cambiare la directory locale. Ad esempio:

C:

cd C:\Pacchetto client

7. Per avviare l'installazione, digitare il nome file del pacchetto: Ad esempio:

officescan.msi


B-6

L'immagine seguente mostra i comandi e i risultati sul prompt dei comandi.

Figura B-2. Prompt dei comandi che mostra come installare l'AgenteOfficeScan utilizzando un pacchetto agente

Funzioni dell'agente OfficeScan su WindowsServer Core

La maggior parte delle funzioni dell'Agente OfficeScan disponibili in Windows Server2008/2012/2016 funziona su Server Core. L'unica funzione non supportata è lamodalità indipendente.

Per l'elenco delle funzioni disponibili su Windows Server 2008/2012/2016, vedereFunzioni dell'Agente OfficeScan a pagina 5-3.

La console dell'Agente OfficeScan è accessibile solo dall'interfaccia della riga dicomando.

Nota

Alcune schermate della console dell'Agente OfficeScan comprendono un pulsante Guidasu cui fare clic per aprire una guida in formato HTML sensibile al contesto. PoichéWindows Server Core 2008/2012/2016 non dispone di browser, la Guida non èdisponibile per l'utente. Per visualizzarla, l'utente deve installare un browser.


B-7

Comandi di Windows Server CoreEseguire le attività dell'Agente OfficeScan inviando i comandi dall'interfaccia della rigadi comando.

Per eseguire i comandi, accedere alla posizione di PccNTMon.exe. Questo processo èresponsabile dell'avvio della console dell'Agente OfficeScan. Il processo si trova in<Cartella di installazione dell'agente>.

La tabella riportata di seguito comprende un elenco dei comandi disponibili.

Tabella B-1. Comandi di Windows Server Core

Comando Azione

pccnt <percorsounità o cartella>

Esegue la scansione dell'unità o della cartella specificata perverificare la presenza di rischi per la sicurezza

Linee guida:

• Se il percorso della cartella contiene spazi, racchiuderel'intero percorso tra virgolette.

• Scansione di file singoli non supportata.

Comandi corretti:

• pccnt C:\

• pccnt D:\Files

• pccnt "C:\Documents and Settings"

Comandi non corretti:

• pccnt C:\Documents and Settings

• pccnt D:\Files\esempio.doc

pccntmon -r Apre il Monitoraggio in tempo reale

pccntmon -v Elenca i componenti dell'agente e le rispettive versioni

pccntmon -u Aggiorna i componenti di Agente OfficeScan


B-8

Comando Azione

pccntmon -n<rimuovi_password>

Scarica Agente OfficeScan

Per caricare nuovamente l'Agente OfficeScan, digitare ilcomando seguente:

pccntmon

pccntmon -m<disinstalla_password>

Disinstalla Agente OfficeScan


B-9

Comando Azione

pccntmon -c Mostra le seguenti informazioni nella riga di comando:


• Smart scan

• Scansione convenzionale

• Stato del pattern

• Aggiornato

• Non aggiornato

• Servizio Scansione in tempo reale

• Funzionante

• Disattivato o non funzionante

• Stato connessione agente

• Online

• Indipendente

• Offline

• Servizi di reputazione Web

• Disponibili

• Riconnessione

• Servizi di reputazione file

• Disponibili

• Riconnessione

pccntmon -h Mostra tutti i comandi disponibili

C-1

Appendice C

Supporto per Windows 8/8.1/10 eWindows Server 2012/2016

In questa appendice viene descritto il supporto di OfficeScan per Windows 8/8.1/10 eWindows Server 2012/2016.


C-2

Informazioni su Windows 8/8.1/10 e WindowsServer 2012/2016

Windows 8/8.1 e Windows Server 2012/2016 offrono agli utenti due tipi di modalitàoperative: modalità desktop e modalità interfaccia utente di Windows. Gli utentipossono scegliere di eseguire Windows 10 in modalità desktop o tablet. La modalitàdesktop è simile alla schermata classica di Windows con il pulsante Start.

La modalità interfaccia utente di Windows presenta un'interfaccia grafica totalmentenuova, simile a quella utilizzata sui cellulari Windows. Tra le nuove funzionalità vi sonol'interfaccia touch screen a scorrimento, i riquadri e le notifiche di tipo avviso popup.

Tabella C-1. Riquadri e notifiche di tipo avviso popup

Controllo Descrizione

Riquadri I riquadri sono simili alle icone sul desktop utilizzate nelleversioni precedenti di Windows. L'utente seleziona unriquadro per avviare l'applicazione a esso associata.

I riquadri animati forniscono agli utenti informazioni specifichedell'applicazione che si aggiornano dinamicamente. Leapplicazioni possono pubblicare informazioni nei riquadrianche quando esse non sono in esecuzione.

Notifiche di tipo avvisopopup

Le notifiche di tipo avviso popup sono simili ai messaggipopup. Queste notifiche forniscono informazioni sensibili alivello temporale sugli eventi che si verificano durantel'esecuzione di un'applicazione. Le notifiche di tipo avvisopopup appaiono in primo piano quando Windows è in modalitàdesktop, quando viene visualizzata la schermata di blocco oquando viene eseguita un'altra applicazione.

NotaA seconda dell'applicazione, le notifiche di tipo avvisopopup potrebbero non essere visualizzate su tutte leschermate o in tutte le modalità.

Supporto per Windows 8/8.1/10 e Windows Server 2012/2016

C-3

Supporto di OfficeScan per riquadri e notifiche di tipoavviso popup

Nella tabella che segue viene dettagliato il supporto di OfficeScan per le funzionalitàriquadri e notifiche di tipo avviso popup nella modalità interfaccia utente di Windows.

Tabella C-2. Supporto di OfficeScan per riquadri e notifiche di tipo avviso popup

Controllo Supporto di OfficeScan

Riquadri OfficeScan dispone di un collegamento per gli utenti alprogramma Agente OfficeScan. Quando l'utente fa clic sulcollegamento, Windows passa dalla modalità desktop allavisualizzazione del programma Agente OfficeScan.

NotaOfficeScan non supporta i riquadri animati.

Notifiche di tipo avvisopopup

OfficeScan offre le seguenti notifiche di tipo avviso popup:

• Rilevati programmi sospetti


• Minaccia risolta

• È necessario riavviare il computer

• Dispositivo di archiviazione USB rilevato

• Infezione rilevata

NotaOfficeScan visualizza le notifiche di tipo avviso popupsolo nella modalità interfaccia utente di Windows.


C-4

Attivazione delle notifiche di tipo avviso popup inWindows 8/8.1 e Windows Server 2012

Gli utenti possono scegliere di ricevere notifiche di tipo avviso popup modificando leimpostazioni del PC sul dispositivo Agente OfficeScan. OfficeScan richiede chel'utente attivi le notifiche di tipo avviso popup.

Procedura

1. Spostare il puntatore del mouse sull'angolo in basso a destra dello schermo pervisualizzare la barra di accesso.

2. Fare clic su Impostazioni > Modifica impostazioni PC.

Viene visualizzata la schermata Impostazioni PC.

3. Fare clic su Notifiche.

4. Nella sezione Notifiche, impostare le seguenti opzioni su On:

• Mostra notifiche delle app

• Mostra le notifiche delle app nella schermata di blocco (facoltativo)

• Riproduci suoni delle notifiche (facoltativo)

Attivazione delle notifiche di tipo avviso popup inWindows 10 e Windows Server 2016

Gli utenti possono scegliere di ricevere notifiche di tipo avviso popup accedendo adActive Center sul dispositivo Agente OfficeScan. OfficeScan richiede che l'utente attivile notifiche di tipo avviso popup.

Procedura

1. Sulla barra delle applicazioni fare clic sull'icona delle notifiche e su Tutte leimpostazioni.


C-5

2. Nella schermata delle impostazioni fare clic su Sistema e su Notifiche e azioni.

3. Nella sezione Notifiche, impostare Mostra notifiche delle app su Attivato.

Supporto della funzione OfficeScan con lamodalità interfaccia utente

Il modo in cui gli utenti interagiscono con Windows 8/8.1 o Windows Server2012/2016 influisce su Internet Explorer 10 e sulle versioni successive utilizzate, nonchésul livello di supporto offerto dalle diverse funzioni di OfficeScan. Nella tabella seguenteè dettagliato il livello di supporto per le diverse funzionalità di OfficeScan nella modalitàdesktop e nella modalità interfaccia utente di Windows.

NotaLe funzionalità non elencate offrono il supporto completo in entrambe le modalitàoperative di Windows.

Tabella C-3. Supporto della funzione OfficeScan con la modalità interfaccia utente

Funzione Modalità desktop Modalità interfacciautente di Windows

Console server Web Supporto completo Non supportato

Reputazione Web Supporto completo Supporto limitato

• Scansione del trafficoHTTPS disattivata

Firewall Supporto completo Supporto limitato

• Filtro di applicazionidisattivato


C-6

Internet Explorer 10/11 e Microsoft EdgeInternet Explorer (IE) 10 è il browser predefinito in Windows 8/8.1 e Windows Server2012. Internet Explorer 10 e versioni successive è disponibile in due versioni differenti:una per la nuova interfaccia utente di Windows e una adatta alla modalità desktop.

Microsoft Edge è il browser predefinito in Windows 10 e Windows Server 2016.

NotaLa scansione HTTPS è disattivata in Microsoft Edge perché quest'ultimo non supporta leestensioni plug-in.

In Internet Explorer 10 e versioni successive per l'interfaccia utente di Windows, lanavigazione avviene senza plug-in. I programmi plug-in utilizzati in precedenza per lanavigazione Web non si attengono ad alcuno standard prestabilito. Ne consegue cheesiste una grande diversità di qualità del codice impiegato nei plug-in stessi. I plug-ininoltre richiedono una quantità maggiore di risorse di sistema e aumentano il rischio diinfezioni da minacce informatiche.

Microsoft ha sviluppato Internet Explorer 10 e versioni successive per l'interfacciautente di Windows con l'intento di seguire le nuove tecnologie basate su standard esostituire le soluzioni con plug-in utilizzate precedentemente. Nella tabella seguentesono riportate le tecnologie utilizzate da Internet Explorer 10 e versioni successive, checonsentono di sostituire la vecchia tecnologia con plug-in.

Tabella C-4. Confronto tra tecnologie basate su standard e programmi plug-in

Funzionalità Tecnologia standardWorld Wide Web (W3C)

Plug-in equivalenti diesempio

Video e audio Video e audio HTML5 • Flash

• Apple QuickTime

• Silverlight


C-7

Funzionalità Tecnologia standardWorld Wide Web (W3C)

Plug-in equivalenti diesempio

Grafica • Canvas HTML5

• SVG (Scalable VectorGraphics)

• Transizioni eanimazioni CSS3(Cascading Style SheetLevel 3)

• Trasformazioni CSS

• Flash

• Apple QuickTime

• Silverlight

• Applet Java

Archiviazione offline • Sistema diarchiviazione Web.

• API di file

• IndexedDB

• API Application Cache

• Flash

• Applet Java

• Google Gears

Comunicazione di rete,condivisione delle risorse,caricamento di file

• Messaggistica WebHTML

• CORS (Cross-OriginResource Sharing)

• Flash

• Applet Java

Microsoft ha sviluppato anche una versione di Internet Explorer 10 e successivecompatibile con i plug-in e destinata unicamente alla modalità desktop. Se un utentedella versione per la modalità interfaccia utente di Windows accede a un sito Web cherichiede l'uso di un programma plug-in aggiuntivo, Internet Explorer 10, e versionisuccessive, visualizza una notifica che richiede all'utente di passare alla modalità desktop.Una volta passati in modalità desktop, l'utente può visualizzare il sito Web che richiedel'uso o l'installazione del programma plug-in di terze parti.

D-1

Appendice D

Rollback di OfficeScanIn questa appendice sono riportate le informazioni relative al supporto del rollback delserver OfficeScan e dell'agente.


D-2

Rollback del server OfficeScan e degli AgentiOfficeScan tramite il pacchetto di backup delserver

La procedura di rollback di OfficeScan comporta il ripristino degli Agenti OfficeScan equindi del server OfficeScan.

Importante

• Gli amministratori possono effettuare il rollback del server OfficeScan e degli agenticon l'utilizzo della seguente procedura solo se l'amministratore ha scelto di effettuare ilbackup del server durante il processo di installazione. Se i file di backup del server nonsono disponibili, per le procedure di rollback manuale fare riferimento allaGuidaall'installazione e all'aggiornamento delle versioni di OfficeScan precedentementeinstallate.

• Questa versione di OfficeScan supporta solo i rollback per le versioni di OfficeScanseguenti:

• OfficeScan 11.0 Service Pack 1 con una patch critica

• OfficeScan 11.0 Service Pack 1

• OfficeScan 11.0

• OfficeScan 10.6 Service Pack 3

Rollback degli Agenti OfficeScan

OfficeScan può eseguire il rollback degli Agenti OfficeScan solo alla stessa versione delserver ripristinato. Il rollback degli Agenti OfficeScan a una versione precedente a quelladel server non è supportato.

Importante

Assicurarsi che il rollback degli Agenti OfficeScan venga effettuato prima di procedere alrollback del server OfficeScan.

Rollback di OfficeScan

D-3

Procedura

1. Assicurarsi che gli Agenti OfficeScan non siano in grado di effettuarel'aggiornamento del programma agente.

a. Nella console Web OfficeScan XG Service Pack 1, passare a Agenti >Gestione agente.

b. Selezionare gli Agenti OfficeScan su cui eseguire il rollback.

c. Fare clic su Impostazioni > Privilegi e altre impostazioni > Altreimpostazioni.

d. Nell'elenco a discesa Solo i seguenti componenti vengono aggiornatidagli agenti OfficeScan, selezionare File di pattern, motori e driver.

2. Nella console Web OfficeScan XG Service Pack 1, passare a Aggiornamenti >Agenti > Origine aggiornamenti.

3. Selezionare Origine aggiornamenti personalizzata.

4. Nell'Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.


5. Digitare gli indirizzi IP degli Agenti OfficeScan di cui si deve eseguire il rollback.

6. Digitare l'URL dell'origine degli aggiornamenti.

Ad esempio, digitare:

http://<Indirizzo IP del server OfficeScan>:<porta>/OfficeScan/download/Rollback



Quando l'Agente OfficeScan di cui si deve eseguire il rollback effettual'aggiornamento dall'origine aggiornamenti, l'Agente OfficeScan viene disinstallatoe viene installata la versione precedente.


D-4

Suggerimento

Gli amministratori possono accelerare il processo di rollback avviando unAggiornamento manuale sugli Agenti OfficeScan. Per i dettagli, consultareAggiornamento manuale degli agenti OfficeScan a pagina 6-48.

9. Una volta installata la versione precedente dell'Agente OfficeScan, chiedereall'utente di riavviare il dispositivo.

Dopo aver completato il processo di rollback, l'agente Agente OfficeScan continuaa inviare la segnalazione allo stesso server OfficeScan.

Nota

Una volta effettuato il rollback dell'agente Agente OfficeScan, tutti i componenti,incluso il Pattern antivirus, eseguono il rollback alla versione precedente. Se gliamministratori non effettuano il rollback del server OfficeScan, l'agente AgenteOfficeScan sottoposto a rollback non può aggiornare i componenti. Gliamministratori devono cambiare l'origine aggiornamenti dell'agente AgenteOfficeScan su cui è stato eseguito il rollback con l'origine aggiornamenti standard perricevere ulteriori aggiornamenti dei componenti.

Ripristino della versione precedente del serverOfficeScan

Per effettuare la procedura di ripristino del server OfficeScan, gli amministratori devonodisinstallare il server OfficeScan XG Service Pack 1, reinstallare la versione precedentedel server, interrompere manualmente i servizi Windows, aggiornare il registro disistema e sostituire i file del server OfficeScan nella directory di installazione diOfficeScan.

Importante

Assicurarsi che il rollback degli Agenti OfficeScan venga effettuato prima di ripristinare ilserver OfficeScan.


D-5

Procedura

1. Disinstallare il server OfficeScan XG Service Pack 1.

2. Installare la versione precedente del server OfficeScan.

Suggerimento

Trend Micro consiglia di non modificare il nome host o l'indirizzo IP quando siripristina il server.

Per verificare la versione precedente del server, accedere a <Cartella di installazione delserver> e visualizzare la cartella di ripristino creata durante l'installazione del serverOfficeScan XG Service Pack 1. Il nome della cartella (riportato come<Versione_cartella_ripristino>) è uno dei seguenti:

• OSCE11_SP1: OfficeScan 11.0 Service Pack 1

• OSCE11: OfficeScan 11.0

• OSCE106_SP3: OfficeScan 10.6 Service Pack 3

3. Sul computer del server OfficeScan, interrompere i seguenti servizi:

• Firewall di difesa dalle intrusioni (se installato)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• Servizio di integrazione di Active Directory con OfficeScan

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• OfficeScan Master Service

• Servizio di pubblicazione su World Wide Web

4. Copiare e sostituire tutti i file e le directory dalla directory<Cartella_installazione_server>\<Versione_cartella_ripristino>\ alla directory<Cartella_installazione_server>\PCCSRV\.


D-6

5. Ripristinare il registro di OfficeScan.

a. Aprire l'editor del Registro di sistema (regedit.exe).

b. Nel riquadro di navigazione a sinistra, selezionare una delle chiavi di registroseguenti:

• Per sistemi a 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service

• Per sistemi a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\Officescan\service

c. Andare a File > Importa....

d. Selezionare il file .reg del server OfficeScan generale nella directory<Cartella_installazione_server>\<Versione_cartella_ripristino>\.

Il nome del file di registro segue questo formato:

RegBak_<Versione_cartella_ripristino>.reg

e. Fare clic su Sì per ripristinare tutte le chiavi della versione di OfficeScanprecedente.

6. Facoltativamente, ripristinare la pianificazione di backup del database.

a. Aprire l'editor del Registro di sistema (regedit.exe).

b. Nel riquadro di navigazione a sinistra, selezionare una delle chiavi di registroseguenti:

• Per sistemi a 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Database Backup

• Per sistemi a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\Database Backup

c. Andare a File > Importa....

d. Selezionare il file .reg del database nella directory<Cartella_installazione_server>\<Versione_cartella_ripristino>\.


D-7

Il nome del file di registro segue questo formato:

RegBak_DBBak_<Versione_cartella_ripristino>.reg

e. Fare clic su Sì per ripristinare tutte le chiavi della versione di OfficeScanprecedente.

7. Aprire un editor della riga di comando (cmd.exe) e digitare i seguenti comandi perreimpostare il contatore delle prestazioni di Local Web Classification Server:

cd <Cartella di installazione del server>\PCCSRV\LWCS

regsvr32.exe /u /s perfLWCSPerfMonMgr.dll

regsvr32.exe /s perfLWCSPerfMonMgr.dll

8. Riavviare i seguenti servizi:

• Firewall di difesa dalle intrusioni (se installato)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• Servizio di integrazione di Active Directory con OfficeScan

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• OfficeScan Master Service

• Apache 2 (se si utilizza il server Web Apache)

• Servizio di pubblicazione World Wide Web (se si utilizza il server Web IIS)

9. Disinfettare la cache di Internet Explorer e rimuovere manualmente i controlliActiveX. Per maggiori dettagli sulla rimozione dei controlli ActiveX in InternetExplorer 9, consultare la pagina http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9.

Le impostazioni della versione precedente del server OfficeScan sono stateripristinate.

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9


D-8

SuggerimentoGli amministratori possono verificare la corretta esecuzione del rollback controllandoil numero della versione di OfficeScan nella schermata Informazioni su (Guida >Informazioni su).

10. Facoltativamente, registrare il server OfficeScan sul server Control Managerutilizzando la console Web.

11. Facoltativamente, registrare il server OfficeScan sul server Deep Discoveryutilizzando la console Web.

NotaL'integrazione di Deep Discovery con il server OfficeScan è iniziata a partire daOfficeScan 10.6 Service Pack 2.

12. Dopo aver confermato l'esecuzione del rollback di OfficeScan, eliminare tutti i filecontenuti nella directory <Cartella_installazione_server>\<Versione_cartella_ripristino>\.

E-1

Appendice E

GlossarioI termini contenuti in questo glossario forniscono ulteriori informazioni sui terminiinformatici più comuni, nonché sui prodotti e le tecnologie Trend Micro.


E-2

ActiveUpdateActiveUpdate è una funzione condivisa da molti prodotti Trend Micro. Collegandosi alsito Web degli aggiornamenti di Trend Micro, ActiveUpdate consente di scaricare viaInternet le versioni più recenti dei file di pattern, dei motori di scansione, dei programmie di altri file di programma di Trend Micro.

File compressoSingolo file contenente uno o più file separati e le informazioni necessarie perl'estrazione mediante un apposito programma, come ad esempio WinZip.

CookieMeccanismo per memorizzare le informazioni relative un utente di Internet, quali ilnome, le preferenze e gli interessi; tali informazioni sono memorizzate nel browser Webper essere utilizzate successivamente. Quando un utente accede a un sito Web per ilquale nel browser è presente un cookie, il browser invia il cookie al server Web equest'ultimo lo utilizza per presentare all'utente pagine Web personalizzate. L'utente, adesempio, può ricevere un messaggio di benvenuto personalizzato contenente il proprionome.

Attacco DoS (Denial of Service)Con attacco DoS (Denial of Service) si intende un attacco al dispositivo o alla rete cheprovoca una perdita di "servizio", ovvero della connessione di rete. In genere, gli attacchiDoS hanno effetti negativi sull'ampiezza di banda della rete o provocano un sovraccaricodelle risorse del sistema, ad esempio della memoria del dispositivo.

Glossario

E-3

DHCPIl protocollo DHCP (Dynamic Host Control Protocol) serve ad assegnare gli indirizzi IPdinamici ai dispositivi della rete. A causa dell'assegnazione dinamica degli indirizzi, ognivolta che un dispositivo si connette alla rete può avere un indirizzo IP diverso. In alcunisistemi l'indirizzo IP del dispositivo cambia anche durante la connessione. Il protocolloDHCP supporta una combinazione di indirizzi IP statici e dinamici.

DNSIl DNS (Domain Name System) è un servizio di query di dati generico utilizzatoprincipalmente in Internet per convertire i nomi degli host in indirizzi IP.

Il termine risoluzione indica il processo secondo il quale un agente DNS richiede a unserver DNS i dati relativi all'indirizzo e al nome dell'host. La configurazione DNS dibase prevede che un server esegua la risoluzione predefinita. Si prenda come esempio unserver remoto che invia a un altro server una query per ottenere i dati relativi a unamacchina nella zona corrente. Il software agente nel server remoto invia la query alresolver, che risponde alla richiesta utilizzando i file del proprio database.

Nome dominioIl nome completo di un sistema, formato dal nome host logico e dal nome di dominio,ad esempio tellsitall.com. Un nome di dominio in genere è sufficiente perdeterminare l'indirizzo univoco di qualsiasi host presente su Internet. Questa procedura,detta "risoluzione del nome", utilizza il Domain Name System (DNS).

Indirizzo IP dinamicoUn indirizzo IP dinamico è un indirizzo IP assegnato da un server DHCP. L'indirizzoMAC del dispositivo non cambia, ma il server DHCP potrebbe assegnare un nuovoindirizzo IP al dispositivo in base alla disponibilità.


E-4

ESMTPESMTP (Enhanced Simple Mail Transport Protocol) include la sicurezza,l'autenticazione e altri dispositivi per risparmiare l'ampiezza di banda e proteggere iserver.

Contratto di licenza per l'utente finaleIl Contratto di licenza è il contratto legale tra un produttore di software e un utente disoftware. Di solito contiene limitazioni sull'uso del prodotto da parte dell'utente; perrifiutare il contratto, non fare clic su "Accetto" durante l'installazione. Se si fa clic su"Non accetto" l'installazione del prodotto software non viene completata.

Molti utenti accettano inavvertitamente l'installazione di spyware e altri tipi di graywaresui computer quando fanno clic su "Accetto" alle richieste EULA visualizzate durantel'installazione di alcuni software gratuiti.

Falso allarmeUn falso allarme si verifica quando un software di protezione considera infetto un fileche in realtà non lo è.

FTPFTP (File Transfer Protocol) è un protocollo standard utilizzato per il trasferimento difile da un server a un client tramite Internet. Per ulteriori informazioni, consultare ildocumento RFC 959 del Network Working Group.

GeneriCleanGeneriClean, conosciuta anche come disinfezione dei riferimenti, è una nuova tecnologiaper la disinfezione dei virus e delle minacce che funziona anche in assenza dei

Glossario

E-5

componenti di disinfezione virale. Utilizzando un file rilevato come base, GeneriCleandetermina se al file rilevato corrispondono un processo/servizio in memoria e una vocedi registro e li rimuove direttamente.

HotfixUna hot fix è un accorgimento o una soluzione a un problema specifico riscontrato dagliutenti. Le hot fix sono specifiche per determinati problemi e pertanto non vengonodistribuiti a tutti i clienti. Le hot fix Windows comprendono un programma diinstallazione a differenza delle hot fix non Windows che non lo comprendono (di solitoè necessario interrompere i daemon, copiare il file per sovrascriverne la contropartenell'installazione personale e riavviare i daemon).

Per impostazione predefinita, gli Agenti OfficeScan sono in grado di installare le hot fix.Se non si desidera che gli Agenti OfficeScan installino le hot fix, modificare leimpostazioni di aggiornamento dell'agente tramite la console Web: da Agenti >Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altreimpostazioni.

Se non si riesce a implementare correttamente una hot fix nel server OfficeScan,utilizzare Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questoconsente a OfficeScan di interpretare il file hot fix come nuovo elemento per cui ilserver tenta nuovamente di implementarlo automaticamente. Per maggiori dettagli suquesto strumento, vedere Esecuzione di Touch Tool per le hot fix dell'agente OfficeScan a pagina6-57.

HTTPHTTP (HyperText Transfer Protocol) è un protocollo standard utilizzato per iltrasferimento di pagine Web (inclusi grafica e contenuti multimediali) da un server a unclient tramite Internet.


E-6

HTTPSSi riferisce al protocollo HTTP (Hypertext Transfer Protocol) che utilizza il protocollodi sicurezza SSL (Secure Socket Layer). Il protocollo HTTPS è una variante delprotocollo HTTP utilizzata per gestire le transazioni sicure.

ICMPTalvolta un gateway o un host di destinazione utilizza il protocollo ICMP (InternetControl Message Protocol) per comunicare con un host di origine, ad esempio persegnalare un errore nell'elaborazione dei datagrammi. Il protocollo ICMP utilizza ilsupporto di base IP come se si trattasse di un protocollo di livello superiore; di fattoICMP è parte integrante del protocollo IP e viene implementato da tutti i moduli IP. Imessaggi ICMP vengono inviati in diverse situazioni: ad esempio, quando undatagramma non è in grado di raggiungere la propria destinazione, quando il gatewaynon dispone di una capacità di memorizzazione nel buffer sufficiente a inoltrare undatagramma e quando il gateway può indirizzare l'host affinché invii il trafficoutilizzando un percorso più breve. Il protocollo IP non è progettato per essereinteramente affidabile. Lo scopo di questi messaggi di controllo consiste nel fornire unriscontro sui problemi relativi all'ambiente di comunicazione e non nel rendere l'IPaffidabile.

IntelliScanIntelliScan è un metodo di identificazione dei file da analizzare. Per i file eseguibili (adesempio .exe), il tipo di file effettivo viene determinato in base al suo contenuto. Per ifile non eseguibili (ad esempio .txt), il tipo di file effettivo viene determinato in baseall'intestazione del file.

L'utilizzo di IntelliScan offre i vantaggi illustrati di seguito:

• Ottimizzazione delle prestazioni: IntelliScan non influisce sulle applicazioni delagente perché utilizza risorse di sistema minime.

• Periodo di scansione più breve: IntelliScan utilizza l'identificazione del tipo di fileeffettivo; sottopone a scansione solo i file che sono vulnerabili alle infezioni. Il

Glossario

E-7

tempo di scansione risulta quindi sensibilmente ridotto rispetto alla scansione ditutti i file.

IntelliTrapGli sviluppatori di virus spesso cercano di aggirare i filtri antivirus utilizzando algoritmidi compressione in tempo reale. IntelliTrap contribuisce a ridurre il rischio che tali viruspenetrino nelle reti bloccando i file contenenti file eseguibili compressi in tempo reale eabbinandoli alle caratteristiche di altre minacce informatiche. Poiché IntelliTrapidentifica i file come rischi per la sicurezza e potrebbe erroneamente bloccare file sicuri,è opportuno mettere in quarantena (non eliminare né disinfettare) i file dopo averattivato IntelliTrap. Se gli utenti si scambiano regolarmente file eseguibili compressi intempo reale, occorre disattivare IntelliTrap.

IntelliTrap utilizza i seguenti componenti:

• Motore di scansione virus

• Pattern IntelliTrap


IP"Il protocollo IP (Internet Protocol) provvede alla trasmissione di blocchi di datichiamati datagrammi dall'origine alla destinazione, laddove per origine e destinazione siintendono host identificati da indirizzi di lunghezza fissa." (RFC 791)

File JavaJava è un linguaggio di programmazione di uso generico sviluppato da SunMicrosystems. Un file Java è un file che contiene codice Java. Il linguaggio Java supportala programmazione per Internet attraverso le "applet" Java indipendenti dallapiattaforma. Un'applet Java è un programma scritto in linguaggio Java e che può essereincluso in una pagina HTML. Quando si utilizza un browser compatibile con tecnologia


E-8

Java per visualizzare una pagina contenente un'applet, l'applet trasferisce il codice aldispositivo e la Java Virtual Machine del browser esegue l'applet.

LDAPIl protocollo LDAP (Lightweight Directory Access Protocol) è un protocollo diapplicazione per inviare query e modificare i servizi di directory utilizzando TCP/IP.

Porta di ascoltoLa porta di ascolto è utilizzata per le richieste di connessione all'agente al fine discambiare dati.

MCP AgentTrend Micro Management Communication Protocol (MCP) è l'agent di prossimagenerazione di Trend Micro per i prodotti gestiti. MCP sostituisce Trend MicroManagement Infrastructure (TMI) per la comunicazione tra Control Manager eOfficeScan. MCP ha diverse nuove funzioni:

• Carico di rete e dimensioni pacchetti ridotti

• Supporto traversale NAT e firewall

• Supporto HTTPS

• Supporto di comunicazione a una via e a due vie

• Supporto SSO (Single Sign-On)

• Supporto nodo cluster

Glossario

E-9

Minaccia di tipo mistoLe minacce di tipo misto sfruttano vari punti di accesso e vulnerabilità delle retiaziendali. Alcuni esempi di questo tipo di minacce sono "Nimda" e "CodeRed".

NATNAT (Network Address Translation) è uno standard per convertire gli indirizzi IP sicuriin indirizzi IP registrati, esterni e temporanei di un pool di indirizzi. Ciò consente allereti affidabili con indirizzi IP assegnati privatamente di avere accesso a Internet. Diconseguenza non è necessario ottenere un indirizzo IP registrato per ogni macchinadella rete.

NetBIOSNetBIOS (Network Basic Input Output System) è un'API che aggiunge funzionalitàquali capacità di rete al BIOS del DOS.

Comunicazione unidirezionaleL'attraversamento NAT è diventato un problema sempre più significativo nell'odiernarealtà degli ambienti di rete. Per risolvere questo problema, MCP utilizza unacomunicazione unidirezionale. La comunicazione a una via si realizza tramite l'MCPAgent che da una parte avvia la connessione al server e dall'altra effettua il polling deicomandi sempre dal server. Ogni richiesta è una query di comando di tipo CGI o unatrasmissione di registro. Per ridurre l'impatto sulla rete, l'MCP Agent mantiene attiva laconnessione e la apre al massimo. Una richiesta successiva utilizza una connessioneaperta esistente. Se la connessione si interrompe, tutte le connessioni SSL dello stessohost utilizzeranno la cache dell'ID di sessione e questo ridurrà i tempi di riconnessione.


E-10

PatchLa patch è un gruppo di hotfix e patch di protezione che consente di risolvere piùproblemi di un programma. Trend Micro rende disponibili le patch regolarmente. Lepatch Windows includono un programma di installazione al contrario delle patch nonWindows che di solito dispongono di uno script di installazione.

Attacco di phishingIl phishing è una forma di frode in rapida ascesa che consiste nell'ingannare gli utentiWeb spingendoli a divulgare informazioni riservate tramite siti Web falsi che imitano sitilegittimi.

In una situazione tipo, l'utente ignaro riceve un messaggio e-mail urgente (dall'aspettoufficiale) che lo informa di un problema verificatosi con il suo account, da risolvereimmediatamente pena la chiusura dell'account stesso. Il messaggio e-mail comprende unURL di un sito Web simile a quello autentico. Il messaggio ingannevole viene realizzatocopiando un indirizzo e-mail ed un sito Web autentico e cambiando il back-end chericeve i dati raccolti.

Il messaggio invita l'utente ad accedere al sito e a confermare alcune informazionirelative all'account. In questo modo, l'hacker che ha creato il falso sito ricevedirettamente i dati inseriti dall'utente come il suo nome utente, la password, il numerodella carta di credito o il codice fiscale.

Il phishing è rapido, economico e facile da realizzare. Potenzialmente, è anche alquantoredditizio per i criminali che lo praticano. Rilevare il phishing è difficile anche per gliutenti più esperti. È difficile rintracciarlo anche per le forze dell'ordine. E per di più èquasi impossibile perseguirlo per legge.

È possibile segnalare a Trend Micro eventuali siti Web che si sospetta siano siti diphishing.

Glossario

E-11

PingPing è un'utilità che invia una richiesta echo ICMP a un indirizzo IP e attende unarisposta. L'utilità ping può determinare se il dispositivo con l'indirizzo IP specificato èonline.

POP3POP3 (Post Office Protocol) è un protocollo standard utilizzato per la memorizzazionee il trasferimento di messaggi e-mail da un server a un'applicazione client di postaelettronica.

Server proxyUn server proxy è un server World Wide Web che accetta URL dotati di un appositoprefisso, utilizzato per recuperare documenti da una cache locale o da un server remotoe per ritrasmettere l'URL al richiedente.

RPCRPC (Remote Procedure Call) è un protocollo di rete che consente di eseguire unprogramma su un host per fare in modo che il codice sia eseguito su un altro host.

Patch di protezioneUna patch di protezione risolve i problemi di sicurezza e può essere implementata sututti i clienti. Le patch di protezione Windows includono un programma di installazioneal contrario delle patch non Windows che di solito dispongono di uno script diinstallazione.


E-12

Service PackUn service pack è un consolidamento di hot fix, patch e miglioramenti alle funzioni ed èsignificativo al punto da rappresentare un aggiornamento del prodotto. Sia i service packWindows che non Windows includono un programma di installazione e uno script diinstallazione.

SMTPSMTP (Simple Mail Transport Protocol) è un protocollo standard utilizzato per iltrasferimento di messaggi e-mail da server a server e tra agente e server, tramite Internet.

SNMPSNMP (Simple Network Management Protocol) è un protocollo che supporta ilmonitoraggio dei dispositivi collegati a una rete a fini amministrativi.

Trap SNMPUn trap SNMP (Small Network Management Protocol) è un metodo di invio dellenotifiche agli amministratori di rete che utilizzano console di gestione con supporto perquesto protocollo.

OfficeScan può memorizzare la notifica nelle MIB (Management Information Bases).Per visualizzare la notifica del trap SNMP, si può utilizzare il browser MIB.

SSLSSL (Secure Socket Layer) è un protocollo progettato da Netscape per offrire lasicurezza dei dati tra i protocolli applicativi (come HTTP, Telnet or FTP) e TCP/IP.Questo protocollo di sicurezza fornisce crittografia dei dati, autenticazione del server,

Glossario

E-13

integrità dei messaggi e autenticazione dell'agente facoltativa per una connessioneTCP/IP.

Certificato SSLQuesto certificato digitale stabilisce una comunicazione HTTPS sicura.

TCPTCP (Transmission Control Protocol) è un protocollo end-to-end affidabile e orientatoalle connessioni, progettato per essere idoneo a una gerarchia a più livelli di protocolliche supporta applicazioni multi-rete. Per la risoluzione degli indirizzi, TCP si affida aidatagrammi IP. Per ulteriori informazioni, consultare il documento RFC 793 del DARPAInternet Program.

TelnetTelnet è un metodo standard di comunicazione tra dispositivi terminali tramite TCPmediante la creazione di un terminale virtuale di rete (NVT, Network Virtual Terminal).Per ulteriori informazioni, consultare il documento RFC 854 del Network WorkingGroup.

Porta dei cavalli di TroiaLe porte per cavalli di Troia vengono comunemente usate dai programmi cavalli di Troiaper collegarsi ai dispositivi. Durante un'infezione, OfficeScan blocca i numeri di portaseguenti che possono essere utilizzati dai programmi cavalli di Troia:


E-14

Tabella E-1. Porte dei cavalli di Troia

Numero di porta Programmacavallo di Troia Numero di porta Programma

cavallo di Troia

23432 Asylum 31338 Net Spy

31337 Back Orifice 31339 Net Spy

18006 Back Orifice 2000 139 Nuker

12349 Bionet 44444 Prosiak

6667 Bionet 8012 Ptakks

80 Codered 7597 Qaz

21 DarkFTP 4000 RA

3150 Deep Throat 666 Ripper

2140 Deep Throat 1026 RSM

10048 Delf 64666 RSM

23 EliteWrap 22222 Rux

6969 GateCrash 11000 Senna Spy

7626 Gdoor 113 Shiver

10100 Gift 1001 Silencer

21544 Girl Friend 3131 SubSari

7777 GodMsg 1243 Sub Seven

6267 GW Girl 6711 Sub Seven

25 Jesrto 6776 Sub Seven

25685 Moon Pie 27374 Sub Seven

68 Mspy 6400 Thing

1120 Net Bus 12345 Valvo line

Glossario

E-15

Numero di porta Programmacavallo di Troia Numero di porta Programma

cavallo di Troia

7300 Net Spy 1234 Valvo line

Porta affidabilePer comunicare, il server e l'Agente OfficeScan utilizzano delle porte affidabili.

Se si bloccano le porte affidabili e si ripristinano le normali impostazioni di rete dopoun'infezione, gli Agenti OfficeScan non possono riprendere immediatamente lacomunicazione con il server. La comunicazione Agente-server viene ripristinata soltantoal raggiungimento del numero di ore specificato nella schermata Impostazioni diprevenzione delle infezioni.

OfficeScan utilizza la porta HTTP (impostazione predefinita: 8080) come portaaffidabile sul server. Nel corso dell'installazione, è possibile immettere un numero diporta diverso. Per bloccare questa porta affidabile e la porta affidabile sull'AgenteOfficeScan, selezionare la casella di controllo Blocca porta affidabile nella schermataBlocco delle porte.

Nel corso dell'installazione, il programma di installazione principale genera dei numeri diporta affidabili casuali per l'Agente OfficeScan.

Determinazione delle porte affidabili

Procedura

1. Accedere a <Cartella di installazione del server>\PCCSRV.

2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.

3. Per determinare la porta affidabile sul server, individuare la stringa"Master_DomainPort" e controllare il valore posto accanto alla stessa.

Se, ad esempio, la stringa è Master_DomainPort=80, la porta affidabile sulserver corrisponde alla numero 80.


E-16

4. Per determinare la porta affidabile sull'agente, individuare la stringa"Client_LocalServer_Port" e controllare il valore posto accanto alla stessa.

Se, ad esempio, la stringa è Client_LocalServer_Port=41375, la portaaffidabile sull'agente corrisponde alla porta numero 41375.

Comunicazione bidirezionaleLa comunicazione bidirezionale è un'alternativa alla comunicazione unidirezionale. Lacomunicazione a due vie si basa sulla comunicazione a una via, ma ha un canale basatosu HTTP extra che riceve le notifiche dal server; in tal modo è in grado di migliorarel'invio e l'esecuzione dei comandi dal server all'MCP Agent.

UDPUDP (User Datagram Protocol) è un protocollo non orientato alla connessione,utilizzato insieme al protocollo IP per consentire ai programmi applicativi di inviaremessaggi ad altri programmi. Per ulteriori informazioni, consultare il documento RFC768 del DARPA Internet Program.

File non disinfettabiliIl motore di scansione virus non è in grado di disinfettare i seguenti file:

Tabella E-2. Soluzioni per i file non disinfettabili

File nondisinfettabile Spiegazione e soluzione

File infettati dacavalli di Troia

I cavalli di Troia sono dei programmi che eseguono operazioninon previste o non autorizzate in genere con intenti dannosi,come visualizzare messaggi, eliminare file e formattare dischi. Icavalli di Troia non infettano i file, quindi non è necessarioeseguire la disinfezione.

Glossario

E-17


Soluzione: il motore Damage Cleanup e il modello DamageCleanup rimuovono i cavalli di Troia.

File infettati daworm

Un worm è un programma (o gruppo di programmi) autonomo ingrado di diffondere copie funzionanti di se stesso o di suoisegmenti ad altri sistemi di dispositivo. La propagazione avvienein genere mediante le connessioni alla rete o gli allegati e-mail. Iworm non possono essere disinfettati dal momento che ciascunfile è un programma autonomo.

Soluzione: Trend Micro raccomanda di eliminare i worm.

File infetti protetti dascrittura

Soluzione: rimuovere la protezione da scrittura, per permettere ladisinfezione del file.

File protetti tramitepassword

File protetti da password (per esempio file compressi o fileMicrosoft Word protetti da password).

Soluzione: rimuovere la protezione della password, perpermettere la disinfezione del file.

File di backup I file con l'estensione RB0~RB9 sono copie di backup dei fileinfetti. Il processo di disinfezione effettua il backup dei file infettiper disporre di una copia del file originale qualora venissedanneggiato nel corso della disinfezione.

Soluzione: se la disinfezione è avvenuta correttamente, non ènecessario conservare le copie di backup del file infetto. Se ilfunzionamento del dispositivo non presenta problemi, si puòeliminare il file di backup.

File infetti presentinel Cestino

Il sistema potrebbe non consentire la rimozione dei file infetti dalCestino, perché il sistema non è in esecuzione.

Soluzione con Windows XP o Windows Server 2003 con filesystem NTFS:

1. Accedere al dispositivo con autorizzazioni di tipoamministratore.

2. Chiudere tutte le applicazioni in esecuzione per impedire cheil file venga bloccato; in tal caso infatti Windows non sarebbein grado di eliminarlo.


E-18



4. Per eliminare i file, digitare le seguenti stringhe:

cd \

cd recycled

del *.* /S

L'ultimo comando immesso elimina tutti i file presenti nelCestino.

5. Verificare che i file siano stati rimossi.

Soluzione su altri sistemi operativi (o su quelli senza NTFS):

1. Riavviare il dispositivo in modalità MS-DOS.


3. Per eliminare i file, digitare le seguenti stringhe:

cd \

cd recycled

del *.* /S

L'ultimo comando immesso elimina tutti i file presenti nelCestino.

File infetti contenutinella cartella Tempdi Windows o nellacartella dei filetemporanei diInternet Explorer

Il sistema potrebbe non consentire di disinfettare i file infetticontenuti nella cartella Temp di Windows o nella cartella dei filetemporanei di Internet Explorer poiché il dispositivo li stautilizzando. I file che si desidera disinfettare potrebbero essere deifile temporanei necessari per il corretto funzionamento diWindows.

Soluzione con Windows XP o Windows Server 2003 con filesystem NTFS:

1. Accedere al dispositivo con autorizzazioni di tipoamministratore.

Glossario

E-19


2. Chiudere tutte le applicazioni in esecuzione per impedire cheil file venga bloccato; in tal caso infatti Windows non sarebbein grado di eliminarlo.

3. Se il file infetto si trova nella cartella Temp di Windows:

a. Aprire il prompt dei comandi e accedere alla cartellaTemp di Windows, in C:\Windows\Temp perimpostazione predefinita sui con dispositivi Windows XPo Windows Server 2003.

b. Per eliminare i file, digitare le seguenti stringhe:

cd temp

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella Temp di Windows.

4. Se il file infetto si trova nella cartella dei file temporanei diInternet Explorer:

a. Aprire un prompt dei comandi e accedere alla cartella deifile temporanei di Internet Explorer (che nei dispositiviWindows XP o Windows Server 2003 si trova perimpostazione predefinita in C:\Documents andSettings\<nome utente>\Impostazioni locali\Temporary Internet Files).


cd tempor~1

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella temporanea di InternetExplorer.

c. Verificare che i file siano stati rimossi.


E-20


Soluzione su altri sistemi operativi (o su quelli senza NTFS):

1. Riavviare il dispositivo in modalità MS-DOS.

2. Se il file infetto si trova nella cartella Temp di Windows:

a. Aprire il prompt dei comandi e accedere alla cartellaTemp di Windows, in C:\Windows\Temp perimpostazione predefinita sui con dispositivi Windows XPo Windows Server 2003.


cd temp

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella Temp di Windows.

c. Riavviare il dispositivo in modalità normale

3. Se il file infetto si trova nella cartella dei file temporanei diInternet Explorer:

a. Aprire un prompt dei comandi e accedere alla cartella deifile temporanei di Internet Explorer (che nei dispositiviWindows XP o Windows Server 2003 si trova perimpostazione predefinita in C:\Documents andSettings\<nome utente>\Impostazioni locali\Temporary Internet Files).


cd tempor~1

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella temporanea di InternetExplorer.

Glossario

E-21


c. Riavviare il dispositivo in modalità normale

File compressiutilizzando unformato dicompressione nonsupportato.

Soluzione: Decomprimere i file.

File bloccati o filetemporaneamentein esecuzione.

Soluzione: Sbloccare i file o attendere l'esecuzione dei file.

File danneggiati Soluzione: Eliminare i file.

File infettati da cavalli di TroiaI cavalli di Troia sono dei programmi che eseguono operazioni non previste o nonautorizzate in genere con intenti dannosi, come visualizzare messaggi, eliminare file eformattare dischi. I cavalli di Troia non infettano i file, quindi non è necessario eseguirela disinfezione.

Soluzione: per rimuovere i cavalli di Troia, l'Agente OfficeScan utilizza il motoreDamage Cleanup e il modello Damage Cleanup.

File infettati da wormUn worm è un programma (o un gruppo di programmi) autonomo in grado didiffondere copie funzionanti di se stesso o dei suoi segmenti ad altri sistemi didispositivi. La propagazione avviene in genere mediante le connessioni alla rete o gliallegati e-mail. I worm non possono essere disinfettati dal momento che ciascun file è unprogramma autonomo.

Soluzione: Trend Micro consiglia di eliminare i worm.


E-22

File infetti protetti da scritturaSoluzione: rimuovere la protezione per consentire all'Agente OfficeScan di disinfettare ilfile.

File protetti tramite passwordSi tratta di file compressi protetti da password oppure file di Microsoft Office protetti dapassword.

Soluzione: rimuovere la protezione della password per consentire all'Agente OfficeScandi disinfettare i file.

File di backupI file con l'estensione RB0~RB9 sono copie di backup dei file infetti. L'AgenteOfficeScan effettua il backup del file infetto qualora venisse danneggiato da un virus/minaccia informatica nel corso della disinfezione.

Soluzione: se l'Agente OfficeScan riesce a disinfettare correttamente il file infetto, non ènecessario conservare le copie di backup. Se il funzionamento del dispositivo nonpresenta problemi, si può eliminare il file di backup.

IN-1

IndiceAaccount utente, 2-5

dashboard, 2-5ActiveAction, 7-41Active Directory, 2-35–2-38, 2-53, 2-57, 5-14, 5-29

ambito e query, 15-75credenziali, 2-37gestione server esterni, 2-36integrazione, 2-35personalizza gruppi di agenti, 2-36raggruppamento agenti, 2-53sincronizzazione, 2-37, 2-38struttura duplicata, 2-57

ActiveSync, 11-38agente OfficeScan

file, 15-14processi, 15-16

Agente OfficeScanagenti inattivi, 15-27chiavi di registro, 15-16Connessione al server OfficeScan,15-28, 15-43connessione a Smart Protection Server,15-44disinstallazione, 5-71importazione ed esportazione delleimpostazioni, 15-59informazioni dettagliate sull'agente,15-59metodi di installazione, 5-12spazio su disco riservato, 6-52

agenti, 2-52, 2-60, 2-61, 4-31, 4-32, 5-2caratteristiche, 5-3connessione, 4-31

eliminazione, 2-60impostazioni proxy, 4-31installazione, 5-2località, 4-32raggruppamento, 2-52spostamento, 2-61

agenti inattivi, 15-27Agenti indipendenti, 5-6, 5-8agenti non raggiungibili, 15-48agent mover, 15-23Agent Packager, 5-13, 5-23, 5-27, 5-29, 5-31

implementazione, 5-24impostazioni, 5-26

aggiornamenti, 4-19, 4-20agenti, 6-29implementazione, 6-56integrated Smart Protection Server,4-19, 4-20Server OfficeScan, 6-16Update Agent, 6-58

aggiornamento agenteaggiornamento pianificato, 6-43aggiornamento pianificato con NAT,6-45automatici, 6-41dal server ActiveUpdate., 6-50disattiva, 6-50manuale, 6-47origine personalizzata, 6-34origine standard, 6-33privilegi, 6-49provocato da evento, 6-41

aggiornamento OfficeScan, 6-13aggiornamento server


IN-2

aggiornamento manuale, 6-27aggiornamento pianificato, 6-28duplicazione dei componenti, 6-22impostazioni proxy, 6-20metodi di aggiornamento, 6-27registri, 6-28

AggiornamentoSmart Protection Server, 6-15, 6-29

Aggiorna ora, 6-51Applicazioni di messaggistica istantanea,11-28Appunti di Windows, 11-39Assistenza

risoluzione rapida dei problemi, 19-4attacco frammento minuscolo, 13-5attacco LAND, 13-6attributi di file, 11-5, 11-11–11-13

caratteri jolly, 11-12creazione, 11-12importazione in corso, 11-13predefinito, 11-12

AutoPcc.exe, 5-13, 5-21autorizzazioni

avanzate, 10-13dispositivi di archiviazione, 10-4dispositivi non di archiviazione, 10-11nome e percorso del programma, 10-9

autorizzazioni avanzateconfigurazione, 10-13dispositivi di archiviazione, 10-6–10-8

azione per eventi di sistema controllati, 9-8azioni

Prevenzione perdita di dati, 11-39azioni di scansione, 7-39

spyware/grayware, 7-52virus/minacce informatiche, 7-80

BBlocco del comportamento minacceinformatiche, 9-2blocco delle porte, 7-121

Ccache della firma digitale, 7-71Callback C&C

impostazioni globalielenchi di indirizzi IP definitidall'utente, 8-7

widget, 2-25canali di applicazioni e sistemi, 11-25, 11-32,11-33

cloud storage service, 11-33Canali di applicazioni e sistemi, 11-33, 11-36,11-38, 11-39

Appunti di Windows, 11-39CD/DVD, 11-33Crittografia PGP, 11-36peer-to-peer (P2P), 11-36sincronizzazione software, 11-38stampante, 11-36

canali di rete, 11-25, 11-27–11-32, 11-42ambito trasmissione, 11-32

conflitti, 11-32trasmissioni esterne, 11-31tutte le trasmissioni, 11-30

Applicazioni di messaggisticaistantanea, 11-28client e-mail, 11-25destinazioni e ambito dellatrasmissione, 11-29destinazioni monitorate, 11-32, 11-42destinazioni non monitorate, 11-32, 11-42FTP, 11-27HTTP e HTTPS, 11-28

Indice

IN-3

Protocollo SMB, 11-29webmail, 11-29

canali di sistema e applicazione, 11-37memoria rimovibile, 11-37

caratteri jolly, 11-12attributi di file, 11-12controllo dispositivo, 10-10

Case Diagnostic Tool, 18-2cavallo di Troia, programma, 6-7, 7-3Codice dannoso ActiveX, 7-4codice dannoso Java, 7-4componenti, 2-34, 6-2

privilegi e impostazioni diaggiornamento, 6-49sul server OfficeScan, 6-16

Componenti, 5-70nell'agente, 6-29riepilogo aggiornamenti, 6-68su Update Agent, 6-58

conflitto ARP, 13-5Conformità sicurezza, 15-61

Componenti, 15-64gestione server esterni, 2-36, 15-74implementazione, 15-75implementazione dell'aggiornamento,6-56impostazioni, 15-68installazione, 5-62registri, 18-9scansione, 15-66servizi, 15-63valutazioni pianificate, 15-73

console agentelimitazione accesso, 15-17

console Web, 1-8, 2-2–2-4account di accesso, 2-4

banner, 2-4informazioni, 2-2password, 2-4requisiti, 2-3URL, 2-3

conteggio registro firewall, 13-27continuità della protezione, 4-11contratto di licenza per l'utente finale (oEULA, End User License Agreement), E-4controllo dispositivo, 10-2, 10-4, 10-6–10-11,10-13–10-15

autorizzazioni, 10-4, 10-6–10-9, 10-11nome e percorso del programma,10-9

autorizzazioni avanzate, 10-13configurazione, 10-13

caratteri jolly, 10-10dispositivi di archiviazione, 10-4,10-6–10-8dispositivi esterni, 10-11, 10-15dispositivi non di archiviazione, 10-11Dispositivi USB, 10-14elenco approvati, 10-14gestione accesso, 10-11, 10-15Provider della firma digitale, 10-9requisiti, 10-2

Controllo dispositivo, 1-10notifiche, 10-18registri, 10-19, 18-10

controllo dispositivo;elenco controllodispositivo;elenco controllodispositivo:aggiunta di programmi, 10-17controllo prestazioni, 7-31Control Manager

integrazione con OfficeScan, 14-24Registri di MCP Agent, 18-11


IN-4

criteriespressioni personalizzate, 11-8, 11-9firewall, 13-4, 13-9parole chiave, 11-16, 11-17Prevenzione perdita di dati, 11-48reputazione Web, 12-5

criteri di difesa dalle infezioniBlocco delle porte, 7-121esclusioni reciproche, 7-124file compressi eseguibili, 7-125impedire accesso in scrittura, 7-122impedisci accesso ai file compressi,7-125limita/impedisci l'accesso alle cartellecondivise, 7-120trattamento mutex, 7-124

criteri di scansionepianificazione, 7-32

criteri infezione, 7-114, 12-20, 13-32criterio, 11-3

DDamage Cleanup Services, 1-9, 5-4, 5-7dashboard, 2-5

account utente, 2-5Riepilogo, 2-6, 2-8

dashboard riepilogocomponenti e programmi, 2-34

dashboard Riepilogo, 2-6, 2-8schede, 2-8stato della licenza del prodotto, 2-6widget, 2-8

database backup, 14-51destinazioni monitorate, 11-30, 11-32destinazioni non monitorate, 11-30, 11-32Digital Signature Pattern, 7-71directory di quarantena, 7-43, 7-49

disinstallazione, 5-71dalla console Web, 5-72Plug-in Manager, 17-12programma plug-in, 17-12Protezione dati, 3-15uso del programma di disinstallazione,5-72

disinstallazione dell'agente, 5-71dispositivi di archiviazione

autorizzazioni, 10-4autorizzazioni avanzate, 10-6–10-8

dispositivi esternigestione accesso, 10-11, 10-15

dispositivi non di archiviazioneautorizzazioni, 10-11

Dispositivi USBelenco approvati, 10-14

configurazione, 10-14documentazione, xiidomini, 2-52, 2-60, 2-61

aggiunta, 2-60eliminazione, 2-60raggruppamento agenti, 2-52ridenominazione, 2-61

domini e-mail, 11-26domini e-mail non monitorati, 11-26Driver comune firewall, 6-8, 18-20, 18-21Driver del monitoraggio delcomportamento, 6-8Driver Early Boot Cleanup, 6-7Driver scansione dei virus, 6-3DSP, 10-9duplicazione dei componenti, 6-22, 6-65

Eelenco approvati, 7-54Elenco degli indirizzi IP C&C globale, 6-10

Indice

IN-5

elenco eccezioni, 9-10Monitoraggio del comportamento, 9-10

elenco programmi approvati, 9-10elenco programmi bloccati, 9-10Elenco siti Web bloccati, 4-9, 4-21Elenco software sicuro certificato, 13-3Enciclopedia dei virus, 7-5esclusioni scansione, 7-32, 7-33

directory, 7-34estensioni dei file, 7-38file, 7-37

Esegui scansione, 7-24esporta impostazioni, 15-59espressioni, 11-5, 11-6

personalizzata, 11-7, 11-10criteri, 11-8, 11-9

predefinito, 11-6espressioni personalizzate, 11-7–11-10

criteri, 11-8, 11-9importazione in corso, 11-10

espressioni predefinite, 11-6visualizzazione, 11-6

eventi di sistema controllati, 9-6

FFalso antivirus, 7-46file COM infettante, 7-4file compressi, 7-30, 7-80

regole di decompressione, 11-43file crittografati, 7-49file EXE infettante, 7-4file pattern

Elenco siti Web bloccati, 4-9smart protection, 4-8Smart Scan Agent Pattern, 4-8Smart Scan Pattern, 4-9

firewall, 5-4, 5-7, 13-2

criteri, 13-9disattivazione, 13-6eccezioni al criterio, 13-13eccezioni predefinite ai criteri, 13-14,13-15monitoraggio infezioni, 13-6operazioni, 13-8privilegi, 13-6, 13-24profili, 13-4, 13-18verifica, 13-34

flooding SYN, 13-5frammenti sovrapposti, 13-5frammento troppo grande, 13-4FTP, 11-27

Ggestione server esterni, 2-36, 15-74

query pianificata, 15-79registri, 18-9risultati query, 15-78

gestore della quarantena, 14-65

Hhot fix, 6-11, 6-57HTTP e HTTPS, 11-28

Iidentificatore di dati, 11-5

attributi di file, 11-5espressioni, 11-5parole chiave, 11-5

IDS, 13-4IGMP frammentato, 13-5immagine disco dell'agente, 5-14, 5-36importa impostazioni, 15-59impostazione cache scansione su richiesta,7-72


IN-6

Impostazione script di accesso, 5-13, 5-21, 5-22Impostazioni aggiuntive del servizio, 15-6impostazioni cache per le scansioni, 7-70Impostazioni DHCP, 5-46impostazioni proxy, 4-31

agenti, 4-31per l'aggiornamento dei componentidel server, 6-20privilegi, 15-54

indirizzo IP gateway, 15-3Indirizzo MAC, 15-3informazioni sul server Web, 14-57installazione, 5-2

agente, 5-2Conformità sicurezza, 5-62Plug-in Manager, 17-3programma plug-in, 17-5Protezione dati, 3-2

installazione agente, 5-2, 5-21Agent Packager, 5-23collegamento e-mail, 5-16dalla console Web, 5-18Impostazione script di accesso, 5-21post-installazione, 5-68requisiti di sistema, 5-2uso di Conformità sicurezza, 5-62utilizzo dell'immagine disco dell'agente,5-36Utilizzo di Vulnerability Scanner, 5-37

Installazione collegamento e-mail, 5-12installazione remota, 5-13integrated Smart Protection Server

Aggiornamento, 4-19Aggiornamento, 4-20

componenti, 4-20

Integrated Smart Protection Server, 4-18Elenco siti Web bloccati, 4-21ptngrowth.ini, 4-18

IntelliScan, 7-29intranet, 4-13IPv6, 4-23

Assistenza, 4-23IpXfer.exe, 15-23istruzioni condizionali, 11-21

JJoke, programma, 7-2

Llicenze, 14-48

Protezione dati, 3-4stato, 2-6

località, 4-32awareness, 4-32

location awareness, 15-2LogServer.exe, 18-3, 18-15

Mmetodi di aggiornamento

agenti, 6-40Server OfficeScan, 6-27Update Agent, 6-66

metodi di scansionemodifica dei metodi di scansione, 7-11scansione convenzionale, 7-11smart scan, 7-11

metodo di scansione, 5-25predefinito, 7-9

Microsoft SMS, 5-14, 5-31migrazione

dal server normale ServerProtect, 5-65da software di protezione di terzi, 5-64

Indice

IN-7

minacce sconosciute, 8-12registri, 8-12

minacce Web, 12-2modalità di valutazione, 7-83modelli, 11-20–11-22, 11-24

istruzioni condizionali, 11-21operatori logici, 11-21personalizzata, 11-21, 11-22, 11-24predefinito, 11-21

modelli personalizzati, 11-21creazione, 11-22importazione in corso, 11-24

modelli predefiniti, 11-21Modello Damage Cleanup, 6-7Monitoraggio degli eventi, 9-6Monitoraggio del comportamento, 9-23

azione per eventi di sistema, 9-8elenco eccezioni, 9-10registri, 9-23

Motore avanzato scansione minacce, 6-6Motore Damage Cleanup, 6-7Motore di filtro URL, 6-12Motore di intelligence contestuale, 6-5Motore di scansione antivirus, 6-3Motore di scansione spyware/grayware, 6-7

NNetBIOS, 2-53Network VirusWall Enforcer, 4-32notifiche

aggiornamento agente, 6-54Controllo dispositivo, 10-18infezioni, 7-114, 12-20, 13-32Pattern dei virus non aggiornato, 6-55per gli amministratori, 11-54, 14-40per gli utenti dell'agente, 11-57riavvio dispositivo, 6-55

Rilevamenti di callback C&C, 12-19rilevamento delle minacce Web, 12-14rilevamento spyware/grayware, 7-54utenti dell'agente, 7-93violazioni del firewall, 13-29virus/minacce informatiche, 7-47

OOfficeScan

agente, 1-11aggiornamento dei componenti, 5-70componenti, 6-2Componenti, 2-34console Web, 2-2database backup, 14-51documentazione, xiiinformazioni, 1-2licenze, 14-48principali funzioni e vantaggi, 1-7programmi, 2-34registri, 14-44scansione database, 7-79server Web, 14-57servizi agenti, 15-11

operatori logici, 11-21operazioni pre-installazione, 5-18, 5-62origine aggiornamenti

agenti, 6-32Server OfficeScan, 6-19Update Agent, 6-61

PPacchetto MSI, 5-14, 5-29, 5-31packer, 7-2pagina di installazione sul Web, 5-12parametri di scansione

attività utente sui file, 7-28


IN-8

compressione dei file, 7-30file da esaminare, 7-28Uso della CPU, 7-31

parole chiave, 11-5, 11-14personalizzata, 11-16, 11-17, 11-19predefinito, 11-14, 11-15

parole chiave personalizzate, 11-16criteri, 11-16, 11-17importazione in corso, 11-19

parole chiave predefinitedistanza, 11-15numero di parole chiave, 11-15

password, 14-64patch, 6-11patch di sicurezza, 6-11Pattern antivirus, 6-3Pattern avanzato correlazione minacce, 6-6Pattern avvio scansione memoria, 6-9Pattern comune per firewall, 6-8Pattern Damage Recovery, 6-9Pattern dei virus, 6-55, 6-56Pattern di configurazione monitoraggio delcomportamento, 6-8Pattern di intelligence contestuale, 6-5Pattern di monitoraggio attivo spyware, 6-7Pattern di monitoraggio della scansione delprogramma, 6-9Pattern di prevenzione contro gli attacchi albrowser, 6-10Pattern di rilevamento monitoraggio delcomportamento, 6-8Pattern eccezioni IntelliTrap, 6-4Pattern firma digitale, 6-9Pattern implementazione dei criteri, 6-9pattern incrementale, 6-22Pattern IntelliTrap, 6-4

Pattern Relevance Rule, 6-10Pattern spyware/grayware, 6-7Pattern unificato relativo allo ScriptAnalyzer, 6-10PCRE, 11-7Performance Tuning Tool, 18-2Perl Compatible Regular Expressions, 11-7personalizza gruppi di agenti, 2-36, 2-53phishing, E-10Ping of Death, 13-4Plug-in Manager, 1-8, 5-6, 5-8, 17-2

disinstallazione, 17-12gestione delle funzioni native deiprodotti, 17-4installazione, 17-3risoluzione dei problemi, 17-12

Prevenzione delle infezioni virali, 2-32criteri, 7-119disattivazione, 7-126

Prevenzione perdita di dati, 11-2, 11-3, 11-5attributi di file, 11-11–11-13azioni, 11-39canali, 11-25canali di applicazioni e sistemi, 11-32,11-33, 11-36, 11-38, 11-39Canali di applicazioni e sistemi, 11-36canali di rete, 11-25, 11-27–11-32, 11-42canali di sistema e applicazione, 11-37criteri, 11-48criterio, 11-3espressioni, 11-6–11-10identificatore di dati, 11-5modelli, 11-20–11-22, 11-24parole chiave, 11-14–11-17, 11-19regole di decompressione, 11-43widget, 2-22, 2-23

Indice

IN-9

privilegiprivilegi configurazione proxy, 15-54privilegi firewall, 13-24, 13-27privilegio di modalità Indipendente,15-19privilegio di rimozione, 15-18privilegi scansione, 7-59privilegi scansione e-mail, 7-68Privilegi scansione pianificata, 7-62

privilegi scansione, 7-59probabile virus/minaccia informatica, 7-5,7-101Programma cavallo di Troia, 1-9programma plug-in

attivazione, 3-4, 17-7disinstallazione, 17-12installazione, 17-5

programmi, 2-34, 6-2protezione automatica dell'agente, 15-12Protezione dati, 11-2

disinstallazione, 3-15implementazione, 3-6installazione, 3-2licenza, 3-4stato, 3-8

protezione dispositivi esterni, 6-8Protocollo SMB, 11-29Provider della firma digitale, 10-9

specifica, 10-9ptngrowth.ini, 4-18

Rraggruppamento agenti, 2-52–2-54, 2-56, 2-57,2-59–2-61

Active Directory, 2-53, 2-56aggiunta di un dominio, 2-60automatici, 2-53, 2-54

DNS, 2-53eliminazione di un dominio o di unagente, 2-60gruppi personalizzati, 2-53indirizzi IP, 2-57manuale, 2-53metodi, 2-52NetBIOS, 2-53operazioni, 2-59ridenominazione di un dominio, 2-61spostamento agenti, 2-61

Raggruppamento automatico agenti, 2-53,2-54raggruppamento manuale agenti, 2-53ransomware, 7-3registri, 14-44

informazioni su, 14-44minacce sconosciute, 8-12Monitoraggio del comportamento, 9-23registri aggiornamenti agente, 6-55registri dei file sospetti, 7-111registri dei rischi per la sicurezza, 7-97registri del firewall, 13-25, 13-27, 13-30,13-31Registri di controllo dispositivo, 10-19registri di reputazione Web, 12-23registri di ripristino quarantenacentrale, 7-106registri di ripristino spyware/grayware,7-111registri di scansione, 7-112registri di spyware/grayware, 7-106registri di verifica connessione, 15-47registri di virus/minacce informatiche,7-77, 7-98registri eventi di sistema, 14-43


IN-10

registri agenteregistri aggiornamenti agente, 18-18registri aggiornamenti e hot fix, 18-17Registri Damage Cleanup Services,18-17Registri della scansione e-mail, 18-17registri di connessioni dell'agente, 18-18registri di debug, 18-15Registri di debug del firewallOfficeScan, 18-20Registri di debug della prevenzionedelle infezioni virali, 18-19registri di debug di monitoraggio delcomportamento, 18-20Registri di debug di Protezione dati,11-64, 18-25registri di debug di TDI, 18-26registri installazioni da zero, 18-16

registri di debugagenti, 18-15server, 18-3

registri serverRegistri del supporto Virtual Desktop,18-14Registri di Active Directory, 18-6Registri di Agent Packager, 18-8registri di aggiornamento deicomponenti, 18-7Registri di conformità della sicurezza,18-9Registri di controllo dispositivo, 18-10registri di debug, 18-3Registri di debug dello strumento dimigrazione ServerProtect, 18-11Registri di debug del motore discansione virus, 18-19

Registri di debug VSEncrypt, 18-11registri di gestione server esterni, 18-9registri di installazione/aggiornamentolocale, 18-5registri di installazione/aggiornamentoremoto, 18-5Registri di MCP Agent di ControlManager, 18-11registri di reputazione Web, 18-10registri di role-based administration,18-6registri raggruppamento dell'agente,18-7

regole di decompressione, 11-43reputazione file, 4-3reputazione Web, 5-4, 5-7

criteri, 12-5registri, 18-10

Reputazione Web, 1-9, 12-4requisiti di sistema

Update Agent, 6-59Responsabile delle query di intelligencecontestuale, 6-6riavvio servizio, 15-11Riepilogo

aggiornamenti, 6-68dashboard, 2-6, 2-8

rilevamento rootkit, 6-8rischi per la sicurezza, 7-2, 7-5–7-7

attacchi di phishing, E-10protezione da, 1-8spyware/grayware, 7-5–7-7

riscontri sulla documentazione, 19-6risoluzione dei problemi

Plug-in Manager, 17-12risorse per la risoluzione dei problemi, 18-1

Indice

IN-11

role-based administration (RBA), 14-3account utente, 14-3ruoli utente, 14-13

rootkit, 7-3ruolo utente

amministratore, 14-15Utente esperto Trend, 14-15utente ospite, 14-15

Sscansione cache, 7-70scansione convenzionale, 7-10scansione database, 7-79scansione dei cookie, 7-84scansione di Microsoft Exchange Server, 7-79scansione di prova, 5-70scansione di virus/minacce informatiche

impostazioni globali, 7-75risultati, 7-99

scansione e-mail, 7-68Scansione in tempo reale, 7-16Scansione manuale, 7-19

collegamento, 7-77Scansione pianificata, 7-21

avvia e interrompi, 7-62, 7-86interrompi automaticamente, 7-86promemoria, 7-85rimanda, 7-85riprendi, 7-86

scansione spyware/graywareazioni, 7-52elenco approvati, 7-54risultati, 7-108

schede, 2-8script di prova EICAR, 7-3Script di prova EICAR, 5-70Segnalazione conformità, 15-62

server di riferimento, 14-38server integrato, 4-7Server OfficeScan, 1-10

funzioni, 1-10ServerProtect, 5-65Server standalone, 4-7Server Tuner, 14-66Servizi di avvisi contatti Command &Control, 12-2

Elenco Global Intelligence, 12-3Elenco Virtual Analyzer, 12-3Smart Protection Server, 12-3Virtual Analyzer, 12-3

Servizi di reputazione file, 4-3Servizi di reputazione Web, 4-3, 4-4Servizio Certified Safe Software, 7-76, 9-18,13-28Servizio principale monitoraggio delcomportamento, 6-8Servizio Scansione in tempo reale, 15-42Sistema di rilevamento anti-intrusione, 13-4Sistema di supporto intelligente, 2-5, 18-2Smart Feedback, 4-3smart protection, 4-3, 4-6–4-10, 4-23, 4-24

ambiente, 4-13file pattern, 4-8–4-10

Elenco siti Web bloccati, 4-9processo di aggiornamento, 4-10Smart Scan Agent Pattern, 4-8Smart Scan Pattern, 4-9

origine, 4-7, 4-8origini, 4-23, 4-24

confronto, 4-7località, 4-24protocolli, 4-8Supporto IPv6, 4-23


IN-12

Servizi di reputazione file, 4-3Smart Protection Network, 4-6Smart Protection Server, 4-7volume delle minacce, 4-3

Smart Protection, 4-4, 4-13Servizi di reputazione file, 4-3Servizi di reputazione Web, 4-3, 4-4

Smart Protection Network, 1-2, 4-6Smart Protection Server, 4-7, 4-14, 4-17–4-21

Aggiornamento, 6-15, 6-29installazione, 4-14integrato, 4-7, 4-18–4-21migliori pratiche, 4-17standalone, 4-7, 4-18

Smart Protection Server standalone, 4-18ptngrowth.ini, 4-18

smart scan, 7-10Smart Scan Agent Pattern, 4-8Smart Scan Pattern, 4-9software di protezione di terzi, 5-63sottodomini e-mail monitorati, 11-26spyware/grayware, 7-5–7-7

adware, 7-6applicazioni per decifratura password,7-6dialer, 7-6potenziali minacce, 7-6programmi Joke, 7-6protezione da, 7-7ripristino, 7-56spyware, 7-5strumenti per hacker, 7-6strumento di accesso remoto, 7-6

Statistiche sui primi 10 rischi per la sicurezzadei dispositivi collegati in rete, 2-33

Strumento di generazione del modello diprescansione VDI, 15-90Strumento di migrazione SQL Server, 14-53,14-56

configurazione, 14-53notifica di avviso, 14-56

Strumento elenco dispositivi, 10-14struttura agente, 2-39, 2-41–2-44, 2-48–2-50

filtri, 2-42informazioni, 2-39operazione generali, 2-41operazioni specifiche, 2-43, 2-44, 2-48–2-50

aggiornamenti componentirollback, 2-49aggiornamenti manualicomponenti, 2-48gestione agente, 2-44Prevenzione delle infezioni virali,2-48registri dei rischi per la sicurezza,2-50

ricerca avanzata, 2-42, 2-43visualizzazioni, 2-42

Supporto IPv6, A-2limitazioni, A-3, A-4visualizzazione indirizzi IPv6, A-6

Supporto Virtual Desktop, 15-79

TTeardrop, 13-5terminologia, xivtipi di scansione, 5-3, 5-6, 7-15TMPerftool, 18-2TMTouch.exe, 6-57touch tool, 6-57

Indice

IN-13

UUpdate Agent, 5-4, 5-7, 6-58

assegnazione, 6-59duplicazione dei componenti, 6-65metodi di aggiornamento, 6-66origine di aggiornamento standard, 6-62requisiti di sistema, 6-59segnalazione analitica, 6-66

Uso della CPU, 7-31utilità di importazione impostazioni gateway,15-4

Vvalutazioni pianificate, 15-73VDI, 15-79

registri, 18-14verifica connessione, 15-46versione di prova, 14-48virus/minacce informatiche, 7-2–7-5

cavallo di Troia, programma, 7-3Codice dannoso ActiveX, 7-4codice dannoso Java, 7-4file COM ed EXE infettante, 7-4Joke, programma, 7-2packer, 7-2probabile virus/minaccia informatica,7-5ransomware, 7-3rootkit, 7-3tipi, 7-2–7-5virus da macro, 7-4virus del settore boot, 7-4virus di prova, 7-3virus VBScript, JavaScript o HTML, 7-4worm, 7-4

virus da macro, 7-4virus del settore boot, 7-4

virus di prova, 7-3virus di rete, 7-4, 13-3virus HTML, 7-4virus JavaScript, 7-4virus VBScript, 7-4Vulnerability Scanner, 5-15, 5-37

efficacia, 5-37Impostazioni DHCP, 5-46impostazioni ping, 5-59protocolli supportati, 5-54query prodotto, 5-52recupero descrizione dell'dispositivo,5-56

Wwebmail, 11-29widget, 2-8, 2-22, 2-23, 2-25, 2-27–2-29, 2-31, 2-32,2-34, 2-35, 17-3

Agenti connessi al server Edge Relay,2-31Aggiornamenti agente, 2-34Connettività agente antivirus, 2-29Connettività agente e server, 2-35Eventi di callback C&C, 2-25Infezioni, 2-32OfficeScan e Plug-in Mashup, 2-28Prevenzione perdita di dati -Rilevamenti per periodo di tempo, 2-22Prevenzione perdita di dati -Rilevamenti principali, 2-23Rilevamenti dei rischi per la sicurezza,2-27

Windows Server Core, B-2comandi, B-7funzioni disponibili dell'agente, B-6metodi di installazione supportati, B-2


IN-14

worm, 7-4

TREND MICRO Italy S.r.l. Edison Park Center Viale Edison 110 - Edificio C 20099 Sesto San Giovanni (MI) Italia

Telefono: +39 02 925931 Fax: +39 02 92593401 [email protected]

Item Code: OSIMXG8030/170922

http://www.trendmicro.com

mailto:[email protected]

Guida per l'amministratore - Trend Micro · Questo documento contiene le informazioni introduttive...

Documents

Transcript of Guida per l'amministratore - Trend Micro · Questo documento contiene le informazioni introduttive...